健康碼的常態化治理：個人信息應用的問題與原則探究

黃 蓉，辜良烈，盧 武

(1.廣州華商學院 新聞與傳播學院，廣東 廣州 511300；2.暨南大學 新聞與傳播學院，廣東 廣州 510632；3.江西科技學院 文化與傳媒學院，江西 南昌 330098)

0 引言

健康碼在疫情防控中發揮了強大的社會治理效能，除了用于傳染病防治與健康服務之外，還兼具數字化識別與政務服務等功能。隨著社會的常態回歸，健康碼依托現有電子政務平臺，其功能和程序設計被逐漸更新和豐富，擴展為一種更為廣泛的數字基礎設施，逐漸演化為數字政府平臺的信息入口，呈現出治理常態化和應用延展化的趨勢。但一方面，健康碼在緊急疫情防控中個人信息保護問題尚未得以有效解決，僅憑緊急事態下具有法理背書的“權益交換”而實現治理效能的辦法顯然并非長遠之計；另一方面，常態化治理下的健康碼集成更多個人及社會的數據信息，其應用功能被不斷拓展，產生更多數據活動，而個人信息隨之流動與被處理，勢必將引發關于個人信息保護的新挑戰。如何在由緊急治理轉向常態應用的語境中保持健康碼的善治與法治，是當下亟需深思的問題。為此，本文將基于常態化治理的事實語境，探究健康碼中的個人信息應用問題及原則。

(1)個人信息的權益讓渡與邊界模糊

在緊急防控背景下，以犧牲公民的個人信息權益換取疫情防控的集體奏效的“權益交換”有一定的法理依據，即公民將其部分信息自決權委托公權力代為行使，公共價值位階高于公民的個人信息法益[1]。 但隨著常態化防控的推進，這種“交換”是否應該持續？從目前情況來看，數據單位對大量數據的儲存與共享以及技術的應用尚未普遍成熟，繼續開展對個人信息的挖掘與匯集，風險和挑戰難以預估。此外，個人信息在這場“交換”中所帶來的問題已引發廣泛關注，諸如算法不透明侵犯個人隱私、處理規則不公開損害權利保障等問題。在此語境下，如何有效地推動個人信息保護與健康碼常態化運用的“齊頭并進”，并予以相關調適或解決方案，是當下健康碼參與社會治理急需回應的問題。

健康碼應用的逐步優化毫無疑問意味著國家數據化治理水平的進一步發展，但在應急防控與常態化治理的過渡階段，由于數據活動的權責認定、應用規則等法制規范尚未明確，使得個人信息流動逐漸出現越界[2]，事實上已經呈現出一種侵權但無人知曉的窘態，有學者指出，互聯網在流動意義上組織并建構起“流動空間”，“流動空間”也塑造了“流動的隱私”[3]，其根源指向的是個人信息的無序流動與邊界模糊。健康碼參與數據治理作為此類現象的典例，具有重要的理論和實踐探討價值。

(2)法律條規的規制模糊與成效有限

近年來，我國對數據活動的法制規范與倫理問題尤為關注。《民法典》中第一千零三十五條規定，數據處理要遵循“合法、正當、必要”三原則。但三原則的具體內容并無明確指向，亦有學者將“正當”理解為“理由正當”，亦有將其理解為“目的正當”，尚無法律或司法解釋的佐證，莫衷一是。在數據法領域，目前尚未有一條清晰的邏輯主線將這些原則串聯起來，導致數據活動的判斷存在較大的不確定性。

2021年6月頒布的《數據安全法》對數據活動各個階段的行為規范進一步明晰，但在現有司法判例中仍少有體現，且在具體情境中的適用標準還有待考察，致其對具體數據活動的行為認定缺乏可操作性。

健康碼在常態化治理下需要回應兩個核心問題，一是如何持續保證健康碼的社會治理效益，二是個人信息如何在參與治理中得以保護。前者從疫情的緊急防控轉向常態化治理，后者問題雖有所改善，但呈現出來的各種失范現象仍舊顯著。目前，現行的法規條例雖然對個人信息保護有所傾斜，并旨在權衡個人信息保護和數據流通價值，但尚未將個人信息權利化，而是以法益保護的路徑強調法律規定框架下的自治和協商，以此平衡個人信息保護與數據流通性之間的價值。可見，當下的個人信息保護態勢仍顯被動，處于只見“權力”不見“權利”的失衡局面。

1 健康碼常態化治理的問題考量

(1)流動與關聯：個人信息的過度使用與隱私泄露

與在公共場所不斷亮碼出行相類似，高度流動性社會處處充滿了認證，認證除了滿足基本的統計需求，更主要的是根據某些特定標準確定資質，達到資質的社會主體才被允許進行流動和動態監控[4]。健康碼的動態變動也反映出數字身份的建立是一個不斷更新充實的過程，將個人申報信息與居住地疫情實時動態的空間維度、出行頻次及路徑停留長短的時間維度以及密切接觸人員的人際關系維度等信息進行整合，生成具有個體性的動態三色二維碼。變動的數字身份實則是固定不變的資質與大量數據分析生成的動態信息相結合的數字產品。

現代可信數字身份主要依托于多元互認的標識符的關聯認證。數字身份信息不僅包含一般個人信息，也涉及個人敏感信息，唯有如此才能確保個人狀態的識別準確，以防被仿冒和偽造。隨著技術條件的變化，不斷有新種類信息被納入進來，則會產生更為緊密的信息關聯。目前，鑒于新冠病毒的傳播特性，將“健康”自然地視為人群流動交往的重要特質，并與其他信息關聯，從而生成高度結構化的、強關聯性的數字產品。數字身份的多重信息關聯使得數據應用得以實現，進而實現健康碼的多情境、多功能應用，但也極有可能在流動性的過程中引發“無感傷害”。因此，務必重新審視將人的數字身份與現實生活深度綁定的做法，防范技術治理的異化，更不能動輒以技術創新為由過度使用個人數據，導致隱私泄露。

(2)表征與運算：信息應用的規則透明與救濟保障

健康碼除了呈現一個流動關聯的數字身份之外，還在治理邏輯上滲透著醫學與政治化的雙重凝視。一方面，鑒于身體狀況的各項指標仍是健康碼治理的首要關注點，其治理成效仍舊離不開醫學權威話語體系的支撐。另一方面，在診斷決策時并非按照傳統的醫患面對面就診，而是以數字技術為中介方式，應用其決策運算規則來判斷數據身體健康與否，這就使得中介手段成為另一種凝視，即算法權力。算法作為健康碼應用延展的核心技術基礎，其參與行政治理所衍生的系列問題務必引起重視。

算法的作用并非以中立方式呈現，這點已成為共識。算法對個人信息的應用，其結果取決于它的決策結構設計。其中，認知方式、價值觀與倫理判斷均對算法結構有影響，其并非是技術保證的結果，而是現實世界的投射。加上個人信息在這個運算過程中被抽象為特定的數據符碼，區分于傳統的自然語言，它對經驗事實的表征形式和意義，只能在人為設計的結構內部被建構性地生成。因此，為了保證算法對個人信息表征的公平正義，個人信息在健康碼治理中的應用規則透明需要引起重視。

緊急時期的“健康碼”因公共利益、知情豁免而未及時公開其決策規則，諸如數據分析結果與決策之間的轉換邏輯等，呈現出一種不透明的狀態。隨著健康碼的常態化運用，其原有的“不透明性”則遭到了質疑。健康碼在延展應用過程中將擴大其覆蓋范圍，即依托先進科技對個體、社會進行全方位的監控，從生物體征到社會軌跡，從一般信息到敏感信息等，所建立起來的數據集也更加龐大。這些數據在算法中運用通過被置于特定的變量中，通過偏差值和非正常性狀來計算風險的概率，并非是對個體的實時危險做出針對性準確判斷，而概率本身也只是一個偏差值，它可以因著算法和數據庫的不同而發生改變[5]，這也充分揭示了為什么健康碼顏色會存在出錯的可能。鑒于健康碼處理的個人信息數據體量之大和運算邏輯之雜，仍需要為個體留下一定的救濟余地，通過事后追蹤、緊急救濟等方式維護個體權益。

(3)轉變與適應：信息處理的參與自愿與知情同意

在后疫情時代，健康碼的治理應用并非是社會整體性的，并非總是涉及公共安全，先前所持有的“法律背書”不再具有說服力，意味著健康碼治理價值勢必發生轉向，不再局限于緊急事態下對社會穩定、生命安全、經濟復蘇等整體性意義的追求，更需考慮不同情境下個體的特定需求，其治理價值呈現出一種個體化或多元化趨勢。

健康碼功能正在不斷更新完善，除了常有的“亮碼”“行程記錄”等防疫功能外，新增的“亮證”“法人服務”“專項服務”等個性化功能也呼之欲出，這無疑賦予了用戶更多的選擇余地，但“有選擇”并不意味著“要參與”。在常態時期，個人對健康碼的應用并強制性規定，為確保個人能適應健康碼的常態治理語境，充分保障個人權益，則應重申個人參與自愿與知情同意原則。

重申個人參與的自愿原則，本質上是個人在何種程度愿意提供何種信息與之“交換”，指向個人信息應用的邊界問題。對公民參與自愿性的保障，需要保證“知情同意”的真正實現。在大數據促成政府大轉型的當下，政府將基于職權或外部因素更加頻繁地向公民主動收集數據，處于數據活動前端的公民的知情同意往往難以實現[6]，而在后端，政府基于多樣化行政目的對數據進行多重處理，導致數據活動前端置于個體的知情同意成為流于形式的虛設，具體何種個人信息被數據主體如何應用并不知曉，處于一種失語或信息不對稱的窘態。此類現象愈發常見，健康碼延展應用中所涉及的數據活動更是一種典例。

2 健康碼常態化治理的應用原則

基于緊急時期疫情防控的特殊性，健康碼以“無形強制力”參與社會治理，將公共價值凌駕于個人價值有其法理依據。但隨著常態化防控推進，健康碼參與社會治理的“緊迫性”和“重要性”程度較前相比，有所區別。這意味著健康碼的常態化治理勢必將重新審視公共價值與個人價值的關系。在數據治理語境下，健康碼應用涉及公私兩域，“政府不可能僅出于公益目的完全支配數據，公民也不可能基于私權徹底排除政府的數據控制”[2]。因此，如何看待并調適公權中的“公共價值”與私權中的“個體價值”的權重關系，將是健康碼延展應用需要回應的基礎問題。在公私兩域，如何形成目的、手段、效果等多個行為要素與多種價值訴求相協調的權衡態勢，需在現有的法規體系中找到一個“支點”，即比例原則。

本文借助傳統比例原則的框架，根據健康碼在應用中所呈現的數據活動特征及問題，對其各階段子原則及其內涵作出一定的調整，并與其常態化治理的規范設計結合，致力于推動健康碼的進一步應用。因此，本文認為數據活動中的比例原則，應是“正當、必要、權衡”這三個子原則逐層遞進[7]，相互協調，形成一個整體化的規范體系。

(1)正當原則

正當原則作為比例原則體系的首要前提，主要針對行為目的，要求數據活動的應用目的必須合乎法律，遵從人倫道德，不得損害集體或個人的權益，且目的與行為之間存在可理解的因果聯系。倘若正當原則無法保障，這意味著行為意向本身存在瑕疵，那么其后續的必要原則、均衡原則更是無從談起。在正當原則的視野下，這要求數據主體應當清晰、明確、及時地公布數據應用目的，且該目的需具有合法性，常態化治理下的健康碼更應如此。

健康碼中儲存著大量的個人一般信息和敏感信息，極具利用價值。對于政府而言，不僅要向公眾明示哪些個人信息用于何種數據活動，有必要時可簽訂相關授權協議，更要防止“內鬼”的過度或惡意使用，造成對政府公信力的損害。隨著健康碼應用廣泛，其數據多樣性、精確性和動態性也隨之提高，經過政府處理迭代后將產生更高的利用價值，若被商業主體進行產品營銷、數據開發等用途，有違出于公共價值的初衷，且將個人對信息應用目的把握置于“無知之境”，勢必與目的正當原則相違背。

關于數據活動目的的合法性審查，不應以過嚴要求限制數據活動。審查過嚴勢必會與具體行為手段的實際效果考量相抵觸，這本該屬于后續均衡原則的審查范圍，由此造成比例原則邏輯上的錯位。此外，健康碼的廣泛應用也將使得數據更具流動性、多樣性與變動性，其衍生出來的目的有時難以預料，但這也正是數據活動的未來潛力所在。在歐盟第45/2001號法規第五條也有所規定，容許數據應用過程中產生新的附加目的，但該目的需與原始目的有一定關聯。

(2)必要原則

傳統的必要性原則認為，當存在多種方式均可實現行為目的時，應采取傷害最小者。但在數據活動中，基于數據活動的專業性、主體的多邊性和價值的多元性，要讓數據利用者舉出證據，證明其當前行為屬于可選擇范圍內對個人信息法益限制最小的選項難度極大[2]。因此應轉變思路，在確保目的符合正當原則的基礎上，審查數據主體是否有采取足夠合乎成本的義務措施，以減少數據活動對個體或集體權益的損害。

首先，政府單位以規范性文件的形式要求個人信息收集的內容標準統一，對具體在何種情況下被應用作出明確規定，避免個人信息被過度使用而損害個人權益，并向個人作出具有解釋意義的提示或聲明，確保個人知曉應用后果。在非緊急狀態下，健康碼程序不再因公共豁免而自由收集與應用個人信息，因此，標準化收集與明確提示將是后疫情時代保護個人信息安全的重要基礎。

其次，數據主體對個人信息的數據處理要做到“去識別化”。“去識別化”是指數據保有者采用技術手段，對其所保有的數據信息進行集中篩查，將其中能夠識別特定個人身份的數據信息予以刪改[8]，從而實現在保留信息特定用途價值內容的同時，降低可能對信息主體的隱私造成的威脅或損害的風險[9]。具體的“去識別化”包括對個人信息中的關鍵字段做隱蔽化處理、對存在流動或關聯的敏感信息做匿名化處理等。

此外，健康碼應用廣泛，為確保個人信息儲存與應用的安全，應盡早明確個人信息利用的有效期，設計適配的退出機制。針對已收集信息，要一改現有“只收集不利用不刪除”的數據冗余窘況，對有用信息進行脫敏處理并妥善保存，對冗余信息進行定期銷毀，完善溯源機制，實現個人信息全過程管理，并且保留用戶個人主張刪除個人信息的權利[10]。

(3)權衡原則

目的正當性原則確保數據活動的意圖不違反法律道德，行為必要性原則確保對數據主體采取足夠義務，降低數據活動對個體權益的損害。在此基礎上，進入權衡原則的審查階段，需確保正當目的所實現的價值與個體權益的減損合乎一定比例。目的價值與權益減損成為天平兩端，不宜過重傾斜于一邊，否則意味著“得不償失”或“事倍功半”，即不符合權衡性原則。

緊急疫情防控下的健康碼參與社會治理具有一定的緊迫性與嚴重性，使其承載的公共價值足夠沉重，得以與之行為造成的權益減損形成平衡，故而不易引起質疑。但在常態化語境下，健康碼的應用場景發生了轉變，作用范圍與功能也逐步拓展，數據流動與關聯也必然加強，隨之而來的權益損害非但沒有實質性地減少，甚至有增加的可能。前文分析也提到，健康碼應用價值由公共導向轉為個體多元，并非是關乎人民生命、社會財產等整體性意義。可見，健康碼應用天平兩端的目的價值與權益損害，前者傾向于減弱，后者傾向于增強，失衡之勢已成定局。

從價值實現評估來看，可對健康碼應用價值進行位階分類，以匹配相應的權益減損級別。第一種價值位階，諸如緊急情況中對個體生命健康、社會秩序穩定等高位階權利的追求，正當性最強，意義重大，則允許較大程度的權益損害，如數據管理者可直接對個人信息數據進行處理使用，甚至無需獲得知情同意、脫敏處理等；第二種價值位階，諸如政府機構或國家事業單位為某一公共目的，如統計、調研等，對數據進行收集處理，相較于前者，其重要性仍有，但不具備緊迫性，其權益損害程度需適當減小，需充分保障個體知情權、自愿參與等，確保數據在合理范圍內被使用等；第三種價值位階，是常態化應用的各種行政活動、個體服務等功能性訴求，重要性與緊迫性最低，因人而異，具有可替代性，價值位階最低。相應地，則其權益損害程度降至最小，盡最大義務采取一切措施確保各利益相關方的權益，不容疏漏。