健康码应用中的个人信息保护研究

　　摘要：健康码作为疫情时代的治理工具，其在高效完成治理工作的同时仍存在侵犯个人信息的种种风险。通过分析通用健康码对个人信息保护的不安全因素，提出针对性建议——在比例原则的指导下，完善健康码收集个人信息的法律规范，同时加强监管。意在成体系化地减轻个人信息保护的负担，并促进健康码这一作为疫情常态化防控的工具得以更高效的适用。

　　引言

　　随着信息时代的到来，数字化治理成为政府治理的一种常态化手段，而健康码在当今疫情常态化防控的情形下更是数字治理的一种典型。然而由于健康码利用数字手段实时收集公民的个人信息以应用于行政的特点，在其前置的收集环节、使用环节、后置的信息处理环节都存在不利于公民个人信息保护的可能，因此，探讨健康码对公民个人信息的侵犯风险并寻找规制路径，成为保护公民个人信息安全的关键。

　　1. 健康码应用中个人信息保护的正当性分析

　　健康码采集公民个人信息并通过特定的算法将其转化为疫情风险等级，其运行的本质是公权力对私权利的限制，其正当性的证成，需解决公权力限制与否和介入程度的问题[1]。

　　1.1 保护公共利益原则和比例原则

　　健康码的应用基于疫情防控与保护个人信息安全并重的法理逻辑，以保护个人的生命健康为根本目的，是国家公权力与公民个人权利相互作用的产物。事实上，对于公民个人信息的处理应当包括收集、传输、加工、使用、公开等环节，比例原则与保护公共利益原则亦应贯穿其中。如前所述，健康码在收集公民个人信息的目的与方式上具有正当性，一般采取事前的知情同意协议以保障公民对于个人信息利用的知情权；而在传输、加工环节，由于数字技术的介入，使得对于公民个人信息的保护受数字技术的约束，我国目前使用个人信息集中管理模式，尽可能减少数字传输环节泄露公民个人信息的可能；在数据的后置处理程序中，最小必要原则尤为重要，保障健康公民的信息退出，防止隐私泄露。在健康码收集利用公民个人信息的全流程中，公开透明原则既是政府对于收集处理公民个人信息的目的、方式等做到公开透明，同时也需要符合比例原则，在合理、合法、必要的范围内公开公民个人信息，在保护公共安全的同时兼顾公民个人隐私[2]。

　　1.2 数据治理公私合作模式的典型

　　为实现党的十九届四中全会《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》提出的“加强数据有序共享”与“依法保护个人信息”的双重目标，我国出台一系列政策规范促进政府、企业、公民三元关系的均衡发展。在健康码应用中，政府占主导地位，企业提供技术支持，促进了目标的实现，营造了良好的公私合作环境。

　　2. 健康码运用中个人信息保护的具体困境

　　健康码作为防疫治理的重要数字工具，关键是在收集公民的个人信息，但由于其作为数字技术存在技术上的安全漏洞、授权主体不明确且政府在监管的过程中不力等问题，出现诸多困境。

　　2.1 健康码中的数字安全存在缺陷

　　健康码是利用公民的身份信息、个人健康信息、行动轨迹等，经模型数据分析而测算获得公民的风险状态，以“红码”“黄码”“绿码”三种颜色的二维码而区分风险高低的一种评估风险的大数据应用[3]。但是，健康码对个人信息的审批流程不规范，所采集的“匿名化”“脱敏化”处理程序不足[4]，数据存储库保护系数弱，健康码运用的各种运行程序机制，都使健康码存在信息安全隐患的可能性加大，无法从根源上预防用户信息泄露。

　　在健康码的推行使用中，健康码对信息收集虽设加密程序，但仍存在信息泄露风险，且该风险因数据信息和数字技术的特殊性而具备潜在性和不可知性。同时，运算技术的专业复杂程度，使用户难以预料或审查自身信息安全问题，对被收集信息的可控性变弱，个人信息救济困难。

　　同时，在后疫情时代，健康码已经基本实现全民覆盖，出入商场、机场、医院、小区等场所均需要出示健康码。但是公民从找到相关程序、选择查看防疫健康码、选择健康码出示、直到最后健康码加载完毕往往需要很长一段时间，尤其核酸检测时，健康码的出示速度与当时的网络环境也相关联。因此，笔者认为健康码中的数字技术效率有待提高。

　　2.2 授权主体不明确及对其监管限制不力

　　健康码的运行是用户、数据运营者和政府三方协作的结果，但在现实生活中仍未厘清可收集健康码用户的主体范围，这会加大个人信息的暴露风险。没有以严格限制政府或被政府授予该项收集工作的人员为前提，主体资格不明晰，也不利于信息共享边界的明确，信息安全风险概率仍较大。

　　私企在设计健康码以及对健康码用户信息进行收集管理过程中扮演着重要的角色，对个人信息安全保护履行着监管职责。但是，权利过界难免给秩序环境带来一定威胁。私企在收集、使用公民个人信息时，缺乏合法原则、告知原则、知情同意原则等应有原则的遵守，责任边界不明确，相关义务履行不切实。部分私企凭借职务便利，以用户个人信息换取不正当利益，将私人利益凌驾于社会公共利益之上，这与国家对私企的监督、限制不够完备到位有关。政府部门也未曾建立健全健康码用户信息安全管理机制、储存管理模式等，对用户个人信息保护存在着较大的责任缺失。

　　2.3 防疫状态下用户个人信息保护与公共利益的平衡困境

　　健康码的使用，本质上是公权力为维护公共安全、改善社会健康状况而限制公民私人权益的一种不平等活动。此做法实质体现了政府急于提升治理能力，却忽视对用户个人信息保护的现实[1]。以健康码使用前的知情同意原则为例，该原则是针对用户个人信息权利保护的根本前提，信息收集、处理者需履行告知义务，征得健康码信息主体的明确同意[5]。然而，部分企业或政府未执行相关隐私政策或知情同意协议，而直接收集处理公民个人信息，或因疫情好转复工、出行流动增多，健康码使用的直接现实性迫使知情同意原则虚置，公民实际上无权决定是否提交个人信息，且因算法不透明更无法主动进行审查，侵犯了公民的知情权、自决权[6]。在健康码的适用过程中，手机端权限索取问题较严重。一些手机应用打着抗疫、健康的旗号欺骗用户，在用户不知情的情况下，进行监听、跟踪、窃取信息等一系列危害用户个人信息安全的违法行为。这严重污染了健康稳定的社会和市场秩序，因此急需加强对侵权主体责任制度的完善，加大惩罚力度，对市场的监管，比如宏观调控有待升级。

　　3. 健康码中个人信息保护的路径探讨

　　在数字治理的语境下，健康码对个人信息进行收集——利用——处理的全环节应当在法律的框架内进行，同时为规避侵权风险做出适当改进，此是健康码良好适用的应有之义，使得政府在利用算法进行行政治理的同时，也对算法本身进行管理和完善，以保证算法行政的持续有效开展[7]。

　　3.1 在应用健康码过程中加强比例原则的应用

　　如前所述，健康码作为应急管理的手段，是公民个人权利对公共安全、公共利益的必要让步，其应用的正当性毋庸置疑，但是其实际利用对于个人信息保护在知情同意原则、最小必要原则上仍可做出适当调整，以规避侵犯个人信息主体权利的风险。

　　关于知情同意原则在健康码利用公民个人信息时如何运用，学界存有不同观点，有的学者认为，应当部分放宽知情同意原则，值得注意的是放宽并不意味着减弱该原则的效果，而是使其更有利于防疫工作的高效开展，利于政府的治理。笔者认为，应当强化知情同意原则，使其在健康码收集信息时起到更优的作用。我国现阶段的法律法规赋予了行政机关在未取得公民同意的情形下收集个人信息的权力，不过该意义上的“无需个人同意”并不意味着在常态化防疫的阶段仍可以不经公民个人同意收集信息，这种未经同意收集个人信息的权力应当受到制约[8]。首先，在常态化疫情防控的新形势下，健康码基本实现全民覆盖，因此虚置知情同意原则，使公民权利继续大幅度让步于公共利益必然引起民众反对，疫情防控不应当成为公权力持续越界的借口。其次，法律上的“无需个人同意”也并不意味着完全剥夺个体的知情权，行政机关必须对收集信息的边界与透明度进行统一的确定，《民法典》第1035条第2、3款对此做出了明确的规定，要求明确明示信息收集的目的、方式和范围，向社会公开处理信息的规则。最后，“无需个人同意”应当是坚持最小必要原则，将适用对象限缩为确诊者、密切接触者、疑似病例，而非全体公民。因此，要强化比例原则在健康码收集公民个人信息时的利用，并且可以通过用户协议、隐私政策等方式将知情同意原则落到实处。

　　3.2 完善健康码收集个人信息的相关立法

　　后疫情时代，实现健康码常态化健康应用更重要的是依靠制度建设，现阶段健康码的应用主要是依靠《个人信息保护法》《数据安全法》《民法典》和地方性法规，存在一系列规定不健全、不统一的问题。

　　第一，健康码作为信息数据的程序设计，亦应着重参考《个人信息安全规范》。该规范于2020年3月更新发布，作为一部推荐性的国家标准，并不具有法律强制力，但是其为现阶段数据治理中的个人信息保护提供了系统化的解决方案，尤其为健康码个人信息的保护提供了新思路[9]。该规范对个人信息的采集、储存和共享提出了更为严格的要求，明确个人对信息的访问权、更正权、删除权、撤回授权同意及注销账户、获取个人信息副本、投诉权等。同时为防止算法的副作用，更严格地规范了自动化决策机制，在首次使用前开展个人信息安全影响评估，支持对自动化决策的人工复核程序[10]。进一步完善了“征得授权同意的例外”相关规定及个人信息与敏感个人信息清单等内容，不仅在正文中提出具体的技术要求，还通过后附的参考性附录，提供隐私政策、用户交互界面设计的模板以供参考，使标准更具实操性。

　　第二，应当明确有权采集公民个人信息的主体。从健康码应用于疫情防控的实践中看，政府部门及其工作人员、基层社区工作人员、志愿者等都有可能成为采集公民个人信息的主体[11]。但根据现有法律和其他规范性文件的规定，只有政府部门及其工作人员有权采集公民个人信息，而其他公民、个人和组织需要取得授权才能进行公民个人信息的采集。然而由于疫情防控的特殊性，笔者认为可以采取行政委托的方式，在遇见突发公共卫生事件等有相关需求的特定情况下，上级机构有权委托特定主体采集公民个人信息。

　　第三，健康码在规范上应当成体系化，避免规制不统一、程序无法全国性通用等问题。笔者建议首先应从政策上形成全国统一，对收集公民个人信息的类型、存储时间、判断密接次密接的标准、隔离时间等事项围绕比例性原则进行统一规制；其次做到数据共享，减小省际之间收集利用信息的差异性，避免码制不统一的问题，打破数据壁垒。

　　3.3 对健康码收集的公民个人信息加强监管

　　首先，要坚持政府在利用健康码收集处理公民个人信息全过程中的主导地位。由于健康码兼具公私双重属性的特点，因此为了防范私企不当利用公民个人信息，笔者认为应做到：第一，政府搭建与私企之间的信息共享与交流的平台，以便实时监管政策的落实进程；第二，政府可采取定时入驻、数据接入等措施，以便实时监督私企有无超权限收集个人信息等违法行为并能够及时采取措施[12]。其次，要充分发挥公民作为个人信息主体的作用，健康码页面应明确告知救济渠道和监督途径，以便及时纠正不当的疫情防控措施和个人信息处理行为。同时，可借鉴欧美国家的个人信息保护风险自我评估机制，进一步进行合法性和适当性的检验。最后，在健康码所涉及的数字技术领域：第一，对健康码算法的设计和使用应当有特定的标准，同时应当对算法进行记录、留档和解释，并引入第三方评估；第二，完善数据后续的“匿名化”和“脱敏化”处理。一方面，应当全面加强监管手机权限对于公民个人信息的使用，规避其对于信息的不当掠夺；另一方面，在技术上进行数据的加密处理，对健康码采集的公民个人信息采取国家垄断的形式，私企在进入操作时只能接触到经过加密保护的信息，从根源上切断私企盗取买卖公民隐私信息的可能性；同时，在公民脱离密接或次密接身份，其健康码变回绿色的同时，对其信息进行脱敏处理，集中销毁，防止被不法企业再利用。

　　结语

　　疫情常态化防控情形下，公众已深刻体会到健康码在社会治理过程中的巨大优势，在未来政府利用健康码等数字技术进行社会治理也已成趋势。但同时，不可忽视健康码等数字技术在收集个人信息过程中的各个环节存在不利于公民个人信息保护的可能，提高对个人信息数据的保护刻不容缓。个人信息保护的未来任重而道远，本文提出并分析了健康码对个人信息保护的不安全因素，予以针对性建议，希望提高公民的个人信息保护意识。

　　参考文献:

　　[1]宁园.健康码运用中的个人信息保护规制[J].法学评论,2020,38,(6):111-121.

　　[2]鲍坤.健康码数据常态化应用的比例原则限制[J].电子政务,2021,(1):32-41.

　　[3]邓健雅,顾加栋.从防疫健康码谈公民个人信息的利用与保护[J].南京医科大学学报(社会科学版),2021,21,(1):42-46.

　　[4]唐林垚.常态化数字抗疫时代的个人信息保护[J].中国政法大学学报,2021, (4):240-250.

　　[5]赵宏.紧急状态下个人的权利限缩与边界[J].比较法研究,2020,(2):11-24.

　　[6]冯泽宇,王露露.基于生命周期理论的“健康码”个人信息保护策略研究[J].山西档案,2021,(3):107-115,106.

　　[7]陈禹衡,陈洪兵.反思与完善：算法行政背景下健康码的适用风险探析[J].电子政务,2020,(8):93-101.

　　[8]许可.健康码的法律之维[J].探索与争鸣,2020,(9):130-136,160.

　　[9]严少敏.数据安全治理的国家标准路径——以《个人信息安全规范》的修订为视角[J].保密科学技术,2020,(4):19-22.

　　[10]单勇.健康码应用的正当性及其完善[J].中国行政管理,2021,(5):53-60.

　　[11]郭春镇.对“数据治理”的治理——从“文明码”治理现象谈起[J].法律科学(西北政法大学学报),2021,39,(1):58-70.

　　[12]王淼.“大数据+网格化”模式中的公共数据治理问题研究——以突发公共卫生事件防控为视角[J].电子政务,2021,(1):101-109.

　　作者简介：付晓艺，本科，学生，研究方向：法学。

　　基金项目：国家级大学生创新训练项目《健康码应用的风险及法律规制》（编号：202110445169）。

关注读览天下微信， 100万篇深度好文， 等你来看……