從防疫健康碼談公民個人信息的利用與保護

鄧健雅，顧加棟

南京醫(yī)科大學(xué)馬克思主義學(xué)院，江蘇 南京 211166

為了應(yīng)對新型冠狀病毒感染的肺炎（簡稱新冠肺炎）疫情，2020年2月11日，浙江省杭州市率先推出防疫健康碼管理模式。截至2020年3月5日，騰訊防疫健康碼上線25 天，累計亮碼已經(jīng)突破10 億次，覆蓋超過8 億人口，累計訪問量43 億。事實表明，防疫健康碼在疫情動態(tài)防控以及精準(zhǔn)有序地復(fù)產(chǎn)復(fù)工中發(fā)揮了巨大作用。在防疫健康碼的推行使用中，有網(wǎng)友質(zhì)疑防疫健康碼會泄露個人信息。對此，杭州安恒信息技術(shù)股份有限公司首席科學(xué)家劉博表示，健康碼在用戶上傳的個人信息頁面設(shè)置有加密措施，他人無查看權(quán)限［1］。不過，信息數(shù)據(jù)泄露風(fēng)險的發(fā)生具有潛在性和不可知性，加密措施也并非萬無一失，在社會治理中的大數(shù)據(jù)運用，我們不能忘記公民個人信息的安全保護。

一、防疫健康碼的數(shù)據(jù)基礎(chǔ)及潛在風(fēng)險

防疫健康碼依托來自于衛(wèi)生健康、公安、交通管理等政府部門匯聚的數(shù)據(jù)，借助防控規(guī)則運用數(shù)據(jù)建模，分析評估后，測算出公民個人的風(fēng)險狀態(tài)并且以紅、黃、綠三種顏色區(qū)分風(fēng)險高低?！凹t碼”代表持有人未解除醫(yī)學(xué)管理措施、確診未出院、疑似未排除等；“黃碼”代表持有人來自重點地區(qū)且未滿14 天；“綠碼”代表持有人未見異?；蛞呀獬t(yī)學(xué)管理措施。防疫健康碼的顏色是常態(tài)化防控期間，國內(nèi)有關(guān)單位或場所進行分類分級別管理的主要依據(jù)。

除政府部門的有關(guān)數(shù)據(jù)，防疫健康碼同時需要公民提供詳細(xì)的個人信息。本質(zhì)上說，防疫健康碼是公民個人健康信息、行蹤信息與大交通數(shù)據(jù)、大健康數(shù)據(jù)相結(jié)合，并基于一定的模型分析而產(chǎn)生的數(shù)據(jù)信息。以南京防疫健康碼“寧歸來”為例，“寧歸來”二維碼獲取的個人信息主要由兩部分構(gòu)成。一部分信息由公民個人主動提供，包括填寫姓名、身份證號碼、手機號碼、驗證碼，進行人臉識別，輸入密碼，完成注冊，并且登記抵寧日期、來寧返寧事由、住址區(qū)域及家庭住址、住房性質(zhì)、工作單位、有無接觸新冠肺炎確診或疑似病例、有無咳嗽發(fā)燒癥狀。另一部分信息則通過數(shù)據(jù)追蹤分析獲得，如持有“寧歸來”二維碼的公民前往某一區(qū)域，通過空間、時間等分析測算，評估風(fēng)險，其二維碼狀態(tài)就會發(fā)生相應(yīng)變化。

所謂“敏感”是對特定的因素具有高反應(yīng)度，個人信息的敏感度描述的是個人信息對信息主體造成傷害或影響的程度［2］。顯然，人臉特征、行蹤軌跡、個人住址、工作單位、身份證號都屬于較為敏感的個人信息，這些個人信息的安全性為社會大眾廣為關(guān)注，這些信息如果泄露或被濫用，很可能危及公民人身、財產(chǎn)安全。

伴隨著防疫健康碼的全面推廣，全國人民的個人信息數(shù)據(jù)都會被采集，這對于疫情防控作用巨大，對于我國的健康醫(yī)療大數(shù)據(jù)事業(yè)發(fā)展無疑也能起到很好的促進作用。與此同時，我們需要探析公民個人信息使用應(yīng)當(dāng)遵循的原則，對個人信息使用邊界、使用者個人信息保護義務(wù)等問題進行必要的研究。

二、公民個人信息及相關(guān)權(quán)利義務(wù)

關(guān)于公民“個人信息”的內(nèi)涵，《網(wǎng)絡(luò)安全法》第七十六條以及最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第一條中均有規(guī)定。兩項法律規(guī)定既有區(qū)別，又有共同點。區(qū)別在于，兩者所列舉的個人信息類型不盡相同，《解釋》中闡述的個人信息，除了“識別自然人個人身份的各種信息”，還包括了“反映特定自然人活動情況的各種信息”。而共同點則是個人信息應(yīng)該具有的可識別性。個人信息概念強調(diào)“識別性”，凡是能夠識別特定個人的信息，無論是直接識別還是間接識別，均為個人信息［3］。如果一位患者在醫(yī)院診療而形成了病歷數(shù)據(jù)，該數(shù)據(jù)被技術(shù)處理而去識別化，僅憑借經(jīng)技術(shù)處理后的電子數(shù)據(jù)，任何人都無法知曉該數(shù)據(jù)屬于某一位具體的患者，那么這些數(shù)據(jù)即不再屬于公民個人信息。

關(guān)于公民個人信息保護，早在2000年11月出臺的《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》就規(guī)定了電子公告服務(wù)提供者對用戶個人信息負(fù)有保密義務(wù)，對于違反該義務(wù)的，電信管理機構(gòu)有權(quán)責(zé)令改正，服務(wù)提供者給用戶造成損害或者損失的，依法承擔(dān)法律責(zé)任。而在此前，《刑法修正案（七）》（自2009年2月28日起施行），增設(shè)“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，將非法獲取、出售、提供公民個人信息的行為納入刑事規(guī)制范圍。誠如有學(xué)者指出的一樣，我國對公民個人信息的保護早期定位在公民權(quán)利的層面。國家政府和信息機構(gòu)有保護公民個人信息安全的責(zé)任，公民也有捍衛(wèi)個人信息的自由［4］。根據(jù)《刑法》《網(wǎng)絡(luò)安全法》等法律的規(guī)定，除非法律、行政法規(guī)另有規(guī)定的，公民對其個人信息有提供或者不提供的權(quán)利，即便是經(jīng)過公民同意而依法獲得的個人信息，也應(yīng)當(dāng)根據(jù)法律規(guī)定或與公民個人的約定使用個人信息，且不得損害公民的個人利益。

在私權(quán)利層面，人們早期將公民個人信息與個人隱私保護聯(lián)系在一起。因為，公民個人信息被侵犯所帶來的常見后果是個人安寧生活狀態(tài)受到破壞，涉及公民個人信息民事侵權(quán)的，歸入侵犯隱私權(quán)或侵犯人格尊嚴(yán)權(quán)的范疇。《民法總則》出臺之后，公民個人信息被獨立作為一項民事權(quán)利客體看待，即“個人信息權(quán)”。何謂個人信息權(quán)？王利明教授將其界定為，收集、處理和使用在內(nèi)的整個過程中，個人信息主體所享有的知情權(quán)和決定權(quán)［5］。也有學(xué)者指出，公民對其個人信息有獲得受益的權(quán)利。劉德良［6］認(rèn)為隨著信息技術(shù)和互聯(lián)網(wǎng)絡(luò)的發(fā)展，個人信息的商業(yè)價值日漸突顯。張新寶［7］認(rèn)為現(xiàn)代信息處理技術(shù)之下，個人信息所蘊含的公共管理價值和商業(yè)價值，將成為公私機構(gòu)不當(dāng)收集、處理、利用和傳輸個人信息的巨大誘因。此外，也有觀點認(rèn)為，去識別化的個人信息已經(jīng)轉(zhuǎn)化為數(shù)據(jù)資源，屬于公共資源，個人不能因此受益。不過，客觀上說，在大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的背景下，個人信息已成為一種潛在的、可以被挖掘的資源，有償出讓某些有商業(yè)價值的個人信息也成為可能。譬如，個人的特殊基因信息、生活習(xí)慣信息、飲食信息、用藥信息等，對于某些基因藥物的研發(fā)是不可或缺的，研發(fā)者只有獲得公民個人的全面配合，才能保證信息的真實、詳盡，研發(fā)也才可能成功。這種情況下，保護公民個人信息的受益權(quán)是研發(fā)成功的必要條件。

同時，法律對于公民個人信息的保護也是有邊界的。基于公共利益保護的需要，公民應(yīng)當(dāng)如實提供個人信息。《傳染病防治法》第十二條之規(guī)定就強制個人接受有關(guān)傳染病的調(diào)查、檢驗等并如實提供有關(guān)情況。在此次新冠肺炎疫情中，根據(jù)《中央全面依法治國委員會關(guān)于依法防控新型冠狀病毒感染肺炎疫情切實保障人民生命健康安全的意見》的要求，很多省級地方人大常委會通過地方立法的途徑，將隱瞞個人病情、隱瞞疫情嚴(yán)重地區(qū)旅居、隱瞞與患者或者疑似患者接觸等信息的，列入違法行為，并要求依法嚴(yán)格追究相應(yīng)法律責(zé)任。概括地說，所有公民有如實提供疫情防控相關(guān)個人信息的義務(wù)。如何看待防疫健康碼中公民個人信息的使用？作為一項新型社會治理模式，還沒有任何法律或行政法規(guī)對與此相關(guān)的個人信息提供義務(wù)作出專門規(guī)定。好在，防疫健康碼系基于個人申請獲得，當(dāng)公民進行相關(guān)操作時就視為其自愿如實地提供或允許利用相關(guān)個人信息。

基于上述分析，不難看出，現(xiàn)代社會應(yīng)當(dāng)特別關(guān)注公民個人信息權(quán)利保護。因公共事務(wù)需要收集、使用公民個人信息的，應(yīng)當(dāng)嚴(yán)格遵循法律規(guī)定、符合立法本義，防疫健康碼對公民個人信息的收集、使用也不例外。

三、防疫健康碼收集、使用個人信息的應(yīng)有原則

（一）合法原則

防疫健康碼對防疫的積極作用毋庸置疑。但是，有關(guān)主體也應(yīng)當(dāng)高度關(guān)注個人信息的合法收集和使用。合法原則要求收集個人信息的行為、方式應(yīng)具備合法性基礎(chǔ)，并用于合法的目的?！睹穹倓t》第一百一十一條規(guī)定要獲取個人信息的應(yīng)當(dāng)“依法取得”?！毒W(wǎng)絡(luò)安全法》第四十一條明確收集、使用個人信息，應(yīng)當(dāng)遵循“合法、正當(dāng)、必要”的原則。疫情期間，習(xí)近平總書記強調(diào)：“實踐告訴我們，疫情防控越是到最吃勁的時候，越要堅持依法防控，在法治軌道上統(tǒng)籌推進各項防控工作全面提高依法防控、依法治理能力，保障疫情防控工作順利開展，維護社會大局穩(wěn)定?！保?］保障疫情防控工作順利開展的防疫健康碼收集、公民個人信息的使用，應(yīng)當(dāng)符合法律法規(guī)以及其他具體法律條款，例如《網(wǎng)絡(luò)安全法》以及《民法總則》《消費者權(quán)益保護法》《電子商務(wù)法》的個人信息保護條款。

（二）必要原則

2020年2月4日中央網(wǎng)信辦發(fā)布的《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，要求疫情期間收集他人信息應(yīng)當(dāng)堅持最少收集原則，只能對疫情防控所必需的信息進行收集。防疫健康碼在收集、使用個人信息時應(yīng)當(dāng)以滿足使用為限，如果防疫健康碼程序能夠讀取手機聯(lián)系人、短信等顯然就超出了必要的限度。同時，使用個人信息應(yīng)當(dāng)確保收集、使用信息的方式、手段等對信息主體的損害是最小的，信息的使用與要達(dá)到的目的之間應(yīng)當(dāng)是相適應(yīng)的。目的、手段、損失之間應(yīng)該保持適當(dāng)?shù)谋壤駝t就會造成利益的失衡，從而違背了必要原則［9］。例如早期披露的信息中包含了確診和疑似患者的年齡、性別、居住小區(qū)以及行蹤軌跡，這種無限度詳盡曝光個人信息，將會給信息主體造成嚴(yán)重?fù)p害，也遠(yuǎn)遠(yuǎn)逾越了必要限度。相比之下，防疫健康碼只通過不同的顏色顯示公民個人的風(fēng)險狀態(tài)，避免直接披露公民個人信息，更加符合必要原則。

（三）目的限制原則

目的限制原則要求使用個人信息的行為應(yīng)當(dāng)具有特定、明確的目的，收集、使用個人信息，以該目的為限，不得超出目的使用。1967年，美國學(xué)者艾倫·威斯（Alan F.Westin）首先在其著作《隱私與自由》（Privacy and Freedom）中提出政府所收集的個人信息，只能用于特定目的，不得用于其他目的或者進一步流轉(zhuǎn)。《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》中明確：“為疫情防控、疾病防治收集的個人信息，不得用于其他用途。”疫情期間，安徽省蚌埠市數(shù)據(jù)資源局資源中心主任張銳明確向媒體表示所有收集到的數(shù)據(jù)均匯集在市政府?dāng)?shù)據(jù)機房，不會存儲在商業(yè)機構(gòu)中，所有收集的居民信息只限用于市疫情管理［10］。因此，防疫健康碼在使用個人信息時也不得超出防控疫情的目的。

（四）知情同意原則

知情同意原則要求收集、使用個人信息應(yīng)當(dāng)告知信息主體收集和使用信息的范圍、目的、方式等，而信息主體做出明示或者默示“同意”的意思表示。個人信息與個人的安寧生活相聯(lián)系，具有一定的人身屬性，除法律特別規(guī)定以外，信息的收集與使用應(yīng)當(dāng)獲得信息主體的同意。

知情同意包括“知情”和“同意”兩個要素，“知情”是對事物的認(rèn)知，“同意”是對該事物的判斷。信息主體應(yīng)在對個人信息收集和利用的行為充分了解和正確認(rèn)識的前提之上，自愿作出同意的決定。防疫健康碼是基于公民的申請獲得的，其在收集和使用個人信息時應(yīng)當(dāng)進行充分的告知，進行隱私政策提示，闡述如何收集、使用及儲存?zhèn)€人信息，用戶做出同意的意思表示，例如點擊“同意”的選項按鈕后，繼續(xù)填寫相關(guān)信息。但是目前一些防疫健康碼，例如“寧歸來”，在用戶填寫個人信息時并沒有作出相關(guān)提示。此外，一些軟件在使用前即便列明隱私政策，這些隱私政策對用戶而言也可能冗長、晦澀，導(dǎo)致用戶可能不愿意閱讀。防疫健康碼在保證用戶的知情同意權(quán)上還有待提高。

（五）利益平衡原則

從法學(xué)角度講，利益是個人單獨追求的，或者是在集體形式的社會中需要通過謀求從而得到滿足的一種欲望或要求，因此在進行個人行為安排或者社會關(guān)系調(diào)整時，必須考慮到人類主體的欲望或要求，從而實現(xiàn)社會的一種和諧狀態(tài)［11］。利益之間必然存在沖突，而利益平衡原則是對相互沖突的利益進行評價與選擇，使利益處于相互制約、相互和平的狀態(tài)。個人信息與信息主體的人格權(quán)息息相關(guān)，但同時個人信息對于國家治理、公共管理、文化教育等利益的實現(xiàn)同樣具有重要意義。個人信息權(quán)與其他權(quán)益乃至公共安全之間出現(xiàn)沖突時，應(yīng)當(dāng)平衡個人信息權(quán)和其他權(quán)益的關(guān)系。最高法《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第十二條列出了“為促進社會公共利益且在必要范圍內(nèi)使用個人信息不承擔(dān)民事責(zé)任”，顯然，通過限制個人信息權(quán)實現(xiàn)公共安全是合法合理的，但是這種限制也不能超過必要的限度，比如為防控疫情而肆意披露患者的隱私顯然不符合利益平衡原則。防疫健康碼對個人信息的收集與使用不得超出與其所實施疫情防控措施相對應(yīng)的范圍。

（六）安全保護原則

防疫健康碼收集和使用的人臉特征、行程信息、家庭住址等，都是非常私人和敏感的信息，在日常生活中人們一般很少提供。這些信息一旦被泄露或者被濫用，將對信息主體的正常生活造成不利影響，收到“騷擾電話”和“垃圾短信”就是個人信息泄露帶來的常見不良后果。同時，信息使用者愈大規(guī)模地使用個人信息，信息主體對于個人信息保護的訴求愈強烈［12］。因此，信息使用者應(yīng)當(dāng)負(fù)有相應(yīng)的個人信息保護義務(wù)，采用適當(dāng)?shù)男姓胧?、物理和技術(shù)保障以確保個人信息不會丟失或者未經(jīng)授權(quán)被獲取、使用、破壞、修改或披露。中央網(wǎng)信辦出臺《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》也明確要求，“收集或掌握個人信息的機構(gòu)要對個人信息的安全保護負(fù)責(zé)，采取嚴(yán)格的管理和技術(shù)防護措施，防止被竊取、被泄露?！?/p>

四、風(fēng)險防范與責(zé)任追究

疫情期間，部分新聞媒體在未經(jīng)他人同意的情況下對個人信息進行直接披露，部分人在微信群或者朋友圈中對感染人群的信息進行共享。例如湖南省益陽市赫山區(qū)衛(wèi)生健康局黨組成員、副局長舒慶國，將涉患者及其親屬等個人隱私信息的電子版內(nèi)容通過微信進行轉(zhuǎn)發(fā)，后該報告被多次傳播，引起部分市民恐慌，舒慶國被紀(jì)委立案調(diào)查［13］。以上行為都對公民個人信息權(quán)造成了嚴(yán)重?fù)p害。防疫健康碼在使用個人信息時存在的典型風(fēng)險包括信息泄露以及超出目的使用。為了防范相關(guān)風(fēng)險，信息收集、使用者應(yīng)當(dāng)經(jīng)過相關(guān)法律法規(guī)培訓(xùn)，樹立責(zé)任意識，明確對個人信息的使用范圍、使用權(quán)限以及保護責(zé)任，明確個人信息收集、使用工作的流程規(guī)范，采取有效技術(shù)、監(jiān)管措施，例如嚴(yán)密的訪問控制、審計、加密等措施，確保個人信息數(shù)據(jù)的安全。

防疫健康碼收集、使用個人信息以防控疫情為目的，因此在信息主體填寫個人信息時，應(yīng)當(dāng)明確告知其所填寫個人信息僅用于疫情防控。當(dāng)疫情結(jié)束后，這些個人信息應(yīng)當(dāng)及時刪除，信息主體也有權(quán)要求信息使用者在特定目的得到實現(xiàn)后，刪除其相關(guān)個人信息。不過，基于利益平衡原則，個人信息財產(chǎn)價值的適度利用有利于公共管理，且防疫健康碼的投入使用也花費了一定的人力物力，對于收集的個人信息可以通過“脫敏”或“去識別化”應(yīng)用于非商業(yè)且有利于公共利益的特定情況，當(dāng)然這必須是在不損害信息主體權(quán)益的前提下滿足他人利益。健康醫(yī)療大數(shù)據(jù)是人民健康追求、醫(yī)療服務(wù)需求與大數(shù)據(jù)技術(shù)的有機結(jié)合體，是我國基礎(chǔ)性戰(zhàn)略資源，集合了個人全生命周期內(nèi)與生命健康、醫(yī)療服務(wù)、養(yǎng)生保健、公共衛(wèi)生等健康醫(yī)療活動相關(guān)的數(shù)據(jù)［14］。健康醫(yī)療大數(shù)據(jù)對于醫(yī)療服務(wù)效率和質(zhì)量的提升，促進優(yōu)質(zhì)醫(yī)療資源的有效分配等有非常重要的意義，而防疫健康碼所收集的個人信息恰恰是重要的健康醫(yī)療數(shù)據(jù)，具有公益價值，在保障公民個人信息安全的前提下，將經(jīng)過處理后的信息應(yīng)用于公共衛(wèi)生管理以及醫(yī)學(xué)科研中，有利于我國醫(yī)療衛(wèi)生事業(yè)發(fā)展。但無論如何，疫情結(jié)束后，都應(yīng)當(dāng)妥善處理防疫健康碼所收集的個人信息，以最大限度避免安全風(fēng)險。

我國法律保護公民個人信息安全，侵害公民個人信息的行為會被依法追究責(zé)任。2014年出臺的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，明確了利用信息網(wǎng)絡(luò)侵害個人信息的民事責(zé)任。2015年出臺的《刑法修正案（九）》中的“侵犯公民個人信息罪”，將《刑法修正案（七）》中“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”進行了合并，同時加大了對侵害個人信息犯罪行為的懲罰力度。2017年出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》則更加明確地規(guī)定侵犯公民個人信息罪的定罪量刑標(biāo)準(zhǔn)和相關(guān)法律適用問題。2020年5月25日，全國人大常委會工作報告在下一步主要工作安排中指出，將圍繞國家安全和社會治理，制定個人信息保護法和數(shù)據(jù)安全法。

防疫健康碼在防控新冠肺炎疫情中發(fā)揮了重要作用，同時也是大數(shù)據(jù)技術(shù)在公共治理中的充分應(yīng)用。大數(shù)據(jù)時代，大數(shù)據(jù)技術(shù)在提升公共治理能力、改善公共服務(wù)中擁有巨大潛力，但大數(shù)據(jù)分析也使得個人信息被侵害的可能性增大。在追求治理效率、治理效果的同時，不能忘記對個人信息權(quán)的保護，防疫健康碼在擁有“速度”和“力度”的同時，也需擁有“溫度”。