鲍坤丨健康码数据常态化应用的比例原则限制
(一)背景与起因——应急状态下公民对个人信息的临时性让渡
2020年新冠疫情爆发后,各省市政府分别建立个人健康信息码(以下简称“健康码”)系统作为疫情监控和数字化信息沟通的重要工具。健康码系统的数据基础来源于公民在疫情时期的信息填报,根据2020年国家市场监督管理总局和国家标准化管理委员会发布的《个人健康信息码》系列技术标准,健康码数据至少包含个人的基本信息、健康信息、行程信息、健康证明信息等,从《中华人民共和国民法典》(以下简称“民法典”)对个人信息保护的“识别性”标准来看,健康码数据的多维度标签无疑具有强识别性,且要在不减损数据利用价值的前提下进行去识别化处理难度和成本都较高。从数据的“敏感性”角度来看,《个人健康信息码》系列技术标准所示健康码数据几乎涵盖了国家标准《信息安全技术 个人信息安全规范》(以下简称“个人信息安全规范”)中大部分需要着重保护的敏感信息。再者,健康码数据的强识别、多维度、高动态属性,能够深入人体进行监控并洞察人们行踪轨迹,形成较强的疫情防控适应力。在应急疫情防控背景下,健康码数据的集成受到诸多法律的合法性背书:《中华人民共和国传染病防治法》(以下简称“传染病防治法”)第十二条、《中华人民共和国突发事件应对法》(以下简称“突发事件法”)第三十七、三十八条以及《突发公共卫生事件应急条例》(以下简称“应急条例”)第四十条等规则赋予了政府及特定的医疗、卫生机构直接收集并使用这些公民个人信息的权力。其法理依据在于,当国家在应对新冠疫情这类可能造成严重危害社会安全、仅依靠公民自力救济已经无法控制危险蔓延的突发事件时,需要适当摆脱常时法律体系的约束来整合社会资源对危害因素进行控制和排除,公民在应急状态下将一部分信息自决权委托公权力代为行使,因此疫情防控背景下的公共利益价值位阶高于公民的个人信息法益[1]。
(二)异化与争议——健康码中个人信息常态化应用之边界存疑
健康码系统的应用意味着国家平台化治理水平迅速发展,但是数据在平台的集成也逐渐发生了异化。健康码作为一种健康身份证明,已打通智能手机、3D人脸识别、多场所和群体认证等多种应用端,形成一套无所不在的政府监控装置,甚至可实现多主体切换、多场景兼容。随着新冠疫情防控工作的常态化,各省份间的数据更加互联互通,健康码呈现出常态化运用的趋势。例如:杭州市卫建委于2020年5月召开“杭州健康码常态化应用工作部署会议”[2];广州将健康码应用到地铁入口安全检查,甚至当地居民进出社区、商场、就职时都要填报并出示健康码,有的社区还对居民健康状况实施打分排名等管理措施。种种现象表明,虽然公民在疫情防控时期默认了这种全面且深入的监控手段,但健康码数据之常态化应用已开始入侵公民日常生活并对其权益造成影响。加拿大法社会学家David Lyon提出大数据将促成“监视文化”(The Culture of Surveillance)的观点,新冠疫情防控加强了“监视文化”的发展,甚至有可能促成未来监视者与被监视者共谋下的“柔性监视社会”[3]。福柯与阿甘本提出的“生物政治”(Biopolitics)架构正逐渐成为现实。在大数据促成政府大转型的当下,政府将基于职权或外部因素更加频繁地向公民主动收集数据,处于数据活动前端的公民的知情同意往往难以实现[4],但政府在后端基于多样化的目的处理并应用数据之现象将愈发常见,健康码数据作为这些现象的典例,具有重要的理论和实践探讨价值。简言之,“监视”将随着政府的数字化转型变得无处不在。如何形成共谋机制,以行为准则勾勒出公权力行为边界,并借此进一步明晰个人信息的法益范畴,将是大数据时代发挥数据驱动力同时严守公民自由底线所必须探讨的议题。
(三)困境——现行法律规范对健康码数据常态化应用缺少明确标准
我国近年来出台了诸多数据领域的法律,尤其在健康码涉及的个人信息保护领域。《民法典》的规定围绕法益保护,划分了数据相关方之间的权利义务关系,奠定了我国个人信息保护的基本法律框架。其中,《民法典》第一千零三十五条规定的数据处理“合法、正当、必要”原则可谓当前数据活动中的帝王原则。从时间轴来看,该原则最早于2012年《全国人大关于加强网络信息保护的决定》中就被提出,随后《电商和互联网用户个人信息保护规定》《网安法》《消费者权益保护法》也做出了同样的规定,2019年的国家标准《个人信息安全规范》中增加了与之类似的“目的明确原则”以及“最小必要原则”,在《民法典》的人格权编确认了三原则后,同年《数据安全法(草案)》第二十九条则进一步拓展并明晰了三原则的具体适用标准,即任何主体收集使用数据必须采取“合法、正当”的方式且使用数据“不得超过必要限度”,并将三原则的内容指向数据活动的各个阶段,而非《民法典》中仅限于数据处理的阶段。《深圳经济特区数据条例(征求意见稿)》甚至规定了数据要素市场主体在个人数据处理时针对其“合法性、正当性、必要性”向网络安全主管部门的备案义务,可见该原则在数据活动中的重要地位,且呈现逐渐细化趋势。三原则的内容并非具体明确,有观点将以上三个原则内涵解释为“目的合法、理由正当、手段必要”,但是并没有法律或司法解释的佐证,亦没有在司法判例中有所体现。以上原则之间的逻辑先后关系也不清晰,特别是在具体数据场景下还未形成适用标准,导致其判断数据应用是否侵犯个人信息的可操作性不强。
另外,在《民法典》的其他规定中,第一千零三十九条虽规定了国家机关对个人信息及隐私的保密义务,但现实是数字化转型的政府行使职权不可避免地将这些承载个人信息的数据投入流通和应用中。再加上该法第一千零三十六条规定“为维护公共利益或者该自然人合法权益,合理实施的其他行为”为免责条款,概括性地肯定了政府基于“公益”目的处理个人信息的合法性。最重要的是,《民法典》虽对于个人信息的保护有所倾斜,但尚未将个人信息权利化,而是以法益保护的路径强调法律规定框架下的意思自治和充分协商,以此平衡个人信息保护与数据流通性之间的价值。根据Coase的交易成本理论,只有在交易成本(包含信息成本)为零的状态下,利益双方才能通过意思协商达成权利配置的最佳状态[5],亦即只要纠纷双方存在额外的交易成本,那么权益的配置就难以达成最佳状态。而在健康码的应用场景下,双方分别是经过法律授权在应急状态下获取大量个人信息的政府以及信息面相对较窄的个体公民,两者明显存在信息不对称。信息成本拔高了双方交易成本的整体水平,造成导致沟通的效率和可能性降低。另外,基于数据客体的特殊性,前期控制数据的事实无疑成为政府支配数据的最有力因素,且数据并不会因疫情防控的常态化而回归公民个人或在政府端灭失,反而经过应急防控时期的迭代产生更高的利用价值和延展空间,要想让政府完全终止数据使用或消除数据,可能性极低且成本也十分高昂。健康码数据难以效仿传统的应急行政行为,对公民生活的影响随着应急状态的终止而递减至常时状态。《民法典》及当前配套规范在解决政府与个人之间的信息纠纷时存在诸多困难。
在公法层面,我国近年来从中央到地方皆出台了诸多数据开源、流通、治理领域的法律或地方性法规、规章,但在数据要素市场尚处于开拓阶段的大背景下,大多数规则以开放与安全并重的宏观秩序构建为目的,例如2020年《中华人民共和国数据安全法(草案)》(以下简称“数据安全法”)、2019年《数据安全管理办法(征求意见稿)》以及地方试点性规范《贵州省大数据安全保障条例》等,虽根据各数据相关方的不同地位、技术优势详尽划分了开放、管理职权及责任,但其宏观的立法角度显然不适宜对政府与公民之间的交互行为做过多规定,更未细化到能够对应急状态下的数据应用行为进行评价;与之定位类似的还有2017年《中华人民共和国网络安全法》(以下简称“网安法”),该法虽然借鉴了国外有关个人信息保护的诸多规则,但仍然是一部以“保障网络安全,维护网络空间主权和国家安全、社会公共利益”为宏观目的的公法。而《传染病防治法》《突发事件法》《应急条例》等特殊时期的法律虽规定了政府承担应急状态后帮助社会恢复常态的职责:例如及时归还征用物资或对征用对象进行补偿等,但是个人信息的收集使用无法像传统客体物那样通过返还原物或经济补偿即可恢复至初始状态。因此上述法律规范亦未能对健康码数据的常态化应用边界做出合理解答。
综合上述健康码数据的性质以及规则困境,不难看出健康码数据常态化应用的行为准则在法律体系中的缺失。当下数据治理规则虽已基本完成了通约性秩序的提炼,但一旦深入特定场景,面对个人信息的横跨“公私两域”复合性[6],就会出现单一标准过于宽泛、概括适用规则可能存在明显不公正的窘境。需要在现有法律框架下细化政府常态化应用健康码数据的行为准则,使该准则能够跨域公法与私法,既可构成政府处理数据的权力边界,也可成为衡量公民个人信息利益保护的标准。即“行为控制”模式比传统“赋权-维权”模式更加符合当前数据市场发展的实际情况[7]。更有学者直接主张依赖数据控制的合法性来替代传统的权利公式和判断规则[8],这也符合当前《民法典》《数据安全法(草案)》等法律“重行为,轻赋权”的立法趋势。法学界也已纷纷开始探索不同场景下的数据行为准则对划分信息利益产生的影响,以不同场景下的“行为准则”逐渐填充“秩序”,使该“行为准则”既来源于事实,也能上升为规范。在健康码场景下,基于个人信息的“公私两域”特性,政府不可能仅出于公益目的完全支配数据,公民也不可能基于私权彻底排除政府的数据控制。该原理同样体现在欧盟《一般数据保护法案》(GDPR)第一条:不得以保护个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动。因此,要划定健康码数据的常态化应用边界,必然要涉及权衡公法中的“公益”价值与私法中的“个体法益”价值,一旦作出决策就意味着对两者进行相应取舍,这将涉及利益衡量与价值判断,并非存在恒定的答案。因此,如何解释健康码数据常态化应用的诸行为要素,使行为逻辑得以外化,健康码数据常态化应用中需要回应相关痛点问题。马克思•韦伯的社会行为理论认为,谁若根据目的、手段和附带后果来作为他行为的取向,而且既把手段与目的、目的与附带后果以及最后各种可能的目的进行比较,做出合乎理性的权衡,这就是合乎目的理性的行为[9]。根据该理论,政府作为具有目的理性的主体,在行使职权时必须考量该行为的“手段”“目的”“价值”“结果”,缺失了其中的任何一个要素,就会导致政府滑向理性程度更低的“价值理性”“感情性”“传统性”结构,在这些结构中,某种单一的价值取向、情感或者是被人们默认的传统就能够直接影响人们做出非理性的决策。
韦伯提出的目的理性逻辑在当下数据法领域中已有诸多体现,其中尤为明显的就是《民法典》及其他相关法律规定中的“合法、正常、必要”原则,从该原则在现有法律体系中对其不断填充的内容来看,至少包含数据的活动应当目的明确、合乎法律,并且数据不得过度收集处理且控制在必要之范围内等内涵。数据法领域仍然没有形成一条逻辑清晰的主线将这些原则串联起来,导致判断数据活动的正当、合法性时会存在较大不确定性。在当下的法律规则或原则中,能够凝练概括目的、手段、效果、成本等多个行为要素,且能够在面对多元利益冲突时形成沟通事实判断与价值判断的桥梁的[10],就是“比例原则”(Principle of Proportionality)。
“比例原则”虽然最早来源于德国警察行政法领域,随着《德国基本法》的制定与联邦法院的长期解释和适用,成为当时公法领域中的皇冠原则[11]。但在当下,“比例原则”已不再局限于传统公法理论框架之中,逐渐开始脱离法系、国别和部门法分割的桎梏,影响到包含全球重要法系、超越欧盟区域和国别性、剔除公法与私法传统分界、涵盖实体法与程序法领域、深入国内法和国际法框架的适用中,正形成所谓全球化浪潮下“法律帝国的基本原则”[12]。同样的趋势也发生在数据法领域中,欧盟《一般数据保护条例》序言第四项当中规定“个人数据保护权不是绝对权,必须根据比例原则考虑其在社会中的功用,并与其他基本权利保持平衡”,足以体现比例原则的领域适应性。在我国的非公法领域中也出现了诸多适用“比例原则”的案例,法学界也争相对该原则的扩张适用进行不断精修填补,使其成为一套相对独立的规范化手段[13]。
从传统的比例原则逻辑层次上看,它是一个调整公权力和私主体之间关系的操作程序性原则,通过层层递进的三个子原则依次展开来检测公权力行使是否超过限度,逐渐拓展到调整具有明显信息或地位不对等的双方当事人间纠纷的领域。比例原则的这种张力恰好契合数据活动中政府与公民关系的“公私复合性”趋势。三个子原则分别是:衡量手段和目的之间的关联性的适当性原则,判断行为是否为多重手段中最小伤害的必要性原则,平衡受损利益与所得利益的均衡性原则。尽管比例原则在扩展适用过程中面临诸多争议,例如有学者认为比例原则的内容较为抽象,相比起能以科学定量方式得出“比例”的“成本-收益”经济学方法,其说服力欠佳。但在当前数据平台化实践过程中,数据相关方关系错综复杂、信息不对称度高、数据所涉利益范畴与边界不明、利益指向多元化,例如公民主张对个人信息保护主要是为了个人生活的安宁与不被侵扰,而政府应用数据为的是更高的行政效率,能够更快达成职责要求,两者利益或价值之间具有不通约性,无法进行权衡比较。因此,“成本-收益”分析法需要通过定量方式计算公权力运用数据对私主体的利益损害间的比例关系尚需更完备的技术条件和制度作为支撑,不适宜在当前用来解决数据纠纷的难题。另外,比例原则亦不完全等同于利益衡量,利益均衡仅是比例原则中第三阶“均衡原则”的要求,需要以前两个阶段的原则对目的与行为之间关系的审查作为前提。因此,比例原则的递进式逻辑较有利于形成可操作的审查流程。
如果从比较法视野来观察比例原则在数据法领域中的张力,那么欧盟为我们提供了一个典型的参考思路。2018年11月发布了《关于欧盟各类官方机构在处理个人数据时对自然人的保护以及数据自由流通问题的条例》(以下简称“第45/2001号法规”)[14]。该条例作为专门处理个人信息与政府之间关系的法律规则,是其上位法《一般数据保护法案》的独立分支。由此可见,GDPR并非纯粹的个人数据权利法,其与国内《数据安全法(草案)》等公法本质上一致,属于构建数据宏观秩序的法律,只是欧盟搭建的数据秩序门槛因强力的个人信息保护要件而被提高。所以GDPR才会在第二条第三项中规定将调整个人信息保护与政府行为这一“公私两域”的法律难题专门交予第45/2001号法规解决,足以看出国内外数据领域法发展历程的相似之处。再者,第45/2001号法规中亦有大量体现政府数据活动比例原则的规定,例如序章第八十八项明确从事数据活动的政府应当根据比例原则制定相应的个人处理规则;正文第五条、第六条对数据应用的目的转换和兼容、数据处理的合理限度规定,并辅以相对严厉的责任承担机制,对我国当前政府与个人之间的信息纠纷解决提供了参考。
综上,本文借助“比例原则”这一当前已从传统公法领域中逐渐拓展到数据法领域的准则,以其包含的多个子原则构成的各具体、可操作的概念[15],审视当前数据保护相关的法律中健康码数据常态化应用之边界,并根据数据活动之特性,以“禁止过度”的核心要义对比例原则在数据领域中的适用进行一定修正补充。
要将比例原则适用于数据活动审查,需要确定比例原则的阶段构成。前文提到传统的比例原则的阶段构成为“适当、必要、均衡”的三阶论,但随着学界对比例原则研究的深化,“必要、均衡”的二阶论和“正当、适当、必要、均衡”的四阶论也逐渐出现,有的学者还提出不同位阶的子原则审查内容可能重叠,甚至可能在顺位上需要反复或并行审查的情况[16]。本文亦认为比例原则的阶段构成应当结合数据活动的特征做出一定的调整。例如,传统一阶的“适当性原则”仅审查目的与手段之间是否具有常识下的因果联系,但是在大数据时代,基于数据的多维特性使行为与目的之间的因果关系并不难建立。因此,为了防止目的适当性原则的审查作用式微,有学者提出应当将目的正当性原则纳入比例原则之中确立“四阶”比例原则,从而有利于限制目的裁量并实现实质正义[17]。本文认为无论是合法正当性还是因果适应性,都可以解释为对目的本身的审查,因此将二者都纳入目的正当性审查中。因此,数据活动中的比例原则应以“正当、必要、均衡”的“数据型阶段构架”进行审查。
首先,正当原则主要针对行为之目的,要求数据的应用目的不仅是合乎法律的,且还须与行为之间具有直观常识下的因果联系。其次,必要性原则的传统理论认为政府需要达成行政目的时,当存在能够实现该项目的的多项选择时,须选择其中伤害最小者。本文认为在数据法中,与其对比项目不特定的手段造成的伤害大小,不妨判断政府在行为手段之范围内,是否在合理的成本范围内尽到止损义务。最后,均衡性原则(即狭义比例原则)要求在前两个原则之上,对目的所欲实现之价值与受损法益之间的轻重关系进行度量,使两者之间即使存在最低限度的侵害,也能够使边界社会效益增加,从而整体上有利于社会[18]。
三个原则逐渐递进,除第一条原则外,每一条原则都以前一条作为前提,不满足当前原则的审查的行为,一般无须进入下一条原则即可被判断有违比例原则,即该行为对公民个人信息造成了不合乎比例的损伤,公民有权提出与该损害行为程度相适之反馈。因此,针对健康码数据常态化应用是否符合比例原则,进行如下步骤之审查。
(一)目的正当性原则
目的正当性原则要求政府作为数据利用者,首先,应当清晰、明确、具体地公布数据应用目的,使公民可以根据常识判断该目的与现有手段之间是否具有联系(该内容在GDPR第五条以及我国《个人信息安全规范》第四条中也有所体现)。其次,该目的需要具有合法性。针对目的的合法性,比较法视野中有两种标准,一种是以德国为代表的宽松型,认为行为只需不明显违反现行法律即可;另一种是以加拿大为代表的限制型,认为行为目的要实质有利于公共利益,有助于法律制度目的之实现。
数据活动中的目的合法标准应采取宽泛标准,理由有二:第一,过于严格的目的实质审查会导致比例原则逻辑的错位,因为判断目的是否实质有助于实现公共利益,必然关注该目的中手段的实施效果,将不可避免地对具体手段进行事实与价值判断,这属于三阶均衡原则的判断内容。第二,目的限制过严不符合数据活动的发展规律,数据具有不特定性、流动性,会因各种处理方式、应用场景产生不同的标签和属性,并且随着流动和迭代产生难以预知的新用途,成为数据市场的生命力所在。对此,日本《个人信息保护法》第十五条以及欧盟第45/2001号法规第五条都规定容许数据应用过程中产生新的附加目的(或称“兼容目的”compatible purpose),但该目的需要与收集数据时的目的有关联性。因此,对政府数据活动的目的正当性审查也不应过于严格,在数据应用目的变动的场合亦如此。在健康码数据常态化应用场景下,以杭州卫建委为例,在法律并未规定健康码数据支配权主体之前提下,政府基于事实状态控制数据并未违法,且无论健康码数据被用于应急防疫还是常态化的社区居民管理,其本质都是在行使政府职权。在杭州市卫建委应用健康码数据进行社区管理,形成疫情防控的常态化监控未超越法定职权的前提下,常态化应用之目的与应急时期目的具有一定承接关系,如果数据处理者没有另行实施独立的数据活动,则常态化行为就符合目的正当性原则之要求。
基于数据活动可能产生新的目的,不排除数据处理者基于正当或不正当的理由借助明示目的以掩藏其真实目的之可能[19],甚至以“公益”之名行“私利”之实。尤其以健康码数据常态化应用为例,政府虽基于行使居民管理之明示目的使用健康码数据,但由于健康码数据精确性和动态性强,经过政府的处理迭代后将产生极高利用价值,例如保险公司、医药公司、私立医院等市场主体可利用这些数据进行营销、产品开发、数据再交易等。如果政府的隐藏目的是通过常态化应用增加数据的可利用价值,进而交易这些数据并谋取私利的话,将对公民的个体自由带来极大隐患,是对目的正当原则之背离。因此,在目的性审查的同时甄别明示目标背后是否还有隐藏目的,以及还原政府隐藏在公开目的中的真实意图,也成为目的正当性审查中的关键。当存在明显违法的附随目的或隐藏目的时,应断然否定其正当性。
(二)必要性原则
在数据法领域中,必要性原则不一定要求行为一定是经过多数比对后损害最小的。因为在实际的数据纠纷中,基于数据活动的专业性、主体的多边性和价值多元性,要让数据利用者举出证据证明其当前行为属于可选择范围内对个人信息法益限制最小的选项难度极大。另外,如果一定要充分论述不同手段之间的受益与损失比并将其排列筛选到最小的选项,将同样会触及实质效果的审查,扰乱比例原则的审查逻辑。因此,应当在目的明确的基础上,审查该主体是否已合乎成本地减少对个人信息法益的损害。
当前,《民法典》《数据安全法(草案)》《个人信息安全规范》等规范中规定了诸多情形下数据控制者应当采取的减损措施,例如数据收集阶段中的告知义务,不得重复采集已公开、已获得数据之义务,采集数据最小化义务;数据处理过程中的处理过程公开义务,以技术手段进行个人信息脱敏匿名化处理义务,保障数据安全性义务,对数据安全事故进行兜底负责之义务;数据应用阶段的保密、删除义务等。这些规则从数据活动的不同角度减少因数据被归集后造成的个人信息法益减损,但是在实践中往往难以苛责数据控制者能够对这些义务做到完美无瑕,毕竟这些义务规则利用的是一系列相对化的标准,例如涉及“匿名化”“最小化”“保密”“安全”等概念时,难以找得到一个恒定且普遍适用的标准。因此,审查数据行为是否满足必要性原则,仅需通过客观条件判断数据控制者的主观状态,判断其是否在能力及成本可接受的范围内采取了止损行为,并且没有放任个人法益的减损。
以健康码数据常态化使用为例,政府在通过一阶目的正当性审查后,从理性的角度只会促进该目的的实现,而不会无故减损公民利益。该原则的审查虽属形式审查,但能够为第三阶均衡原则对比目的实现价值与手段造成后果的对比奠定逻辑基础,因为手段造成的后果并非由数据处理者故意或放任造成,如果政府不在该过程中积极证明自己已主动采取止损义务,导致裁判者对手段造成之损失估计过高的话,将在第三阶段的均衡原则中处于更不利的地位,其数据活动极有可能被判断为不符合均衡性。
(三)均衡性原则
均衡性原则应当从事实与价值两个角度判断目的与手段之间的比例关系。在前两个阶段中,目的正当性原则已经证明该行为之目的不违反法律,必要性原则已经证明政府已经理性计算成本收益并且尽可能将公民法益之损害降至最小状态,而当审查进入均衡原则阶段时,需要判断目的所实现之价值与被减损之公民法益间是否合乎比例。其中,目的指的是政府行使职权所需要实现的公共利益,而行为则指的是为实现目的发生的一系列数据活动及其在运作过程中可能造成公民法益减损的后果。“目的”与“行为”两者处于天平的两端,当因“行为”造成的法益减损过重而向该端倾斜时,则意味着该“行为”不符合均衡原则。
在健康码场景中,社会各界对健康码常态化的质疑大多集中在以健康码数据进行日常居民管理行为本身,也就是认为健康码在行为端发生了异化。如果健康码数据的常态化应用依赖的同样是应急时期的数据基础和国家《个人健康信息码》系列标准中描述的技术框架,仅仅是应用场合发生了转变,那么该行为中的数据活动造成的法益损失相比起应急防控时期造成的法益损失并没有发生实质改变。而为什么应急状态下的健康码数据疫情防控措施是符合比例原则的呢?因为应急疫情防控所承载之公共利益目的足够沉重,足以与行为造成的法益损失形成平衡。可以看出,导致健康码数据常态化遭受质疑的其实是天平另一端之“目的”。目的审查在一阶着重看其是否明显违反法律,而三阶审查则需要深入衡量该目的与手段之间的关系,将不可避免地运用到价值判断,同时从事实角度对健康码数据应用之“公共利益”进行区分和限制解释,这样既便于个人信息保护,又可以为数据产业的发展提供明确的行为标准和发展预期[20]。例如,前文提到的健康码数据应急防疫目的以及常态化居民管理目的虽然都属于“公共利益”,但应急时期的政府及其卫生防控部门收集处理数据的权力指向的是特殊的事由(紧迫性、危害性极强的传染病防治)、特殊的时期(应急状态下的特殊社会分工);而以杭州、深圳为例的健康码数据应用仅是日常社区居民管理,两者在“紧迫性”和“重要性”程度上存在着明显区别。除了目的指向之事由的区别,还有一种对公共利益区分的思路,那就是将公益还原为集成化的个体利益,并通过个体利益之间的位阶对比,来区分公共利益之位阶[21]。
从健康码数据应用的三种可能性来看:第一种是继续为正在进行传染病的应急防控工作的其他地区提供数据来源,这种情况下公共利益还原后的个体利益涵盖了生命权、健康权等高位阶权利,其目的正当性是最强的,数据处理者可直接对原始数据进行适用,甚至无须重新征求授权或做脱敏匿名化处理;第二种是政府或科研机构基于科学、历史研究目的或统计目的对数据进行官方留存,这种情况下公共利益还原的个体利益涵盖了长期的健康权,但是该利益的保护不具有紧迫性,正当性仅次于前者,因此该目的下的数据虽可做常态化留存,但应当采取匿名化等减损措施;第三种则是将其利用于常时状态下的行政执法活动(例如杭州的社区居民管理),这种公共利益目的还原后主要是公民日常生活中的财产权等较低位阶、具有可替代性的权利,因此其作为公共利益的位阶较弱。另外,常态化应用健康码的时空条件也将影响“目的”与“手段”间的平衡关系。例如,对于多数群体而言,如果全时段持续使用健康码,对公民的个体利益减损程度较高,但是如果将其限定在高危特定时间段内使用健康码数据(例如在公共交通工具或大型公共场所人口密集时段),能够使手段与公益目的更加平衡;再者,对于疫情防控或管理的低危地区(例如前述的小区、公园等),对健康码数据的常态化使用应当更加审慎,因为“目的”之公益价值在这些场合较低。
综上分析,在健康码数据的常态化应用(如常态化社区居民管理)中,若不存在隐藏的非正当目的,且数据处理者已经积极采取合成本的止损措施的前提下,虽然能够满足目的正当性原则、必要性原则,但是因目的所欲实现之价值与手段所造成之后果间不符合均衡性原则,最终有违比例原则。而在明确了数据活动中的比例原则审查逻辑后,如何实质影响政府与公民之间的数据活动,使健康码数据的常态化应用既能合乎法律的规定,又能发挥对社会公众的服务价值呢?比例原则递进式的三段式逻辑为健康码数据常态化应用提供了两套互补的规范路径:基于政府在数字型政务中的主导地位,以比例原则所形成的标准指引数据内控措施,减少违法性风险;同时,基于数据活动的不确定性,按照比例原则的层次逻辑赋予公民在事后申请相应法律救济的权利,以此弥补难以预料的数据安全风险造成的损害。
(一)指引数据内控以构建健康码数据常态化应用的合法性
数据活动具有较强的专业性,政府作为数据处理者的内控管理水平将直接影响个人信息保护的实际水准。因此,比例原则所塑造的数据应用标准可以作为数据内控的重要指引,为健康码数据常态化应用构建合法性。具体而言,政府可以在比例原则的指引下借鉴欧盟GDPR第35、36条及其分支45/2001号法规第39、40条所规定的数据保护影响评估及事前咨询制度(Data protection impact assessment and prior consultation)。根据该制度的内容,政府作为数据处理者在应用新型技术对公共区域进行大范围系统监控、对自然人权利和自由造成较高风险的数据活动中,应对拟进行的数据处理操作进行个人数据保护影响评估。在此过程中,政府需要在内部任命数据保护专员(Data protection officer)(GDPR第37条)来负责指导制作包含数据处理的操作系统描述、目的、背景、合法性依据、目的与行为必要性、侵害数据主体权利及自由的风险、保障个人数据安全的措施、安全负责人等详细内容的评估清单。该清单结果应事先递交上级主管部门咨询。上级主管部门将对数据行为进行合法性审查,并在8周内进行书面建议,同时保留调查、纠正之权力(GDPR第58条)。当政府以履行公共利益(社会保护和公共卫生等)相关职权为名应用数据时,还需要得到上级主管部门或监管者的事先授权。
可见,欧盟以体系化的内控措施,将比例原则的各项子原则精妙地分配到数据处理者所在的科层结构中进行落实。其中,数据处理者的上级主管部门负责审查最基本、涉及合法性的目的正当原则,并负责划定“公共利益”的范围;同时以备案知情方式对必要性原则与均衡性原则进行形式监督。但考虑到节约制度成本与保留数据处理者自由裁量权等因素,只有在明显违反法律与公众普遍认知情形时,上级主管部门才会行使纠正权。另外,数据处理者自身也在科层体系中承担重要角色,除了任命数据保护专员来指导数据保护影响评估清单的制作,还需要将其作为安全责任人,接受来自上级主管部门以及社会公众的约束。政府在数据保护影响评估清单的制作过程中(参见表1),通过阐明行为的合法性依据、目的与行为的关联性、向上级主管部门咨询或申请授权等内容来落实目的正当性原则;通过阐明目的与行为间的必要性、数据应用可能造成之风险以及保障措施、安全责任承担方式等来落实必要性原则;通过评估数据行为目的所指向公共利益价值与公民个体权益风险间的平衡关系,甚至适当引入公民的咨询意见,以此落实均衡性原则。
表1 比例原则层次下的数据保护影响评估清单
因此,政府如果能够在比例原则所形成的行为标准下对健康码数据进行常态化应用,以注重审查程序、信息披露、责任承担的数据保护影响评估和事前咨询制度作为制度落脚点,不仅能减少健康码常态化应用的合法性质疑和安全性风险,还能更好地适应后疫情时代的常态化疫情监管和居民管理需求。然而,以上制度的落实也提出了欧盟式数字政务组织的科层结构设计需求,本文聚焦数据行为标准的塑造,遂对此不做赘述。
(二)赋予公民从外部行使法律救济的权利
数据的内控措施固然能够在事前尽可能避免健康码数据滥用风险,但由于数据活动具有较强的延展性和多变性,政府有时难以在事前完全预料到数据应用的风险,因此还是有必要赋予公民在纠纷发生后从外部请求救济的权利。比例原则从轻至重的三层逻辑同样能够为公民请求救济提供标准,当数据活动不满足一阶目的正当性审查时,数据活动是最不具备合法正当性的,数据处理者应当受到来自《中华人民共和国刑法》《网络安全法》《数据安全法》等公法的惩戒,公民也可以请求删除数据并请求与损失状况相对应的赔偿。当数据活动不满足二阶必要性时,公民可按照规定向政府发出《民法典》《数据安全法(草案)》《个人信息安全规范》中所规定止损行为之提醒,政府应按工作流程作出答复或实施止损措施,在政府未作出以上回应时,公民有权请求停止数据利用并索求相应赔偿,但未必能够要求政府删除数据。当数据活动进入三阶均衡性审查时被判别为不符合均衡原则时,在目的之价值与手段之后果极不平衡的场合,公民可以请求删除销毁数据并赔偿相应损失,在不平衡局面相对缓和的情况下,公民既可以要求补足止损措施,例如数据匿名化、授权再征求、安全措施再加强、删除部分数据等,也可以获得相应赔偿,总之使损益状态尽可能达成平衡。如果在第三阶允许公民要求彻底销毁数据或大额赔偿,又会使数据目的中公益的分量过高,导致数据活动成本高昂、难以实现。要实现以上救济机制同样需要诸多基础条件,包括在公民与政府数据处理者之间存在一个地位相对独立、同时具备数据和法律双领域的专业性、具有实际处罚权力的仲裁者以及相应配套法律法规,例如欧盟GDPR及其第45/2001号法规及其负责解决数据纠纷、受理数据投诉的专门委员会等。我国当前将这一任务统一交予法院民事审判领域来完成,对于数据纠纷解决的效率性、合理性是具有挑战性的。因此,数据内控与外部救济两种模式的相辅相成就更为重要。本文仅从一种应用场景出发,以一种规则角度切入尝试形成个人信息保护与公共数据行为之标准,尚需要继续结合新的数据活动事实和权利价值之变化来不断调整、完善。
(略)
鲍坤(1994—),男,上海交通大学凯原法学院博士研究生,研究方向为法理学、数据法。