为了应对新型冠状病毒感染的肺炎（简称新冠肺炎）疫情，2020年2月11日，浙江省杭州市率先推出防疫健康码管理模式。截至2020年3月5日，腾讯防疫健康码上线25天，累计亮码已经突破10亿次，覆盖超过8亿人口，累计访问量43亿。事实表明，防疫健康码在疫情动态防控以及精准有序地复产复工中发挥了巨大作用。在防疫健康码的推行使用中，有网友质疑防疫健康码会泄露个人信息。对此，杭州安恒信息技术股份有限公司首席科学家刘博表示，健康码在用户上传的个人信息页面设置有加密措施，他人无查看权限^[1]。不过，信息数据泄露风险的发生具有潜在性和不可知性，加密措施也并非万无一失，在社会治理中的大数据运用，我们不能忘记公民个人信息的安全保护。

一、 防疫健康码的数据基础及潜在风险

防疫健康码依托来自于卫生健康、公安、交通管理等政府部门汇聚的数据，借助防控规则运用数据建模，分析评估后，测算出公民个人的风险状态并且以红、黄、绿三种颜色区分风险高低。“红码”代表持有人未解除医学管理措施、确诊未出院、疑似未排除等；“黄码”代表持有人来自重点地区且未满14天；“绿码”代表持有人未见异常或已解除医学管理措施。防疫健康码的颜色是常态化防控期间，国内有关单位或场所进行分类分级别管理的主要依据。

除政府部门的有关数据，防疫健康码同时需要公民提供详细的个人信息。本质上说，防疫健康码是公民个人健康信息、行踪信息与大交通数据、大健康数据相结合，并基于一定的模型分析而产生的数据信息。以南京防疫健康码“宁归来”为例，“宁归来”二维码获取的个人信息主要由两部分构成。一部分信息由公民个人主动提供，包括填写姓名、身份证号码、手机号码、验证码，进行人脸识别，输入密码，完成注册，并且登记抵宁日期、来宁返宁事由、住址区域及家庭住址、住房性质、工作单位、有无接触新冠肺炎确诊或疑似病例、有无咳嗽发烧症状。另一部分信息则通过数据追踪分析获得，如持有“宁归来”二维码的公民前往某一区域，通过空间、时间等分析测算，评估风险，其二维码状态就会发生相应变化。

所谓“敏感”是对特定的因素具有高反应度，个人信息的敏感度描述的是个人信息对信息主体造成伤害或影响的程度^[2]。显然，人脸特征、行踪轨迹、个人住址、工作单位、身份证号都属于较为敏感的个人信息，这些个人信息的安全性为社会大众广为关注，这些信息如果泄露或被滥用，很可能危及公民人身、财产安全。

伴随着防疫健康码的全面推广，全国人民的个人信息数据都会被采集，这对于疫情防控作用巨大，对于我国的健康医疗大数据事业发展无疑也能起到很好的促进作用。与此同时，我们需要探析公民个人信息使用应当遵循的原则，对个人信息使用边界、使用者个人信息保护义务等问题进行必要的研究。

二、 公民个人信息及相关权利义务

关于公民“个人信息”的内涵，《网络安全法》第七十六条以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第一条中均有规定。两项法律规定既有区别，又有共同点。区别在于，两者所列举的个人信息类型不尽相同，《解释》 中阐述的个人信息，除了“识别自然人个人身份的各种信息”，还包括了“反映特定自然人活动情况的各种信息”。而共同点则是个人信息应该具有的可识别性。个人信息概念强调“识别性”，凡是能够识别特定个人的信息，无论是直接识别还是间接识别，均为个人信息^[3]。如果一位患者在医院诊疗而形成了病历数据，该数据被技术处理而去识别化，仅凭借经技术处理后的电子数据，任何人都无法知晓该数据属于某一位具体的患者，那么这些数据即不再属于公民个人信息。

关于公民个人信息保护，早在2000年11月出台的《互联网电子公告服务管理规定》就规定了电子公告服务提供者对用户个人信息负有保密义务，对于违反该义务的，电信管理机构有权责令改正，服务提供者给用户造成损害或者损失的，依法承担法律责任。而在此前，《刑法修正案（七）》（自2009年2月28日起施行），增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，将非法获取、出售、提供公民个人信息的行为纳入刑事规制范围。诚如有学者指出的一样，我国对公民个人信息的保护早期定位在公民权利的层面。国家政府和信息机构有保护公民个人信息安全的责任，公民也有捍卫个人信息的自由^[4]。根据《刑法》《网络安全法》等法律的规定，除非法律、行政法规另有规定的，公民对其个人信息有提供或者不提供的权利，即便是经过公民同意而依法获得的个人信息，也应当根据法律规定或与公民个人的约定使用个人信息，且不得损害公民的个人利益。

在私权利层面，人们早期将公民个人信息与个人隐私保护联系在一起。因为，公民个人信息被侵犯所带来的常见后果是个人安宁生活状态受到破坏，涉及公民个人信息民事侵权的，归入侵犯隐私权或侵犯人格尊严权的范畴。《民法总则》出台之后，公民个人信息被独立作为一项民事权利客体看待，即“个人信息权”。何谓个人信息权？王利明教授将其界定为，收集、处理和使用在内的整个过程中，个人信息主体所享有的知情权和决定权^[5]。也有学者指出，公民对其个人信息有获得受益的权利。刘德良^[6] 认为随着信息技术和互联网络的发展，个人信息的商业价值日渐突显。张新宝^[7] 认为现代信息处理技术之下，个人信息所蕴含的公共管理价值和商业价值，将成为公私机构不当收集、处理、利用和传输个人信息的巨大诱因。此外，也有观点认为，去识别化的个人信息已经转化为数据资源，属于公共资源，个人不能因此受益。不过，客观上说，在大数据产业发展的背景下，个人信息已成为一种潜在的、可以被挖掘的资源，有偿出让某些有商业价值的个人信息也成为可能。譬如，个人的特殊基因信息、生活习惯信息、饮食信息、用药信息等，对于某些基因药物的研发是不可或缺的，研发者只有获得公民个人的全面配合，才能保证信息的真实、详尽，研发也才可能成功。这种情况下，保护公民个人信息的受益权是研发成功的必要条件。

同时，法律对于公民个人信息的保护也是有边界的。基于公共利益保护的需要，公民应当如实提供个人信息。《传染病防治法》第十二条之规定就强制个人接受有关传染病的调查、检验等并如实提供有关情况。在此次新冠肺炎疫情中，根据《中央全面依法治国委员会关于依法防控新型冠状病毒感染肺炎疫情切实保障人民生命健康安全的意见》的要求，很多省级地方人大常委会通过地方立法的途径，将隐瞒个人病情、隐瞒疫情严重地区旅居、隐瞒与患者或者疑似患者接触等信息的，列入违法行为，并要求依法严格追究相应法律责任。概括地说，所有公民有如实提供疫情防控相关个人信息的义务。如何看待防疫健康码中公民个人信息的使用？作为一项新型社会治理模式，还没有任何法律或行政法规对与此相关的个人信息提供义务作出专门规定。好在，防疫健康码系基于个人申请获得，当公民进行相关操作时就视为其自愿如实地提供或允许利用相关个人信息。

基于上述分析，不难看出，现代社会应当特别关注公民个人信息权利保护。因公共事务需要收集、使用公民个人信息的，应当严格遵循法律规定、符合立法本义，防疫健康码对公民个人信息的收集、使用也不例外。

三、 防疫健康码收集、使用个人信息的应有原则

（一） 合法原则

防疫健康码对防疫的积极作用毋庸置疑。但是，有关主体也应当高度关注个人信息的合法收集和使用。合法原则要求收集个人信息的行为、方式应具备合法性基础，并用于合法的目的。《民法总则》第一百一十一条规定要获取个人信息的应当 “依法取得”。《网络安全法》第四十一条明确收集、使用个人信息，应当遵循“合法、正当、必要”的原则。疫情期间，习近平总书记强调：“实践告诉我们，疫情防控越是到最吃劲的时候，越要坚持依法防控，在法治轨道上统筹推进各项防控工作全面提高依法防控、依法治理能力，保障疫情防控工作顺利开展，维护社会大局稳定。”^[8] 保障疫情防控工作顺利开展的防疫健康码收集、公民个人信息的使用，应当符合法律法规以及其他具体法律条款，例如《网络安全法》以及《民法总则》《消费者权益保护法》《电子商务法》的个人信息保护条款。

（二） 必要原则

2020年2月4日中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，要求疫情期间收集他人信息应当坚持最少收集原则，只能对疫情防控所必需的信息进行收集。防疫健康码在收集、使用个人信息时应当以满足使用为限，如果防疫健康码程序能够读取手机联系人、短信等显然就超出了必要的限度。同时，使用个人信息应当确保收集、使用信息的方式、手段等对信息主体的损害是最小的，信息的使用与要达到的目的之间应当是相适应的。目的、手段、损失之间应该保持适当的比例，否则就会造成利益的失衡，从而违背了必要原则^[9]。例如早期披露的信息中包含了确诊和疑似患者的年龄、性别、居住小区以及行踪轨迹，这种无限度详尽曝光个人信息，将会给信息主体造成严重损害，也远远逾越了必要限度。相比之下，防疫健康码只通过不同的颜色显示公民个人的风险状态，避免直接披露公民个人信息，更加符合必要原则。

（三） 目的限制原则

目的限制原则要求使用个人信息的行为应当具有特定、明确的目的，收集、使用个人信息，以该目的为限，不得超出目的使用。1967年，美国学者艾伦·威斯（Alan F.Westin）首先在其著作《隐私与自由》（Privacy and Freedom）中提出政府所收集的个人信息，只能用于特定目的，不得用于其他目的或者进一步流转。《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确：“为疫情防控、疾病防治收集的个人信息，不得用于其他用途。”疫情期间，安徽省蚌埠市数据资源局资源中心主任张锐明确向媒体表示所有收集到的数据均汇集在市政府数据机房，不会存储在商业机构中，所有收集的居民信息只限用于市疫情管理^[10]。因此，防疫健康码在使用个人信息时也不得超出防控疫情的目的。

（四） 知情同意原则

知情同意原则要求收集、使用个人信息应当告知信息主体收集和使用信息的范围、目的、方式等，而信息主体做出明示或者默示“同意”的意思表示。个人信息与个人的安宁生活相联系，具有一定的人身属性，除法律特别规定以外，信息的收集与使用应当获得信息主体的同意。

知情同意包括“知情”和“同意”两个要素，“知情”是对事物的认知，“同意”是对该事物的判断。信息主体应在对个人信息收集和利用的行为充分了解和正确认识的前提之上，自愿作出同意的决定。防疫健康码是基于公民的申请获得的，其在收集和使用个人信息时应当进行充分的告知，进行隐私政策提示，阐述如何收集、使用及储存个人信息，用户做出同意的意思表示，例如点击“同意”的选项按钮后，继续填写相关信息。但是目前一些防疫健康码，例如“宁归来”，在用户填写个人信息时并没有作出相关提示。此外，一些软件在使用前即便列明隐私政策，这些隐私政策对用户而言也可能冗长、晦涩，导致用户可能不愿意阅读。防疫健康码在保证用户的知情同意权上还有待提高。

（五） 利益平衡原则

从法学角度讲，利益是个人单独追求的，或者是在集体形式的社会中需要通过谋求从而得到满足的一种欲望或要求，因此在进行个人行为安排或者社会关系调整时，必须考虑到人类主体的欲望或要求，从而实现社会的一种和谐状态^[11]。利益之间必然存在冲突，而利益平衡原则是对相互冲突的利益进行评价与选择，使利益处于相互制约、相互和平的状态。个人信息与信息主体的人格权息息相关，但同时个人信息对于国家治理、公共管理、文化教育等利益的实现同样具有重要意义。个人信息权与其他权益乃至公共安全之间出现冲突时，应当平衡个人信息权和其他权益的关系。最高法《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条列出了“为促进社会公共利益且在必要范围内使用个人信息不承担民事责任”，显然，通过限制个人信息权实现公共安全是合法合理的，但是这种限制也不能超过必要的限度，比如为防控疫情而肆意披露患者的隐私显然不符合利益平衡原则。防疫健康码对个人信息的收集与使用不得超出与其所实施疫情防控措施相对应的范围。

（六） 安全保护原则

防疫健康码收集和使用的人脸特征、行程信息、家庭住址等，都是非常私人和敏感的信息，在日常生活中人们一般很少提供。这些信息一旦被泄露或者被滥用，将对信息主体的正常生活造成不利影响，收到“骚扰电话”和“垃圾短信”就是个人信息泄露带来的常见不良后果。同时，信息使用者愈大规模地使用个人信息，信息主体对于个人信息保护的诉求愈强烈^[12]。因此，信息使用者应当负有相应的个人信息保护义务，采用适当的行政措施、物理和技术保障以确保个人信息不会丢失或者未经授权被获取、使用、破坏、修改或披露。中央网信办出台《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也明确要求， “收集或掌握个人信息的机构要对个人信息的安全保护负责，采取严格的管理和技术防护措施，防止被窃取、被泄露。”

四、 风险防范与责任追究

疫情期间，部分新闻媒体在未经他人同意的情况下对个人信息进行直接披露，部分人在微信群或者朋友圈中对感染人群的信息进行共享。例如湖南省益阳市赫山区卫生健康局党组成员、副局长舒庆国，将涉患者及其亲属等个人隐私信息的电子版内容通过微信进行转发，后该报告被多次传播，引起部分市民恐慌，舒庆国被纪委立案调查^[13]。以上行为都对公民个人信息权造成了严重损害。防疫健康码在使用个人信息时存在的典型风险包括信息泄露以及超出目的使用。为了防范相关风险，信息收集、使用者应当经过相关法律法规培训，树立责任意识，明确对个人信息的使用范围、使用权限以及保护责任，明确个人信息收集、使用工作的流程规范，采取有效技术、监管措施，例如严密的访问控制、审计、加密等措施，确保个人信息数据的安全。

防疫健康码收集、使用个人信息以防控疫情为目的，因此在信息主体填写个人信息时，应当明确告知其所填写个人信息仅用于疫情防控。当疫情结束后，这些个人信息应当及时删除，信息主体也有权要求信息使用者在特定目的得到实现后，删除其相关个人信息。不过，基于利益平衡原则，个人信息财产价值的适度利用有利于公共管理，且防疫健康码的投入使用也花费了一定的人力物力，对于收集的个人信息可以通过“脱敏”或“去识别化”应用于非商业且有利于公共利益的特定情况，当然这必须是在不损害信息主体权益的前提下满足他人利益。健康医疗大数据是人民健康追求、医疗服务需求与大数据技术的有机结合体，是我国基础性战略资源，集合了个人全生命周期内与生命健康、医疗服务、养生保健、公共卫生等健康医疗活动相关的数据^[14]。健康医疗大数据对于医疗服务效率和质量的提升，促进优质医疗资源的有效分配等有非常重要的意义，而防疫健康码所收集的个人信息恰恰是重要的健康医疗数据，具有公益价值，在保障公民个人信息安全的前提下，将经过处理后的信息应用于公共卫生管理以及医学科研中，有利于我国医疗卫生事业发展。但无论如何，疫情结束后，都应当妥善处理防疫健康码所收集的个人信息，以最大限度避免安全风险。

我国法律保护公民个人信息安全，侵害公民个人信息的行为会被依法追究责任。2014年出台的 《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，明确了利用信息网络侵害个人信息的民事责任。2015年出台的 《刑法修正案（九）》中的“侵犯公民个人信息罪”，将《刑法修正案（七）》中“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”进行了合并，同时加大了对侵害个人信息犯罪行为的惩罚力度。2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则更加明确地规定侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题。2020年5月25日，全国人大常委会工作报告在下一步主要工作安排中指出，将围绕国家安全和社会治理，制定个人信息保护法和数据安全法。

防疫健康码在防控新冠肺炎疫情中发挥了重要作用，同时也是大数据技术在公共治理中的充分应用。大数据时代，大数据技术在提升公共治理能力、改善公共服务中拥有巨大潜力，但大数据分析也使得个人信息被侵害的可能性增大。在追求治理效率、治理效果的同时，不能忘记对个人信息权的保护，防疫健康码在拥有“速度”和“力度”的同时，也需拥有“温度”。

参考文献