无锡：开始销毁涉疫个人数据

3月2日，无锡市举行涉疫个人数据销毁仪式，首批销毁10亿余条此前因新冠疫情防控及服务目的而收集并存储在城市大数据中心的个人信息数据。无锡市城运中心通过专业数据销毁软件对云端或服务器硬盘上的数据进行消除，确保数据无法被恢复。第三方审计机构和公证处也参与了当天的活动。同日，疫查通、进口冷链食品申报追溯系统、货运通行证等40多项数字防疫服务应用，也全部下线。

“像钟声敲在我心上”

2022年12月26日，国家卫生健康委员会发布公告称，2023年1月8日起，对新型冠状病毒感染实施“乙类乙管”。依据《传染病防治法》，对新冠病毒感染者不再实行隔离措施，不再判定密切接触者；不再划定高低风险区；对新冠病毒感染者实施分级分类收治并适时调整医疗保障政策；检测策略调整为“愿检尽检”；调整疫情信息发布频次和内容。

一切似乎在恢复，但路珊心里却没有“爆竹声中一岁除”的欢欣。大街上的车多起来了，有人戴口罩、有人不戴口罩，但不戴口罩的时候，人们包里也常会备着一只，“试探”着回到日常。无锡市大数据管理局介绍，自其“数字防疫”服务上线以来，一直确保数据的适当保密性和安全性，坚持最小够用原则，无锡市城市大数据中心共搜集了10亿余条多类别的个人数据，主要用于核酸筛查、流调溯源、外防输入性疫情、重点人群核酸检测等用途。

通过不断创新数字防疫战法，推动疫情数据共享、开放利用，这些数据为确保疫情防控的顺利进行提供了坚实支撑。无锡市大数据管理局称：“在数据的搜集、保存期间，我们采取有效的技术和管理措施，依法依规保障了个人信息安全，未发生任何数据泄露事件。”

下一步，城市大数据中心将进一步加强数据分类分级管理、数据安全风险评估、监测预警、数据安全审查等制度建设，确保数据无法被恢复。同时持续加强对技术运维人员的安全教育，加强数据安全合规理念，提升全员数据安全意识，严格禁止私下留存、转移涉疫数据等行为，全力保障公民个人隐私。

事实上，这并不是地方政府部门第一次主动调整优化涉疫个人数据。2023年2月14日，广东省健康码“粤康码”发布服务公告称，按照国家新冠病毒感染防控政策要求，抗原自测、老幼助查、健康申报、电子证照、防疫工作台服务将于2023年2月16日11时起停止服务。“粤康码”下一步将关闭相关服务入口。

在互动中调整边界

当前，疫情防控平稳进入“乙类乙管”常态化防控阶段，各类数字化防疫应用搜集的公民个人数据该如何处置，这是人们心中共同的疑问，也是数字时代遇到的新问题。

无锡市大数据管理局副局长颜春水在销毁现场接受采访时表示，此举一是体现依法执政，二是保护公民隐私，三是防止数据泄漏，四是节省储存空间。中国人民大学公共管理学院教授杨宏山在接受记者采访时指出，无锡此次销毁数据的举措，是信息化时代面临的新形势的反映。此次销毁针对的人群的广泛、数量级别的宏大，都是前所未有的。通过移动互联网获取信息，是当今时代科技进步的结果，是在新一代信息技术应用基础上进行的，无锡销毁的10亿余条数据里面，平均到每个人身上可能有几百条。这在历史上是没有先例的，此前只有小规模的数据销毁处理，不具备如此的人群广泛性。

从国家治理角度来说，此前收集大量个人数据，是因疫情防控需要；现在进入“乙类乙管”阶段，总体上看疫情基本结束。从公民个人隐私和信息保护角度，这些信息应该得到处理。无锡在全国率先完成，于法有据，有利于保护个人隐私，相信下一步其他地方政府会有跟进的稳妥处理。

对无锡的做法，也有来自另一方的意见和声音。律师赵天在无锡江阴生活多年，大约3年的封控期间，他常规的出差节奏受到一定影响，“疫情的发展变化有时候很快，不知道什么情况下会被赋码，谁来赋码，赋码错了应该找谁申诉”。这几年，赵天观察到，很多地方有自己的健康码，去不同地方出差在信息互通方面可能存在障碍。

但听说要销毁这些信息，赵天并没有如释重负的感觉，他认为这可能是一种有价值的资产，“我们不能保证今后不会再次面临类似的群体性紧急事件，我们这次应对疫情中间所吸取的经验、教训、数据，能不能作为应对将来可能出现问题的素材。数据本身就是一种素材，对于销毁数据，可能要作一个分级”。

从保障公民隐私的角度，在赵天看来，无锡的行为值得肯定。作为一名法律从业者，他提出了自己的疑问，类似的应急管理中，针对数据问题，希望从立法层面建立更多细则：“怎么采集、谁来采集；怎么存储更规范、安全；数据完成历史使命后，怎么处置？”

信息化时代的新形势

销毁之外，还有其他处置数据的方式。此前，有部分省市曾把健康码与其他政務大数据融合，拓展了更多应用场景，如电子健康卡、电子社保卡、税务、交通、商贸旅游等领域。

2022年6月，有个别地方采取健康码赋红码的方式限制群众正常出行，将公众长久担心的问题暴露出来。随后，国家卫健委疾控局副局长、一级巡视员雷正龙对此回应说，国务院联防联控机制明确要求严格健康码的功能定位，不得擅自扩大应用范围，绝不允许因疫情防控之外的因素对群众进行健康码赋码、变码。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲针对这一问题表示，健康码数据包含多领域敏感个人信息，必须在用户自主单独同意后才能变更使用目的；否则，在防疫目标解除后必须删除或作匿名化处理。他认为，删除个人信息在技术上并不复杂，按照现有的国家标准《个人信息安全规范》操作即可，经过匿名化处理的信息“无法识别特定个人且不能复原”。

关于销毁信息是否造成前期手机信息投入浪费的问题，在接受记者采访时，何延哲解释，即便现在把健康码下线，也不会造成所谓的“前期投入浪费”。因为健康码作为一个运行成熟的系统，下线不代表底层代码被删除。“我是赞成把数据删除，把代码保留。这样不仅保留了积攒的抗疫经验，也为以后的公共卫生应急系统提供一个更好的基础。”

路珊曾因“赋码”问题遭遇过不便。想到曾经的遭遇，对于此次销毁数据，路珊格外赞同。她的生活中刚出现了新的问题——“甲流”来了。要不要戴口罩呢？路珊坚决选择了“不”，少数而极端的经历会把人更猛烈推向另一个方向——此刻她宁愿病一场，也不想再和过去类似的熟悉打交道，包括扫码、报备、口罩等。

面对新形势下的新问题，一切都在探索中前进。杨宏山解释，在社会处于应急管理状态时，基层的动员会大大增多；当非常态成为常态，也会面对社会的质疑。最初病毒风险性很大的时候，公众愿意让渡一些私权，后来随着病毒风险性显著降低，反对的声音就多了，不乏有理有据有节的观点。在风险越来越低的时候，把非常态的做法常态化，那么社会会出现反对的声音。风险大小和管理模式，人们会作权衡。当风险较小的时候，人们不会愿意让非常态运作持续下去。

对于数据，我们必然要考虑其存在的风险性，杨宏山打了个比方：“不是所有的资源我们都要保护，谈论销毁此类数据是不是损失，就像谈论要不要保存我们身边的每一件物品，理由是百年之后它们都是文物一样。”

（摘自《南方人物周刊》韩茹雪）