宁园:健康码运用中的个人信息保护规制
点击蓝字
关注我们
宁园:法学博士,中国人民大学民商事法律科学研究中心研究人员。
本文原载《法学评论》2020年第6期,转载对注释与参考文献进行了省略。
摘 要
健康码的推广成为我国疫情防控的创举,其在发挥防控作用的同时,也酝酿着个人信息安全风险:改造、升级健康码的乱象使个人信息利益遭受不当限制;大量个人敏感信息集中于政府控制之下,增加了个人信息泄露风险;个人信息处理缺乏法律指引,虚置知情同意原则、逾越最小必要原则的个人信息处理活动大量存在。健康码推行本质是公权力对私权利的限制,其正当性不仅建立在优先维护公共卫生安全、公众生命健康的价值选择上,还建立在公权力须克制至合比例性程度的基础之上。在健康码的个人信息保护中,应弱化知情同意原则之同意规则,坚守知情规则,并强化最小必要原则,严格限制个人信息处理的范畴、期限和披露。健康码升级中的个人信息保护则主要通过控制治理边界和坚守同意规则实现。
关键词
健康码 个人信息保护 公共卫生安全 知情同意原则 最小必要原则
引 言
数据技术应用在我国疫情防控工作中发挥了巨大作用。借助数据技术,我国完成了疫情的实时监测、重点筛查和有效预防,在防疫抗疫工作中成效瞩目。国家卫生健康委办公厅在《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》进一步强化了数据收集、分析与共享在新型冠状病毒防治工作中的重要地位。在我国疫情防控态势持续向好,经济全面复苏的背景下,健康码充当了防疫期间个人的健康凭证和出行凭证,是同时实现有效防疫和有序复工的重要管控手段。然而,表征个人健康状况的健康码联结了最为敏感的个人信息,健康码的推广在助力各地区防控疫情、恢复生产之外,也引发诸多个人信息安全问题。尤其是在疫情爆发初期,“一切为防疫抗疫让步”理念背后的“重信息收集、轻信息管理”导致个人信息重复处理、过度处理现象大量存在,个人信息安全管理一度被忽视。疫情防控常态化已成必然,健康码这一数字化工具也将继续发挥作用。在全国疫情趋于缓和的情况下,更有理由冷静省思健康码的正当性,关注健康码使用中的个人信息安全问题,以推进“亮码出行”的合法持续开展。
一、健康码生成和运行中的个人信息保护问题
健康码首先于2020年2月9日在深圳推出,目前已经覆盖全国,成为政府管控、社区管理、个人出行的重要数字化工具。从生成机制上来看,健康码是个人主动申领、政务人员审核后发放的二维码形式的电子凭证。政务人员根据申领人提交的个人信息,对申领人进行健康评估后,发放红码、黄码、绿码三种不同颜色的健康码。健康码的运行伴随着循环式的个人信息收集与分析,其无疑就像一个虚拟的盯梢者一样,随时记录和汇报个人信息主体的行踪、举动、人际交往关系。健康码作为应用场景广、社会渗透力强的数字化工具功不可没,但健康码所赖以发挥作用的个人信息处理同样也为个人信息安全留下巨大隐患,频频爆出的个人信息安全事故在疫情渐缓后,开始触发社会大众的担忧,透过这些安全问题,重新审视健康码生成和运行的合法性也变得十分重要。
(一)个人信息权益遭受不当限制
数据时代,个人始终处于被数据权力支配的弱势地位,其个人信息被肆意收集、分析和利用,因此遭受人格和财产权益侵害现象的持续增多。为应对数据技术发展引发的个人信息安全危机,我国《民法典》将个人信息保护写入总则编和人格权编,“自然人的个人信息受法律保护”,个人信息权益的私权地位正式得到立法确认。从《民法典》的具体规定来看,我国民法对个人信息权益保护的核心思路是加强个人信息主体对其信息的控制力,个人信息处理原则上须公开透明并经个人信息主体同意。健康码作为一种强制性的个人信息处理活动,本质上是公权力为维护公共卫生安全,限制作为私权的个人信息权益,应当具有手段和目的上的正当性,对个人信息权益的限制也应尽可能保持克减谨慎。然而,由于个人信息资源在社会管理和政府服务方面的巨大潜力,加之监督缺位,不少政府试图突破防疫目的,推出升级版健康码,其中最受诟病的当属杭州的“变色码”和苏州的“文明码”。“变色码”是在集成个人电子病历、健康体检等数据的基础上,以不同颜色表征个人健康状况的升级版健康码,其推广的初衷在于为个人自我健康管理和企业监控员工健康状况提供参照。苏州“文明码”则是嵌入“苏城码”(苏州市健康码)的新功能。“文明码”以一定的指数指标(主要涉及交通指数和志愿服务指数)为评价基准,对公众的文明程度进行赋分,构建文明积分信息识别体系,以鼓励、督促公众提升文明素养。“变色码”和“文明码”引发社会公众对个人隐私泄露、政府治理越界的普遍担忧,招致广泛批判。如果说国家为维护公共卫生安全和生命健康,限制个人信息权益,推行健康码尚存在正当性的证成空间,那么“变色码”和“文明码”的推出则显然是公权力肆意挤压私权空间、过度限制个人信息权益的权力滥用行为。无论是帮助公众改善健康状况的“变色码”和还是督促公众提升文明程度的“文明码”,无一不反映了政府急于提升治理能力却忽视私权保护的现实。健康码是疫情防控倒逼出的数据化创新工具,其中所涉的个人信息利用均在防疫的特定场域下进行,“变色码”和“文明码”试图突破此场景限定,将个人信息用于与疫情防控毫无关系的个人健康评级以及文明评分,不仅难以达到预设目的,反而会践踏人格平等、人身自由的不良后果,二者推行受阻的结果也在预料之中。除杭州和苏州外,其他政府也试图抓住“一码通行”的新契机,尝试将健康码升级为囊括就医、教育、社保、生活服务等各个领域的综合性电子凭证。脱离防疫的特殊背景,将个人信息用于其他目的,不仅缺乏法律依据,且对《民法典》所保护的个人信息利益存在过当限制。公权力的行使理应尊重和保护私权,如何为健康码升级设置边界,防止健康码沦为公权力不当限制个人信息权益的工具,是未来健康码规制应当着重解决的问题。
(二)个人信息泄露风险累积
个人信息泄露风险累积内生于健康码运行机制本身。尽管相较于人工追踪下的传统信息处理模式而言,健康码收集的个人信息经过编码加密,很难直接识别,泄露概率大大降低,但从健康码的内在运行机理来看,个人信息泄露风险难以根除。一方面,健康码收集的个人信息往往是识别性颇高的个人敏感信息,包括姓名、身份证号码、医疗信息、旅行史、家庭住址、现有地址、行动轨迹、健康信息(如核酸检测结果)甚至肖像、虹膜等。另一方面,健康码所采用的数据集中管理模式大大增加了个人信息保护的难度。实践中,健康码收集的个人信息通常由政府相关部门统一归集,置于数据平台供防疫时调取使用,此种集中储存管理模式造成个人信息泄露风险累积。事实上,集中性的数据管理模式在国外也遭受质疑,如法国政府在推广其开发的追踪软件时,因采数据集中管理而遭隐私风险大的批判,推行屡屡受阻。
(三)违背个人信息保护基本原则
正在发酵的个人信息安全风险背后逐渐暴露出个人信息处理的合法性问题。防疫的紧迫性使健康码运行一度逃脱了合法性审查,个人信息保护的知情同意原则、最小必要原则几乎被虚置,不少个人信息处理活动游离于法律约束之外。
1.被虚置的知情同意原则
知情同意原则是个人信息保护的基本原则,即数据控制者在处理个人信息时,应当履行告知义务,获得个人信息主体明确、具体的同意。我国《网络安全法》《民法典》《信息安全技术 个人信息安全规范》都明确将知情同意原则作为个人信息处理的一般原则。然而,健康码的实际运行却基本不受知情同意原则的约束。尽管健康码为自愿申领,但由于目前个人复工、出行尤其是跨区域流动均要求出示健康码,健康码的使用具有现实强制性,个人信息主体实则无作出是否同意提交个人信息之决定的空间。实践中,大多数省市在健康码申领程序中并未设置任何知情同意、隐私保护条款。除此之外,健康码的划分标准和算法规则并不透明,尤其是赋码规则全然处于暗箱之中。正因如此,在健康码生成和使用中,诸多令人啼笑皆非的案例给健康码持有人造成困扰,如有市民在上报自己新型冠状病毒肺炎已治愈后被分发红码;有市民仅因下楼买菜,绿码就被替换为红码。申请人并不知晓赋码规则,难以避免实施导致绿码被撤销的行为,却要承受健康码变更的后果。可见,在健康码的生成和运行过程中,知情同意原则作为个人信息保护的关键原则,几乎处于完全缺位状态,个人既无权决定是否提交个人信息,也不知晓算法规则,除了被动接受审核部门发放健康码之外,别无选择。
2.被逾越的最小必要原则
最小必要原则要求数据控制者所处理的信息仅限于为实现特定目的所必要的个人信息,并在目的实现后删除所涉信息。健康码运作实践中,个人信息重复收集现象严重,个人信息收集范畴超出必要,个人信息处理期限不明等问题大量存在,最小必要原则形同虚设。
健康码的运作得益于政府主导、科技企业支撑、基层单位组织(包括商店、社区、火车站等等)和公众具体执行的协同管理。协同管理模式是健康码覆盖率极高的关键要素之一,但其所形成的主体参与结构也最易触发个人信息过度处理风险。首先,各省市分别主导各自管辖区域的健康码运作,不同省市之间“层层加码”的现象严重。据笔者实际操作体验,目前各省乃至各市都已开发专门的健康码用于本行政区域内的疫情防控。如上海有“随申码”,深圳有“深i您”,江苏有“苏城码”。各自为阵的健康码运作除了不合理阻碍个人出行和复工复产复学外,也会额外增加个人信息管理负担。其次,科技企业受政府委托,纷纷加入健康码的开发,客观上加剧了个人信息重复处理的风险。健康码亮点在于理念妙而非技术难,是倒逼式的微创新成果,且健康码为科技企业接触个人敏感信息、社区信息开启通道。对于这样一种投入少但又颇有利可图的技术,科技企业跃跃欲试,除阿里巴巴、腾讯两大数据业巨头主导健康码平台运作外,百度、美团、苏宁也纷纷推出健康码。科技企业承担的社会责任里裹挟着大量的盈利企图,若不加以规范,健康码恐成为科技企业违法进行个人信息处理的遮羞布。最后,健康码的查验由企业、学校、社区以及商店等基层单位组织落实,他们是个人信息处理的直接执行者。尽管《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条规定除经国务院卫生健康部门授权,其他任何单位和个人未经同意不得以疫情防控、疾病防治为由收集个人信息,但由于健康码技术难度低,支撑平台多,难免会有基层单位组织擅自通过健康码收集个人信息,加之政府对授权标准、获权主体不予公开,个人往往无从查证信息处理方的处理资格而只能迫于生活、出行需要出示健康码。
个人信息收集也存在超出必要之嫌。如北京市、上海市健康码生成以个人进行面部识别为必要,个人必须提交面部信息、虹膜信息,然而在同样担负防疫重任的其他城市(如武汉、长沙等),并不存在强制性的面部识别。这一差别至少可以说明,在不进行下面部识别的情形下,健康码正常运用不受影响,防疫目的的达成并不以面部、虹膜信息处理为必要。除此之外,健康码的个人信息管理期限不明,存在处理期限超出必要的可能。
二、健康码运行的正当性基础——权利限制与权力克制
基于防疫初期的紧迫现实,健康码推出之际,其正当性论证一直处于缺位状态,有必要予以补足。健康码运用本质是公权力对私权利的限制,其正当性证成须解决公权力介入与否以及介入程度两个问题。一方面,公共利益的优先性证成解决公权力介入与否的初步正当性,即政府推广健康码是将公共卫生安全置于优先地位,意在保护个人最为基本的生命权,限制私权具有正当性;另一方面,公权力介入的正当性还须接受合比例性考察,其对个人信息权益的限制须符合比例原则,健康码触发的个人信息安全风险应被控制在合理范围内。
(一)权利限制——公共卫生安全保护优先
在处理国家——公民关系过程中,限制公权力滥用是不变主题。通常而言,公权力仅在为维护公共利益时可对私权施加适当限制。由于公共利益并不指向特定的主体,具体内容依时空、语境发生变化,表现出不确定性,因此公共利益极易成为公权力机关实施自利行为(如政府单纯追求政绩)的便车。故以健康码为介入工具对个人信息权益的限制是否正当,首先需要辨别公共利益的“真伪”。
“公共”和“利益”两个词汇均具有模糊性,有关公共利益的界定也就一直处于争议和讨论中。就“公共”的范畴而言,多数学者主张公共利益是指不确定多数人的利益,至于具体的群体身份、人数多少,都需要根据场景再行确定。“利益”范畴的抽象性是公共利益泛化的主要原因。为防止公共利益肆意扩张,学者或是在重要性上将公共利益限制为关乎人类发展的根本性利益;或是在关联性上将公共利益界定为与受众者直接相关的实质利益,或是通过个人权利优先、平等协商、事先补偿和事后救济的程序控制实现公共利益的限定解释。幸运的是,健康码所欲维护的公共卫生安全关乎所有人的生命安全,其属于公共利益基本为不争事实。公共卫生领域领袖人物温思络教授将公共卫生事业描述为“预防疾病、延长寿命、促进健康和提高效益的科学和艺术”,我国不少学者也将公共卫生界定为保障和促进健康的事业。随着社会发展,公共卫生的内涵进一步扩展,保障人类体格、精神和社会之完全健康成为各国公认的公共卫生发展目标。我国《基本医疗卫生与健康促进法》也将疾病预防控制、健康教育、妇幼保健、精神卫生和食品安全等一同纳入公共卫生治理的目标体系。可见,公共卫生安全指向的是以保障和促进公众身体健康和精神健康为内容的公共利益。在健康码的使用场域下,公共卫生安全则更确切的表现为公众生命健康利益。然而,公共利益的优先保护并不是绝对的,尤其我国长期受公共利益至上观念的影响,个人利益往往遭到过分压制,在处理公共利益与个人利益的关系上,更应进行细致衡量,健康码运用亦应如此。在健康码推广过程中,公共卫生安全优先于个人信息权益保护的原因主要涉及以下几个方面:
第一,防疫背景下,公共卫生安全优先的落脚点在于生命权。长期以来,我国不遗余力地强化公共卫生安全治理,意在为每个人的生命权和健康权构筑坚实屏障。历史上爆发的许多疫情悲剧也从反面印证了公共卫生安全对个人生命健康的重要性和必要性。例如,十四世纪肆虐西欧的黑死病(鼠疫)夺走了当时西欧近三分之一的生命,经济资源不足、医学技术落后、行政效率低下等因素所导致的公共卫安全体制缺失则是黑死病大肆传播、反复爆发的关键原因。新型冠状病毒地爆发和蔓延是人类又一次共同面临的巨大挑战,严重威胁着人类的生命安全。面对高传染性、高隐蔽性、高危害性的新型冠状病毒,预防工作尤为重要,但依靠人工逐一排查追踪无异于杯水车薪。幸运地是,大数据时代催生了健康码这一新型数据化工具,解决了即时预警、实时追踪的难题,大大提高了后续防控的及时性、灵活度。因此,在疫情期间,将健康码作为疫情防控的常态化工具,最终目标在于保护个人生命权。
第二,公共卫生安全所指向的生命权是个人最基本、最重要的权利,理应被置于优先保护地位。生命权在人格权排序中的优先地位毋庸置疑,生命权不再,其他权利的保护也就毫无意义可言。生命权是“所有人权的基础”,是“绝对不能克减的权利”。相比之下,健康码引发的个人信息安全问题通常仅威胁到位阶较低的权利。一方面,个人信息滥用、泄露所危及的权利较生命权而言处于低位阶。隐私危机被视为数据时代最大的副作用。此外,算法歧视冲击人格平等、算法控制危害人格自由以及非法获取、利用个人信息侵犯财产权等都是由个人信息保护不力直接或间接引起的。不可否认,隐私权、人格平等、人格自由、财产权同样是个人的基本权利,对其承认和保护更是一个国家文明和法治的体现。然而,生命权在上述诸多权利中具有绝对的优先性,是个人享有隐私权、人格自由、人格平等、财产权等其他一切权利的基础。因此,从权利位阶来看,生命权的保护应当优先于其他权利,当公众的生命健康遭受疫情威胁,以释放部分个人信息安全风险为代价符合权利位阶理论。另一方面,个人信息安全风险兑现具有更高的不确定性。如个人信息泄露导致个人财产权、生命权受损具有随机性,是否发生相应的侵权行为、是否造成了确定的损害后果还有待诸多不确定因素介入。尤其是个人信息泄露最终造成个人信息主体生命权丧失,仅为特殊个例。相比之下,健康码使用对公众生命健康的保护是直接的、确定的,相应地,疫情失控的代价是巨大的。从疫情防控不力的国家的防疫现状也可以看出,公共卫生安全防护链的断裂会导致追踪滞后、疫情蔓延,随之而来的便是确诊病例和死亡病例的飙升。因此,公共卫生安全优先是为保护最高位阶的生命权,且这种优先所阻断的风险是更易兑现也更可能兑现的。
第三,从功利主义的角度来看,推行健康码,优先保护公共卫生安全可以实现效益最大化。一方面,健康码以低成本实现了防疫的高效率。相比于人工追踪而言,健康码搭乘了现成信息基础设施(如腾讯、支付宝等应用平台)的东风,实现了政府、企业、个人的协同治理,其攻克了接触者追踪的难题,防疫效率因此大幅提升。无论是对于被要求出示健康码的个人还是具体执行这一防疫政策的经营者、管理者而言,健康码都是快捷便利、成本极低的工具。从风险填补成本来看,优先保护公共卫生安全避免了更高补救成本的支出。公共卫生安全防线崩溃消耗的社会成本是巨大的:疫情防控、患者救治消耗巨量人力、物力成本,社会运行停滞使国家蒙受巨大经济损失,企业破产、民众失业等一系列社会问题接踵而至。相比之下,健康码引发的个人信息安全风险不仅兑现率更低、破坏性更弱,且其补救可以通过强化责任、改良技术等低成本方式实现。因此,从功利主义角度而言,公共卫生安全优先也符合效益最大化。
此外,公共卫生安全优先于个人信息利益的保护地位在我国已有立法依据。我国《传染病防治法》明确规定“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。”《突发公共卫生事件应急条例》则规定,任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。依据上述规定,政府和相关机构有权要求个人申报与疫情有关的个人健康状况,个人也有义务如实提供相关信息。《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》在总结防控经验的基础上,明确强调政府应发挥信息联动在疫情防控中的重要作用,充分利用数据收集分析技术,加强各部门的数据互联。《民法典》也将维护公共利益作为个人信息处理的免责事由。
事实上,从全球防疫实践来看,公共卫生安全优先保护也已成为多国共识,德国、法国、奥地利、波兰、捷克、斯洛伐克等国家纷纷推出本土化的追踪式APP以完成接触者追踪。最初坚决拒绝使用追踪式手机应用的比利时政府也于9月份推出全国性的新冠病毒接触者追踪手机应用。相反,一些国家和地区迟迟不见改善甚至愈演愈烈的防疫形势客观上是价值选择偏离引发的严重后果。
(二)权力克制——个人信息权益限制的合比例性
公共卫生安全的优先保护仅仅解决了公权力能否限制个人信息权益的正当性问题,这一限制还必须接受合比例性的考察。现实中,粗放式疫情防控模式下,个人信息收集过度、储存不当、生命周期管理缺位等问题成为个人信息安全风险不合理释放的诱因,个人信息权益遭到不当限制。因此,健康码的正当性还要求其背后的公权力行使保持高度克制,对个人信息权益的限制必须符合比例原则。
比例原则是行政法领域限制公权力的基本原则之一,最初体现为德国对警察权力行使的必要性限制,包括适当性、必要性和均衡性三个子原则。比例原则以限制国家权力为根基,贯通人权保障、正义、理性的现代公法理念,成为公权力行使之合理性审查的基本原则。以保护公共利益为目的对私权进行限制的行为,只有符合比例原则才具有法律上的正当性。
就本文而言,健康码推广的合比例性审视,须经适当性、必要性和均衡性的三重审度。具体而言,适当性即手段之于目的的有用性。健康码无疑有利于保护公共卫生安全。从实践来看,健康码生成和使用合一的运行机制高效完成了新冠病毒疫情的精准监测、实时追踪,是及时发现、及时隔离和及时阻断病毒传播的重要工具。在满足适当性原则后,限制私权利的手段还须经必要性原则的审视,即在众多有利于实现目的的手段中,其必须是对个人权利损害最小的手段,必要性指的是损害的必要和最小化。考察健康码的必要性,理论上需要同时衡量其相比于其他手段的最小侵害性和其本身是否已实现损害最小化两个方面。一方面,健康码在搭建公共安全防护网上的作用是其他手段难以替代的,且目前个人信息脱敏处理、二维码技术运用大大降低了个人信息安全风险。另一方面,健康码运行的现有风险仍有进一步压缩的可能性,强化信息最小化原则、数据安全保障原则,对个人信息收集、分析、储存等多个方面进行必要限制都是健康码的改进方向。比例原则还要求特定手段所欲保护的公共利益与其所侵害的权利具有均衡性。前文在公共卫生安全优先的相关论述中已经阐明,维护公共卫生安全指向位阶最高的生命权,适当限制个人信息权益符合均衡性要求。
三、健康码安全管理——强化个人信息保护
健康码所体现的公共卫生安全优先显然是正义且理性的,真正影响和动摇健康码之正当性根基的,是私权限制、风险释放的合比例性问题。与应然状态的健康码运行不同的是,现实中个人信息安全风险“溢出”现象频频发生。因此,个人信息保护的强化成为健康码回归合法、合理轨道的关键。从规范角度而言,健康码中的个人信息保护则需要从个人信息保护基本原则和具体规则两方面着手。
(一)个人信息保护基本原则的弛与张
我国目前尚未出台《个人信息保护法》,有关个人信息保护的规定散落于《网络安全法》《消费者权益保护法》《民法典》等立法文件中。上述立法一致规定个人信息处理应当遵循“合法、正当、必要”的原则,并进一步细化为明示信息处理目的、方式和范围,公开信息处理规则,征得主体同意等具体要求。从学理上讲,上述内容可概括为知情同意原则和最小必要原则。健康码运行是典型的个人信息处理活动,理应受到知情同意原则和最小必要原则的约束。然而,由于健康码是国家为保护公共卫生安全所进行的、公权力支配下的个人信息处理行为,个人信息保护原则的适用存在一定特殊性。总体来说,在健康码运行过程中,出于公共卫生安全的优先保护,知情同意原则的适用有所松弛,同意规则弱化;出于权力克制、风险控制的必要性,信息处理的最小必要原则发挥着至关重要的作用,是健康码管理的重中之重。
1.部分放宽知情同意原则
强化个人信息主体对其个人信息的控制是个人信息保护的核心,而知情同意原则则是这一理念的集中体现。知情同意原则包括“知情”和“同意”两个层面。前者要求信息控制者必须向个人信息主体明示信息处理的范畴、方式、目的等影响个人信息主体作出同意决定的内容,后者则要求信息控制者的处理行为必须征得个人信息主体的同意。就二者的关系而言,“知情”是“同意”的实质要素之一,即只有在知情状态下作出的同意才发生授权的效力。至于同意的有效要件,仅《信息安全技术 个人信息安全规范》规定同意必须是自愿的,在知情前提下作出的同意;针对个人敏感信息的同意必须以明示的方式作出,包括明确的语言表达和确定性动作(如点击“同意”)。就健康码中的个人信息收集而言,原则上同样需要遵守知情同意原则,政府在推广健康码时应当征得个人信息主体的同意。《杭州健康码开发运行规范管理办法》也明确将授权同意作为健康码运行的基本原则之一。但正如前文所述,知情同意原则基本处于虚置状态,健康码实质的强制性与个人信息处理所倡导的自愿性不符。那么,是否应当在健康码使用中适用严格的知情同意原则呢?若遵循严格的知情同意原则,政府推行健康码,收集个人敏感信息,必须征得个人信息主体的明示同意,个人也有权在不出示健康码的情形下出入各种公共场所、进行社会交往。显然,强同意规则下,健康码的防疫作用将大大折扣。对新冠疫情进行“精准打击”和“围堵”成为当前疫情防控的主要策略,健康码是必要的策略实现工具。可以想象,拒绝使用健康码者随意出入公共场所,将破坏追踪和预警系统的连贯性,形成防疫盲区,冲击整个防疫系统的有效性。因此,为确保防疫系统的有效运行,保护公共卫生安全,健康码中的个人信息处理应当仅仅须遵从适度放宽的知情同意原则,健康码的使用无须经个人信息主体的同意。事实上,健康码运行中的个人信息处理豁免于同意规则,在我国并非完全没有法律依据。如《信息安全技术 个人信息安全规范》规定当个人信息处理与公共安全、公共卫生、重大公共利益直接相关时,无须征得个人信息主体的授权同意。《民法典》第1036条则将为维护公共利益作为个人信息处理行为的违法免责事由。
在健康码运用中知情同意原则的例外适用,仅限于放宽同意规则,知情规则的约束力并不减弱,政府仍必须披露个人信息处理范围、目的、方式、期限等,确保信息处理公开透明。原因在于,知情规则的约束并不会削弱健康码的防疫作用,可以在保护个人信息主体知情权的同时,保持对政府的个人信息处理行为的实时监督。目前我国健康码运行中不仅同意规则被虚置,知情规则也一并被忽视,未来应当强化知情规则的实施,保证个人信息处理活动公开透明。
2.强化最小必要原则
最小必要原则要求信息控制者所处理的个人信息的范畴和期限必须以实现授权目的为必要。“最小”包括个人信息处理范畴最小、期限最短,“最小”的判定则以是否为实现授权目的所必须为标准。与知情同意原则着力于事前保护不同,最小必要原则主要强调个人信息安全的事中和事后保护。在健康码使用过程中,知情同意原则放宽尤其突显了最小必要原则的重要性。健康码使用中,同意规则的缺失导致依个人信息主体意志形成的事前保护屏障几近消失。一方面,个人信息主体不能自主评估风险后,就是否申领和使用健康码作出决定;另一方面,由于健康码作为防疫工具具有强制性,个人信息主体撤回同意的权利也受到限制。同意规则缺位易导致信息处理者信马由缰,超出目的收集和使用个人信息。因此,强调最小必要原则意在降低同意规则削弱带来的风险,补强个人信息事中和事后保护力度,平衡整个信息安全保护体系。
(二)个人信息处理规则的具体构建
1.明确同意规则例外适用的标准
如前文所述,健康码的使用是维护公共卫生安全的必要工具,其中的个人信息处理因此豁免于同意规则。由于公共卫生安全的范畴较为广泛,搭乘健康码的便车,绕开同意规则的信息处理现象时有发生,“变色码”即为例证。变色码意在倡导公民采取健康的生活方式,但其对维护公众卫生安全并不必要,甚至连促进作用也不值一提,政府无权为此目的擅自进行个人信息处理。因此,为防止“维护公共卫生安全”成为个人信息滥收滥用的挡箭牌,有必要明确健康码运行中同意规则豁免的具体标准。第一,个人信息的处理主体必须是政府或经政府批准授权的主体。具体要求体现为:可以开发健康码程序的主体必须是政府或者经其批准、授权的开发者,其他主体不得擅自单独开发类似健康码的应用程序;可以搭载健康码程序的平台管理者必须是政府或其批准授权的管理者,其他主体不得擅自搭载健康码应用;可以查验健康码的主体必须是政府或经其批准、授权的公共场所管理者、企业等主体。上述主体应在健康码应用中向个人披露其已获得的授权资格。原因在于,一方面,《传染病防治法》和《突发公共卫生安全事件》授权各级政府负责传染病防治工作和突发公共安全事件的处理工作,健康码的推行理应由政府部署和实施,其他未经政府授权的主体无权创造和推行新的健康码并强行要求个人扫描出示。另一方面,这也是健康码的目的所决定的,未经政府授权擅自收集个人信息,即使打着维护公共卫生安全的旗号,也很难真正发挥防疫的作用,擅自收集的信息散落在政府控制的个人信息资源池之外,不能在政府的数据联动、分析中发挥作用。另外,健康码运行依托大范围、跟踪式的信息收集,若允许其他主体在政府监管之外擅自推行,极易发生个人信息泄露或者利用个人信息实施其他侵权行为。第二,同意规则的例外适用要求个人信息的收集是维护公共卫生安全所必须的。此要件主要包含下述两个方面。一是,健康码中个人信息处理的用途必须是接触者追踪等以疫情防控为目的的事项。为提供便民服务(如提供健康测评、线上挂号服务)、提高居民素质(如进行文明评分)等其他目的进行的个人信息处理均须严格遵守知情同意原则,以个人自愿的、知情的、具体的同意为前提。二是,健康码中的个人信息处理活动必须是为实现防疫目的所必要的,即满足最小必要原则。
2.确保个人信息处理的公开透明
在缺乏同意规则约束的情形下,知情规则在个人信息保护中的防御监督作用不可或缺。政府应当确保个人信息处理公开透明,具体包括下述几个方面。第一,政府应当就个人信息处理的范畴、类型和必要性进行充分列举说明。第二,政府应当向公众公开赋码算法,包括健康码生成的算法逻辑和健康码应用的算法逻辑。前者要求政府就个人信息与健康码生成的相关性作出说明,包括个人信息内容变化是否影响以及如何影响健康码的发放结果(即获取的是红码、黄码还是绿码),尤其应对引起绿码撤销、影响公众出行活动的事项进行充分提示说明,以为公众提供行为指引;后者则要求政府就健康码如何发挥接触者跟踪功能进行解释,包括个人信息联动模式、分析规则等。第三,政府应当对个人信息处理的防疫目的进行详细说明,如何种情形下仅用于确定个人健康状况和赋码,何种情形下用于密切接触者追踪。第四,政府应当对个人信息管理的方式进行详细说明,包管理模式、管理期限等。我国目前实行个人信息集中管理模式,其中的个人信息安全风险前文已经指出,政府有必要对集中管理模式的必要性和安全性予以说明,并在充分衡量利弊后,决定是否推进分布式管理储存技术。第五,政府应当充分说明其所采取的数据保护技术和保护措施,为监督政府履行上述说明义务,还可在健康码程序页面搭载便捷的咨询、投诉通道。最后,政府应当在健康码程序页面嵌入个人信息保护政策和隐私政策,用以充分说明上述内容。
3.具化最小必要原则
政府作为信息控制者对个人信息的收集和使用应当以防疫目的的实现为必要,这既是同意规则例外适用的前提,也是强化个人信息中后端保护的要求。最小必要原则的落实具体涉及以下几个方面:
第一,最小必要原则首先要求各行政区域合力取消“层层加码”,推动健康码互认。正如前文所述,“层层加码”导致个人信息重复收集,增加政府管理压力的同时引发了不必要的个人信息安全风险。为实现全国范围的“一码通行”,国家政务服务平台推出全国性的“防疫信息码”,各省市可以通过直接采用该“防疫信息码”或以其为转换中介实现健康码互认,《全国一体化政务服务平台防疫健康信息码接口标准》也已制定完成。从实践来看,目前部分省市已实现健康码互通互认,但“一省一码”仍是主流,实现全面的“一码通行”仍任重道远。
第二,个人信息收集的类型、数量以实现防疫目的为限,非实现该目的所必须的个人信息不应收集。就目前来看,健康码的准确性和有效性实现须收集个人的姓名、身份证号等身份认证信息,关系到风险判定的旅居史(如14天内是否有中高风险区或者境外旅居史)以及症状(如发烧、咳嗽)、行动轨迹等。除此之外的其他信息,如个人出入私人场所、私密社交活动的信息,个人面部特征、虹膜信息等并非健康码生成的必要信息,不应强制收集。
第三,个人信息的使用以实现疫情防控的具体目的为必要,防疫目的的不同,个人信息处理的限度不同。根据目前的防疫态势,健康码的防疫目的应当包括一般性防疫目的和特殊性防疫目的。一般性防疫是指在确诊病例为零阶段实施的防疫措施,其作为特殊性防疫的预备和基础长期存在;特殊性防疫则是在出现确诊病例时进行的一系列针对性防疫。在一般性防疫中,个人信息处理仅以实现一般防疫目的为必要,政府不应就其收集的个人信息进行健康码生成和更新以外的信息处理,如对该个人的密切接触人、具体社会活动进行分析。在特殊防疫中,政府可以为实现患者和密切接触者追踪、区域风险评估、周边风险预警以及感染源确定等目的,对个人信息进行关联性的深入分析。
第四,个人信息披露与否以及披露程度都应当尽量谨慎克制,避免侵犯个人信息主体的隐私权。在疫情防控阶段,披露特定个人的信息对于疫情防控是必要的,一是公众可以根据相关信息自行判别不同地区、场所、活动的风险,尽量避免前往中、高风险区,二是政府防控也需要充分调动公众“自查”。然而,个人信息的披露是针对所有人的,一旦超出必要,就会侵害个人信息主体的隐私权,引发歧视问题。因此,个人信息的披露仅限于对确诊病例的信息披露,且披露的内容和范围不应具有身份性。具体而言,确诊患者的旅居史、行动轨迹等影响疫情评估、公众自查和密切接触者追踪的个人信息可以披露,但性别、籍贯、姓名、身份证号码、肖像、电话号码、具体住址(具体到单元房号)、职业等可以识别特定个人身份的信息或者个人经历、性格等与疫情防控无关的信息不应向公众披露。
第五,个人信息处理的时限亦应符合最小必要原则,当目的达成后,信息控制者应删除其所收集的信息。由于新型冠疫情尚未结束,防止疫情反扑仍然是我国目前防疫阶段的重要任务,健康码的推行在当前常态化防疫背景下仍有必要。然而,一旦将来疫情退潮,公共卫生安全事件应急响应解除,健康码的推行亦无必要,政府应当启动个人信息退出机制,安全删除强制收集的个人信息,不应擅自用于其他目的。
(三)健康码升级的个人信息保护
健康码无疑展现了数据化治理的巨大前景,充分利用业已形成的高饱和、高联动的数据生态,推动健康码的转型升级已被政府作为智慧城市建设预案。如杭州市委出台《中共杭州市委关于做强做优城市大脑打造全国新型智慧城市建设“重要窗口”的决定》,明确杭州健康码从疫情防控向日常服务转变的升级扩展方向,健康码的功能将从防疫衍生至包括医疗、养老、健身在内的民生内容。不可否认的是,打造数字城市、智慧城市是提升现代化治理水平的必然路径,升级后的健康码也将在提升社会治理效率、促进政府科学决策、便利居民生活等方面发挥巨大作用。然而,伴随发生的个人信息过度处理无疑会使处于弱势地位的个人在席卷而来的数字化浪潮中进一步丧失话语权,当公权力沿着无形的数据网络渗透到个人生活的方方面面时,私权利所面临的限制也将前所未有。一方面,公权力转置成隐蔽性的数据权力后,权利限制扩大加深,受限制的私权利不仅限于个人信息权益和隐私权,还包括信用利益、人格平等等其他私权;另一方面,权力的数据性行使还会形成权利限制的正当性假象,公权力借助数据和算法的力量,通过观念渗透和基础设施搭建实现权利限制的生活场景重塑和逻辑植入,使个人不得不接受直至习惯于此隐形枷锁。可见,若缺乏合法性规制,公权力很可能滑向肆意挤压私权空间的境地。因此,政府推进健康码升级转型,必须严守公权力与私权利的边界,避免过分干预私人生活,限制私人权利。
就健康码升级的中个人信息保护而言,首要的是对健康码升级进行边界控制。数据技术既有助于实现精准治理,也会滋生过度治理现象,如“文明码”以算法量化文明程度,限制个人行为,明显逾越治理边界。因此,为防止健康码升级对个人信息权益造成不当克减,必须以公共利益标准和比例原则对其升级进行正当性评判。健康码升级必须以实现不特定多数人实质的直接的公共利益为目的,且其对私权的限制是适当、必要且均衡的。其次,健康码升级还须遵循严格的同意规则。健康码一旦转型升级为日常服务应用,其目的也就超出维护公共卫生安全范畴,此时的个人信息处理必须以个人在知情、自愿情形下作出的具体同意为前提,政府不得擅自将其控制的个人信息用于医疗、教育等目的。同意规则不仅要求政府征求个人同意,还要求政府为个人提供作出同意与否之决定的空间。实践中,掌握公共资源支配权的政府可以通过铺设或改变基础设施迫使个人被动接受个人信息权益的限制,个人客观丧失了拒绝的权利。为确保同意规则的有效性,健康码升级过程中,应当保留传统的治理手段和服务提供路径(如在推动刷码就医的同时也应保留线下人工挂号的途径),防止同意规则沦为形式。在作出同意之后,个人有权撤回同意,放弃使用升级版健康码,重回传统的社会运行系统。此外,同防疫健康码一样,健康码升级后,个人信息处理也须遵循最小必要原则、公开透明原则。
四、余论
大数据时代以来,数据技术在提升政府治理能力、改善公共服务上释放巨大潜能,加快智慧政府、透明政府进程也成为各级政府的重要目标。然而,由于数据治理思维落后,数据治理规范阙如,类似“文明码”“变色码”这样急于发挥数据价值而逾越社会治理边界,片面追求治理效率而过分限制私权的失误频频发生。随着数字化政府建设稳步推进,政府在争当数据时代领跑者的同时,也应当更新政府数据思维和数据文化,将保护个人信息权益融入数据治理的理论认知、价值观念和制度规范中,不应在竞逐数据时代的过程中,唯独遗漏个人信息保护和隐私保护。
相关阅读
推荐书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方