[收稿日期]2022-03-20
[作者简介]牛婷婷(1998 ),女,中央财经大学法学院硕士研究生㊂
2022年第
2期总第119期
北京化工大学学报(社会科学版)
Journal of Beijing University of Chemical Technology
(Social Sciences Edition)
No.2.2022
Total No.119
健康码常态化适用的风险规制
牛婷婷
(中央财经大学法学院,北京100098)
㊀㊀[摘㊀要]健康码治理是数字技术应用于重大公共卫生事件的创造性尝试㊂疫情防控常态化
背景下,健康码仍是社会治理的重要手段和工具,但若不加改变地沿用紧急状态下的健康码规则,将面临违法违规风险㊂强制性的适用规则引发公共利益与个人利益的失衡,逾越底线收集和保管健康码信息诱发个人信息保护危机,健康码自动化决策程序致使正当保护程序式微㊂为应对健康码适用潜藏的危机与挑战,应设定 因势而动 的 阶梯式适用 基础规则,保障公私利益动态平衡㊂因健康码是基于个人信息处理的自动化行政行为,对此应以依法行政的要求和个人信息保护规则为重点制定健康码常态化适用的风险规制措施㊂
㊀㊀[关键词]健康码治理; 阶梯式适用 ;自动化行政;个人信息保护
㊀㊀[中图分类号]D922.1TP18㊀[文献标识码]A
[文章编号]1671-6639(2022)02-0047-07一㊁引言
㊀㊀ 科学技术是人类同疾病较量的锐利武器,人类战胜大灾大疫离不开科学发展和技术创新 [1]㊂
健康码作为数字技术工具在新冠肺炎疫情防控中起到了至关重要的作用㊂健康码自创立之日起便迅速
推广至全国各地,即使在疫情放缓后也仍然发挥着不可替代的作用㊂在 码治理 热潮下,尽管健康码的应用在社会公共服务和管理中发挥了重要作用,但由此带来的问题我们需进行 冷思考 ㊂如何厘定生成健康码这一行为的法律性质?疫情趋于平缓后,在紧急状态下施行的健康码机制的正当性何在?有哪些潜在风险与危机值得重点关注?如何设定健康码常态化下的适用规则?在疫情防控常态化的现实背景下,如何在权衡各方利益的基础上建构周延的健康码风险规制体系以推进健康码治理的合法有序运行㊁持续提升健康码治理的效能,无疑是值得思考的重要问题㊂
二㊁基础概述:生成健康码的法律性质和主体关系㊀㊀(一)生成健康码的法律性质厘定
新冠肺炎疫情的爆发使世界各国面临严重的治
理危机㊂政府依赖全面的风险信息和数据作出有效的疫情防控决策,进行应急社会管理㊂在我国,健康码通过大数据技术为突发公共卫生事件提供重要技术支撑,成为疫情防控中具有亮点的创新性数字治理方式㊂欲对健康码这一新兴治理手段加以规范,首先要明晰其法律性质㊂
健康码是根据个人行动轨迹㊁健康状况等信息作出风险评定,并以彩二维码形式加以呈现的数字治理工具㊂健康码的生成立足于个人信息处理,包括个人用户的接触史㊁行踪记录㊁健康状况等信息,并通过数据技术进行后台处理㊂从健康码的技术逻辑和运行规则出发,生成健康码实质上属于自动化行政的范畴㊂健康码的形成是由行政机关首先设定特定的评判标准,接着通过算法进行自动决策,最
终向个人分配彩二维码的过程㊂不同颜的二维码对应着不同强度的防疫政策㊂健康码在行政机关主导下通过数字技术自动生成,最终形成对个人健康风险的评估,这与 电子眼抓拍 ㊁ 自动化审批 等相似,均由人工智能全部或者部分替代人工介入,同属自动化行政活动㊂健康码的生成应定性为基于个人信息处理的自动化行政活动[2]㊂这意味着,对健康码的
7
4
北京化工大学学报(社会科学版)2022年第2期规制,一方面要合乎法律规范对个人信息保护的
内在要求;另一方面要严格遵守关于行政行为,尤其是关于自动化行政的法律规范㊂易言之,在健康码运用中,既要关注个人信息保护的基本原则和具体规则,也要满足合法行政㊁合理行政的法治要求㊂蔡健雅新专辑
(二)健康码所涉主体的角定位和关系界定
健康码治理对个人自由㊁企业经济㊁政府管理均有重要影响,个人㊁企业㊁政府是码治理中的利益攸关者㊂探讨健康码治理的风险逻辑,首先要厘清此三者之间的关系㊂
从个人维度出发,个人提交信息后,企业通过算法处理生成个人健康码㊂健康码以个人为基本单位生成,个人为健康码治理的元主体,也是‘个人信息保护法“中被保护的对象㊂以企业视角管窥,互联网企业既接受政府的委托,为政府治理提供技术支撑和平台支持,同时也是个人数据的直接处理者㊂因此,相关企业既要履行委托协议项下的合同义务,也要作为‘个人信息保护法“中的个人信息处理者履行个人信息保护义务㊂从政府角度切入,政府既是健康码的发起者㊁规则标准设定者和效力确定者,又是行政协议委托方,应承担个人信息保护的首要责任㊂一方面,政府事实上控制健康码程序,其作为个人信息处理者,应要承担‘数据安全法“‘个人信息保护法“下的主体责任;另一方面,政府委托企业进行数据处理,应审慎选择参与治理的企业,并在健康码治理的全过程监督企业履行委托协议,避免企业凭借其技术优势和资本优势形成 监管俘获 ①㊂作为被委托方的企业因履行行政协议造成损害时,行政机关应对外承担相应法律责任㊂企业存在故意或重大过失的情形下,政府承担责任后享有追偿权[3]㊂
个人㊁企业和政府三方均为健康码治理的重要参与方㊂政府通过健康码对个人实行社会管理,个人对于健康码规则中不合理的权利限制可以要求个人信息保护;政府与企业之间形成 政企协同 治理模式,同时政府对企业负有监管义务㊂可见,个人㊁企业㊁政府三方主体在健康码治理中形成相互合作与制衡的有机互动关系㊂
三㊁正当性检视:健康码适用中个人权利限制的
合理性分析
㊀㊀我国疫情防控取得斐然成效,健康码在其中发挥了重要作用,但是在全球视野下,基于个人信息的定位追踪式应用和技术手段受到大量国家民众的强烈抵制㊂以列政府曾出台紧急条例允许政府部门从电信公司获得确诊病例的部分个人信息用于防疫,条例出台后饱受民众抨击,并很快被法院推翻[4]㊂欧美国家对此更是保持谨慎㊁抵触态度,在疫情防控领域仍严格奉行个人信息的自愿授权和自主控制[5]㊂此类对个人信息处理慎之又慎的做法,主要是为了防止公权力不合理地侵入私领域㊂尽管从功利主义视角出发,健康码的大力推行有助于疫情防控,但健康码适用中的个人权利限制的正当性基础仍有待证成㊂为回应国际社会的关注,保障码治理的合法运行,有必要对健康码适用的正当性展开理论研究㊂
(一)健康码适用的正当性证成
疫情背景下的健康码适用实质上体现出公共利益优先于个人利益的价值选择㊂一般来说,只有在维护公共利益的情形下,政府才能对私权加以限制㊂新冠肺炎疫情的蔓延使公共卫生安全遭受到极大威胁,相较于个人利益,其需要更迫切的保护㊂重大疫情下公共利益具体体现为公众的生命权㊁健康权㊂生命健康权是隐私权㊁财产权等其他权利的基础,应放在首要和优先地位㊂在疫情肆虐时,以牺牲低位阶的部分权利为代价以更好地维护生命健康权,符合权利位阶理论的要求[6]㊂此种优先保护公共
卫生安全的理念在欧盟‘通用数据保护条例“和我国‘民法典“‘突发公共卫生事件安全条例“‘传染病防治法“等立法中也有所体现②㊂鉴于公共利益之模糊性㊁不确定性,一般唯有法律予以明确的公共利益的类型和范畴,方能得到法律上的优位㊂正如维也纳的阿道夫㊃默克(Adolf Merkl)教授所言: 只有将国家目的予以法制化,才能完成承认其为公益的过程,才有公益的价值㊂ ③此外,隐私泄露㊁算法歧视㊁财产损失等其他权利损失具有一定的不确定性,而
84
①
②③监管俘获理论是由斯蒂格勒(G.J.Stigler)在‘经济监管理论“中提出的,意指政府建立管制之初,管制机构能独立运用权力公平管制,但
在被管制者与管制者的长期共存中,管制机构逐渐被管制对象通过各种手段和方法所俘虏,管制机构最终会被产业所控制,为少数利益集团谋求超额利润,使真正的守法者损失利益,结果使被监管行业更加不公平,降低整体效率㊂参见:许可.重大公共卫生事件的数据治理[J].暨南学报(哲学社会科学版),2021(1):80-91.
‘民法典“第1036条;‘传染病防治法“(2013年修订版)第12条㊁第20条;‘突发公共卫生事件应急条例“第21条㊂
转引自:陈新民.公共利益的概念[A].载氏.宪法基本权利之基本理论(上)[M].台北:三民书局,1992:138-139.
2022年第2期
牛婷婷:健康码常态化适用的风险规制
健康码的推行对生命健康权的保护作用是切实确定的㊂若无健康码发挥作用,疫情一旦失控意味着更多的确诊病例和死亡率的飙升㊂面对高传染性㊁高危害性的新冠肺炎疫情,健康码作为数字治理工具在疫情防控政策的实施中起到了重要作用,显著提升了防疫措施的有效性㊁灵活性㊂健康码的推行对于个人而言更加快捷便利,对于企业而言能够快速
恢复生产,对于政府而言是成本较低的管理手段㊂因此,推行健康码可以在疫情防控下实现效益最大化㊂
值得注意的是,健康码在紧急状态下具有正当性,并不意味着其在常态化疫情防控下也当然具有正当性㊂疫情形势趋于平稳后,复工复产全面铺开,中高风险区域零星存在,健康码适用仍然具有一定效果,但公民个人信息安全的风险也日益凸显㊂脱离应急状态讨论公共利益和个人利益平衡,则会得出不同的结论㊂疫情局势平缓后,若仍以强制性手段适用健康码,将造成私权和公权的失衡,不恰当地
2020年鼠年拜年祝福语限制公民的个人权益㊂质言之,在疫情防控常态化的背景下,健康码适用仍具有一定的正当性基础,但是有必要逐渐减弱强制性,以实现个人利益和公共利益的平衡㊂
疫情常态化防控中可通过建立健康码 阶梯式适用 制度,维持健康码适用的正当性㊂疫情之初,由于疫情防控形势严峻,健康码的应用具有强制性特点,但随着疫情局势趋于平缓,全面强制适用健康码难以维系其正当性㊂因此,有必要根据不同区域疫情风险等级以及不同场所的特点施以不同的健康码适用要求,随着疫情形势变化逐步调整㊂风险等级越高,强制性彩越浓厚;风险等级越低,强制性彩相应减弱㊂具体而言:其一,根据是否有高㊁中风险区域及旅居史设定不同规则㊂对于14天内有和中高风险地区旅居史的公民,仍有必要通过出示健康码予以管理,对于低风险地区的公民的出行可以取消验码要求㊂其二,区分人员密集程度㊁流动性特点进行分类管控㊂对于医院㊁机场㊁火车站等人密集㊁流动性大的重要风险把控区域和场所,健康码适用具有较高的管理需求,有必要保持一定程度的强制性㊂在出入社区㊁单位等场合时则可以考虑根据疫情状况调整健康码适用要求㊂ 阶梯式适用 制度依据全国各地疫情状况变化,对健康码适用要求进行审慎的动态调整,以实现科学防疫㊁精准防疫的目标㊂
(二)健康码升级的正当性检视
不宜将疫情下健康码适用的正当性延伸至常态
化防控中出现的健康码升级现象中,否则将出现 滑坡效应 ㊂部分地方政府和企业提出 文明码
等设想,如苏州的 文明码 的设计宗旨是通过对市民的行为进行评分,构建文明积分信息识别体系㊂然而,细究其内核, 文明码 等二维码与原本的健康码大有不同㊂健康码的适用是出于公共安全的考量,具有收集和利用个人信息的紧迫性,对于疫情防控和维护公共利益具有显著作用㊂ 文明码 同样采取了主动收集和利用个人信息的方式,最终却造成个人享有的公共服务的差别,相较于前者具有更强烈的管理或者制裁的意味㊂相较于健康码, 文明码 对公共利益的作用有限,但却体现出更强烈的公权制约性质㊂健康码 升级 往往是公权力的过度延伸,对此要保持谨慎以防范技术治理异化,以技术创新为由过度使用个人信息是不可取的㊂
四㊁风险探析:个人信息保护和程序正当
原则面临挑战
㊀㊀(一)个人信息保护领域的风险敞口
1.收集过程中:过度收集㊁强制收集
健康码适用中强制收集个人信息的现象频发,
给个人信息保护带来隐患和风险㊂虽然健康码申领是由个人自愿进行,但疫情期间进出地铁站㊁火车站㊁商场等公共场所,跨区域出行以及复工复产都有核查健康码的要求㊂换言之,公民若不同意适用健康码,在疫情管控的背景下将在某种程度上丧失人身自由㊂在我国将健康码大规模㊁全覆盖式应用于社会管理的背景下,公民实际上没有拒绝使用健康码的可能,这相当于并未向公民提供个人选择同意与否的自由㊂知情同意原则要求信息处理者向个人信息主体告知信息处理内容,并获得其明确授权,方可进行信息处理行为㊂健康码推广与适用所形成的 不适用无选择 之势,实质上有违反知情同意原则的嫌疑,挑战个人信息保护的底线要求㊂
疫情防控中,存在部分基层组织过度收集个人信息的情形,这与我国个人信息保护的要求背道而驰㊂防疫工作 一味求全 非但不能助力抗疫,反而为个人信息保护埋下安全隐患㊂最小必要原则要求信息处理者处理个人信息的范围必须以实现特定目的为限,疫情防控背景下,个人信息收集的内容应以实现防疫目的为限㊂健康码的形成须收集个人的姓名㊁身份证号码㊁关系到风险判定的病症和旅居史(14天内中高风险地区或旅居史)以及行动轨迹等信息,以确保健康码的准确性和有效性,超出上
9
吴辰君个人资料4
北京化工大学学报(社会科学版)2022年第2期
述范围的信息收集则有过度侵犯个人权益的嫌疑㊂防疫实践中,超出必要数量㊁类型㊁范围过度收集个人信息的现象受到公众的强烈质疑㊂例如,上海㊁北京的健康码生成要求用户提供面部㊁虹膜等信息,山东济宁同样启用人像识别核验系统,而防疫任务同样艰巨的武汉等城市却从未有过此类要求,这足以表明面部㊁虹膜信息并非达成防疫目的所必需的㊂尽管精准的信息给疫情防控工作带来极大帮助和便利,但上述超出必要限度的信息采集仍不可取㊂最小必要原则不仅要求个人信息收集的内容和范围特定,还要求个人信息使用和管理期限应当有合理限度㊂然而,我国尚无针对本次疫情收集㊁使用㊁处理的个人信息管理期限的规定,这无疑大大增加了个人信息安全风险㊂
2.保管过程中:信息泄露㊁监管俘获
健康码的生成和运行依赖于后台海量的个人信息,健康码持续不断运行,则不断有大体量㊁多维度的 数据洪流 涌入技术后台,汇集于政府和科技企业手中,其中甚至包含部分个人敏感信息㊂在大数据时代,数据和信息红利的诱惑不容小觑,尤其是在当前我国对数据权益的理论研究都尚无定论的局面下,一旦健康码后台数据发生信息泄露或监管俘获,将引发难以估量的损害和极为棘手的问题㊂现实中一些确诊人员㊁密接人员的个人信息在社交平台被曝光并被疯狂转发,已经对相关用户的权益造成难以恢复的损害㊂基层疫情防控管理工作疏漏造成的数据泄露尚且是小规模的㊁可以实现快速控制的,若后台系统出现技术错误导致大规模信息泄露,将对个人权益和社会管理造成极大的危害和挑战㊂此外,参与码治理的科技企业若将所获取的个人数据和信息用于防疫之外的其他商业用途,也会引
发公民对政府治理的严重信任危机㊂企业作为个人信息处理者擅自改变原先的信息处理目的,但未重新取得用户同意的,同时面临着违反‘个人信息保护法“第23条的风险㊂对健康码相关信息保管过程中可能出现但尚未出现的风险,有必要防患于未然,提前设计规制思路㊂
(二)正当程序原则式微
如前所述,健康码实际上是自动化行政行为,理应受到行政法体系下的正当程序原则的约束㊂然而,健康码作为自动化行政活动,其核心特征在于自动生成决策结果,这将引发说明理由制度和听取陈述申辩制度的失灵,对程序正当原则造成极大挑战㊂1.说明理由制度失灵
按照健康码的运行机制,健康码是由智能算法分析形成的,行政机关和行政相对人均无法参与封闭的算法决策过程㊂在此过程中,健康码用户并无机会要求行政主体说明理由,即使用户提出要求,行政机关工作人员实际上也无从告知,因为算法决策本身具有天然的 黑箱 性质①,而 算法黑箱 不具有可解释性[7],行政机关工作人员对其具体运行也并不知晓㊂因此,健康码机制下,行政主体和行政相对人都几乎无法落实说明理由的要求㊂但算法系统存在的算法逻辑偏差㊁数据精准度偏差以及算法自我学习等情况,都将可能导致最终发生算法歧视,在不同程度上减弱㊁夸大或是固化部分信息对个人疫情风险评估的影响㊂公众无法知晓行政决策过程和依据,却要接受算法模型生成的决策方案[8],这给公众以 使用隐藏的算法进行那些我们无法理解的论证,不断给出可以决定我们生活的得分 [9]的印象,进而引发公众强烈的不公平感㊂
2.听取陈述申辩制度失灵
由于健康码是通过数据技术自动生成的,决策结果具有即时性,听取陈述申辩的流程被完全排除在外㊂结果生成后再补正流程瑕疵,将归于无意义㊂从某种意义来说,自动化决策以牺牲公平为代价提升了行政效率㊂健康码技术水平较为成熟,出现数据错误的现象并不常见,但也零星出现 该变绿不变绿㊁不该变红却变红 的现象,导致本可自由通行的用户被采取隔离措施,本应解除隔离的用户被困在原地㊂由于用户完全无从向行政机关说明情况,个人疫情风险情况就被健康码程序误判,继而正常工作和生活受到严重影响,这势必引发用户的强烈质疑和不满㊂2021年4月22日,从黑龙江省到青岛探亲的刘女士健康码突然由绿变红,因此不得不接受14天隔离㊂后经查证,这是一起源于健康码后台数据误报的 乌龙 事件[10]㊂听取陈述申辩消失于行政活动流程,将引发行政相对人的强烈的不信任感㊁不公平感,这对码治理具有消极影响㊂
以 健康码 为代表的算法行政仍须坚持依法行政底线,若完全背离正当程序原则,将不可避免地引发公共信任危机,并造成公平失衡局面㊂农业银行利率
05
①在智能算法中,通常是从数据输入到结果输出,在输入输出之间存在一个常人难以获知的 隐层 (hidden layer),这种 隐层 就是 黑箱 (black box)㊂
2022年第2期牛婷婷:健康码常态化适用的风险规制
五㊁规制路径:个人信息保护和程序规制双管齐下㊀㊀(一)构建个人信息保护路径
1.严格遵循个人信息保护基本原则
知情同意原则㊁最小必要原则是个人信息保护
的第一道防线,若无特殊规定,个人信息处理行为理应遵循个人信息保护基本原则㊂但是,健康码诞生于重大疫情的紧急应对过程中,一经推出便迅速投入使用,对健康码没有形成全面有效的约束机制㊂在新冠肺炎疫情防控中,健康码实际上不受知情同意原则约束,并且存在逾越最小必要原则的情形㊂
知情同意原则是防范个人信息风险的首要前提㊂疫情初期,政府基于公共利益的考量超越知情同意原则处理个人信息,具有法律上的正当性①㊂根据‘民法典“第1036条的规定,为维护公共利益合理实施的个人信息处理行为,无须承担责任㊂但即使是出于公共利益的需要,此种豁免也仅针对 同意 ,而并不意味着个人无权 知情 [11]㊂疫情防控常态化的背景下,维护公共利益的需求减弱,违反知情同意原则进行信息收集㊁处理则不应再受上述豁免规定所保护㊂因此,在疫情防控常态化中,健康码应用仍应遵循知情同意原则,政府应向健康码用户告知个人信息处理的内容㊁方式,用户在完全知情的前
提下作出明示同意后,政府方可进行处理行为㊂其中, 明示处理 意指用户向信息处理者自主作出清晰㊁明确㊁具体的意愿表示㊂
最小必要原则是防范个人信息风险的重要方式㊂健康码运行所收集的个人信息应当以实现防疫目的为限,超出目的的个人信息处理行为将落入违法风险㊂欧盟委员会发布的‘数字抗疫应用程序信息保护指引“也有类似的规定,针对位置追踪程序其规定了个人位置信息的 非须㊁一律不采集 的基本原则㊂超出目的处理个人信息将落入违法风险㊂在健康码适用中,如非必要,不得收集㊁使用超出必要数量㊁范围㊁种类的个人信息㊂例如,个人面部㊁虹膜信息不应强制收集;政府不宜对特定区域内的人大规模收集信息,以避免对特定区域的公民形成事实上的歧视[12]㊂政府各部门以及基层组织也不得重复收集相同的个人信息,以免加重个人信息主体的负担㊂应通过技术手段建立起防疫健康信息数据共享制度,以实现信息跨部门㊁跨地区互通互认,暑期出游
避免信息的重复收集㊂针对风险系数更高的个人敏感信息,应更加谨慎地判断是否应当收集,以及使用和处理的界限何在㊂关于个人信息的储存期限的问题,应当通过立法予以明确㊂在应急状态之后,有必要对相关个人信息采取集中删除或者其他必要的技术措施[13]㊂
2.落实主体责任并建立追责制
针对数据泄露的问题,首先要从主体责任层面
寻求解决之道,严格遵循法律法规规定对个人信息处理者的义务和责任作出要求㊂2021年11月1日施行的‘个人信息保护法“为健康码适用的个人信息安全问题提供了明确指引,新出台的‘数据安全法“即将实施,其中对于数据安全保障义务也作出了规定,加强了对数据处理主体的规范㊂
此外,基于政府和企业之间的行政协议,政府负有慎重选择合作企业并实施相应监管的义务㊂被委托方的企业因履行行政协议造成损害的,行政机关应承担相应法律责任㊂企业存在故意或重大过失的情形下,政府承担责任后享有追偿权㊂
3.个人信息 匿名化 和 脱敏化 处理数据泄露的动机来源于个人信息所蕴含的价
值,隐藏信息价值能够从源头上降低甚至消除数据泄露的风险㊂对 健康码 后台的个人信息数据进行 匿名化 和 脱敏化 处理,使其成为 不具有可识别性 的信息,能够对信息的二次再利用造成巨大障碍,降低个人信息被参与健康码治理的科技企业和个人 居心叵测 地利用的可能㊂同时,应加强对个人身份再识别的规制,禁止数据接收人㊁使用人以任何目的从事个人身份再识别[14]㊂但是需要注意,信息的堆积可能导致 匿名化 和 脱敏化 处理的效果大打折扣㊂信息数量的大量叠加,将导致个人信息数据 去马赛克化 [15]㊂此时, 匿名化 和 脱敏化 的处理只是加大了信息被回推识别的难度,但是信息的不断堆积终将穿透理想化保护手段的篱藩[16]㊂对此,最有效的解决方案是限定个人信息的保存时限,以避免信息的不断积累和叠加,维持匿名和脱敏效果㊂
(二)设计针对性程序规制手段
由于健康码具有自动化行政的特征,说明理由制度和听取陈述申辩制度难以发挥原有的规范功能,因此有必要从自动化决策的特点出发展开程序规制设计㊂自动化行政和算法决策具有强技术性特
1
5①根据‘民法典“第1036条规定,为维护公共利益合理实施的个人信息处理行为,无须承担责任㊂‘信息安全技术个人信息安全规范“规
杨千华定个人信息处理与公共安全㊁公共卫生㊁重大公共利益直接相关时,无须征得个人信息主体的授权同意㊂
发布评论