据有关媒体报道,[1]近日多位前往郑州沟通村镇银行“取款难”问题的储户,虽然并没有在近期出入境,但在扫码填报个人信息后,其场所码或豫康码显示为“红码”,“赋码原因”为“正在实施集中或居家医学隔离观察的入境人员”等;此外,还有多位未前往郑州的储户也被赋为“红码”。该事件引起全国广泛关注。
显然,政府部门对健康码等个人信息的处理,也是受到法律约束的。去年公布实施的《中华人民共和国个人信息保护法》(以下简称“《个保法》”)确立了全面的个人信息保护制度,其中第34条庄严宣告:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”国家机关在社会治理中如何合法地处理健康码等个人信息,我们谨进行“解码”分析。
根据《个保法》第4条,个人信息是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”
本次事件涉及的健康码,是根据个人填报信息进行大数据分析后生成的二维码。目前普遍使用的健康码是动态变化的,其编码内容通常是包含基础数据的网页链接或者与数据库相连的服务访问接口。[2]生成二维码的基础数据既有个人主动提供的身份、所在区域、出行情况、症状、接触史等数据,也有从其他机构采集的数据,比如公安、工信、电信运营商、交通运输部门、卫生健康部门提供的户籍、行程、就诊数据等。
就健康码而言,个人主动提供的手机号码和身份证号等能够识别个人,属于个人信息;其他基础数据,如所在区域、出行情况、健康状况、接触史等,以及据此生成的健康码状态数据,与个人高度关联,能够反映个人行踪轨迹和健康状况等情况,也属于个人信息。
不仅如此,健康码数据属于敏感个人信息。根据《个保法》第28条,敏感个人信息是指一旦泄露或者非法利用,容易导致自然人的人格尊严或者人身、财产安全受到危害的个人信息,包括医疗健康、行踪轨迹等。生成健康码所依赖的基础数据中包含有出行情况和健康状况,健康码本身所带的红、黄、绿三种颜色可表征个人的健康状态,同时健康码页面还包含身份证号等信息,在当前疫情管控机制下,健康码状态会影响个人的出行、上班、就诊等,甚至受到歧视或不公正对待,故这些数据构成敏感个人信息。
根据《个保法》第9条,个人信息处理者应当对其个人信息处理活动负责。
就健康码来说,目前全国范围内各省份健康码的主管部门并不统一,涉及到的部门包括大数据管理部门、经济和信息化局、卫健委、疾病预防控制中心、疫情防控指挥部、医保局、数字办等。部分省市主管部门还委托第三方服务商为健康码运营提供技术支持。
例如,“苏康码”由江苏省疾病预防控制中心主管;“豫康码”是在河南省行政审批和政务信息管理局(前身为河南省大数据管理局)指导下,由正数网络技术有限公司提供技术支撑建设;“湖北健康码”由湖北省新冠肺炎防控指挥部主办,委托湖北省楚云天有限公司开发;“福建健康码”则是由福建省数字办、卫健委、医保局主办,福建省大数据公司承办。
根据《个保法》,健康码相关的主体大体可分为几种角色:单独处理者、共同处理者、受托处理者、数据提供者、数据接收者以及技术服务提供者。
具体而言,如果地方政府明确健康码由单一部门归口主管,则该部门为单独的个人信息处理者;如果由多个部门共同管理,则各部门属于个人信息共同处理者;如果指定企业具体承担健康码系统的运营管理,则该企业属于个人信息受托处理者;如果企业只是承担健康码系统的开发,开发完成后交付主管部门运营,企业只承担维护职责的,则企业属于技术服务提供者,不参与个人信息处理;向健康码主管部门提供基础数据的政府部门或企事业单位(如公安部门、工信部门、交通运输部门、卫生健康部门、电信运营商),属于个人信息提供者;健康码主管部门将生成的健康码信息提供给其他政府部门或企事业单位,则后者属于个人信息接收者。
健康码数据的处理者是国家机关,属于特殊主体。根据《个保法》第33条,国家机关处理个人信息应当遵守《个保法》,其中,《个保法》第二章第三节关于“国家机关处理个人信息的特别规定”作为特殊规则应优先适用,该节没有规定的,适用《个保法》的一般规则。
国家机关对个人信息的管理,通常涉及以下个人信息处理行为:
第一,对基础数据进行收集。包括向个人直接收集数据,以及向相关部门或企事业单位间接收集数据。
第二,对基础数据进行处理、形成新的数据。健康码的生成通常系依据一套事先设定的规则,通过计算机程序对基础数据进行分析,最终形成红黄绿三种颜色的二维码。
第三,对处理后的数据进行使用和展示。在健康码场景中,基础数据处理完成后,需要将自动生成的健康码在应用程序前端向个人展示,或者个人在相应的公共场所扫描二维码后展示。
第四,对外提供统计性数据。部分省份在个人扫描公共场所的二维码后,还会向公共场所的管理员提供相关统计性数据,包括发热人数、男女比例,年龄分析,每个时段的客流分析等。[3]但根据上述省份的说明,对外提供的数据属于统计性数据,无法识别特定个人,不属于个人信息。
根据《个保法》,国家机关处理个人信息,应当遵守一系列义务:
国家机关违反个人信息保护义务,面临内部行政责任。根据《个保法》第68条,国家机关不履行个人信息保护义务的,由其上级机关或个人信息保护主管部门责令整改;对直接负责的主管人员和其他直接责任人员依法给予处分。
如果主管部门的工作人员玩忽职守、滥用职权,还可能被追究刑事责任。
根据《个保法》第四章,个人信息主体就其个人信息处理享有一系列的具体权利,包括知情权、决定权,限制或拒绝处理权、更正补充权等。
就健康码而言,相关个人享有知情权,可以要求主管部门说明健康码所依赖的基础数据类型、来源以及生成机制;如果主管部门采集无关数据进而生成错误健康码,影响个人出行,个人可以要求主管部门停止采集和使用无关数据,及时删除无关数据,并更正健康码的状态数据。
维权方式上,根据国务院联防联控机制综合组发布的《新冠肺炎疫情防控健康码管理与服务暂行办法》第29条,相关个人可以向网信、公安部门投诉举报。由于生成健康码属于行政法意义上的行政评级行为[4],相关个人可以就个人信息处理者的违法行为依法提起行政复议和行政诉讼。
全国人大法工委刘俊臣副主任在人大常委会会议上所作的《关于<中华人民共和国个人信息保护法(草案)>的说明》明确提到:“在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”
法律的生命力在于实施。全面落实和贯彻《个保法》、尊重和保护个人信息、保障广大人民群众的获得感、幸福感、安全感,不仅需要成为全体公民、企事业单位、社会组织的自觉行动,也应当成为法治政府的责任担当。
注释