解码“健康码”:国家机关如何合法地处理个人信息?
作者:袁立志 金迪非 时间:2022-06-17

据有关媒体报道,[1]近日多位前往郑州沟通村镇银行“取款难”问题的储户,虽然并没有在近期出入境,但在扫码填报个人信息后,其场所码或豫康码显示为“红码”,“赋码原因”为“正在实施集中或居家医学隔离观察的入境人员”等;此外,还有多位未前往郑州的储户也被赋为“红码”。该事件引起全国广泛关注。

 

显然,政府部门对健康码等个人信息的处理,也是受到法律约束的。去年公布实施的《中华人民共和国个人信息保护法》(以下简称“《个保法》”)确立了全面的个人信息保护制度,其中第34条庄严宣告:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”国家机关在社会治理中如何合法地处理健康码等个人信息,我们谨进行“解码”分析。

 

1. 相关数据是否属于个人信息?

 

根据《个保法》第4条,个人信息是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”

 

本次事件涉及的健康码,是根据个人填报信息进行大数据分析后生成的二维码。目前普遍使用的健康码是动态变化的,其编码内容通常是包含基础数据的网页链接或者与数据库相连的服务访问接口。[2]生成二维码的基础数据既有个人主动提供的身份、所在区域、出行情况、症状、接触史等数据,也有从其他机构采集的数据,比如公安、工信、电信运营商、交通运输部门、卫生健康部门提供的户籍、行程、就诊数据等。

 

就健康码而言,个人主动提供的手机号码和身份证号等能够识别个人,属于个人信息;其他基础数据,如所在区域、出行情况、健康状况、接触史等,以及据此生成的健康码状态数据,与个人高度关联,能够反映个人行踪轨迹和健康状况等情况,也属于个人信息。

 

不仅如此,健康码数据属于敏感个人信息。根据《个保法》第28条,敏感个人信息是指一旦泄露或者非法利用,容易导致自然人的人格尊严或者人身、财产安全受到危害的个人信息,包括医疗健康、行踪轨迹等。生成健康码所依赖的基础数据中包含有出行情况和健康状况,健康码本身所带的红、黄、绿三种颜色可表征个人的健康状态,同时健康码页面还包含身份证号等信息,在当前疫情管控机制下,健康码状态会影响个人的出行、上班、就诊等,甚至受到歧视或不公正对待,故这些数据构成敏感个人信息。

 

2. 相关的个人信息处理者是谁?

 

根据《个保法》第9条,个人信息处理者应当对其个人信息处理活动负责。

 

就健康码来说,目前全国范围内各省份健康码的主管部门并不统一,涉及到的部门包括大数据管理部门、经济和信息化局、卫健委、疾病预防控制中心、疫情防控指挥部、医保局、数字办等。部分省市主管部门还委托第三方服务商为健康码运营提供技术支持。

 

例如,“苏康码”由江苏省疾病预防控制中心主管;“豫康码”是在河南省行政审批和政务信息管理局(前身为河南省大数据管理局)指导下,由正数网络技术有限公司提供技术支撑建设;“湖北健康码”由湖北省新冠肺炎防控指挥部主办,委托湖北省楚云天有限公司开发;“福建健康码”则是由福建省数字办、卫健委、医保局主办,福建省大数据公司承办。

 

根据《个保法》,健康码相关的主体大体可分为几种角色:单独处理者、共同处理者、受托处理者、数据提供者、数据接收者以及技术服务提供者。

 

具体而言,如果地方政府明确健康码由单一部门归口主管,则该部门为单独的个人信息处理者;如果由多个部门共同管理,则各部门属于个人信息共同处理者;如果指定企业具体承担健康码系统的运营管理,则该企业属于个人信息受托处理者;如果企业只是承担健康码系统的开发,开发完成后交付主管部门运营,企业只承担维护职责的,则企业属于技术服务提供者,不参与个人信息处理;向健康码主管部门提供基础数据的政府部门或企事业单位(如公安部门、工信部门、交通运输部门、卫生健康部门、电信运营商),属于个人信息提供者;健康码主管部门将生成的健康码信息提供给其他政府部门或企事业单位,则后者属于个人信息接收者。

 

健康码数据的处理者是国家机关,属于特殊主体。根据《个保法》第33条,国家机关处理个人信息应当遵守《个保法》,其中,《个保法》第二章第三节关于“国家机关处理个人信息的特别规定”作为特殊规则应优先适用,该节没有规定的,适用《个保法》的一般规则。

 

3. 国家机关的管理活动

涉及哪些具体的数据处理行为?

 

国家机关对个人信息的管理,通常涉及以下个人信息处理行为:

 

第一,对基础数据进行收集。包括向个人直接收集数据,以及向相关部门或企事业单位间接收集数据。

第二,对基础数据进行处理、形成新的数据。健康码的生成通常系依据一套事先设定的规则,通过计算机程序对基础数据进行分析,最终形成红黄绿三种颜色的二维码。

第三,对处理后的数据进行使用和展示。在健康码场景中,基础数据处理完成后,需要将自动生成的健康码在应用程序前端向个人展示,或者个人在相应的公共场所扫描二维码后展示。

第四,对外提供统计性数据。部分省份在个人扫描公共场所的二维码后,还会向公共场所的管理员提供相关统计性数据,包括发热人数、男女比例,年龄分析,每个时段的客流分析等。[3]但根据上述省份的说明,对外提供的数据属于统计性数据,无法识别特定个人,不属于个人信息。

 

4. 国家机关处理相关的个人信息

应遵守哪些义务?

 

根据《个保法》,国家机关处理个人信息,应当遵守一系列义务:

 

 

第一,遵循合法、正当和诚信原则,并遵守法定权限和程序。根据《个保法》第5、34条,处理个人信息应遵守合法、正当、必要和诚信原则;国家机关为履行法定职责处理个人信息,应当依照法定权限和程序进行。

 

健康码的主管部门如果为了疫情防控以外的目的,采集个人的无关信息用于生成健康码,甚至制作虚假信息,以限制个人正常出行,显然有违合法、正当、必要和诚信原则,也违反了法定权限和程序;其他国家机关为了疫情防控以外的目的,将与疫情防控无关的信息提供给健康码的主管部门,通过滥用健康码来限制个人出行,同样也不符合上述原则,不符合法定权限和程序。

第二,事先履行告知义务。根据《个保法》第17、30、35条,国家机关在处理个人信息前原则上应履行告知义务,但法律、行政法规规定应保密或者不需要告知,或者告知将妨碍国家机关履行法定职责的除外。告知内容包括个人信息处理者的名称、联系方式、处理目的、方式、数据类型、保存期限以及个人行使权利的方式和程序。涉及敏感个人信息的,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。

 

在健康码的场景下,个人信息处理者可在相应的网络载体(如App、小程序)中设置隐私政策,通过弹窗等方式,向用户告知上述信息。比如,随申办市民云App即在其隐私政策中披露了随申码功能,并在用户进行实名认证前采取即时提示的方式进一步强调了实名认证信息对于查询随申码的必要性。

第三,处理个人信息应具备合法事由。根据《个保法》第13条,处理个人信息应当具备合法事由,如个人同意、签订或履行合同所必需、履行法定职责或义务所必需、应对公共卫生事件所必需,等等。

 

《中华人民共和国传染病防治法》第12条、《突发公共卫生事件应急条例》第40条等相关规定为主管部门处理健康码相关个人信息提供了法律依据,健康码主管部门可以依赖“为履行法定职责或者法定义务所必需”以及“为应对突发公共卫生事件所必需”作为合法事由,健康码主管部门在必要范围内收集和使用相关个人信息,无需个人同意。

第四,收集个人信息应遵守必要性原则。根据《个保法》第6条第2款,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

 

中央网信办2020年发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第2条规定,收集联防联控所必需的个人信息应坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群。

 

因此,健康码的主管部门收集的基础数据应当与健康码功能直接相关,如个人身份信息、健康状况,不应收集作息时间、生活习惯等与疫情防控并无直接关联的个人信息。特定金融机构储户身份这一信息不是疫情防控目的所必需的信息,不应当收集并用于生成健康码。

第五,利用个人信息进行自动化决策应保证透明度和结果公平。根据《个保法》第73条,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

 

如前所述,健康码的生成过程依赖计算机程序对基础数据的自动处理,生成的健康码是用于对个人的健康状况进行评估并确定相应的管理措施,因而属于自动化决策,应当保证决策过程的透明度和决策结果公平、公正。

 

健康码主管部门应当严守健康码的功能定位,通过事先告知等方式使相关个人有机会知晓影响健康码的因素和生成机制。如果主管部门在有关个人不知情的情况下,在健康码的自动化生成机制中引入不相关的参数,则有违过程透明和结果公平、公正,不符合《个保法》第24条。

第六,采取适当措施保障数据安全。根据《个保法》第9、51条,个人信息处理者应采取必要措施保障所处理的个人信息的安全。根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第3条,未经被收集者同意,个人信息处理者不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。另据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第7.2条、《个人健康信息码 参考模型》(GB/T 38961-2020)第5.1条,个人信息处理者宜在健康码的展示页面对个人的姓名、身份证件号码等信息进行脱敏。

 

根据上述规定,如为联防联控目的,需要公开展示健康码的,不能直接展示基础数据,而应当脱敏后再展示,比如只保留姓氏,隐去名字,身份证号码只展示部分数字,以防止个人信息泄露。

第七,保证个人信息质量。根据《个保法》第8条,处理个人信息应保证个人信息质量,避免因个人信息不准确、不完整对个人权益造成影响。

 

就健康码而言,无论是基础数据不准确,还是因为人为或客观因素导致生成的健康码状态错误(如无密接或中高风险行程而显示红码或黄码),都属于数据质量问题。在联防联控机制下,这会对个人权益造成重大影响,如被迫隔离、增加感染风险、行程受到影响、遭到歧视、遭受间接损失等。

 

健康码的主管部门应当采取适当措施,如确保基础数据准确、健康码生成算法无误,从而确保生成的健康码状态数据准确。如发现数据有误,无论是人为造成还是客观因素导致,都应当及时更正。受影响的相关个人也有权要求更正。

 

5. 国家机关违反个人信息保护义务,

有何法律责任?

 

国家机关违反个人信息保护义务,面临内部行政责任。根据《个保法》第68条,国家机关不履行个人信息保护义务的,由其上级机关或个人信息保护主管部门责令整改;对直接负责的主管人员和其他直接责任人员依法给予处分。

 

如果主管部门的工作人员玩忽职守、滥用职权,还可能被追究刑事责任。

 

6. 个人对国家机关处理个人信息,

可以主张哪些权利?

 

根据《个保法》第四章,个人信息主体就其个人信息处理享有一系列的具体权利,包括知情权、决定权,限制或拒绝处理权、更正补充权等。

 

就健康码而言,相关个人享有知情权,可以要求主管部门说明健康码所依赖的基础数据类型、来源以及生成机制;如果主管部门采集无关数据进而生成错误健康码,影响个人出行,个人可以要求主管部门停止采集和使用无关数据,及时删除无关数据,并更正健康码的状态数据。

 

维权方式上,根据国务院联防联控机制综合组发布的《新冠肺炎疫情防控健康码管理与服务暂行办法》第29条,相关个人可以向网信、公安部门投诉举报。由于生成健康码属于行政法意义上的行政评级行为[4],相关个人可以就个人信息处理者的违法行为依法提起行政复议和行政诉讼。

 

结语

 

全国人大法工委刘俊臣副主任在人大常委会会议上所作的《关于<中华人民共和国个人信息保护法(草案)>的说明》明确提到:“在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”

 

法律的生命力在于实施。全面落实和贯彻《个保法》、尊重和保护个人信息、保障广大人民群众的获得感、幸福感、安全感,不仅需要成为全体公民、企事业单位、社会组织的自觉行动,也应当成为法治政府的责任担当。

 

注释

[1] 参见新华社,《给讨说法的储户赋红码?健康码不能被滥用!》,2022年6月16日;侠客岛,《给维权储户“精准”赋红码,这种机灵抖不得!》,2022年6月14日。

[2] 参见APP治理工作组,《使用“健康码”能平衡个人信息保护和使用吗》,2020年3月19日。

[3] 参见广东省政府服务数据管理局,《“粤康码”使用常见问题答疑(粤康码使用指引第六版)》,

http://zfsg.gd.gov.cn/hdjl/yss/content/post_3344937.html

最后访问时间2022年6月15日。

[4] 参见查云飞:《健康码:个人疫情风险的自动化评级与利用》,《浙江学刊》2020年第3期。

微信公众号 ×

使用“扫一扫”即可添加关注