浅谈健康码生命周期中个人信息保护面临的现实困境与应对策略

程超 谷慎勇

摘要：近期，各地创造性运用“健康码”作为个人健康的电子凭证，为疫情常态化防控和复工复产工作提供强大信息支撑，但由此帶来的公民个人信息安全风险也不容忽视。本文基于信息生命周期理论，将健康码生命周期分为“创建、采集、处理、利用、管理”五个阶段，分析政府、企业、相关行业组织和社会公众等各个参与主体所面临的五大困境。建议明晰政府“码上治理”边界，完善信息退出机制，加大执法监督力度，多方发力共同保护个人信息权益，筑牢信息安全保护屏障。

关键词： 健康码;生命周期;个人信息保护 ;码上治理;退出机制

中图分类号：TP311      文献标识码：A

文章编号：1009-3044（2021）18-0055-03

开放科学（资源服务）标识码（OSID）：

A Brief Talk on the Practical Dilemma and Solution Strategy of Personal Information Protection in the Life Cycle of Health Code

CHENG-Chao，GU Shen-yong

（National Computer Emergency Technology Coordination Center Anhui Sub-center， Hefei 230041， China）

Abstract： Recently， many local governments have creatively used the "Health Code" as the electronic certificate of personal health to provide strong information support for the normalization of epidemic prevention and the resumption of work. However， the risk of citizen personal information security can not be ignored. Based on the theory of information life cycle， this paper divides the life cycle of health code into five stages： creation， collection， processing， utilization and management，and analyzes the five unbalanced dilemmas faced by the government， enterprises， related industry organizations and the public. It is suggested to clarify the boundary of government "governance on code "， perfect the mechanism of information withdrawal， strengthen the supervision of law enforcement， and make efforts to protect personal information rights and interests， so as to build a solid information security protection barrier.

Key words： health code;the life cycle;the personal information security protection;governance on code;exit mechanism

1 引言

当前国际新冠疫情呈现多点爆发并扩散蔓延态势，我国虽然整体防控形势良好，但仍出现多点散发零星病例，疫情防控工作进入常态化。深圳、浙江创造性地运用“健康码”模式，通过与支付宝等科技公司合作，将公民健康信息电子化，为疫情防控和复工复产工作提供强大的信息支撑，并迅速在全国各地推广。与此同时，自疫情爆发以来，新冠感染者个人信息泄露事件层出不穷，健康码蕴含海量丰富的公民健康数据和轨迹信息，个人信息保护在健康码整个生命周期中都面临严峻挑战，亟待进一步规范引导。

2 联防联控工作中健康码个人信息利用的边界及规则

2.1健康码与个人信息的边界

健康码是由各级卫健委主导，疾控中心管理，大数据局提供技术支持，以行政区域内居民及流动人群为对象，由个人申报基础信息及健康信息，后台通过与通信、交通等数据对比分析，动态评估人员健康情况，形成的动态二维码电子健康证明[2]。一人一码、实名认证、亮码通行，在方便了公众出行的同时，实现了群体健康管理，精准识别存在疫情风险的人群和区域，实现联防联控。健康码作为人员流动的电子健康凭证，明确个人信息的边界，均衡个人信息保护和疫情防控需要显得尤为迫切。

2017年起实施的《网络安全法》明确规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等[2]。”2020年5月，《中华人民共和国民法典》（以下简称《民法典》）出台，对于个人信息延续了《网络安全法》的定义，并顺应疫情新形势，在个人信息定义的举例中增加了“电子邮箱、健康信息、行踪信息”[3]。

2.2健康码各参与主体在疫情防控中应遵循的基本规则

为了积极利用包括个人信息在内的大数据支撑联防联控工作，我国依据《中华人民共和国传染病防治法》《中华人民共和国网络安全法》以及《突发公共卫生事件应急条例》等法律法规，对政府部门、企业组织以及公民个人在疫情防控中的责任义务进行规定，为防疫工作中相关信息的利用提供了基本准则。2020年2月，中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，明确信息采集的范围，强调只有依据相关法律授权的组织机构才能收集使用公民个人信息，且收集对象原则上仅限于确诊者、疑似者、密切接触者等重点人群[4]。

政府部门作为数据的管理者，依据法定职责收集信息，制定“健康码”数据采集规则和使用标准。腾讯、阿里等科技企业接受政府委托提供技术服务，应当在政府部门职责权限范围内，依据委托内容利用用户数据支撑疫情防控工作;如果科技企业以提供疫情防控产品和服务为目的对用户信息进行分析、利用，显然超出公共服务范围，应事先征得用户同意[5]。公民作为个人信息的主体，按防疫要求履行提供相关信息的义务，也应享有对个人信息支配、控制的权利。

3 健康码生命周期中个人信息保护面临的现实困境

《中华人民共和国个人信息保护法（草案）》将个人信息处理分为信息收集、存储、使用、加工、传输、提供、公开等阶段[6]。美国信息资源管理专家霍顿将信息生命周期管理分为信息创建、信息采集、信息组织、信息开发、信息利用、信息清理六个阶段[7]。疫情防控常态化下，个人申报并经后台审核获得健康码，在日常生活中通过扫码核验，实现对个人健康状况的动态评估。本文根据信息生命周期理论，结合健康码运用实际，将健康码的生命周期划分为创建、采集、处理、利用以及管理五个阶段，逐一分析面临的现实困境。

3.1健康码创建阶段“一城一码”现状与常态化下“全国互认”要求的不平衡

健康码不是自上而下基于顶层设计推行的，而是作为深圳、浙江疫情期间地方治理的创新举措迅速在各地推广，这种自下而上的本地健康码模式大幅提高了防疫信息采集的效率和准确性，但也存在赋码规则不一、数据共享存在壁垒等问题。实际生活中，疫情零星散发导致部分地区进一步严格防控措施，各省根据实际情况动态调整赋码规则，流动人群被要求申请当地的健康码，“码上加码”的现象时有发生。一直以来，中央政府积极搭建国家级政府服务平台，从技术上解决跨省互认问题;国家市场监督管理总局发布《个人健康信息码》系列国家标准，实现码制统一、展现方式统一、数据内容统一，统筹兼顾个人信息保护和信息共享利用，以消除技术壁垒，推动全国互认[8]。2021年5月，河北三河市一市民报告疾控部门其健康码呈红码，经查实为安徽确诊新冠病例的密切接触者[9]，可见健康码信息共享为疫情防控的溯源和预警提供了支撑。

3.2信息采集阶段“全民抗疫”要求与“知情同意”等原则虚置的不平衡

健康码是应对新冠疫情这一公共卫生突发事件而产生的，但也对个人隐私权利形成冲击。一是采集范围被扩大。健康码注册用户数亿，几乎覆盖所有人群。而在中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确的收集对象原则上限于确诊者、疑似者、密切接触者等重点人群[4]。二是知情同意权被忽视。虽然健康码由公民自愿申领，但由于健康码已成为疫情常态化下出行必备，出入公共场所都需要扫码亮码，公民实际上为公共利益让渡了个人权利。三是最小必要原则被逾越。政府作为健康码数据管理者确立信息采集范围和使用方式。在实际中各地信息采集的标准不尽相同，如山东济宁等地启用健康码人像识别核验系统，而武汉等地就没有相关强制要求，在防疫中收集人脸信息等生物识别信息的必要性和安全性值得进一步考量。

3.3信息处理阶段自动化行政、平台化参与新情况与监管滞后现状的不平衡

在信息处理阶段，一方面，政府部门制定健康码评判标准，公民个人提交申请后，后台将依据规则进行自动审核生成健康码，并对扫码情况进行动态评估，这一自动化行政过程中，赋码规则并不公开透明，个人信息是否被过度处理也不得而知，缺乏相关规范进行约束[1]。另一方面，阿里巴巴、腾讯等超大型互联网平台承担健康码系统研发和维护工作，现有的法律法规尚未对个人信息保护做出明确约束，易形成“平台霸权”，仅仅依靠执法监督很难形成长效机制，相关风险不容小觑。

3.4信息利用阶段地方政府创新推动“码上治理”与公众担忧“信息滥用”的不平衡

在疫情常态化后，地方政府积极升级健康码进一步推动“码上治理”，山东、安徽等地为接种新冠疫苗的人群升级“金色皮肤”的健康码，特别是此轮疫情，安徽金色健康码相关话题高居热搜榜，获得青年群体广泛认可。但杭州“变色码”和苏州 “文明码”的推出也引发公众对个人信息保护的担忧。杭州“变色码”探索建立个人健康指数排行榜，并进一步对楼道、社区、企业等健康群体进行评价[10]。苏州的“文明码”是在苏城码App基础上，给测试范围内的市民进行文明打分，构建文明积分信息识别体系[11]。应当看到，健康码将个人信息用于疫情防控中于法有据，但“变色码”和“文明码”试图将公共卫生事件的特殊情况变成常态化，扩大个人信息运用范围，在没有征得公民同意的前提下做法值得商榷，推行受阻不難理解。

3.5 信息管理阶段信息冗余与退出机制缺位的不平衡

随着疫情防控进入常态化，健康码应用场景广泛，信息资源利用亟待丰富和个人信息保护不充分的矛盾尤为凸显，是对数字时代政府治理能力的考验。在信息管理阶段，从网络上曝光出来的因健康码信息泄露事件不断，网络舆论被恶意引导，极易演化为网络暴力现象。2020年底，“北京健康宝明星照片泄露事件”造成30余位明星信息被传播、出售，由此可见用户权限验证等环节仍存在漏洞，数据脱敏和去隐私化处理技术以及舆情引导等措施尤为必要。随着时间的推移，健康码数据大量产生，目前健康码系统采集的个人信息没有明确的有效期，也没有设立明确的退出机制，后疫情时期健康大数据信息如何利用需平衡公共利益与个人隐私保护权利。

4疫情常态化下健康码个人信息保护的应对策略

4.1明确政府“码上治理”边界，推动健康码从“应急码”成为“法定码”

作为抗击疫情的创新举措，健康码等数字治理应用成为社会治理又一良策。疫情常态化下，各地政府部门作为数据管理者，在升级使用健康码，创新应用举措时，都应以保护公民个人信息为基本前提，对政府行为进行规范约束。遵循“知情同意”原则，把选择权交给公民个人，对于如老年群体不会、不愿让渡个人信息的，应尊重个人选择并给出替代措施。坚持“最少够用”等原则，做到非必要不采集，最大限度保护公民个人信息自主权。并对健康码等准电子身份证明出台相关行政法规，明确其采集、存储、处理、利用个人信息时的法定责任，推动健康码从“应急码”成为“法定码”[12]。

4.2完善信息退出机制，保障健康码整个生命周期安全

一是明晰健康码上个人信息在跨区域流动和流转过程各个环节的责任主体，最大限度地推动健康码跨区域互联互通。二是完善信息退出机制，在非应急响应状态下，健康码不应享有公共豁免权限，应在取得个人明确同意的前提下，收集和应用相关信息。针对已收集信息，建立规范科学的处理机制，改变“只收集不删除”造成数据冗余的情况，对有用信息进行脱敏后归档管理，对冗余信息进行销毁，完善溯源机制实现个人信息全过程管理，并且保留用户个人主张删除个人信息的权利。

4.3完善执法监督机制，形成强有力的监管实效

一方面，不断提升执法主动性，逐步加大处罚力度形成威慑效应。网信、公安、工信等部门积极开展互联网内容综合治理、“净网行动”以及App违法违规收集使用个人信息治理等专项行动，持续加大对相关企业的动态监管。另一方面，积极应对人脸识别、深度伪造等新技术、新应用发展需要，在实践中灵活运用法律法规，创新解决路径，逐步完善执法裁量标准，形成强有力的监管效力。此外，强化对大型互联网平台个人信息保护的监督力度，定期发布个人信息保护社会责任报告，形成长效化治理机制。

参考文献：

[1] 查云飞.健康码：个人疫情风险的自动化评级与利用[J].浙江学刊，2020（3）：28-35.

[2] 中华人民共和国国家互联网信息办公室.中华人民共和国网络安全法[ED/OL]. （2016-11-07）[2021-3-26].http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

[3] 中国人大网.中华人民共和国民法典（全文）[EB/OL].（2020-06-20）[2021-03-26].http：//www.npc.gov.cn/npc/c30834/202006/75ba6483b8344591abd07917e1d25cc8.shtml.

[4] 中央网络安全和信息化委员会办公室.关于做好个人信息保护利用大数据支撑联防联控工作的通知.[EB/OL].（2020-02-10）[2021-03-26].http：//www.gov.cn/xinwen/2020-02/10/content_5476711.htm.

[5] 张郁安.疫情下的数据利用和个人信息保护再权衡[J].信息通信技术与政策，2021，47（1）：53-56.

[6] 全国人大.中华人民共和国个人信息保护法（草案）.[EB/OL].（2020-10-22）[2021-03-26]http：//fzzfyjy.cupl.edu.cn/info/1077/12335.htm.

[7] 吴智兰.信息弱势下数字原住民信息行为研究——基于信息生命周期管理理论[J].经贸实践，2018（16）：294.

[8] 陈海波.个人健康信息码国家标准发布[N].光明日报，2020-05-02（3）.

[9] 网信三河微信公众号.关于新冠确诊病例的一名密切接触者行程轨迹通告.[EB/OL].（2021-05-18）[2021-05-18].https：//mp.weixin.qq.com/s/Q-wO97G2GB1ANwQDZpuzJg.

[10] 杭州：健康碼在疫情后将保留，逐步实现“一码知健”.观察者网.[EB/OL]. （2020-05-24）[2021-03-26].https：//user.guancha.cn/main/content？id=314355.

[11] 郑新钰.苏州“文明码”引争议 文明如何“加码”[N].中国城市报，2020-09-14（7）.

[12] 高艳东.推动健康码从“应急码”成为“法定码”[N].学习时报，2020-10-16（3）.

【通联编辑：唐一东】