從防疫健康碼談公民個人信息的利用與保護

鄧健雅，顧加棟

南京醫科大學馬克思主義學院，江蘇 南京 211166

為了應對新型冠狀病毒感染的肺炎（簡稱新冠肺炎）疫情，2020年2月11日，浙江省杭州市率先推出防疫健康碼管理模式。截至2020年3月5日，騰訊防疫健康碼上線25 天，累計亮碼已經突破10 億次，覆蓋超過8 億人口，累計訪問量43 億。事實表明，防疫健康碼在疫情動態防控以及精準有序地復產復工中發揮了巨大作用。在防疫健康碼的推行使用中，有網友質疑防疫健康碼會泄露個人信息。對此，杭州安恒信息技術股份有限公司首席科學家劉博表示，健康碼在用戶上傳的個人信息頁面設置有加密措施，他人無查看權限［1］。不過，信息數據泄露風險的發生具有潛在性和不可知性，加密措施也并非萬無一失，在社會治理中的大數據運用，我們不能忘記公民個人信息的安全保護。

一、防疫健康碼的數據基礎及潛在風險

防疫健康碼依托來自于衛生健康、公安、交通管理等政府部門匯聚的數據，借助防控規則運用數據建模，分析評估后，測算出公民個人的風險狀態并且以紅、黃、綠三種顏色區分風險高低。“紅碼”代表持有人未解除醫學管理措施、確診未出院、疑似未排除等；“黃碼”代表持有人來自重點地區且未滿14 天；“綠碼”代表持有人未見異常或已解除醫學管理措施。防疫健康碼的顏色是常態化防控期間，國內有關單位或場所進行分類分級別管理的主要依據。

除政府部門的有關數據，防疫健康碼同時需要公民提供詳細的個人信息。本質上說，防疫健康碼是公民個人健康信息、行蹤信息與大交通數據、大健康數據相結合，并基于一定的模型分析而產生的數據信息。以南京防疫健康碼“寧歸來”為例，“寧歸來”二維碼獲取的個人信息主要由兩部分構成。一部分信息由公民個人主動提供，包括填寫姓名、身份證號碼、手機號碼、驗證碼，進行人臉識別，輸入密碼，完成注冊，并且登記抵寧日期、來寧返寧事由、住址區域及家庭住址、住房性質、工作單位、有無接觸新冠肺炎確診或疑似病例、有無咳嗽發燒癥狀。另一部分信息則通過數據追蹤分析獲得，如持有“寧歸來”二維碼的公民前往某一區域，通過空間、時間等分析測算，評估風險，其二維碼狀態就會發生相應變化。

所謂“敏感”是對特定的因素具有高反應度，個人信息的敏感度描述的是個人信息對信息主體造成傷害或影響的程度［2］。顯然，人臉特征、行蹤軌跡、個人住址、工作單位、身份證號都屬于較為敏感的個人信息，這些個人信息的安全性為社會大眾廣為關注，這些信息如果泄露或被濫用，很可能危及公民人身、財產安全。

伴隨著防疫健康碼的全面推廣，全國人民的個人信息數據都會被采集，這對于疫情防控作用巨大，對于我國的健康醫療大數據事業發展無疑也能起到很好的促進作用。與此同時，我們需要探析公民個人信息使用應當遵循的原則，對個人信息使用邊界、使用者個人信息保護義務等問題進行必要的研究。

二、公民個人信息及相關權利義務

關于公民“個人信息”的內涵，《網絡安全法》第七十六條以及最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第一條中均有規定。兩項法律規定既有區別，又有共同點。區別在于，兩者所列舉的個人信息類型不盡相同，《解釋》中闡述的個人信息，除了“識別自然人個人身份的各種信息”，還包括了“反映特定自然人活動情況的各種信息”。而共同點則是個人信息應該具有的可識別性。個人信息概念強調“識別性”，凡是能夠識別特定個人的信息，無論是直接識別還是間接識別，均為個人信息［3］。如果一位患者在醫院診療而形成了病歷數據，該數據被技術處理而去識別化，僅憑借經技術處理后的電子數據，任何人都無法知曉該數據屬于某一位具體的患者，那么這些數據即不再屬于公民個人信息。

關于公民個人信息保護，早在2000年11月出臺的《互聯網電子公告服務管理規定》就規定了電子公告服務提供者對用戶個人信息負有保密義務，對于違反該義務的，電信管理機構有權責令改正，服務提供者給用戶造成損害或者損失的，依法承擔法律責任。而在此前，《刑法修正案（七）》（自2009年2月28日起施行），增設“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，將非法獲取、出售、提供公民個人信息的行為納入刑事規制范圍。誠如有學者指出的一樣，我國對公民個人信息的保護早期定位在公民權利的層面。國家政府和信息機構有保護公民個人信息安全的責任，公民也有捍衛個人信息的自由［4］。根據《刑法》《網絡安全法》等法律的規定，除非法律、行政法規另有規定的，公民對其個人信息有提供或者不提供的權利，即便是經過公民同意而依法獲得的個人信息，也應當根據法律規定或與公民個人的約定使用個人信息，且不得損害公民的個人利益。

在私權利層面，人們早期將公民個人信息與個人隱私保護聯系在一起。因為，公民個人信息被侵犯所帶來的常見后果是個人安寧生活狀態受到破壞，涉及公民個人信息民事侵權的，歸入侵犯隱私權或侵犯人格尊嚴權的范疇。《民法總則》出臺之后，公民個人信息被獨立作為一項民事權利客體看待，即“個人信息權”。何謂個人信息權？王利明教授將其界定為，收集、處理和使用在內的整個過程中，個人信息主體所享有的知情權和決定權［5］。也有學者指出，公民對其個人信息有獲得受益的權利。劉德良［6］認為隨著信息技術和互聯網絡的發展，個人信息的商業價值日漸突顯。張新寶［7］認為現代信息處理技術之下，個人信息所蘊含的公共管理價值和商業價值，將成為公私機構不當收集、處理、利用和傳輸個人信息的巨大誘因。此外，也有觀點認為，去識別化的個人信息已經轉化為數據資源，屬于公共資源，個人不能因此受益。不過，客觀上說，在大數據產業發展的背景下，個人信息已成為一種潛在的、可以被挖掘的資源，有償出讓某些有商業價值的個人信息也成為可能。譬如，個人的特殊基因信息、生活習慣信息、飲食信息、用藥信息等，對于某些基因藥物的研發是不可或缺的，研發者只有獲得公民個人的全面配合，才能保證信息的真實、詳盡，研發也才可能成功。這種情況下，保護公民個人信息的受益權是研發成功的必要條件。

同時，法律對于公民個人信息的保護也是有邊界的。基于公共利益保護的需要，公民應當如實提供個人信息。《傳染病防治法》第十二條之規定就強制個人接受有關傳染病的調查、檢驗等并如實提供有關情況。在此次新冠肺炎疫情中，根據《中央全面依法治國委員會關于依法防控新型冠狀病毒感染肺炎疫情切實保障人民生命健康安全的意見》的要求，很多省級地方人大常委會通過地方立法的途徑，將隱瞞個人病情、隱瞞疫情嚴重地區旅居、隱瞞與患者或者疑似患者接觸等信息的，列入違法行為，并要求依法嚴格追究相應法律責任。概括地說，所有公民有如實提供疫情防控相關個人信息的義務。如何看待防疫健康碼中公民個人信息的使用？作為一項新型社會治理模式，還沒有任何法律或行政法規對與此相關的個人信息提供義務作出專門規定。好在，防疫健康碼系基于個人申請獲得，當公民進行相關操作時就視為其自愿如實地提供或允許利用相關個人信息。

基于上述分析，不難看出，現代社會應當特別關注公民個人信息權利保護。因公共事務需要收集、使用公民個人信息的，應當嚴格遵循法律規定、符合立法本義，防疫健康碼對公民個人信息的收集、使用也不例外。

三、防疫健康碼收集、使用個人信息的應有原則

（一）合法原則

防疫健康碼對防疫的積極作用毋庸置疑。但是，有關主體也應當高度關注個人信息的合法收集和使用。合法原則要求收集個人信息的行為、方式應具備合法性基礎，并用于合法的目的。《民法總則》第一百一十一條規定要獲取個人信息的應當“依法取得”。《網絡安全法》第四十一條明確收集、使用個人信息，應當遵循“合法、正當、必要”的原則。疫情期間，習近平總書記強調：“實踐告訴我們，疫情防控越是到最吃勁的時候，越要堅持依法防控，在法治軌道上統籌推進各項防控工作全面提高依法防控、依法治理能力，保障疫情防控工作順利開展，維護社會大局穩定。”［8］保障疫情防控工作順利開展的防疫健康碼收集、公民個人信息的使用，應當符合法律法規以及其他具體法律條款，例如《網絡安全法》以及《民法總則》《消費者權益保護法》《電子商務法》的個人信息保護條款。

（二）必要原則

2020年2月4日中央網信辦發布的《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，要求疫情期間收集他人信息應當堅持最少收集原則，只能對疫情防控所必需的信息進行收集。防疫健康碼在收集、使用個人信息時應當以滿足使用為限，如果防疫健康碼程序能夠讀取手機聯系人、短信等顯然就超出了必要的限度。同時，使用個人信息應當確保收集、使用信息的方式、手段等對信息主體的損害是最小的，信息的使用與要達到的目的之間應當是相適應的。目的、手段、損失之間應該保持適當的比例，否則就會造成利益的失衡，從而違背了必要原則［9］。例如早期披露的信息中包含了確診和疑似患者的年齡、性別、居住小區以及行蹤軌跡，這種無限度詳盡曝光個人信息，將會給信息主體造成嚴重損害，也遠遠逾越了必要限度。相比之下，防疫健康碼只通過不同的顏色顯示公民個人的風險狀態，避免直接披露公民個人信息，更加符合必要原則。

（三）目的限制原則

目的限制原則要求使用個人信息的行為應當具有特定、明確的目的，收集、使用個人信息，以該目的為限，不得超出目的使用。1967年，美國學者艾倫·威斯（Alan F.Westin）首先在其著作《隱私與自由》（Privacy and Freedom）中提出政府所收集的個人信息，只能用于特定目的，不得用于其他目的或者進一步流轉。《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》中明確：“為疫情防控、疾病防治收集的個人信息，不得用于其他用途。”疫情期間，安徽省蚌埠市數據資源局資源中心主任張銳明確向媒體表示所有收集到的數據均匯集在市政府數據機房，不會存儲在商業機構中，所有收集的居民信息只限用于市疫情管理［10］。因此，防疫健康碼在使用個人信息時也不得超出防控疫情的目的。

（四）知情同意原則

知情同意原則要求收集、使用個人信息應當告知信息主體收集和使用信息的范圍、目的、方式等，而信息主體做出明示或者默示“同意”的意思表示。個人信息與個人的安寧生活相聯系，具有一定的人身屬性，除法律特別規定以外，信息的收集與使用應當獲得信息主體的同意。

知情同意包括“知情”和“同意”兩個要素，“知情”是對事物的認知，“同意”是對該事物的判斷。信息主體應在對個人信息收集和利用的行為充分了解和正確認識的前提之上，自愿作出同意的決定。防疫健康碼是基于公民的申請獲得的，其在收集和使用個人信息時應當進行充分的告知，進行隱私政策提示，闡述如何收集、使用及儲存個人信息，用戶做出同意的意思表示，例如點擊“同意”的選項按鈕后，繼續填寫相關信息。但是目前一些防疫健康碼，例如“寧歸來”，在用戶填寫個人信息時并沒有作出相關提示。此外，一些軟件在使用前即便列明隱私政策，這些隱私政策對用戶而言也可能冗長、晦澀，導致用戶可能不愿意閱讀。防疫健康碼在保證用戶的知情同意權上還有待提高。

（五）利益平衡原則

從法學角度講，利益是個人單獨追求的，或者是在集體形式的社會中需要通過謀求從而得到滿足的一種欲望或要求，因此在進行個人行為安排或者社會關系調整時，必須考慮到人類主體的欲望或要求，從而實現社會的一種和諧狀態［11］。利益之間必然存在沖突，而利益平衡原則是對相互沖突的利益進行評價與選擇，使利益處于相互制約、相互和平的狀態。個人信息與信息主體的人格權息息相關，但同時個人信息對于國家治理、公共管理、文化教育等利益的實現同樣具有重要意義。個人信息權與其他權益乃至公共安全之間出現沖突時，應當平衡個人信息權和其他權益的關系。最高法《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第十二條列出了“為促進社會公共利益且在必要范圍內使用個人信息不承擔民事責任”，顯然，通過限制個人信息權實現公共安全是合法合理的，但是這種限制也不能超過必要的限度，比如為防控疫情而肆意披露患者的隱私顯然不符合利益平衡原則。防疫健康碼對個人信息的收集與使用不得超出與其所實施疫情防控措施相對應的范圍。

（六）安全保護原則

防疫健康碼收集和使用的人臉特征、行程信息、家庭住址等，都是非常私人和敏感的信息，在日常生活中人們一般很少提供。這些信息一旦被泄露或者被濫用，將對信息主體的正常生活造成不利影響，收到“騷擾電話”和“垃圾短信”就是個人信息泄露帶來的常見不良后果。同時，信息使用者愈大規模地使用個人信息，信息主體對于個人信息保護的訴求愈強烈［12］。因此，信息使用者應當負有相應的個人信息保護義務，采用適當的行政措施、物理和技術保障以確保個人信息不會丟失或者未經授權被獲取、使用、破壞、修改或披露。中央網信辦出臺《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》也明確要求，“收集或掌握個人信息的機構要對個人信息的安全保護負責，采取嚴格的管理和技術防護措施，防止被竊取、被泄露。”

四、風險防范與責任追究

疫情期間，部分新聞媒體在未經他人同意的情況下對個人信息進行直接披露，部分人在微信群或者朋友圈中對感染人群的信息進行共享。例如湖南省益陽市赫山區衛生健康局黨組成員、副局長舒慶國，將涉患者及其親屬等個人隱私信息的電子版內容通過微信進行轉發，后該報告被多次傳播，引起部分市民恐慌，舒慶國被紀委立案調查［13］。以上行為都對公民個人信息權造成了嚴重損害。防疫健康碼在使用個人信息時存在的典型風險包括信息泄露以及超出目的使用。為了防范相關風險，信息收集、使用者應當經過相關法律法規培訓，樹立責任意識，明確對個人信息的使用范圍、使用權限以及保護責任，明確個人信息收集、使用工作的流程規范，采取有效技術、監管措施，例如嚴密的訪問控制、審計、加密等措施，確保個人信息數據的安全。

防疫健康碼收集、使用個人信息以防控疫情為目的，因此在信息主體填寫個人信息時，應當明確告知其所填寫個人信息僅用于疫情防控。當疫情結束后，這些個人信息應當及時刪除，信息主體也有權要求信息使用者在特定目的得到實現后，刪除其相關個人信息。不過，基于利益平衡原則，個人信息財產價值的適度利用有利于公共管理，且防疫健康碼的投入使用也花費了一定的人力物力，對于收集的個人信息可以通過“脫敏”或“去識別化”應用于非商業且有利于公共利益的特定情況，當然這必須是在不損害信息主體權益的前提下滿足他人利益。健康醫療大數據是人民健康追求、醫療服務需求與大數據技術的有機結合體，是我國基礎性戰略資源，集合了個人全生命周期內與生命健康、醫療服務、養生保健、公共衛生等健康醫療活動相關的數據［14］。健康醫療大數據對于醫療服務效率和質量的提升，促進優質醫療資源的有效分配等有非常重要的意義，而防疫健康碼所收集的個人信息恰恰是重要的健康醫療數據，具有公益價值，在保障公民個人信息安全的前提下，將經過處理后的信息應用于公共衛生管理以及醫學科研中，有利于我國醫療衛生事業發展。但無論如何，疫情結束后，都應當妥善處理防疫健康碼所收集的個人信息，以最大限度避免安全風險。

我國法律保護公民個人信息安全，侵害公民個人信息的行為會被依法追究責任。2014年出臺的《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》，明確了利用信息網絡侵害個人信息的民事責任。2015年出臺的《刑法修正案（九）》中的“侵犯公民個人信息罪”，將《刑法修正案（七）》中“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”進行了合并，同時加大了對侵害個人信息犯罪行為的懲罰力度。2017年出臺的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》則更加明確地規定侵犯公民個人信息罪的定罪量刑標準和相關法律適用問題。2020年5月25日，全國人大常委會工作報告在下一步主要工作安排中指出，將圍繞國家安全和社會治理，制定個人信息保護法和數據安全法。

防疫健康碼在防控新冠肺炎疫情中發揮了重要作用，同時也是大數據技術在公共治理中的充分應用。大數據時代，大數據技術在提升公共治理能力、改善公共服務中擁有巨大潛力，但大數據分析也使得個人信息被侵害的可能性增大。在追求治理效率、治理效果的同時，不能忘記對個人信息權的保護，防疫健康碼在擁有“速度”和“力度”的同時，也需擁有“溫度”。