“健康码”集成个人健康信息之保护所面临的困境及其对策研究＊

柏彩云 唐永麒 练陶陶 岳远雷

在“新冠”疫情防控期间，“健康码”联结了公民最为敏感的个人健康信息，成为防疫的有效技术手段；而由于特定的个人健康信息具有可识别性，各地区行政部门在使用“健康码”对疫情进行管理的同时，也让这些个人健康信息面临着极大的风险。随着当前疫情防控策略的调整，通过研究“健康码”集成个人健康信息之保护的理论基础，探讨个人健康信息保护所面临的问题，有助于提升政府的数字治理能力，保障公民个人健康信息安全。

一、“健康码”与“个人健康信息”的概述

（一）“健康码”概念

“健康码”是地方政府和互联网技术企业合作开发、以实际数据为基础而建立起的存储个人健康信息的动态电子凭证。个人可以通过绑定有效的身份凭证，授权他人临时访问其特定的个人健康信息。为便于运用，在申请“健康码”时，公民需要先注册，提供个人的真实信息，填写自己的体温、疫苗接种情况、核酸检测结果和接触史等健康信息，相关部门再核实用户的行踪记录、健康状况等信息，最终生成可以搭载在智能手机小程序上的动态电子凭证，并通过不同的颜色（如绿码、灰码、黄码、红码）将其直观地展示出来。[1]在特殊地区亮“码”通行，可以简化检查手续，精准地管理个人健康信息，实现了快速定位疑似密接人群，加快了恢复社会秩序的进程。[2]

（二）“个人健康信息”的基本内涵

“个人健康信息”是指与公民个人过去与现在与其身心健康相关联的信息，包括了疾病预防、控制、诊断、治疗等各个方面的个人信息。[3]同时，个人健康信息还包括了个人体格检查、疾病家族史、医疗数据信息等各方面的信息，是医学研究中不可或缺的原始资料。另外，“个人健康信息”的定义随着个人健康状况与医疗技术的发展不断被扩充，还包含精神健康信息与心理健康信息。个人健康信息总体可分为四大类：医疗服务信息、健康状况信息、个人肌理信息和遗传基因信息。[4]从“个人健康信息”的基本内涵来看，其具备四个性质：其一，真实性。个人健康信息是记录个人的真实健康情况的信息。其二，可识别性。记录个人健康信息的本质是为了识别特定的个人，具有导向功能。其三，特殊性。个人健康信息是基于个人生命健康等基本情况而产生的，其所体现的是特定个体的健康状况。其四，敏感性。《中华人民共和国个人信息保护法》（以下简作《个人信息保护法》）第二十八条详细解释了“敏感个人信息”的含义，指出敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、行动轨迹等敏感信息，并将个人健康信息归为敏感个人信息”。

（三）“健康码”与个人健康信息的联系

“健康码”中所包含的个人信息可以分成两大类：一是单一授权信息，包括个人健康信息、个人识别信息等；另一是复合授权信息，即个人轨迹信息。[5]“健康码”作为疫情防控时期的电子通行证，提高了疫情防控效率，降低了疫情扩散风险。“健康码”中所包含的个人健康信息被通过“数据集中储存”模式进行管理，即行政部门联合归集个人信息，将其置于网络平台供被授权方在防疫时调取使用。此种模式增加了规避个人健康信息风险的难度。[6]对“健康码”的使用应及时满足防疫的实际需求，更要遵循法律法规，保护公民个人健康信息安全。

二、“健康码”集成个人健康信息之保护的理论基础

（一）出台“健康码”的正当性——维护公共卫生安全

“健康码”包含着大量的公民个人健康信息，各地将“健康码”作为个人健康的电子凭证，虽能为疫情常态化防控和企业复工提供信息支撑，但也不能因此而忽视由此所引发的公民个人健康信息风险。探讨“健康码”背后个人健康信息安全保障的关键，是分析出台“健康码”的正当性。出台“健康码”的正当性有三：其一，“健康码”的价值取向具备正当性。疫情期间推出“健康码”是为了维护公共卫生安全。在公共卫生应急管理情势下，接触者追踪、区域风险评估和公共场所监测等数字防疫手段的使用，皆具备正当性基础，这是不言而喻的。[7]其二，出台“健康码”的依据具备正当性。中共第二十次全国代表大会提出：“提高公共安全治理水平。坚持安全第一、预防为主，建立大安全大应急框架，完善公共安全体系，加强个人信息保护。”我国《传染病防治法》第四十条赋予国家机关在传染病发生时可以收集公民个人信息的权力。《个人信息保护法》第十三条第四项进一步明确，为应对突发公共卫生事件，个人信息可以被合法处理。其三，“健康码”的运行具备正当性，在对“健康码”的应用中，政府发挥着引导、监管平台企业的作用，平台企业依靠其技术优势为“健康码”的运行提供硬件基础，公民通过上传个人健康信息为平台产生数据。三者的均衡发展虽促进了政府能力的自我革新和服务型政府建设，充分发挥了企业在社会治理中的重要作用，但由此衍生的种种强制措施并非绝对无条件的，故随着疫情的结束，应有针对性地对“健康码”作出调整，对其正当性也应有更加全面的认识。[8]

（二）规制“健康码”的必要性——合理使用个人健康信息

政府引入大数据分析，收集、存储个人健康信息并对其进行一系列处理，通过“健康码”及时反映公民的健康状况，虽能为政府采取防疫措施提供便利条件，但由于“健康码”中所包含的个人健康信息具有敏感性和可识别性，故对“健康码”进行规制，对于维护公民的个人健康信息权益十分重要。尽管在公共卫生安全面前，个人健康信息权益可以克减，但仍应在二者之间尽力取得平衡，在保障公共卫生安全的前提下最大程度保护公民个人健康信息权益。首先，基于个人健康信息的可识别性，在收集个人健康信息时应严格遵循“最小必要”原则，收集的个人健康信息符合防疫要求即可，而不应收集个人面部特征等不必要信息；所收集的个人健康信息也只能以防疫为目的，用于“健康码”的运行，严令禁止不经信息主体同意而将收集的个人健康信息用于其他领域的行为。其次，普通公民无法直接监管“健康码”的运行，故政府应加强对个人健康信息的“脱敏”，加大对使用个人健康信息行为的监管力度，以保障数据安全。最后，利用多方机制，联合企业、政府、公民的力量，形成社会合力，以加强对“健康码”的规制，保护个人健康信息，使“健康码”合理、合法、有效运行。

三、“健康码”集成个人健康信息之保护中存在的问题

（一）“健康码”集成个人健康信息之保护的法律体系有待完善

首先，法律对“私密个人健康信息”的界定存在模糊不清的现象。《民法典》中关于“私密信息”的法条竞合的适用方式未能厘清“隐私”与“个人信息”之间的关系，由此导致法院的裁判立场虽然呈现从“一元保护”到“二元区分”的嫁接路径，但仍未跳脱传统先验分配范式对“私密信息”定义的司法僵局。[9]其次，传统知情同意原则面临被虚化的境况。《传染病防治法》和《突发事件应对法》规定了“突发状态”下个人隐私得以克减，据此，在维护重大公共利益的情形下，政府可以不征得信息主体的同意而处理个人信息，但若后期要对“健康码”中包含的数据进行二次利用，就需要进一步细化知情同意原则。公共管理部门行政权力的扩张极易造成对个人信息的处置不当和对个人信息保护的虚化。最后，《个人信息保护法》规定的处罚裁量权过于宽泛。该法有关“法律责任”的部分主要体现为第六十六条，该条设定的罚款上限过高，裁量权的行使基准过于模糊，这会导致在具体案件中出现“同案不同罚”的现象。

（二）“健康码”集成个人健康信息之权益遭受公权力挤压

在数字防疫背景下，个人健康信息的自主价值在数据权力的支配下处于弱势。“健康码”作为政府进行社会治理的新型工具，其本质是公权力为维护公共卫生安全，限制作为私权的个人健康信息权益。如何在上述关系中准确界定公权力的边界是维护个人健康信息权益的基本内容之一。现实中，由于缺乏对公权力的约束，个人健康信息被肆意收集、储存、加工和利用，自然人的人身财产利益因此遭受侵害的现象层出不穷。苏州的“文明码”①以及“河南红码”②等事件招致广泛批判，引发了社会公众对个人健康信息权益保护的担忧。此类事件明显是公权力挤压私权利的行为，不仅没有达到保护公共卫生安全的效果反而侵害了信息主体的人身安全和财产利益。而依托大数据生成的“健康码”在拓展应用中也存在因算法或数据错误而产生误差的可能性。[10]“健康码”下线后，如何妥善保护个人健康信息，高效推动公共卫生安全管理，是未来需要着重探讨的问题。

（三）“健康码”集成个人健康信息蕴含数据安全风险

“健康码”背后的全民数据统筹带来的潜在风险不容小觑。首先，个人健康信息本身，尤其是其中的敏感信息，具有特定性和可识别性，一旦被泄露，后果不堪设想。其次，各个地方的“健康码”基本是由政府授权大型企业联合开发的，特定企业是“健康码”背后的数据处理者。[11]无论是在收集、处理还是在运行、分析个人健康信息的阶段，都面临着数据出错、丢失甚至被盗窃的风险，个人健康信息的安全岌岌可危。如何加强个人健康信息管理，规避企业披着防疫的外衣实则利用个人信息谋取利益，是我们急需解决的问题。另外，政府授权收集个人健康信息的企业主体不明确且各地政府之间缺乏对“健康码”的互认机制，导致“健康码”泛滥、重复收集信息等问题，不仅给广大民众的出行带来不必要的负担，还增加了信息泄露风险。最后，在疫情退去之后，要如何处理个人健康信息才能将安全风险降到最低，企业是否可以永久保留个人健康信息，也是我们需要探讨的问题。

（四）存在违背个人健康信息保护之基本原则的行为

1.违背知情同意原则。

知情同意原则是保护个人健康信息的基本原则。信息收集者在收集及处理个人健康信息时，一方面要履行告知义务，另一方面要获得个人健康信息主体的明确同意。我国《民法典》《网络安全法》《信息安全技术个人健康信息安全规范》等，都有将知情同意原则作为处理个人健康信息基本原则的规定。在疫情应急管理时期，对“健康码”的使用具有强制性，个人健康信息主体难以有自主选择的空间。在申领“健康码”的过程中，大多数省市缺少完备的知情同意、隐私保护等条款。因为医疗健康大数据降低了“知情”的可预测性。用户在输入身份证号进行实名认证之后，还需要提供个人途经地、出行记录等隐私信息来确定是否确诊新冠或者有无新冠患者接触史。由于疫情的紧急性，在收集这些信息时系统难以向用户提供明确的告知书。[12]在疫情防控取得重大胜利的背景下，“健康码”所涉及的个人健康信息会被如何处置是亟待解决的问题之一，无论是全部销毁还是脱敏化处理或是储存起来，若不经过公民的同意，都会增加信息泄露的风险。

2.被逾越的“最小必要”原则。

“最小必要”原则是指被收集到的信息仅仅为完成特定的目的而使用，并在目的实现后删除所涉信息的原则。在我国有关个人信息保护的法律条文中，有多处存在“最小”和“必要”的表达，例如《个人信息保护法》第六条。“最小必要”原则要求处理个人信息的手段与目的间应有合理的相关性，收集信息的范围不能超过特定的正当目的。收集个人健康信息的必要条件是满足其使用目的，即一旦缺失则无法提供正常服务。[13]通过“健康码”收集个人信息的活动应以预防或遏制疫情扩散为目的，收集的信息类型也应仅仅包括基础性的身份信息，健康信息（是否接种疫苗、是否已检测核酸）和行踪轨迹信息（是否与密切接触者产生时空交集），至于政治面貌、收入等其他信息显然超出了“必要”的范围，应该禁止收集。疫情防控属于紧急状态，出于公共防疫需要，必须收集个人健康信息，但在实现了防疫的目的后，根据“最小必要”原则，就没有理由再继续收集公众的个人行踪数据，此前留存的数据也应该销毁或封存。

（五）对“健康码”集成个人健康信息政策的执行存在偏差

我国人口基数大且流动性强，政府在对“健康码”的数据共享上仍然存在问题。首先，健康码的本意是不同行政辖区能及时、准确、充分地实现信息共享。[14]然而，由于各地政策执行的偏差，导致出现了“数据孤岛”③现象。在实务中暴露出地区间个人健康信息难以共享互认、数据同步延迟、后台系统衔接不畅等问题。例如，国内大部分地区的“健康码”仍是以“省内通行”为主，地方只认“地方码”，此种措施耗损了“健康码”政策实施以来较好的治理效应。其次，缺乏对“健康码”的体系化设计规范，使得应急管理情势下对其的使用处于紊乱状态，出现个人敏感数据被不当收集、信息泄露等问题。最后，未充分考虑到不同社会群体的需求。“健康码”是大数据技术下的产物，然而在实际的运用中，这一技术将不会使用智能手机的人群排斥在外，特别是老年人群体，这给少数群众的生活造成了极大的不便。

四、对“健康码”集成个人健康信息之保护有效性的反思

（一）完善个人健康信息之保护的相关法律法规

首先，立法部门应根据“情境完整性理论”对“私密信息”的范围进行界定。[15]以个人健康信息的全生命周期为依据，总结出个人健康信息权益被侵犯的类型，根据信息在不同阶段可能发生的风险适用相应的保护规则。其次，应有效规范行政机关处理个人信息的行为。依照《民法典》第一千零三十五条第二、三项的规定，应明确收集信息的用途，公开处理信息的规则，提高收集个人健康信息行为的透明度，最大限度保障公民的知情同意权。最后，健全行政裁量权行使基准的相关规定，严格规范行政裁量权行使基准的制定权限，要根据行为事实量化行政处罚裁量权基准，切实维公民个人健康信息合法权益。

（二）合理规制公权力，保护个人健康信息权益

政府要正确行使公权力，维护公共卫生利益，减少对个人健康信息权益的不当限制。首先，应明确权力边界，规范权力行使。规范约束政府权力的关键是尽快制定有关“健康码”运行的法律，用法律形式规定组织及其公务人员的职能和权限，从而减少滥用职权的情形。其次，应健全采集敏感数据的告知制度。疫情防控相关部门在通过“健康码”收集个人健康信息时，应当履行告知义务，明确告知什么信息将被收集及将被如何使用，最大限度减少过度采集和使用个人健康信息的行为。最后，规范数据权力的运用程序。坚持应用“健康码”的公开透明性，听取社会意见，同时防范“算法黑箱”④，提高算法运行的精确性。[16]通过对公权力的合理规制，抑制公权力被滥用，维持公权与私利两者之间的平衡，才能有效保护相对人的个人健康信息权益，进而推进我国数字化治理进程。

（三）加强个人健康信息管理，减少数据被泄露的风险

首先，就现有技术而言，需要增强对个人信息的“匿名化”和“脱敏化”处理，可以通过加密、隐藏数据等方式，将其转换为虚拟数据，这样不仅可以为疫情防控提供信息，也可以防止个人数据被泄露。[17]其次，对个人健康信息应进行安全管理。通过设置密钥、对文档数据库进行加密等措施，在分享数据时使用经过技术人员监测的渠道进行传输，相关人员访问数据时应做好登记工作，方便追踪溯源。再者，建立各级政府之间的互认机制，搭建互认平台。明确“健康码”的责任主体，除政府和被政府授权的特定的企业，其他主体不能擅自处理个人健康信息。政府之间应互通互认，杜绝政府间“码上加码”的乱象，减少对个人健康信息的重复收集，降低个人健康信息的风险。[18]最后，在解除应急管理状态后，应及时停止收集、处理个人健康信息的行为，对存留的数据进行合理处置。

（四）以“知情”为前提收集信息，在“最小”的基础上公布信息

为了公共安全，公民个人在必要时要让渡个人隐私权和个人健康信息使用权。知情同意原则对处理个人健康信息的行为做了限定，它是鉴别个人健康信息处理行为是否合法的基本规则。[19]这并不意味着可以随意收集个人健康信息，政府仍要依法保障公民个人的知情同意权。首先，应当健全法律法规，对收集公民个人健康信息的行为进行限制。[20]其次，应当增强信息收集主体的责任意识。最后，应告知公民其个人信息的储存方式和用途。在进行数据收集时，对新冠患者、可能感染者应主要收集身份证号、姓名、性别、年龄、联系方式、出行信息等信息，以便确定病例涉及的区域，找出密切接触人员。在披露信息时，要做到及时、准确，保障社会群体在最短时间内能得到信息，进行疫情控制。在非必要时，可以不公开涉疫个人健康信息，即使公布，也要将具有独特识别性的个人健康信息进行加密或“脱敏化”处理。随着疫情防控策略的重大调整，“健康码”的退出已势在必行。“健康码”应从各地的应用端下线，停止数据处理和服务，并依法删除已收集处理的信息。尤其应当警惕和制止各种将“健康码”改头换面用作其他用途的行为。基于特定应急管理场景、特定权责、特定目的而生的“健康码”，若超出这些特定时空场景和法律环境，必将面临公众对其合法性和正当性的置疑。

（五）加强政府信息互通，减少政策执行偏差

首先，各市级政府、省级政府和中央政府之间可以明确固定的政策信息扩散路径。[21]各地政府间要尽早实现对信息的互通互认，利用大数据维护“健康码”信息系统的正常运行以及数据的同步上传，缓解“数据孤岛”现象。同时，“健康码”要从“一省一码”向“一人一码”模式转变，解决“各认各码”的问题。其次，政府各部门应统筹兼顾、合理协调，要有相应专业人员对“健康码”进行基本的制度设计和规范。各级地方政府，需要建立有力高效的协调机制，加快体系化管理建设进程，减少政府间“各自为政”的现象。再者，应明确责任主体，“健康码”应由政府主导，由政府带领社会机构对“健康码”进行有序管理。在疫情结束后，相关疫情防控政策由“乙类甲管”调整为“乙类乙管”，这更加证明了疫情结束后应及时下线“健康码”及销毁其中的个人信息的正确性，这才能更好地保护公民个人信息安全。

五、结语

大数据时代，数据技术的运用在改善公共服务与提高政府治理能力上发挥着至关重要的作用。“健康码”作为大数据背景下的产物，在利用过程中由于治理缺陷，逐渐显现出个人健康信息保护安全等问题。与此同时，“健康码”下线后应如何处置其中包含的个人信息也是未来我们需要关注的方向。社会在发展数据化管理、维护公共卫生安全的同时，也应当重视信息数据化带来的风险，在对“健康码”的规范管理过程中应重视对公民个人健康信息的界定与保护。

注释

①2020 年9 月3 日，江苏省苏州市在“苏城码”上推出了“文明码”，并将其称之为全国首创，引发外界热议。据介绍，该功能旨在构筑起文明积分信息识别体系，形成市民文明程度“个性画像”，文明积分等级高的市民将会享受工作、生活、就业、学习、娱乐等方面的优先和便利。目前，可以影响这个分数的有两个指数——文明交通指数和文明志愿指数，其他文明指数尚未开放。个人若有交通违法行为，根据其交通违法记录，文明交通指数将被扣分。若参加交通志愿执勤活动，则可进行加分。此外，市民每参加一次志愿者服务，也可获得相应加分。

②2022年，数位由省外入豫的村镇银行储户在抵达郑州后，河南“健康码”由绿转红，无法正常参与社会活动。据悉，早前当地几家村镇银行出现“取款难”问题，这些储户此行的目的是沟通取款事宜。除了由省外抵郑的维权储户，一些未前往郑州的储户也出现河南“健康码”莫名“染红”的情况。

③“数据孤岛”分为物理性和逻辑性两种。物理性的数据孤岛是指数据在不同部门相互独立存储，独立维护，彼此间相互孤立，形成了物理上的“孤岛”的情况。逻辑性的数据孤岛指的是不同部门站在自己的角度对数据进行理解和定义，使得一些相同的数据被赋予了不同的含义，无形中加大了跨部门数据合作的沟通成本的情况。

④“算法黑箱”指的是算法运行的某个阶段所涉及的技术复杂且部分人无法了解或解释的情形。