許可 | “賦紅碼”問責之後怎麼辦？——健康碼制度的法治審視_風聞

編者按

近日，“河南儲户被賦紅碼”事件引發社會廣泛關注。健康碼作為技術治理時代的典型代表，卻被用於處理維權事宜，存在治理工具濫用和越界之嫌，也極大侵蝕了公眾的信任。6月22日，鄭州市紀委監委通報調查問責情況，5名相關人員受到處分。如何理清健康碼的應用制度，使類似事件不至於再次發生？本文指出，健康碼不僅是一項數字技術，還是一套法律制度。從組織法面向上，健康碼是“政府作為平台”的典型例證，行政機關應提升包容性並建立與“整體政府”相一致的組織架構。健康碼是數據治理的關鍵一環，為兼顧公共利益和個體權利，亟待設立統一、獨立、專業的個人信息保護機構。在全球疫情大幅緩解後，健康碼須脱離強制性，成為公民自願選擇的公共服務，相關個人信息亦應及時刪除或匿名化。文章僅代表作者觀點，不代表本公眾號立場。

“賦紅碼”問責之後怎麼辦？——健康碼制度的法治審視

許可 | 對外經濟貿易大學法學院副教授

本文原載《探索與爭鳴》2020年第9期，原標題為《健康碼的法律之維》

非經註明，文中圖片均來自網絡

面對新冠疫情對開放世界的挑戰，如何在社會的公共安全和個體的自由流動之間取得平衡，需要精細化、動態化的敏捷治理。顯然，無論是之前的“單位制”，還是層層下壓的官僚體制，抑或立足社區的“網格化管理”，均無法應對複雜多元的社會目標，陷入進退失據的困境。就此而言，中國推出以信息技術為基礎的“健康碼”，正逢其時。但是，面對這一全新事物，如何從法律層面判斷其性質，反思其正當性，進而作出制度上的調適，還有待全面、系統的檢視。

政府作為平台：健康碼的組織法面向

健康碼並非孤立的手機應用，相反，它是嵌入“政府平台”之上的APP。就此而言，健康碼是“政府作為平台”（government as a platform, GAAP）範式的典型例證。GAAP由蒂姆·奧雷利（Tim O’Reilly）在2009年率先提出，並在2015年被英國政府所踐行，時至今日，它已廣泛運用於新加坡、美國、澳大利亞、法國、挪威、阿聯酋、日本、德國、沙特阿拉伯等國的政府數字化轉型之中。GAPP絕不僅是一套數字系統，事實上，它從理念和制度層面重塑了行政組織，就前者而言，它深化了我國行政法上的“公共治理理論”；就後者而言，它回應了當前“整體政府”的革新。透過GAPP的稜鏡，我國健康碼的優勢和不足昭然若揭。

（一）健康碼與公共治理：提升包容性

GAAP將政府定位於打造生態系統的中間節點，政府由從上而下的管理者轉變為培育平台的領導者，將非政府公共組織、私企業、組織甚至公民都納入到開放的、互動的治理網絡之中，並採取適當的激勵措施，推動多利益相關方分擔傳統的治理角色，以創新的方式應對層出不窮的新挑戰和新風險。美國國際開發署抗擊埃博拉疫情挑戰的平台和聯合國難民署的開放創意平台，均是其成功例證，健康碼亦是如此。不論是“餘杭綠碼”，還是深圳的“深i您健康碼”，都是政府發起、企業響應，政府部門與互聯網企業共同努力的結果。但轉換角度，我們也不難發現其中潛藏的缺陷。

首先，應注意到的是對私企業的包容性不足，如果説健康碼的初期研發囿於時間，不得不在有限的企業中遴選，那麼在《全國一體化政務服務平台防疫健康信息碼接口標準》等標準制定和後續完善階段，完全可以通過公開的招標程序，將更多企業納入其中，以回應所謂的“壟斷”或者“被動監管俘獲”的質疑。

其次，政府平台應提供無歧視的公共服務，而在數字鴻溝的背景下，不使用智能手機的5億剩餘之人被排斥在健康碼之外。面對這種“社會分裂”，經合組織理事會《關於數字政府戰略的建議》（Recommendation of the Council on Digital Government Strategies）特別提出，政府應積極採取措施，回應無法負擔或缺乏能力使用數字技術的民眾的需求，滿足其對正義、公平、效率的期待。

再次，公民不僅是被服務者，還是政府平台的積極參與者。政府應利用“眾包平台”，激發民眾的創造力。就此而言，德國經驗值得借鑑。2020年3月，德國政府發佈了“我們抗擊病毒”（#WirVsVirus）的徵集公告，在短短48小時內，共有28000多名參與者提交了超過1500個提案。

最後，開放性是GAAP的優先事項。政府平台應採取開放性架構，歡迎並允許任何有利於疫情防控的數字技術接入平台，進而通過民眾選擇、企業競爭和監管評估，作出更具正當性和平衡性的政策選擇。放眼全球，在“人工主動輸入信息—中心化處理分析”的健康碼以外，“終端自動識別信息—分散化處理分析”的“接觸者追蹤技術”也被廣泛應用。該技術以手機藍牙為基礎，立足於機器間的識別與交互，無需對用户位置信息的收集，最大程度地尊重了用户隱私。不過，物無全美，它也面臨着使用條件苛刻、難以切斷傳播途徑等質疑。其實，正是因為任何一項技術都不可能盡善盡美，它們之間的競爭和公眾參與決定才顯得尤為重要。

（二）健康碼與整體政府：打破條塊分割

為了對個體健康情況準確畫像，健康碼需要匯聚醫院、衞生部門、工作單位、基層社區、公共交通部門等不同來源的數據，從而提供一站式的查詢和服務。與此同時，消除跨地區人員流動窒礙是健康碼的核心功能，如何破除數據孤島，在不同行政轄區之間及時、準確、充分的信息共享自然是健康碼的題中之意。對此，GAPP意味着建設“通用共享平台設施”，實現跨機構邊界的政府內橫向連接、中央和地方政府間的縱向連接以及有關互操作性議題上的基礎設施連接。以此觀之，各地健康碼的碼制組成和數據格式不盡一致、數據彼此區隔、互認機制缺乏的種種問題，固然表現為技術分野，實質卻是各自為政所引發的成本分擔和責任承擔痼疾。

為此，在同一級政府內部，應延續大部門制改革、綜合執法體制改革、簡政放權改革等行政系統一體化趨勢，通過地方條例細化落實《國務院關於印發政務信息資源共享管理暫行辦法的通知》，以數據共享為原則，不共享為例外。不惟如是，基於整體政府和組織法定，還應進一步革新我國行政主體構造，“剝奪”政府職能部門的行政主體資格，由各級政府作為統一行政主體承擔責任。這是因為，職能部門只是行政主體的組成部分，不享有組織法上的事權和財權，其與各級政府的關係，類似於獨立個體與其身體組成部分的“四肢”的關係。另一方面，在不同級和跨地區的政府之間，應以疫情防控等特定事項為中心，以衞生健康部門為主體，建立全國性的“專業垂直平台”，提升醫療系統的可獲得性、有效性和可持續性。在底層架構上，可借鑑歐盟公共數據空間戰略，建立個人電子健康記錄（EHR），推動電子病患摘要和電子處方共享，並通過打通信息傳遞的層級或選擇碼制轉換和互操作機制，建立健康數據共享庫，從而不但有助於醫療機構作出有依據、基於證據的醫療決策，而且可以支持政府部門對醫療產品、服務的評估和監管，以保障安全性和有效性。

最後，必須説明的是，整體政府並不意味着大塊頭（one big lump）的政府，它並不完全摧毀職能邊界。行政職權來源法定和行政職權範圍法定是法律保留原則的當然意藴。在整體政府的建構中，各方仍應在法律、法規授權範圍內行使職責，在此情形下，不同部門之間的權力銜接和責任分擔變得更加重要。就健康碼而言，各方應破除屬地管轄的痼疾，以“流動的個體”為對象，以“數據的流動”為邏輯，明確數據收集、使用、共享、公佈、刪除等環節的責任主體。同時，應遵循“盡職免責”的原理，由各行政主體根據自身過錯獨立承擔數據泄露、評價錯誤等責任，摒棄連帶責任和客觀歸責，從而最大限度地推動跨界整合。

算法作為規制：健康碼的行為法面向

根據2020年2月25日國務院《關於依法科學精準做好新冠肺炎疫情防控工作的通知》，健康碼是行政機關綜合判斷個人健康風險等級，獲得出行、復工資格的法定證明。鑑於健康碼由行政機關所主導，服務於行政目的，對公民行為自由有着重大影響，其屬於行政行為，當無異議。揆諸健康碼的生成過程，行政機關先將評判標準程式化，然後相對人在線提交信息並申請，最終由系統自動分配不同顏色標識的二維碼，因此構成“自動化行政”。不僅於此，正如湖南省政府電子留言版對“個人對湖北健康碼生成的顏色狀態不認可？”的回答：“省公安廳、省衞健委會同省政務管理辦共同建設全省統一比對數據庫，按審核比對結果信息制發健康碼，人工無法干預或修改結果”所揭示，健康碼還是無人工介入、且存在裁量空間的“完全自動化決策”，系最高等級的自動化決策。由此，健康碼提出了一個重大問題：如何審查健康碼評價結果的合法性？更準確的説，是如何審查健康碼算法的合法性？

（一）  健康碼的形式審查：算法解釋

一般而言，行政行為的形式合法性審查包括對管轄權、行使程序、行使方式以及説明理由的審查。對健康碼而言，審查重點當落在“説明理由”上。所謂“説明理由”，即要求行政主體在作出對行政相對人合法權益產生不利影響的行政行為時，應當向行政行為相對人闡明該行政行為的事實根據、法律依據以及其他考量理由。2004年，《國務院關於印發全面推進依法行政實施綱要的通知》（國發〔2004〕10 號）明確規定：“行政機關行使自由裁量權的，應當在行政決定中説明理由。”在健康碼即算法規制的語境下，“説明理由”便轉化為對其算法解釋的要求。2016年，法國《數字共和國法》以歐盟《一般數據保護條例》（GDPR）中的“自動化決策解釋權”為藍本，規定當個人受到基於算法的行政決定時，有權要求行政機關提供算法相關信息，諸如算法對行政決定的影響程度和方式、使用參數的權重和適當性、處理的數據及其來源。

健康碼的算法解釋可進一步分為“算法數據的解釋”和“算法邏輯的解釋”。**基於“算法數據的解釋”，**個人有權要求行政機關在合理範圍內，展示輸入算法的變量。這裏的“變量”主要是健康碼所處理的一般個人信息與個人敏感信息，從而有助於民眾及時發現個人信息保護中的風險，又有利觀察算法中是否存在歧視現象。在展示過程中，行政機關既可以採取簡單的文字列表方式，也可以採取符合認知特點的可視化方式。**基於“算法邏輯的解釋”，**個人有權要求行政機關在合理的範圍內，説明相應變量對健康碼評定結果產生何種影響。目前，儘管健康碼開發者已經給出了算法判斷的空間、時間、人際關係、健康狀況等四個維度標準，但其依然有待進一步具體化。其一，這裏“相應變量”指的是參與實際分析推斷的個人信息；其二，這裏“影響”指的是不同變量與評定結果之間“正相關”或“負相關”情形，並應展示相關性的作用範圍。其三，鑑於健康碼的普遍性，行政機關應向公眾主動披露算法邏輯細節，幫助其瞭解富含不同社會價值的信息類型以何種方向影響輸出，以便更精細地評估算法是否恰當平衡了各方社會利益。

（二）  健康碼的實質審查：算法審計

行政行為的實質合法性審查針對的是行政行為處理是否得當，將其適用到健康碼之中，便成為旨在規範價值內涵的“算法審計”（audits of algorithms）。雖然“審計”一般和財務審計相聯繫，但事實上，“審計”最初源於1970年代美國對住房政策中的種族歧視審查，近年來進一步發展為代碼審計、合作審計、用户審計等多種算法審計方式。在廣義上，算法審計意味着對健康碼的整體評估。以美國2019《算法問責法案》（Algorithmic Accountability Act of 2019）為鏡鑑，相關評估針對如下要素：（1）健康碼的詳細描述，包括設計、訓練、數據及其目標；（2）健康碼所需個人信息及決策結果存儲的時間；（3）民眾對健康碼評價結果的獲取權、修改權；（4）健康碼對個人信息隱私和安全影響，以及歧視性後果方面的風險；（5）健康碼開發者採取的降低風險措施。在狹義上，算法審計指向的是對特定評價結果的審查。為了回應民眾可能的異議，行政機關應當對健康碼的模型、數據和決策結果留有明確記錄，從而在變動對應因素後，使算法輸出特定決策，以備法院或上級部門的核查，最終判斷健康碼的評定是否具有歧視性或產生其他不當後果。同時，行政機關還應建構出一套具有交互診斷分析能力的系統，通過檢視輸入數據和重現執行過程，來化解人們可能的質疑。為此，行政機關可以引入“反事實問題”（ counterfactual questions）測試。在加州大學伯克利分校發佈的《人工智能的系統挑戰：一個伯克利的觀點》（A Berkeley View of Systems Challenges for AI）中，“雖然沒有實際發生，但是假設發生了會怎樣”的反事實問題是重現決策結果，甚至是使算法具有因果推斷能力的重要方式。這意味着，健康碼的算法必須回答諸如“如果我不是某某地居民，是不是就是綠碼？”“如果我不是少數民族，是不是就是綠碼”“如果我不從事莫某工作，是不是就是綠碼”這樣的問題。最後，為最大程度地實現正當程序保障，在上述措施均不能充分正當化健康碼評定結果的前提下，個體有權要求行政機關採取人工方式重新作出決定，以補救算法可能的應用風險，並凸顯人類的主體地位。

數據作為要素：健康碼的數據法面向

作為數據公共治理的一環，健康碼被數據所驅動。這裏的“數據”具有雙重意義：一方面，數據是健康碼的生產要素，不論是行政決定還是各個場所的監督執行，均建立在數據聚合、處理、解釋、建模、分析和預測之上；另一方面，數據也是我們數字化人格的一部分，個人基本數據、醫院診療數據、行為軌跡數據、家庭人口數據、工作單位數據，構成了個體的精準畫像。如何平衡這兩種不同價值和目的的數據以及背後的公益與私權，便是健康碼的數據法問題。

（一）健康碼的規則平衡

我國《民法典》將個人信息納入“人格權”之中，從而回應了在大數據時代中人身自由和人格尊嚴的保護問題。但是，對個人信息的保護並非絕對，它需要同時考量其他社會價值和立法目標。正如歐盟數據保護委員會在《新冠病毒爆發期間處理個人數據的正式聲明》中所表明的：“個人數據保護規則並不妨礙針對病毒大流行採取的措施。與傳染病作鬥爭是所有國家共同的寶貴目標，因此，應以最佳方式予以支持。”因此，健康碼不是在個人信息保護和疫情防控之間做非此即彼的選擇，而應尋求可能的平衡之道。必須説明，這裏的“平衡”絕不是同等考慮，而是在數據生命週期的不同階段進行不同取捨，達致動態平衡。

在數據收集環節，我國《傳染病防治法》《突發事件應對法》《突發公共衞生事件應急條例》均賦予行政機關在未取得公民同意的情形下收集個人信息的權力，這亦被《民法典》第1035條第1項的“但書”所確認。不過，這種未經同意收集個人信息的權力應當受到嚴格制約。其一，“無需個人同意”並不意味着個體無權知情，收集透明度要求是最直接的制約。行政機關應當按照《民法典》第1035條第2、3項的規定，以簡潔、易於理解的語言，明示信息收集的目的、方式和範圍，並向社會公開處理信息的規則。例如，上海市“隨申碼”、廣東省“粵省事”和貴州省“貴州健康碼”均以用户協議、隱私政策的形式履行告知義務。其二，“無需個人同意”也不意味着可以恣意收集，收集範圍應堅持最小夠用原則，收集對象限於確診者、疑似者、密切接觸者等重點人羣，不得針對特定地區的所有人羣。

在數據存儲環節，作為數據控制者的行政機關承擔着個人信息保護的首要責任。《民法典》第1039特別強調，“國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人信息，應當予以保密，不得泄露或者向他人非法提供。”《傳染病防治法》第12條亦規定：“疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。”此外，作為數據受託處理者的企業應根據其與行政機關達成的合同，承擔合同義務和數據安全法定義務。相關企業不得擅自留存數據或在委託範圍外進行處理，否則將承擔違約責任並遭至行政或刑事處罰。

在數據使用環節，《民法典》第1036條第4項確立了“為維護公共利益之目的，合理使用個人信息”規則。一方面，行政機關可以基於疫情防控目的，分析、加工健康碼數據，而無需公民同意。但另一方面，“合理實施”和第1035條“不得過度處理”的要求均表明該等處理仍應堅持“目的限定”和“比例原則”，不得擴張使用目的，儘量採取“去標識化（de-identification）或“匿名化”等損害最小的處理方式，保證手段與目的之間合理、適度、相稱，不能因小失大、得不償失。

（二）健康碼的機構平衡

徒法不足以自行，規則層面的平衡在“零容忍”的疫情防控壓力面前往往會再次失衡，公共利益擴張了政府權力，最終侵蝕了個人權利。因此，健康碼的規則平衡還有賴於機制保障，這就是通過“個人信息保護機構”的機構平衡。

伴隨着個人信息重要性的提升，各國紛紛設立統一的個人信息保護機構，歐盟GDPR更是將“有效的專業規制機構”作為滿足“充分性認定”的基本條件。迄今，個人保護機關已經在全球80多個國家或地區落地生根。在新冠疫情期間，歐洲數據保護委員會（EDPB）以及各國的個人信息保護機構出台了近百份有關個人信息保護的聲明（Statements）、指引（Guides）和問答（FAQ）。我國中央網信辦亦適時發佈《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》，在個人信息權益和聯防聯控中艱難平衡。

統一、獨立、專業的個人信息保護機構是健康碼不可或缺的機構保障。其中，“統一”是前提。當前，我國個人信息保護工作由中央網信辦、工業和信息化部、公安部、市場監管總局、交通運送部等中央政府部門，以及人民銀行、銀監會、國家衞生健康委員會等專業監管機構共同承擔，相關規範重複或衝突、執法權責不明的情形屢屢出現，不同機關之間的衝突協調又困難重重，亟待集中收歸到統一的個人信息保護機構，從而使得監管目標更為單一和體系化，而後續問責機制亦相對明確。其次，“獨立”是關鍵。比較法的研究表明，只有堅持個人信息保護機構的獨立性和全局視野，才能有效防止和排除其他組織的干預，進而履行法定的監管職能。這裏的獨立並非“自治”，而是要求個人信息保護機構與其他行政機關之間的權力分配是明確和透明的，並在其職權範圍內不受其他組織的壓力，使之擺脱不當干預或受監管企業的捕獲。正如健康碼所凸顯的，最有可能侵犯公民權益往往就是行政機關，在權利不足以制約權力之時，個人信息保護機構亟待發揮獨立第三方的“權力制衡”功能，監督其他行政機關依法行政。最後，“專業”是基礎。個人信息保護機構的獨立性固然由外在的“人、財、物”所保障，但究其根本，是其專業性使然。近年來，從不同場景的APP治理到個人信息出境，從人臉識別和深度偽造到健康碼，個人信息保護的工作日趨複雜。個人信息保護機構在技術、法律和政策的交叉領域中三面作戰，理應成為“專家機構”（expert body），從而承擔着制度塑造和法律執行的雙重任務。

在疫情防控中，個人信息保護機構的職權包括但不限於：（1）規則制定權，就健康碼涉及的個人信息保護出台專項標準、指南、規定，特別是就個人信息處理中的“公共利益”作出細化説明，遏制行政機關的擴張解釋。（2）行政監督權，監督行政機關的個人信息保護工作，推廣隱私增強技術並監督和評估疫情防控措施的合規性與合理性，在必要時，可以提供政策諮詢、指導和建議；（3）接受投訴權，公民可以向個人信息保護機構投訴相關權益侵害事件，後者有權要求企業、行政機關做出回應；在必要時支持並指導個人提起民事訴訟，如存在潛在犯罪證據，應將相關情況通報至公安機關進行刑事追責；（4）調查處理權，對於健康碼使用過程中企業、行政機關違法、違規處理個人信息的行為，有權依法採取現場檢查、查閲和複製相關資料、查封和扣押相關設備以及詢問當事人等方式，開展調查、予以行政處罰或啓動行政追責。

結語：健康碼的未來

2020年6月，《杭州關於打造全國新型智慧城市建設重要窗口的決定》發佈，其中特別指出：充分發揮“杭州健康碼”在公共衞生體系中的重要作用。建立“重大疾病防控庫、個人健康信息庫、法人健康信息庫”三大信息庫，結合社會治理相關數據庫，延伸移動端功能，拓展“一人一碼”公共服務，推動健康碼與就醫、養老、健身等功能相集成，加快健康碼使用從疫情防控向日常服務應用轉變，使健康碼在提升公共衞生現代化水平中發揮更重要作用。這不是杭州一地的構想。事實上，如何在疫情常態化之後拓展健康碼的應用，已經列入多地的議事日程。然而，健康碼雖小，其中卻藴含着大風險，如果缺乏思考的法律視角，所謂轉型或者徒勞無功，或者得不償失。

在組織法、行為法和數據法的三維觀照下，轉型後的健康碼首先要求引入“政府即平台”理念，徹底改造條塊分割體系，重構行政主體制度，從基於疫情防控事項的整合邁向更廣泛事項的整合。其次，限制公民行為自由的健康碼是緊急狀態下對個人基本權利的克減，其正當性建立在新冠疫情超強傳播性和致命性的基礎上，一旦疫情緩解或結束，健康碼就必須脱離強制性和約束性，從行政機關依職權的行政行為轉為公民自願選擇、國家依申請作出的行政給付行為。儘管如此，行政機關仍負有算法解釋和算法審計的職責，以保證公共服務的公平性。最後，健康碼數據的收集與使用與疫情防控的目的密不可分，若《國家自然災害救助應急預案》三級響應終止，相關數據的處理將不再必要，根據存儲期限最小原則，均應刪除或匿名化。就此而言，轉型後的健康碼不再享有公共利益豁免，相關個人信息的收集和使用應重新獲得個體同意，對於涉及健康醫療的敏感信息，還應單獨取得明確同意，並履行必要的安全評估程序。總之，作為中國應對新冠疫情的成功經驗，健康碼藴含了國家治理變革的契機，可只有矢志不渝地堅持法治原則和人權保障，才能讓數字力量賦能美好社會，而不會滑入科技利維坦的深淵。