基于生命周期理論的“健康碼”個(gè)人信息保護(hù)策略研究★

馮澤宇 王露露

（中國人民大學(xué)信息資源管理學(xué)院 北京 100872）

1 緒論

信息化技術(shù)手段是我國抗擊新冠肺炎疫情的“神兵利器”。國家衛(wèi)健委辦公廳印發(fā)的《關(guān)于加強(qiáng)信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》（國衛(wèi)辦規(guī)劃函〔2020〕100號）進(jìn)一步強(qiáng)調(diào)了信息技術(shù)在預(yù)測疫情發(fā)展、創(chuàng)新診療形式、精準(zhǔn)施策治理等方面的重要支撐作用。在疫情防控常態(tài)化要求下，面對各行各業(yè)恢復(fù)生產(chǎn)和工作的需要，“健康碼”應(yīng)運(yùn)而生?！敖】荡a”是由各級衛(wèi)健委主導(dǎo)，疾控中心管控，大數(shù)據(jù)局提供技術(shù)支持，以本地常住人口、暫住人口和流動人口為申報(bào)對象[1]，后臺系統(tǒng)根據(jù)申報(bào)對象登記的姓名、電話號碼、身份證號碼、個(gè)人健康狀態(tài)等信息，結(jié)合交通部門和電信運(yùn)營商提供的公民行程信息，精確識別高危人群，生成一個(gè)具有顏色標(biāo)識的二維碼作為申報(bào)對象的健康證明[2]。

然而，“健康碼”是一把“雙刃劍”，在積極發(fā)揮疫情防控作用的同時(shí)，也帶來了一些危害個(gè)人信息安全的負(fù)面現(xiàn)象，不可避免地引發(fā)公眾對個(gè)人隱私、算法準(zhǔn)確性和信息過度使用的憂慮。對此，人民日報(bào)社《國家治理》周刊、人民智庫等媒體面向公眾對“健康碼”的使用情況、評價(jià)和期待等相關(guān)問題進(jìn)行了問卷調(diào)查，結(jié)果顯示，70.70%的公眾擔(dān)心“健康碼后臺數(shù)據(jù)安全性”；62.03%的公眾認(rèn)為“健康碼存在信息過度收集的現(xiàn)象”；58.44%的公眾懷疑“健康碼算法的準(zhǔn)確性”；49.18%的公眾因?yàn)槊看问跈?quán)登錄“健康碼”時(shí)，個(gè)人信息都會得到再次更新，并發(fā)送給管理部門，而擔(dān)憂會因此“暴露個(gè)人隱私信息”[3]。

目前，疫情防控常態(tài)化已成必然趨勢，“健康碼”的持續(xù)使用勢在必行，所以，研究應(yīng)對“健康碼”存在的個(gè)人信息風(fēng)險(xiǎn)問題也十分緊迫且必要，不能讓助力抗擊疫情的“健康碼”成為危及全民信息保護(hù)和危害信息化社會治理健康發(fā)展的隱患。

針對“健康碼”的個(gè)人信息保護(hù)，國內(nèi)專家學(xué)者主要從倫理層面、法律層面和技術(shù)層面三個(gè)角度進(jìn)行了研究。倫理層面，楊慶峰認(rèn)為“健康碼”由于其數(shù)據(jù)活動的服務(wù)對象的特殊性，必然會遭遇數(shù)據(jù)記憶的倫理問題[4]；寧園從“健康碼”的正當(dāng)性角度出發(fā)，認(rèn)為“健康碼”是公權(quán)力對私權(quán)利的限制，但限制也要符合比例原則[5]。法律層面，程睿等解讀分析了“健康碼”個(gè)人健康信息編碼行為的法律特征、法律屬性和法律效力[6]；許可認(rèn)為“健康碼”不僅是一項(xiàng)數(shù)字技術(shù)，還是一套法律制度，并從組織法面向、行為法面向和數(shù)據(jù)法面向研究了個(gè)人信息的保護(hù)措施[7]。技術(shù)層面，國偉等基于“互聯(lián)網(wǎng)+”可信身份認(rèn)證平臺，利用網(wǎng)證安全二維碼設(shè)計(jì)新的“健康碼”方案[8]。目前國內(nèi)對于“健康碼”個(gè)人信息保護(hù)的研究多是著眼于“健康碼”某一屬性方面出現(xiàn)的問題，缺少對“健康碼”運(yùn)行的整個(gè)流程中出現(xiàn)的個(gè)人信息風(fēng)險(xiǎn)進(jìn)行研究。

因此，本文對于“健康碼”生命周期各個(gè)階段的個(gè)人信息風(fēng)險(xiǎn)進(jìn)行分析，并提出相應(yīng)的保護(hù)策略。

2 生命周期理論及“健康碼”生命周期的階段劃分

本文選擇將生命周期理論引入對“健康碼”個(gè)人信息保護(hù)策略進(jìn)行研究，一是因?yàn)椤敖】荡a”從收集個(gè)人信息到后臺管理個(gè)人信息是一個(gè)完整的運(yùn)動過程，其運(yùn)行軌跡和發(fā)展規(guī)律遵循了生命周期理論；二是因?yàn)椤敖】荡a”使用過程有明顯的階段性和周期性，可分階段進(jìn)行研究，分析出各個(gè)階段的風(fēng)險(xiǎn)并提出相應(yīng)策略。三是因?yàn)轱L(fēng)險(xiǎn)管理一般貫穿了個(gè)人信息的整個(gè)生命周期，任何一個(gè)環(huán)節(jié)發(fā)生的問題都可能影響到最終的效果，因而，需要基于全生命周期視角對其進(jìn)行研究。

2.1 電子文件生命周期理論和信息生命周期理論

2.1.1 電子文件生命周期理論及其與“健康碼”的關(guān)系

1940年，美國檔案學(xué)家菲利普·布魯克斯（Philip Brooks）首次提出了“文件生命周期”的概念：研究文件從產(chǎn)生到銷毀或永久保存的全過程、文件屬性與管理者行為之間關(guān)系的理論，是對文件運(yùn)動過程和規(guī)律的客觀描述和科學(xué)抽象。[9]1997年，國際檔案理事會電子文件委員會在《電子文件管理指南》中提出了“電子文件生命周期”的概念，并將其劃分為三個(gè)階段，即概念階段、生成階段和維護(hù)階段。[10]目前，我國主流的劃分方式是以文件價(jià)值的變化規(guī)律為基礎(chǔ)，將整個(gè)文件運(yùn)動過程劃分為四個(gè)階段（簡稱為“四分法”）：孕育形成階段、現(xiàn)實(shí)使用階段、暫時(shí)保存階段、保存階段或歷史階段。[11]

依據(jù)國家標(biāo)準(zhǔn)《電子文件歸檔與電子檔案管理規(guī)范》(GB/T 18894-2016)關(guān)于電子文件的界定，即“國家機(jī)關(guān)、社會團(tuán)體或者個(gè)人在履行法定職責(zé)或者辦理事務(wù)過程中,通過計(jì)算機(jī)等電子設(shè)備形成、辦理、傳輸和存儲的數(shù)字形式的各種信息記錄。電子文件由內(nèi)容、結(jié)構(gòu)、背景組成?！盵12]健康碼”是政府部門、單位組織在疫情防控中，通過手機(jī)小程序?qū)徍说碾娮佣S碼形式的個(gè)人健康信息記錄，以個(gè)人健康信息為內(nèi)容，電子二維碼為結(jié)構(gòu)、抗擊疫情為背景所組成。在一定程度上符合電子文件的定義，可以視為一類特殊的電子文件。“健康碼”以個(gè)人防疫信息集合為單份文件單位，在運(yùn)動過程中，其軌跡也同文件類似，由文件形成者——個(gè)人的掃碼需求的激發(fā)，形成穩(wěn)定卻獨(dú)特的價(jià)值運(yùn)動規(guī)律。因此，電子文件生命周期理論對于“健康碼”也具適用性。

2.1.2 信息生命周期理論及其與“健康碼”的關(guān)系

1985年，美國信息資源管理專家霍頓（F.W.Horton）提出信息資源遵循信息生命周期理論，他和馬錢德(D.A.Marchand) 在1986年出版的《信息趨勢：從信息資源中獲利（Infortrends:profiting from your information resources）》一書中首次提出“信息生命周期管理”的概念，將信息生命周期管理分為信息創(chuàng)建、信息采集、信息組織、信息開發(fā)、信息利用、信息清理六個(gè)階段[13]。相較于國外對信息生命周期理論的研究，國內(nèi)的研究還處于起步階段[14]：何俊等按照信息的應(yīng)用層級將信息生命周期管理劃分為信息存儲層、信息管理層和信息服務(wù)層三個(gè)層次[15]；粟湘等將生命周期管理的層級由低到高縱向劃分成存儲層、管理層和應(yīng)用層；橫向劃分為6個(gè)階段：創(chuàng)建、采集、組織、存儲、利用、清理[16]。

“信息，廣義指客觀事物存在、運(yùn)動和變化的方式、特征、規(guī)律及其表現(xiàn)形式。狹義指用來消除隨機(jī)不確定性的東西。”[17]“健康碼”是申報(bào)人員個(gè)人基本信息、健康信息、出行信息等的集合?！敖】荡a”以二維碼的形式存儲了個(gè)人信息，可以實(shí)現(xiàn)掃碼讀取信息，實(shí)現(xiàn)線上和線下的數(shù)據(jù)聯(lián)動，在這個(gè)過程中，個(gè)人信息發(fā)生頻繁、規(guī)律和定向地流動，表現(xiàn)出極強(qiáng)的規(guī)律性和階段性。因此，信息生命周期理論也適用于“健康碼”。

2.2 “健康碼”生命周期階段劃分

“健康碼”相比于一般的電子文件、信息，還有一些自身的特點(diǎn)：1.重大公共衛(wèi)生事件下被設(shè)計(jì)出并開始推行的特殊電子文件，具有防疫背景，導(dǎo)致“健康碼”在生命周期劃分上具有同質(zhì)化的趨勢，在主題上較為集中；2.以二維碼的形式記錄、存儲、展示相關(guān)信息，導(dǎo)致“健康碼”在生命周期劃分上不具有直接性，即信息存儲在二維碼容器中，而掃碼錄入是劃分生命周期的關(guān)鍵動作節(jié)點(diǎn)，線下實(shí)體的操作與線上的生命周期發(fā)展形成直接關(guān)聯(lián)；3.后臺通過分析處理采集的相關(guān)個(gè)人信息可反映出個(gè)人的健康狀態(tài)，所以后臺分析處理、儲存管理個(gè)人信息的流程步驟直接影響到了“健康碼”生命周期的階段劃分。

綜上所述，根據(jù)電子文件生命周期理論、信息生命周期理論，結(jié)合“健康碼”自身的特點(diǎn)，本文將“健康碼”的生命周期劃分為“設(shè)計(jì)階段、生成階段、處理階段、管理階段”四個(gè)階段。

3 基于生命周期理論的“健康碼”個(gè)人信息風(fēng)險(xiǎn)分析

基于前文的“健康碼”生命周期的四個(gè)階段，筆者通過閱讀相關(guān)文獻(xiàn)和分析時(shí)事案例發(fā)現(xiàn)在不同的階段，存在不同的個(gè)人信息保護(hù)潛在問題或者風(fēng)險(xiǎn)，參見圖1。對各個(gè)階段的具體風(fēng)險(xiǎn)分析如下。

圖1 基于生命周期理論的“健康碼”個(gè)人信息風(fēng)險(xiǎn)分析圖

3.1 設(shè)計(jì)階段風(fēng)險(xiǎn)

3.1.1 企業(yè)獲權(quán)問題

作為公共衛(wèi)生體系的一部分，數(shù)字抗疫本應(yīng)當(dāng)由政府主導(dǎo)。但是在設(shè)計(jì)開發(fā)“健康碼”的問題上，互聯(lián)網(wǎng)企業(yè)表現(xiàn)出了最快的反應(yīng)速度，由于其擁有龐大的用戶資源和平臺，各級政府必須依靠互聯(lián)網(wǎng)企業(yè)開展工作。在防疫背景下的政企合作中，政府先是讓與了部分公共管理權(quán)，再是允許平臺獲取了公眾的個(gè)人信息[18]。所以各地“健康碼”的背后，多是互聯(lián)網(wǎng)企業(yè)在收集和處理信息，而非政府部門。在信息化時(shí)代，個(gè)人信息背后蘊(yùn)藏的是巨大商業(yè)利益潛力，這對企業(yè)來說無疑是不可抗拒的誘惑，一旦讓企業(yè)獲權(quán)過大，形成了信息壟斷，就會產(chǎn)生不可控的風(fēng)險(xiǎn)。

3.1.2 機(jī)構(gòu)保障缺失

目前，由中央網(wǎng)信辦、工信部等政府部門和國家衛(wèi)健委等專業(yè)監(jiān)管機(jī)構(gòu)共同承擔(dān)我國個(gè)人信息保護(hù)工作，導(dǎo)致不同部門規(guī)章之間矛盾、行政執(zhí)法權(quán)責(zé)不清，不同機(jī)關(guān)沖突又難以協(xié)調(diào)[19]。因此，“健康碼”最初設(shè)計(jì)時(shí)，就缺乏一個(gè)獨(dú)立專業(yè)的個(gè)人信息保護(hù)機(jī)構(gòu)提供制度保障，無法使“健康碼”在個(gè)人信息權(quán)益和疫情防控間保持平衡。

據(jù)統(tǒng)計(jì)，世界上已有80多個(gè)國家或地區(qū)建立并投入使用專門的個(gè)人保護(hù)機(jī)構(gòu)，如歐洲數(shù)據(jù)保護(hù)委員會（European Data Protection Board，“EDPB”）和各國的個(gè)人信息保護(hù)機(jī)構(gòu)頒布了大量針對個(gè)人信息保護(hù)的聲明（Statements）、指引（Guides）和問答（FAQ）等文件[20]?？晌覈晕创_立專門的個(gè)人信息保護(hù)機(jī)構(gòu)，導(dǎo)致“健康碼”整個(gè)生命周期都缺少一個(gè)獨(dú)立的、專門的機(jī)構(gòu)進(jìn)行監(jiān)管，從而不可避免地導(dǎo)致各個(gè)階段個(gè)人信息安全風(fēng)險(xiǎn)的出現(xiàn)。

3.1.3 “散裝碼”亂象

由于各地“健康碼”標(biāo)準(zhǔn)不統(tǒng)一，一些基層組織使用免費(fèi)工具或委托開發(fā)非官方的“健康碼”，導(dǎo)致企業(yè)碼、社區(qū)碼，甚至登機(jī)口碼等“散裝碼”的出現(xiàn)，居民每次出行需要層層掃碼，且各碼收集的信息不互通、不互認(rèn)[21]。“散裝碼”現(xiàn)象的發(fā)生，在疫情最嚴(yán)峻時(shí)期存在其合理性，但在疫情常態(tài)化時(shí)期后也給公眾社會活動帶來了困擾。從深層次分析，個(gè)人信息的反復(fù)采集與“散存”，都隱藏著個(gè)人信息被濫用的巨大風(fēng)險(xiǎn)。而這些“散裝碼”由于標(biāo)準(zhǔn)混亂，管理缺失，也同樣會誘發(fā)“處理階段”和“管理階段”的個(gè)人信息安全問題。

3.2 生成階段風(fēng)險(xiǎn)

3.2.1 靜態(tài)碼生成

目前“健康碼”個(gè)人信息生成分為靜態(tài)碼和動態(tài)碼兩種方式。事實(shí)上，一定比例的“健康碼”采用的就是靜態(tài)碼方式，因而更容易造成安全隱患。靜態(tài)碼采用的是對居民的個(gè)人信息直接編碼，并通過掃碼設(shè)備顯示編碼內(nèi)容的方式，但這樣會使得個(gè)人基本信息和健康信息以明文形式編碼在二維碼中[22]。一旦“健康碼”出現(xiàn)遺失或者復(fù)制的情況，居民個(gè)人信息就會被任意掃碼設(shè)備讀取，造成個(gè)人信息被泄露。

即便采用加密方式授權(quán)相應(yīng)掃描設(shè)備才能讀取靜態(tài)“健康碼”，也無疑加大了工作難度，并且難以辨別人與“健康碼”是否一致。此外，靜態(tài)碼的加密算法出現(xiàn)漏洞時(shí)，也會導(dǎo)致解密后個(gè)人保密信息被泄露。

3.2.2 知情同意原則被虛置

知情同意原則是個(gè)人信息保護(hù)的根本原則，即信息處理主體在收集個(gè)人信息時(shí)，需履行告知義務(wù)，征得個(gè)人信息主體明確、具體的同意[23]。在我國《網(wǎng)絡(luò)安全法》《民法典》《信息安全技術(shù)個(gè)人信息安全規(guī)范》中，知情同意原則都被認(rèn)為是個(gè)人信息處理的必要前提。然而，“健康碼”的實(shí)際使用不受知情同意原則的限制。雖然“健康碼”是公民自愿申領(lǐng)的，但由于“健康碼”是防疫背景個(gè)人活動所必需的，所以現(xiàn)實(shí)中“健康碼”具有強(qiáng)制性，且沒有給公眾留出是否同意提交個(gè)人信息的空間。

3.2.3 最小必要原則被逾越

最小必要原則要求信息處理主體所收集的信息僅為實(shí)現(xiàn)特定目的所必需的個(gè)人信息，所涉及的信息應(yīng)在目的實(shí)現(xiàn)后刪除[24]。在“健康碼”實(shí)際使用中，重復(fù)收集個(gè)人信息的現(xiàn)象十分猖獗，個(gè)人信息收集范圍過大。例如，北京市、上海市“健康碼”都需要個(gè)人面部識別，公眾必須提交面部信息和虹膜信息。然而武漢、長沙等城市的“健康碼”，都沒有強(qiáng)制性的面部識別。這一區(qū)別可以說明，面部識別并不是“健康碼”正常使用的必要前提，防疫目的的達(dá)成并不以面部、虹膜信息收集為必要。

3.2.4 透明原則被忽視

《網(wǎng)絡(luò)安全法》第41條明確提出信息處理主體在采集、處理個(gè)人信息時(shí)，需遵循透明原則，公開信息采集、處理規(guī)則，明示采集、處理信息的目的、方式和范圍。然而，標(biāo)準(zhǔn)和算法不透明的問題仍出現(xiàn)在“健康碼”的生成階段中。個(gè)人信息分析比對的原理，算法的標(biāo)準(zhǔn)及其偏差性，等等，上述過程形成信息“黑箱”，公眾均無從獲知，因此，公眾無法對生成過程中使用的個(gè)人信息進(jìn)行查詢和更正，只能通過系統(tǒng)的申訴渠道對“健康碼”的結(jié)果提出異議[25]。透明原則的忽視也為“處理階段”個(gè)人信息被違規(guī)處理和過度處理的行為蒙上了黑幕，導(dǎo)致“健康碼”在“處理階段”的個(gè)人信息管理風(fēng)險(xiǎn)大幅上升。

3.3 處理階段風(fēng)險(xiǎn)

3.3.1 信息處理主體行為不規(guī)范

“健康碼”的正常運(yùn)行有賴于政府部門、互聯(lián)網(wǎng)企業(yè)、基層組織（商場、社區(qū)、火車站等）和工作人員的協(xié)同管理。協(xié)同管理模式促使“健康碼”迅速在全國范圍內(nèi)推行使用，但這種模式往往也最容易導(dǎo)致個(gè)人信息處理不規(guī)范風(fēng)險(xiǎn)發(fā)生[26]。

另外，現(xiàn)實(shí)中企業(yè)、學(xué)校、社區(qū)等基層單位組織負(fù)責(zé)“健康碼”的查驗(yàn)工作，負(fù)責(zé)執(zhí)行對公眾個(gè)人信息的收集。由于“健康碼”開發(fā)難度低，平臺多，無法保證這些基層組織都不會擅自通過“健康碼”收集并違規(guī)處理個(gè)人信息。如果不對此加以規(guī)范，互聯(lián)網(wǎng)企業(yè)將以“健康碼”作為幌子，進(jìn)行非法地個(gè)人信息處理。此外，透明原則被忽視的現(xiàn)象也導(dǎo)致公眾基本無法查驗(yàn)信息處理主體的處理資格。

3.3.2 個(gè)人信息過度處理

“健康碼”的使用是具有強(qiáng)制性的個(gè)人信息處理活動，本質(zhì)上以維護(hù)公共衛(wèi)生安全為目的，限制個(gè)人信息權(quán)益，所以需具備正當(dāng)?shù)姆绞胶湍康?，處理個(gè)人信息時(shí)也需盡可能保持克己謹(jǐn)慎[27]。但在社會治理和電子政務(wù)方面，因?yàn)閭€(gè)人信息資源潛力巨大，加之國家監(jiān)管薄弱，不少地方政府嘗試突破防疫目的，升級改造“健康碼”，如此前飽受詬病的杭州“變色碼”和蘇州“文明碼”?！敖】荡a”是一種新型信息化防疫工具，個(gè)人信息處理應(yīng)在防疫的特定背景下進(jìn)行，而“變色碼”和“文明碼”卻試圖突破職能范圍邊界，將個(gè)人信息過度處理，脫離疫情防控對個(gè)人健康、文明評級的初衷，不僅無法實(shí)現(xiàn)預(yù)期目標(biāo)，反而會導(dǎo)致公眾對個(gè)人隱私泄露、政府治理越界的擔(dān)憂與批判。

3.4 管理階段風(fēng)險(xiǎn)

3.4.1 互聯(lián)互通管理黑洞

半年來，各省紛紛啟動了“健康碼”信息互聯(lián)互通，但與之相伴的是人們對信息安全的擔(dān)憂。當(dāng)各省各地完成“健康碼”互認(rèn)機(jī)制的建設(shè)，全面實(shí)行互聯(lián)互通，異地異碼個(gè)人信息信任問題將通過技術(shù)手段解決，但不同的“健康碼”上記錄的個(gè)人信息的流動管理或?qū)⒆呦蛞粋€(gè)管理黑洞[28]。特別是在互聯(lián)互通管理機(jī)制仍未健全的情況下，“健康碼”上個(gè)人信息在跨區(qū)域流動和流轉(zhuǎn)過程中存在被竊取、被泄露的可能，容易造成個(gè)人信息安全風(fēng)險(xiǎn)。

3.4.2 工作人員行為失責(zé)

“健康碼”中記錄了大量公眾個(gè)人基本信息和健康信息，這些信息具有極高的價(jià)值。工作人員是“健康碼”個(gè)人信息最直接的接觸者，由于管理制度不完善，管理人員法治意識淡薄，侵權(quán)行為及懲罰措施不明確，工作人員的行為往往會出現(xiàn)失責(zé)現(xiàn)象。相關(guān)管理人員被利益驅(qū)使，幫助不法分子在系統(tǒng)、信息庫中設(shè)置木馬對信息進(jìn)行采集，通過未被授權(quán)的訪問，對“健康碼”信息進(jìn)行竊取或篡改。也有部分工作人員缺乏隱私保護(hù)意識、法律意識，憑借員工賬號登錄系統(tǒng)，肆意瀏覽居民的隱私信息，甚至通過復(fù)制和售賣居民隱私信息已獲得經(jīng)濟(jì)利益。而工作人員擅自在網(wǎng)上散布公眾的“健康碼”隱私信息，使公眾遭受網(wǎng)絡(luò)暴力等現(xiàn)象也層出不窮[29]。

4 “健康碼”個(gè)人信息保護(hù)策略

面向“健康碼”生命周期的每個(gè)階段，個(gè)人信息風(fēng)險(xiǎn)按照類別可以被劃分為原則風(fēng)險(xiǎn)（知情同意原則被虛置、最小必要原則被逾越、透明原則被忽視）、制度風(fēng)險(xiǎn)（企業(yè)獲權(quán)問題、機(jī)構(gòu)保障缺失、“散裝碼”亂象、信息處理主體行為不規(guī)范、個(gè)人信息過度處理、工作人員行為失責(zé)）、技術(shù)風(fēng)險(xiǎn)（靜態(tài)碼生成、互聯(lián)互通管理黑洞）。如圖2所示，根據(jù)這些風(fēng)險(xiǎn)，要保護(hù)“健康碼”個(gè)人信息安全，可以從強(qiáng)化原則、完善制度、升級技術(shù)三個(gè)角度出發(fā)完善“健康碼”個(gè)人信息保護(hù)策略。

圖2 “健康碼”個(gè)人信息保護(hù)策略圖

4.1 強(qiáng)化原則

4.1.1 強(qiáng)化知情同意原則

個(gè)人信息保護(hù)中的知情同意原則，是指任何主體在對個(gè)人信息進(jìn)行收集和處理之前需向個(gè)人說明收集、處理信息的詳細(xì)情況，并征得個(gè)人的同意[30]。知情同意原則可細(xì)化為“知情”和“同意”，先“知情”后“同意”，即知情后作出的同意才有合法效力?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2017）強(qiáng)調(diào)必須是在知情前提下自愿作出的同意；必須以明確的語言和確定的動作等方式作出對個(gè)人信息的同意[31]?！逗贾萁】荡a開發(fā)運(yùn)行規(guī)范管理辦法》也指出“健康碼”運(yùn)行的必要前提之一是公眾個(gè)人的授權(quán)同意[32]。所以“健康碼”申報(bào)頁面是否有完善的知情同意、隱私保護(hù)條款是“健康碼”正常運(yùn)行的前提，政府應(yīng)進(jìn)行嚴(yán)格查處未設(shè)置用戶協(xié)議和隱私政策的“健康碼”并勒令其整改，杜絕知情同意原則被虛置的現(xiàn)象再次發(fā)生。

但在為確保防疫系統(tǒng)的正常運(yùn)作、保障公共衛(wèi)生安全的特殊情況下，“健康碼”的個(gè)人信息處理可豁免于同意原則。《信息安全技術(shù) 個(gè)人信息安全規(guī)范》指出當(dāng)個(gè)人信息處理在涉及重大公共利益時(shí)，不用獲得公眾個(gè)人的授權(quán)同意[33]?！睹穹ǖ洹返?036條也將以保護(hù)公共利益為目的的違法個(gè)人信息處理行為可免責(zé)[34]。但這只是對防控疫情、保護(hù)公共利益的政府部門有效，基層組織、個(gè)人等依舊應(yīng)當(dāng)遵守知情同意原則，在沒有公眾同意的情況下不得私自收集、散布確診、疑似、密接人員的個(gè)人信息。

4.1.2 強(qiáng)化最小必要原則

最小必要原則要求信息處理主體所處理的個(gè)人信息的范圍和期限必須以實(shí)現(xiàn)特定目的為必要，“最小”是指處理的個(gè)人信息范圍最小、期限最短，界定“最小”則以是否為實(shí)現(xiàn)特定目的所必須為標(biāo)準(zhǔn)[35]。所以無論是對象范圍，還是信息范圍，都應(yīng)滿足最小范圍原則(最小化要求)。即有關(guān)部門對個(gè)人信息的收集，應(yīng)限定在疫情防控的目的之內(nèi)，并且不得超出合理關(guān)聯(lián)的范圍。例如，有關(guān)部門可以收集確診或疑似病例的基本信息和相關(guān)的醫(yī)療信息，但是不應(yīng)收集與防疫無關(guān)的隱私信息，同樣患者也有權(quán)拒絕提供私密性的無關(guān)信息[36]。

個(gè)人信息公開與否以及公開程度也應(yīng)遵循最小必要原則，防止侵犯個(gè)人信息主體的合法權(quán)益。所以，在防疫要求下只能公開確診病例的信息，且公開的內(nèi)容和范圍不能具有身份識別性。換句話說，政府需要加強(qiáng)“健康碼”中個(gè)人信息的脫敏處理，將可以識別個(gè)人身份的敏感信息從中分離。

4.1.3 強(qiáng)化透明原則

為保證“健康碼”個(gè)人信息安全，政府要保證個(gè)人信息處理的公開透明，具體包括下述幾個(gè)方面：第一，政府要充分列出和說明個(gè)人信息處理的范圍、類型和必要性，包括個(gè)人信息與“健康碼”狀態(tài)變化的關(guān)系，尤其應(yīng)詳細(xì)說明公眾出行等事項(xiàng)受“健康碼”狀態(tài)受影響所產(chǎn)生的限制，以引導(dǎo)公眾[37]。第二，政府應(yīng)當(dāng)公開“健康碼”運(yùn)作的算法邏輯，即政府應(yīng)告知公眾“健康碼”進(jìn)行跟蹤監(jiān)測的工作原理，包括不同場景下個(gè)人信息分析原理等[38]。第三，政府應(yīng)向公眾明確“健康碼”個(gè)人信息處理的防疫目的，如什么情況下僅用于呈現(xiàn)個(gè)人健康狀態(tài)，什么情況下用于跟蹤監(jiān)測患者。第四，政府應(yīng)當(dāng)對“健康碼”中所記錄的公眾個(gè)人信息的管理方式進(jìn)行說明，如管理模式、管理期限等，以及疫情結(jié)束這些信息將如何處理。第五，政府應(yīng)向公眾詳細(xì)講解“健康碼”的信息保護(hù)技術(shù)和措施，減輕公眾對個(gè)人信息安全的擔(dān)憂。

4.2 完善制度

4.2.1 制定規(guī)范性文件和政策法規(guī)

第一，法律層面。世界各國個(gè)人信息立法模式主要分為兩種：分散立法模式和統(tǒng)一立法模式[39]。我國現(xiàn)在實(shí)施的是分散立法模式，但這種模式在我國個(gè)人信息保護(hù)工作中導(dǎo)致各部門間推脫責(zé)任，執(zhí)法機(jī)構(gòu)主體不明，造成了“踢皮球”的局面。在此背景下，我國應(yīng)改用統(tǒng)一立法模式，將個(gè)人信息保護(hù)以基本法的形式寫入法律，出臺一部專門、獨(dú)立、系統(tǒng)的《個(gè)人信息保護(hù)法》，運(yùn)用國家強(qiáng)制力對法律的規(guī)定采取保障措施。

第二，行政法規(guī)層面。目前，我國針對個(gè)人信息保護(hù)的法規(guī)散落于《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《民法典》等法律文件中，內(nèi)容高度精煉、可實(shí)施性難度大、保護(hù)力度有限。我國應(yīng)該在整體立法基礎(chǔ)上，對分布于各法律文件中的相關(guān)法規(guī)進(jìn)行細(xì)化說明，不斷修訂和完善相關(guān)法律條款；同時(shí)學(xué)習(xí)和借鑒國外地區(qū)制定的相應(yīng)政策，出臺專門的政策法規(guī)，細(xì)化“健康碼”在設(shè)計(jì)、生成、處理、管理等全生命周期的個(gè)人信息保護(hù)舉措，針對每個(gè)階段的個(gè)人信息泄露風(fēng)險(xiǎn)點(diǎn)，建立健全完善的法規(guī)保護(hù)體系。

第三，部門規(guī)章層面。各部門應(yīng)依據(jù)個(gè)人信息保護(hù)有關(guān)法律法規(guī)，結(jié)合部門實(shí)際情況制定相應(yīng)“健康碼”個(gè)人信息保護(hù)部門規(guī)章，規(guī)范信息安全和個(gè)人信息保護(hù)有關(guān)措施，加大監(jiān)管力度，杜絕信息泄露、信息濫用等違規(guī)行為出現(xiàn)。

第四，規(guī)范性文件層面。為防范“健康碼”個(gè)人信息采集和處理中存在的風(fēng)險(xiǎn)，落實(shí)規(guī)范性文件的必要性不言而喻。一方面，政府出臺技術(shù)標(biāo)準(zhǔn)類規(guī)范性文件，統(tǒng)一采集個(gè)人信息的形式標(biāo)準(zhǔn)，減輕不同“健康碼”采集信息的差異，建立安全的個(gè)人信息流轉(zhuǎn)和共享路徑，將個(gè)人信息采集和處理的風(fēng)險(xiǎn)可能降到最低[40]。另一方面，政府有必要通過制定規(guī)范性文件，確定信息權(quán)力，明確信息權(quán)力的主體和具體內(nèi)容，以防信息權(quán)力主體、邊界、時(shí)限不明對公眾造成個(gè)人信息安全、公共安全的風(fēng)險(xiǎn)疊加[41]。

4.2.2 建立個(gè)人信息保護(hù)機(jī)構(gòu)

徒法不足以自行，所以，“健康碼”的制度平衡還需要依靠機(jī)構(gòu)保障，即專門的“個(gè)人信息保護(hù)機(jī)構(gòu)”。在抗疫背景下，個(gè)人信息保護(hù)機(jī)構(gòu)的職責(zé)主要應(yīng)包括：第一，解讀“健康碼”個(gè)人信息保護(hù)相關(guān)的法律、行政法規(guī)、部門規(guī)章、規(guī)范性文件等，遏制政府的擴(kuò)張解釋；第二，監(jiān)管個(gè)人信息保護(hù)工作的各個(gè)階段，檢查個(gè)人信息保護(hù)技術(shù)的落實(shí)、評估防疫措施的合法性和可行性、提供咨詢指導(dǎo)；第三，調(diào)查“健康碼”使用過程中各單位組織發(fā)生的違法、違規(guī)行為，個(gè)人信息保護(hù)機(jī)構(gòu)可聯(lián)合公安部門采取現(xiàn)場勘查、備份有關(guān)資料、詢問涉案人員等措施，對違法單位組織依法處置和追責(zé)；第四，公民有權(quán)向個(gè)人信息保護(hù)機(jī)構(gòu)舉報(bào)侵犯個(gè)人信息利益的行為，個(gè)人信息保護(hù)機(jī)構(gòu)應(yīng)要求涉事組織作出回應(yīng)，甚至幫助公民向法院提起訴訟，如有掌握犯罪證據(jù)的，應(yīng)聯(lián)系公安機(jī)關(guān)追究其刑事責(zé)任。[42]

4.3 升級技術(shù)

4.3.1 動態(tài)碼替代靜態(tài)碼

靜態(tài)碼形式所隱含個(gè)人信息風(fēng)險(xiǎn)問題不可忽視，所以為了保護(hù)個(gè)人信息安全，個(gè)人信息不宜以明文編碼的形式存在“健康碼”中，應(yīng)逐步用動態(tài)碼替代靜態(tài)碼。若是動態(tài)碼無法完全替代靜態(tài)碼，至少“健康碼”中的個(gè)人隱私信息應(yīng)改用動態(tài)碼方式，即呈現(xiàn)個(gè)人隱私信息的電子二維碼并非是不變的，而是一次性的。公眾個(gè)人信息或健康狀態(tài)發(fā)生變化時(shí)，電子二維碼也會相應(yīng)地更新；公眾在每次重新登陸“健康碼”系統(tǒng)，或者出示“健康碼”頁面時(shí)，電子二維碼都會重新變化。掃描設(shè)備每次讀取的都是一個(gè)新的電子二維碼，以降低個(gè)人隱私信息的二維碼被他人泄露、盜用、冒用的風(fēng)險(xiǎn)。

4.3.2 構(gòu)建信息數(shù)據(jù)協(xié)同平臺

國家政務(wù)服務(wù)平臺已經(jīng)開始大力推進(jìn)“健康碼”統(tǒng)一政策、統(tǒng)一標(biāo)準(zhǔn)、全國互認(rèn)、一碼通行，那勢必需要建立一個(gè)信息協(xié)同管理平臺。構(gòu)建信息數(shù)據(jù)協(xié)同管理平臺，有助于不同部門信息的有機(jī)整合，提高信息的決策效率和執(zhí)行效果[43]。在各省各碼的信息數(shù)據(jù)在完成互認(rèn)互信后，統(tǒng)一上傳至信息數(shù)據(jù)協(xié)同管理平臺的信息數(shù)據(jù)中心進(jìn)行儲存管理。個(gè)人信息無需跨區(qū)域流轉(zhuǎn)，各省可以直接通過信息數(shù)據(jù)協(xié)同管理平臺從信息數(shù)據(jù)中心讀取查詢相應(yīng)信息，減少信息在流轉(zhuǎn)過程中的泄露風(fēng)險(xiǎn)。

5 總結(jié)

在當(dāng)前疫情防控常態(tài)化的背景下，“健康碼”作為疫情防控的中流砥柱，必然將大有作為。甚至在“后疫情時(shí)代”中，“健康碼”依舊能作為一種健康保障手段而占有一席之地。然而，個(gè)人信息安全是“健康碼”能否繼續(xù)作為抗擊疫情的有力武器而非危及公眾信息安全和危害信息化社會治理穩(wěn)定性的隱患的關(guān)鍵所在。生命周期理論已成為認(rèn)識和研究信息資源管理和利用的一種方法和獨(dú)特視角[44]。通過引入生命周期理論，結(jié)合“健康碼”個(gè)人信息保護(hù)特性，提出“健康碼”全生命周期各個(gè)階段個(gè)人信息保護(hù)策略，為我國疫情防控以及重大公共衛(wèi)生事件下的個(gè)人信息保護(hù)提供參考和建議。