正文摘要:
作为一种将数据、技术和政府权力深度集合的疫情防控应用系统,健康码将数字技术嵌入社会治理,是技术权力与国家权力深度融合的典型样本。应当承认,在这一特殊时期,健康码以其技术与权力的强强联手,提高了疫情风险防控的国家能力;但随着疫情防控策略的重大调整,健康码彻底退出已是大势所趋,势在必行。健康码通过采集个人身份信息、疫苗接种、核酸检测、场所等行程轨迹信息,集合大数据分析,对个人疫情传播风险进行画像,做出相关自动化决定,例如赋红码、弹窗等。可见,健康码的底层技术是对社会成员的大数据监控,通过大规模、持续化、高强度的监测、评价和管控,进行风险防控。北大教授:健康码彻底退出势在必行究竟是怎么一回事,跟随小编一起看看吧。
四问“通信行程卡退场”:收集了哪些信息?如何确保隐私?健康码是否调整……
封面新闻记者 邵萌
运行1000余天的“通信行程卡”结束历史使命。据“通信行程卡”官方微信公众号消息,12月13日0时起,行程卡服务正式下线。行程卡短信、网页、微信小程序、支付宝小程序、APP等查询渠道同步下线。此前,随着新冠肺炎疫情防控政策优化调整,多地已宣布公共场所不再查验核酸阴性证明、健康码和行程卡。
作为最初支持疫情防控的技术手段之一,行程卡由工信部指导,中国信息通信研究院与三家基础电信企业共同推出。自2020年2月上线以来,这个熟悉的“绿色箭头”为各地疫情防控提供了有力支撑。工信部5月26日透露的数据显示,行程卡用户查询累计达556亿次以上。
行程卡收集了哪些个人信息?行程卡下线后,海量个人信息数据是否应被“销毁”?未来健康码、场所码会不会退出历史舞台?
此前防疫工作人员查验旅客健康码、行程码。图片来源:新华社
【一问】
行程卡下线意味着什么?
专家:在防疫中承担的历史任务终结
打开行程卡,填写手机号、验证码并确认本人授权后,便可查询国内和国际过去7天内的行程,一旦发现用户曾在风险地区逗留过,行程卡就会“带星”。这是很多人三年多来熟悉的操作。
自上线以来,行程卡数次迭代。2021年9月,国家政务服务平台“防疫健康码”将健康码、行程码整合,实现一页通行式的“二码合一”。2022年6月29日,工信部宣布取消行程卡的“星号”标记。7月8日起,行程卡查询时间范围由14天调整为7天。直到12月13日0时,行程卡服务正式下线。
“‘下线’跟过去的不再查验是两个概念,实际上意味着行程卡在小程序、网页等,包括在部分地区与健康码的合并,在所有应用端全部停止运行。可以说,行程卡在过去疫情防控的特殊时期承担的任务已宣告终结。”北京大学法学院教授王锡锌向封面新闻记者表示。
通信行程卡。图源:通信行程卡小程序截图
【二问】
行程卡收集了哪些信息?
专家:包括敏感个人信息
作为疫情期间公民出行必备的通行证,行程卡汇聚了大量个人信息。王锡锌将其分为两类,一部分是手机号及关联姓名等个人身份信息,另一部分则是个人的行程轨迹信息,属于《个人信息保护法》中所说的敏感个人信息,主要通过手机的发射基站来测量和获得。
“手机用户信号通过基站发射,当一个人不断移动,手机信号会在不同基站之间切换。若干个基站和手机用户就构成了一条轨迹。通过这个原理,就可判断你和确诊病人的轨迹是否构成密接或时空交集。”王锡锌解释。
据悉,行程卡分析的是手机信令数据,通过用户手机所处的基站位置获取,信令数据的采集、传输和处理过程高度自动化,且有极其严苛的安全隐私保护机制。
不过,王锡锌也指出,面对海量信令数据,通过手机基站测量行程轨迹精确度不够,以致有时会出现误判,曾有人提议用GPS等来定位描述轨迹,但因成本提升及侵害隐私等问题被很多专家反对。
记者注意到,在2020年3月25日举行的国务院联防联控机制新闻发布会上,时任工信部信息通信管理局局长的韩夏表示,行程卡不收集用户身份证号码、家庭住址等信息,严格落实隐私保护的要求。
2020年5月,行程卡APP2.0在推出时也强调,服务不收集用户的身份信息和位置数据,仅用于新冠肺炎常态化防控需求,仅防疫部门有权限使用数据,且手机里的数据保留21天后会定期清除。
中国移动官微于12日晚发文称,将同步删除用户行程相关数据。
【三问】
行程卡数据是否销毁?
三大运营商表态:将同步删除
三年多运行时间,十几亿用户,行程卡取消后,积累的海量用户数据如何处置?
在王锡锌看来,行程卡研发和维护的相关专业机构,应该对公众比较关心的个人信息问题,如何存储和处理数据适时作出说明。
他分析称,个人手机号等行程卡数据的处理和存储都在运营商,即使没有行程卡,相关数据也是本来就存在的,不必太过担心。关键要弄清是如何存储和处理这些数据的,是新的数据会定期动态覆盖掉之前的数据,还是所有的身份信息和位置数据都会被存储下来。“如果的确存储了大量的数据,那我觉得无论是从法律上来说,还是从逻辑上来说,这些数据都应该彻底删除。”
“采集这些数据的目的就是分析个人的行程轨迹用以抗疫。如今我国防疫政策已发生重大调整,继续保留敏感信息已缺乏正当目的基础,应该依法删除。”据王锡锌介绍,《个人信息保护法》第47条第1款规定,“处理目的已实现、无法实现或者为实现处理目的不再必要”情形,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。
封面新闻记者注意到,中国移动、中国联通官微均12日晚发文称,将自12月13日0时行程卡服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。中国电信也公开表示,将同步删除用户行程相关数据。
12月13日0时起,“通信行程卡”服务正式下线。
【四问】
健康码将来会如何调整?
专家:完成防疫目的后退出是必然
同为“数字抗疫”时代产物,行程卡取消后,健康码何去何从?
王锡锌指出,健康码是以个人信息处理为基础,结合大数据对个人疫情传播风险的评级和画像,实际上是数据权力与抗疫过程中行政管理权力的结合,其唯一正当化的使用目的就是进行疫情的风险管理。
“新十条”发布后,多省市明确除特殊场合外,不要求提供核酸阴性证明和查验健康码,健康码防疫功能正被弱化。“随着疫情防控政策的重大调整,许多地方已不再查验健康码和核酸阴性证明,它的功能已明显弱化,所承载的抗疫功能和使命基本已宣告完成。”王锡锌说。此外,随着行程卡取消,行程轨迹数据没有了数据源,健康码的部分功能也会随之消失,比如弹窗3。
王锡锌认为,当防疫目的完成后,健康码退出历史舞台将成必然。他指出,与行程卡不同,健康码处理了大量敏感个人信息,包括身份信息、生物识别信息、轨迹信息、地理信息等。这些信息合并起来会对个人进行更加精准的数据画像,对个人隐私、安全等重要权益产生很大影响。“此前推广健康码主要是考虑到疫情防控这一公共利益,如今防疫政策调整后,这个平衡需要重新评估。”
此前,有地方把健康码与医疗、公共交通、政务服务等功能融合,拓展了更多应用场景,如电子健康卡等。对此王锡锌并不认同。
他指出,健康码唯一正当化的使用目的就是防疫,如果将其拓展到其他方面,首先违背了其本身目的的正当性。其次,健康码采集敏感个人信息,依据的是《传染病防治法》《突发事件应对法》等,擅自变更有违背法律的风险。
“健康码数据用于防疫之外的目的不仅违背法律,也违背科技伦理。”王锡锌说,非常手段只能用于非常目的,如果不能坚持这个原则,擅自将健康码移作他用,也会对健康码系统的公信力造成影响。
记者注意到,国务院联防联控机制曾在2021年1月印发《新冠肺炎疫情防控健康码管理与服务暂行办法》,第二十四条明确,加强个人隐私保护,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。
王锡锌强调,健康码退出后,其所对应的各类敏感个人数据也应得到妥善处理,避免被用于其他目的而导致个人隐私泄露等。
【如果您有新闻线索,欢迎向我们报料,一经采纳有费用酬谢。报料微信关注:ihxdsb,报料QQ:3386405712】
王锡锌:健康码彻底退出势在必行 | 学者评论
作为一种将数据、技术和政府权力深度集合的疫情防控应用系统,健康码将数字技术嵌入社会治理,是技术权力与国家权力深度融合的典型样本。近三年来,“亮码”“扫码”成为生活常态,“黄码”“红码”“弹窗”也成为很多人焦虑不安的生活体验,今后无疑也将成为最深刻的全民集体记忆。应当承认,在这一特殊时期,健康码以其技术与权力的强强联手,提高了疫情风险防控的国家能力;但随着疫情防控策略的重大调整,健康码彻底退出已是大势所趋,势在必行。
对一种治理工具的取舍,首先需要考虑其底层逻辑和运行机理。健康码通过采集个人身份信息、疫苗接种、核酸检测、场所等行程轨迹信息,集合大数据分析,对个人疫情传播风险进行画像,做出相关自动化决定,例如赋红码、弹窗等。基于这种数字工具的风险判定,进而管理主体采取相应的风险防控措施,如集中隔离、强制核酸检测、居家观察等。可见,健康码的底层技术是对社会成员的大数据监控,通过大规模、持续化、高强度的监测、评价和管控,进行风险防控。
技术只是健康码作为治理系统的要素之一;实际上,健康码作为治理工具,必然涉及到政府权力和个人权利的此长彼消。借助技术赋能,政府疫情风险管控能力大大提升,但这是以限缩个人权益和自由为对价的。健康码对个人进行全方位监控,处理大量涉及隐私的敏感个人信息,实施大数据分析及相应的风险判定,进而采取隔离、封锁等管控措施,无疑都对个人权益产生限制和克减。
从法理上看,对个人合法权益进行限缩克减的理由,来自于突发公共卫生事件引发的应急状态管理。在此状态下,疫情风险防控的公共利益之重要性和紧迫性凸显;为公共利益让渡部分个人权益,成为个人对共同体的道义责任和公民品德。
但需要强调的是,这种将技术、管理和个人权益进行权衡的治理逻辑,只有在应急管理场景中才可具有正当性。如果说在疫情防控早期,健康码是一种解决问题的方案的话,随着疫情防控策略的重大变化,健康码继续存在,本身就将成为问题。
首先,支撑健康码运行的管理权,其合法性基础已发生重大改变。健康码是在疫情防控的应急管理场景中出现的,其正当性基础源自传染病防治法、突发事件应对法等法律法规。但随着疫情防控政策的重大调整,政府主导的全方位防控职责,已让位于个人“作为第一责任人”的社会机制,应急管理向常态管理转变后,健康码所依托的应急管理权的合法性、正当性基础,已不复存在。
其次,由于管理职权正当性的场景变化,健康码处理个人信息也面临目的合法性危机。依照民法典和个人信息保护法的规定,处理个人信息必须有明确的目的,为履行法定职责所必须。随着抗疫策略转型,常态化核酸、亮码、扫码及相应的管理措施已发生重大调整,健康码持续采集和处理个人信息,对疫情防控之目的已不再具有实质性意义。
依托于健康码这一数据处理系统而采取的各种行政管理措施,需要以政府管理的任务、目标、职责等要素结合,充分考虑公共利益与个人利益的平衡。在应急状态下,为了公共利益而限制私益尚可忍耐;但如果将其延伸到常态化公共治理中,则会导致技术和权力对人的压迫和专制。
今日之中国,新技术广泛应用于政府治理场景,在带来显著治理效用的同时,也对社会心理造成巨大冲击。技术手段一旦得以应用,是否会形成惯性和路径依赖?是否会形成新的权力—利益格局?这些焦虑和担忧已弥漫于当下。健康码在完成其特定阶段的能效后功成身退,不仅可以增进政府公信力,还可彰显技术可逆性,这对迷茫于当下社会中的技术恐慌和社会焦虑具有一定的抚慰和疗愈功能。
因此,随着疫情防控策略重大调整,健康码退出已势在必行,并且不能打埋伏、留尾巴。健康码应从中央和各地的应用端下线,停止数据处理和服务,并依法删除已收集处理的信息。尤其需要指出的是,应当警惕和制止各种将健康码改头换面用作其他用途或场景的冲动。基于特定应急管理场景、特定权责、特定目的而生的健康码,若超出这些特定时空场景和法律环境,必将面临合法性和正当性挑战。
作者 | 王锡锌(北京大学法学院教授、博导,《中外法学》主编,中国法学会法学期刊研究会副会长,中国行政法学研究会常务理事,第六届“全国十大杰出青年法学家”)
(原文刊载于《上海法治报》2022年12月23日B7版“学者评论”,责任编辑:徐慧;见习编辑:朱非)
查看更多关于【新闻资讯】的文章