健康码集中了个人卫生健康、工信、海关、交通运输各方面信息,在精准防疫、排查疑似病患上无疑成效显著。然而,硬币的另一面是民众对于个人敏感信息被泄露和滥用的担忧,升级健康码本身不只要考虑以隐私换高效是否必要,还需斟酌是否合法合理。
文 | 《财经》记者 姚佳莹
编辑 | 朱弢
后抗疫时期,健康码个人信息该保存还是销毁?这一问题开始引起多方关注。
在防疫初期,健康码的应用有效防止了线下扎堆填报个人信息带来的病毒传染风险。除了帮助民众高效通行社区、办公大楼、交通口等核验场景,在复工复产时期,因其实现的行程追踪、同行密切接触人员自查等功能,亦避免以往人海战术排查病患的做法,助力精准防疫。
然而,作为抗疫期间的“功臣”,健康码由于广泛收集了个人的敏感健康信息,在疫情逐步得到控制后,个人信息保护的考量开始成了其是否持续运作的争论出发点。
杭州拟推行渐变色健康码便引起多方质疑。5月下旬,杭州市卫健委在专题会上提到,拟升级健康码,通过集成电子病历、健康体检、生活方式管理的相关数据,将用户的健康指标和健康码颜色相联系,建立个人健康指数排行榜。
这一意欲将健康码常态化利用的探索当即引起争议。除了健康码已经获取的个人健康信息较敏感外,渐变色健康码集成电子病历、生活方式管理等设想更引发了公众隐私被进一步掌控、甚至进行公开排序的担忧。
与杭州市意欲升级健康码,进一步获取和利用公众信息不同,在今年的“两会”上,多位代表委员对新冠疫情期间所收集的个人信息的去向则较为谨慎。
全国政协委员、百度董事长李彦宏借助提案建议,针对新冠疫情期间采集的个人信息设立退出机制,对已搜集信息进行规范管理,降低数据泄露、滥用风险等。全国人大代表、中央网信办原副主任任贤良认为,为了防止疫情传播,公众让渡了一部分个人信息权利,但这种让渡是有边界和时限的,在疫情结束后,有关部门应当对所收集的个人信息进行封存、销毁。
自步入互联网时代以来,健康码的使用或许是中国社会首次全国性、高效率、高精准地收集、掌握个人信息的案例。这一集中了个人卫生健康、工信、海关、交通运输各方面信息的二维码,在精准防疫、排查疑似病患上无疑成效显著,然而,硬币的另一面是民众对于个人敏感信息被泄露和滥用的担忧:后抗疫时期,健康码背后的个人信息库该去该留?
高效治理与个人信息保护如何平衡?
“社区掌握很多信息,而且现在连办公大楼的物业都知道我住在哪里,这在以往是不可想象的。”北京清律律师事务所首席合伙人、律师熊定中道出了个人信息被多方掌握的忧虑。
打通社区、办公物业、交通口数据,多方共享个人信息恰是健康码实现行程追踪、精准抗疫的必要条件。以杭州市使用的三色码为例,根据赋码规则,被管控隔离的赋红码。当民众自主申报健康码时,后台会自动比对申报人的身份信息和“涉疫情重点人员库”的身份信息,比对申报人的支付宝定位数据和运营商定位数据,比中则赋予红码。
杭州市委副书记张仲灿曾表示,健康码评判有三个维度:第一个维度是空间,根据疫情的风险程度,将个人空间信息精确到乡镇(街道);第二个维度是时间,把握与传染路径相关联的去过疫区的次数及时间;第三个维度是人际关系,量化评判与密切接触人员接触状态等个人有效信息。
也就是说,健康码之所以有效,关键在于数据比对。通过集合卫健、交通运输、公安等各部门数据,丰富个人的信息维度。可供比对的信息越丰富,对个人的“画像”越具体,系统作出的评判便越精准。
各方关切健康码信息去向的缘由在此,而多维度的个人信息一旦被泄露或滥用,给公民个人带来的风险将是难以复原的。然而,与公民对于个人信息的关切不同,地方政府投入了人力、时间等各种成本推行健康码这一平台,无论是基于既有成果的更优转化,还是智慧城市建设的政绩考量,维持甚至丰富健康码的功能都是地方政府的较优选择。
其中的典型案例即杭州推行渐变色健康码。早在2月份,杭州健康码便实现了与电子健康卡、电子社保卡的打通,目前已通过健康码实现了一码就医、预约挂号、一键急救、心理援助、健康档案等多个健康应用,杭州也由此成为全国首个可凭健康码看病的城市。
而此次拟推行渐变色健康码之所以引起较大争论,原因在于杭州方面意欲升级健康码的功能,依托健康码进一步获取、打通个人的信息数据。
从其设想的渐变色健康码个人健康评价页面,可以注意到,当日运动情况、饮酒、吸烟、睡眠等情况将被纳入评价,得出个人当日健康得分。健康码最初的红黄绿三色将升级为不同深浅程度,对应不同的健康得分,越“绿”越健康。同时,也可以通过大数据对楼道、社区、企业等健康群体进行评价。
尽管杭州官方声称,该设想意欲促进健康生活方式的养成,是以大数据推行便民举措,但民众的质疑在于:杭州市有关政府部门是否有权利收集个人电子病历和生活方式数据?集成这些数据是否得到个人明示授权?在后抗疫时期有无必要?比“绿”的健康指数排序会否带来歧视?
升级健康码合理吗?
杭州市相关部门显然未能充分有据地回应舆论的质疑。
在公布渐变色健康码设想的数日后,市卫健委信息中心负责人表示,“一码知健”渐变色健康码仅为设计思路,该设想的初衷是为了促进健康生活方式的养成,现正根据各方的意见建议,进一步深入研究,目前没有上线计划。而如何审慎应用健康码,开发应用场景,这需要全盘统筹考虑。
实际上,不只杭州,在广州,新“穗康码”可作为实名电子身份证明,一次生成长期有效;上海则将“随申码”定位成:为市民或企业工作、生活、经营等行为提供数据服务的随身服务码。据《财经》记者了解,也有地方政府打算依托健康码,集成医院挂号、交通违章处理、企业申报、个人情况申报,领取公积金等功能,作为市民办理日常事务的一个入口。
以个人信息大数据为基础,实现各场景的快速通行和高效事务办理,无疑让未来的智慧生活充满想象空间。然而,健康码本就为抗疫时期的特殊产物,基于公共防疫需求,公民让渡了部分个人权利,自主申报个人各维度信息,这意味着,升级健康码本身不只要考虑以隐私换高效是否必要,还需要斟酌是否合法合理。
今年全国“两会”期间,全国政协委员、香港青年联会主席吴杰庄便提出,要规范公共管理中个人信息的收集使用行为。在《财经》记者获取的提案中,吴杰庄提到,新冠肺炎疫情期间,大数据、人工智能医疗在人员防控和患者治疗方面发挥了重要作用,但政府部门、相关企事业单位在疫情防控以及复工复产中存在个人信息过度收集、超范围利用、数据泄露等风险。
吴杰庄建议,在立法中,应明确涉及重大公共卫生事件中,除法律法规明确授权的机构外,其他任何单位和个人不得在未征得个人同意的情况下,将个人信息用于疫情防控、重点人群追踪等目的。
“应急状态的特点是暂时性和可回复性,一旦疫情缓解或结束,都应该进行相应的动态调整。一般情况下,只有公共防疫部门才有权获取、保管这些数据,后续公民拥有的删除权等应该得到尊重,而不能将它常态化,作为长期的处置方法。”对外经济贸易大学数字经济与法律创新研究中心执行主任许可向《财经》记者表示。
那么,如一些地方政府的设想,简单搭载医院挂号、交通违章处理等功能是否合适?“以医院挂号为例,即使赋予个体自主退出的权利,民众可不通过健康码进行预约挂号,但很难保证政府不会将资源往健康码的渠道倾斜,而线下挂号更是增加了民众的精力和时间成本,这样其实是变相地将资源往愿意使用健康码挂号的群体倾斜。表面上有选择,实际上还是没有选择。”熊定中向《财经》记者分析道。
“就不应对健康码有任何设想。”熊定中认为。多名学者和法律人士向《财经》记者表达了类似观点,这背后不只因健康码信息的敏感性,还与健康码获取信息的特殊时期有关。
健康码信息该去该留?
除李彦宏和任贤良,全国政协常委、国务院参事甄贞也认为,应建立公民个人信息定期清理机制,明确疫情防控期间收集的不同类别个人信息的保管期限,对于期限届满的个人信息,由相关负责人及时运用删除数据库、销毁纸质文档等方式予以清除,降低信息保管成本和泄露风险。
对于健康码信息,熊定中认为应彻底销毁,主要有两方面原因:一是健康码获取个人信息的过程存在法律瑕疵。“健康码获取个人信息的过程,其实没有明确的法律依据,也与我们这几年在进行的app个人信息收集规范、工信部的相关评测标准等监管策略相违背。”熊定中向《财经》记者表示。
二则民众是基于公共防疫需求,自主申报信息时让渡了部分权利,倘若被获取的个人敏感信息在疫情结束后未能被销毁,是一种对公信力的破坏。“民众出于对公共机构的信任,为了一个共同的抗疫目标,在超出法律框架的情况下,把个人信息交给了这些收集主体。健康码能如此大范围、高效率地运作,实质上是在合法性存疑的情况下,凭借公信力背书解决问题,所以对于健康码信息的处理应该尤为谨慎,这可能会影响到民众对于公共机构的信任度。”熊定中说道。
中国人民大学未来法治研究院副院长丁晓东向《财经》记者表达了类似观点。“健康码信息的收集是有目的限定的,将其作为统一的个人信息收集平台或是进一步利用,从个人隐私保护和维护公信力角度来看,都不是一个好主意。倘若没有彻底删除,一旦发生数据泄露或滥用,都会导致信任度的丧失,未来如果再基于公共利益需求收集公众个人信息,很可能阻力就会加大。”丁晓东说道。
也有学者提出,当下仍处于防疫成果巩固阶段,倘若出现第二波疫情,彻底删除健康码信息是否是一个最优解?
对此,丁晓东表示,在疫情尚未完全平息的情况下,比较合适的处理方式是将健康码信息进行匿名化处理,加强安全保护级别,且只能为抗疫、新冠药物研发所用。“现在疫情尚未结束,还存在卷土重来的风险,彻底删除健康码信息并不是非常现实的选项,且重新再收集的成本也将非常高,可能更合理的方式是将个人信息匿名化处理,提高识别难度,在疫情结束或疫苗大范围推广后,再考虑彻底删除。”丁晓东向《财经》记者说道。
历经此次疫情,健康码确实已经迈出了大数据治理的一大步,无疑对于智慧城市和电子政务治理进行了具有实际意义的探索,将健康码的既有成果弃置不用显得可惜。但熊定中指出,从信息安全和合理合法使用的角度而言,不能简单以高效和利益衡量。“只要出现一起风险事件,就会让这种信息收集行为蒙上巨大污点,再想全员动员就难了。出于其他目的需要采集这类个人信息,可以重新合规地进行,得到个人明示许可和授权,虽然可能需要花些成本和时间,但在法律上站得住脚,也是值得的。”熊定中说道。
“若想开发其他功能,除非有其他app或产品获得用户明确授权,用户授权其信息用于挂号或其他用途。总之,无论以何种目的,将健康码获取的信息突破抗疫的用途,都是不合适的。”丁晓东表示。
来源:
试用申请