查看原文
其他

宁园:健康码运用中的个人信息保护规制 | 前沿

魏靖摘编 中国民商法律网 2022-03-20


中国民商法律网


本文摘编自宁园:《健康码运营中的个人信息保护规制》,载《法学评论》2020年06期。本文未经原文作者审核。


【作者简介】宁园,中国人民大学民商事法律科学研究中心研究人员。

全文共2773字,阅读时间约7分钟。

在我国疫情防控态势持续向好的背景下,健康码充当了防疫期间个人的健康凭证和出行凭证,是实现有效防疫和有序复工的重要管控手段。然而,健康码在发挥防控作用的同时,也酝酿着个人信息安全风险。如何应对疫情爆发初期遗留的“重信息收集、轻信息管理”的个人信息处理乱象?在疫情防控常态化下,健康码背后的公权力又该克制到何种程度?对此,中国人民大学民商事法律科学研究中心研究员在《健康码运用中的个人信息保护规制》一文中,结合实践经验,从公权力与私权利博弈的角度就健康码运行的正当性基础进行辨证分析,对如何进行健康码的安全管理提出了放宽与强化并举的建议,助力“亮码出行”的合法持续开展。

一、

健康码生成和运行中的个人信息保护问题


健康码是个人主动申领、政务人员审核后发放的二维码形式的电子凭证,政府管控、社区管理、个人出行的重要数字化工具。健康码作为疫情防控的数字化工具功不可没,但是其所赖以发挥作用的个人信息处理为个人信息安全留下巨大隐患。

(一)个人信息权益遭受不当限制


从《民法典》的具体规定来看,我国民法对个人信息权益保护的核心思路是加强个人信息主体对其信息的控制力,个人信息处理原则上须公开透明并经个人信息主体同意。健康码的使用本质上是公权力为维护公共安全,限制作为私权的个人信息权益,应具有手段和目的上的正当性,限制程度也应尽可能保持克减谨慎。然而,由于个人信息资源在社会管理和政府服务方面的巨大潜力,加之监督缺位,不少政府推出升级版健康码,如“变色码”和“文明码”。这些升级版健康码脱离防疫背景,将个人信息用于其他目的,不仅缺乏法律依据,且构成对《民法典》所保护的个人信息利益的过当限制。


(二)个人信息泄露风险累积


尽管相较于传统信息处理模式而言,健康码收集的个人信息经过编码加密,很难直接识别,泄露概率大大降低,但从健康码的内在运行机理来看,个人信息泄露风险难以根除。一方面,健康码收集的往往是识别性颇高的个人敏感信息;另一方面,健康码所采用的集中储存管理模式增加了个人信息保护难度,造成个人信息泄露风险累积。


(三)违背个人信息保护基本原则


1.被虚置的知情同意原则


知情同意原则是个人信息保护的基本原则,即数据控制者在处理个人信息时,应当履行告知义务,获得个人信息主体明确、具体的同意。然而,实践中大多数省市在健康码申领程序中并未设置任何知情同意、隐私保护条款,加之健康码的划分标准和算法规则并不透明,这些都使得健康码的实际运行基本不受知情同意原则的约束。


2.被逾越的最小必要原则


最小必要原则要求数据控制者所处理的信息仅限于为实现特定目的所必要的个人信息,并在目的实现后删除所涉信息。但在健康码运作实践中,个人信息重复收集现象严重,个人信息收集和处理范畴超出必要,个人信息处理期限不明等问题大量存在,最小必要原则形同虚设。


二、

健康码运行的正当性基础——权利限制与权力克制


 

(一)权利限制——公共卫生安全保护优先


健康码运行本质是公权力对私权利的限制。在健康码推广过程中,公权力介入使公共卫生安全优先于个人信息权益而受到保护,其正当性在于:第一,防疫背景下,公共卫生安全优先的最终目标还是落脚于个人的生命权;第二,个人生命权在人格权中处于最高位阶;第三,从功利主义的角度看,推行健康码,优先保护公共卫生安全可以实现防疫效率最大化;第四,公共卫生安全优先于个人信息利益的保护地位在我国已有立法依据,在国际上也已成为多国共识。


(二)权力克制——个人信息权益限制的合比例性


健康码推广的合比例性须经以下三重审度:第一,适当性,即手段之于目的的有用性。从实践来看,健康码高效完成了新冠病毒疫情的精准监测、实时追踪,无疑有利于保护公共安全。第二,必要性,即在众多有利于实现目的的手段中,其必须是对个人权利损害最小的手段。考察健康码的必要性,应从两方面进行:一方面,与其他手段相比,健康码在搭建公共安全防护网上的作用是难以替代的;但另一方面,就其本身而言,健康码运行的现有风险仍有进一步压缩的可能性。第三,均衡性,即要求特定手段欲保护的公共利益与其侵害的权利具有均衡性。健康码所维护的公共卫生安全指向位阶最高的生命权,适当限制个人信息权益符合均衡性要求。


三、

健康码安全管理——强化个人信息保护


 

(一)个人信息保护基本原则的弛与张


1.部分放宽知情同意原则


知情同意原则包括“知情”和“同意”两个层面。前者要求信息控制者必须向个人信息主体明示信息处理的范畴、方式、目的等内容,后者要求信息控制者的处理行为必须征得个人信息主体的同意。如若遵循严格的知情同意原则,健康码的防疫作用将大打折扣。因此,为确保防疫系统的有效运行,健康码中的个人信息处理应遵从适度放宽的同意原则。但是,知情规则的约束力并不减弱,政府必须确保信息处理公开透明,因为知情原则的约束并不会削弱健康码的防疫作用。


2.强化最小必要原则


最小必要原则要求信息控制者所处理的个人信息的范畴和期限必须以实现授权目的为必要。与知情同意原则着力于事前保护不同,最小必要原则主要强调个人信息安全的事中和事后保护。在健康码使用过程中,知情同意原则放宽尤其突显了最小必要原则的重要性。强调最小必要原则意在降低同意规则削弱带来的风险,补强个人信息事中和事后保护力度,平衡整个信息安全保护体系。


(二)个人信息处理规则的具体构建


1.明确同意规则例外适用的标准


为防止“维护公共卫生安全”成为个人信息滥收滥用的挡箭牌,有必要明确健康码运行中同意规则豁免的以下两个具体标准:第一,个人信息的处理主体必须是政府或经政府批准授权的主体;第二,同意规则的例外适用要求个人信息的收集是维护公共卫生安全所必须,即用途必须是以疫情防控为目的,处理活动必须满足最小必要原则。


2.确保个人信息处理的公开透明


在缺乏同意规则约束的情形下,政府应当确保个人信息处理公开透明,具体包括:第一,应当就个人信息处理的范畴、类型和必要性进行充分列举说明;第二,应当向公众公开赋码算法,说明个人信息与健康码生成的相关性,以及健康码如何发挥接触者跟踪功能;第三,应当对个人信息处理的防疫目的进行详细说明;第四,应当对个人信息管理的方式进行详细说明;第五,应当充分说明其所采取的数据保护技术和保护措施,并可在健康码程序页面搭载便捷的咨询、投诉通道;最后,应当在健康码程序页面嵌入个人信息保护政策和隐私政策,用以充分说明上述内容。


3.具化最小必要原则


最小必要原则的落实具体涉及以下几个方面:第一,要求各行政区域合力取消“层层加码”,推动健康码互认;第二,要求个人信息收集的类型、数量以实现防疫目的为限;第三,要求个人信息的使用以实现疫情防控的具体目的为必要;第四,个人信息披露与否以及披露程度都应当尽量谨慎克制;第五,当目的达成后,信息控制者应删除其所收集的信息。


(三)健康码升级中的个人信息保护


政府推进健康码升级转型,必须严守公权力与私权利的边界,避免过分干预私人生活,限制私人权利。就健康码升级中的个人信息保护而言,首要的是对健康码升级进行边界控制;其次,健康码升级还须遵循严格的同意规则,且作出同意之后,个人有权撤回同意,放弃使用升级版健康码,重回传统的社会运行系统。此外,同防疫健康码一样,健康码升级后,个人信息处理也须遵循最小必要原则、公开透明原则。


四、

结语


 

随着数字化政府建设稳步推进,政府在争当数据时代领跑者的同时,应当将保护个人信息权益融入数据治理的理论认知、价值观念和制度规范中,不应在竞逐数据时代的过程中,唯独遗漏个人信息保护和隐私保护。


推荐阅读

赵精武:《民法典》视野下人脸识别信息的权益归属与保护路径 | 前沿
会议综述(上)|《个人信息保护法草案》专家研讨会| 实录

近期好文

许德风:欺诈的民法规制 | 前沿

马新彦:论法定继承人继承份额的均等分配 | 前沿


责任编辑:魏靖、赵宏宇

图片编辑:金今、张凌波、林嘉悦

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存