文章来源:法学学术前沿
健康码应用的正当性思考
作者:单勇,南京大学法学院教授。
来源期刊:《中国行政管理》,2021年第5期。
摘要
健康码是数字社会基于重大危机的技术治理创新,构成了人口数字化识别、服务的信息入口。随着社会回归常态,健康码在公共服务领域出现常态化和延展化的发展趋势。健康码及其延展应用离不开对个人数据的使用,与个人权利息息相关,面临着一系列的正当性思考。对此,引入数据正义的分析视角,探究数据使用的可见性、事先约定及反对不公平对待等正当性原则,以三元主体的关系均衡、技术赋权的功能定位、数据权力的法治应对奠定健康码应用的正当性基础,从目的限定、制度完善、方式明晰和程序规范层面推动健康码正当性的实现。
关键词
健康码;技术治理;正当性;数据正义
在信息文明时代,“数字政府即平台”,数字政府变革从重在建设的1.0时代向重在数据化运营的2.0时代转型。在疫情防控期间,以“健康码”为代表的技术治理创新大放异彩。健康码是用于传染病防治和健康服务的公共卫生监测系统,兼具人口数字化识别及服务功能。随着社会向常态回归,健康码出现常态化和延展化的应用趋势。在集成更多个人及社会数据基础上,健康码的功能被不断拓展,逐渐演化为数字政府平台的信息入口。健康码的延展应用引发了个人信息保护的新挑战,如何始终保持健康码的善治和法治方向成为亟待深思的问题。这些问题呼唤对健康码应用的正当性展开理论探究。
一、健康码及其延展
应用的正当性追问
“健康码”首创于数字政府建设发达的杭州。杭州健康码是依据《浙江省疫情防控责任令》(第2号)、《杭州市疫情防控指挥部令》(第34号),为解决疫情期间返工返岗及公共空间管控而采取的应急性技术治理措施。自2020年2月上线,杭州健康码超过1400万人申领,被推广至全国200多个城市。3月全国版健康码上线,跨省互认互通机制形成。依据浙江省市场监督管理局2020年2月发布的《传染病防控 人员健康码管理规范》,健康码又称人员健康码,是行政管理部门在应对突发传染病公共卫生事件时,按照特定时间内的人员行动轨迹、健康状况数据等进行风险分级并生成的彩色二维码。健康码依托支付宝等平台实行“绿码-黄码-红码”三色动态管理。健康码外化为彩色二维码,但又不限于二维码。二维码仅是健康码应用的系统前端和信息入口,完整的健康码应用是一个包括前端、云计算、交互界面、算法决策后台、业务场景在内的平台系统。作为电子通行证,健康码具有极强的社会渗透率、防伪性和监控度,在使用上有一定强制性(无绿码则无通行权)。健康码依算法决策的自动化识别判定,实现了从人工判断到数据判断、从长链管理到短链管理。健康码统一了疫情防控的信息收集渠道,简化了一线检查手续,强化了受检人员责任,从而快速阻断疑似人群活动,有力保障了企业复工和社会秩序恢复。
随着国内疫情趋于缓和,健康码开始从应急性策略向常态化治理转型,围绕识别特性衍生出丰富的延展应用,如与身份证、乘车码绑定使用,与电子健康卡、社保卡互联,出入小区“人码合一”刷脸验证,叠加复学规则形成“入学码”。广州“穗康码”作为电子身份证明使用,上海将“随申码”定位为市民工作、生活的随身服务码,浙江启动了个人信用码与企业码试点。如今,发挥健康 码对社会治理创新作用的呼声高涨,健康码的延展应用成为数字政府变革的新趋势,其延展的必要性有三:其一,健康码的延展为数字政府变革提供了平台入口,通过叠加应用场景和关联更多数据,可将大多数国民纳入政府平台,从而推动了线上回应型政府和服务型政府的崛起。其二,健康码的延展是对传统户籍制度的数字化升级。有别于户籍的静态管控,兼具识别、管控、服务功能的健康码能精准反映个人的数字化生活,构成人口动态治理中“一码百通”的数字基础设施。其三,健康码的延展为线上公共服务、社会治理等提供了发展契机,适应了国家治理现代化的新趋势。同时,有观点反对健康码的延展,认为健康码是应对疫情的紧急举措,由于疫情正在常态化,故有健康码常态化的需求。然而健康码的使用不应扩大,不应随意增加个人信息。这种意见反映出对技术治理扩张的忧虑。实际上,健康码究竟应否延展绝非可用简单的“是或否”回答,而需全面剖析健康码及其延展应用所面临的正当性问题。
首先,健康码延展的正当性原则有待厘清。健康码的延展绝非是无条件的,更非仅凭技术创新即可实现。在疫情期间的紧急法治下,健康码通过利用个人数据以维护公共利益,其正当性自不必说;在回归常态后,健康码的延展牵涉到个人数据使用的法律边界,关系到社会安全防卫与个人权利保护的价值均衡,影响到“数字政府以民为本、以人为中心的公共服务价值的实现”。健康码在紧急法治下的正当性并不意味着其延展应用当然具有正当性。其次,健康码及其延展应用中的算法决策亟待规范。健康码高度依赖对个人及社会数据的整合利用,遵循基于大数据分析的算法决策而判定,但算法决策不能置于黑箱之中。健康码如何避免陷入“算法黑箱”、防范可能出现的算法偏误亟待回答。再次,国民参与健康码延展应用的自愿性有待保障。紧急状态下健康码的使用有一定强制性;但后疫情时代的延展应用并非都涉及公共卫生安全,具有公共服务性质的应用仅以技术创新名义启动,缺乏与民众的充分沟通,与自愿原则相抵牾。国民对技术治理创新的知情权和同意权不容忽视。最后,健康码的延展意味着对个人的数据控制提升至更高程度,随着个人愈发被记录、被识别、被看透,何以保障权利成为难题。健康码的底层逻辑在于对个体的识别,必须警惕健康码外衣下隐藏的数据控制,审视将人的数字身份与现实生活深度绑定的做法,防范技术治理的异化,更不能动辄以技术创新为由过度使用个人数据。
上述正当性追问对于健康码的延展应用既非断然反对,也非简单赞同。正当性追问的重点在于健康码的延展应用需遵循哪些个人数据使用的正当性原则,如何实现对数据权力的制衡。如今,数据治理和数字政府变革已成为国家治理现代化的重要内涵,国家治理根本无法拒绝数字化转型。即使今天拒绝了健康码的延展,明天又会出现其他类似的治理创新。围绕健康码的发展,也许更恰当的理论问题是个人数据使用的正当性原则有哪些?党的十九届四中全会《决定》提出,“推进数字政府建设,加强数据有序共享,依法保护个人信息。”这一表述将“数字政府建设”与“依法保护个人信息”联系起来,表明使用个人数据不能过度过限的法治要求,锚定了数字政府变革的善治方向。在善治目标的指引下,数据使用的正当性原则构成了健康码及其延展应用的理论关键。
二、源自数据正义的正当性原则
从本质上看,健康码及其延展应用属于数字社会的技术治理创新。技术治理既是数字政府变革的基本模式,也是“当代社会治理持续推进和加深的基本趋势”。技术治理中的“技术”主指大数据、人工智能等新型通用技术,这些技术构成影响社会发展的统摄性力量。近年来,数据使用与社会正义两个主题的交叉地带颇受热议,刚兴起的数据正义理论为技术治理的正当性思考提供了全新视角。
(一)数据正义的研究视角
持续膨胀的数据宇宙与不断迭代的数据技术共同推动“全世界的政策制定者从被数据影响转变为被数据决定”。个人数据成为政府治理的重要资源,针对个人数据的分析和利用亦是各国应对风险、干预危机的惯常策略。在“技术、制度、文化”组成的社会系统中,数字革命目前更多停留于技术层面;制度层面下政府和企业使用个人数据的规则处于建章建制阶段;文化层面下数据主义对人文主义的冲击趋重,技术治理亟待从工具理性回归价值理性,数据使用的一般性正义观念亟待重塑,数字政府治理必须考虑“数据”和“正义”两个主题的交叉地带——“数据正义”。
在数字社会中,“不能局限于数据在单一领域的功能,而应立足社会和政治正义准则高度,探索数据正义的理论框架。”有学者指出,数据正义指向应对行政管理中数据使用导致的权力责任不对称,用以抵制数据使用中的权力滥用,防范数据使用中的机会不平等。还有学者认为,数据正义是一个规范数据控制的概念,权利和自由是影响数据正当使用的基本变量。荷兰蒂尔堡大学的Linnet Taylor在整合时下各种学术观点基础上,对数据正义做出系统性阐述,提出“数据正义的三个核心观点——数据使用的可见性、技术使用是否事先约定、反对不公平对待。”这三个观点为评判健康码等技术治理创新正当与否提供了重要原则。
(二)数据使用的可见性
数据正义的可见性原则是指数据控制者应保障数据使用的目的、范围和方式对社会可见。在健康码应用中,有四个问题与可见性息息相关:问题一,健康码采集个人数据的类型和范围;问题二,健康码背后数据分析系统的决策依据及其有效性;问题三,数据分析出现误差及健康码申领人的申诉途径;问题四,数字弱势群体如何申领健康码。因后三个问题还涉及其他正当性原则,故容后详述。
浙江省市场监督管理局2020年2月发布的《传染病防控 人员健康码管理规范》通过下图明确了健康码使用个人数据的范围。健康码平台不仅建立在重点人群管控库、全国密切接触者信息库、重点区域分类库、全国健康码共享库等即时疫情数据库基础上,还可经授权接入查询人口综合库、法人综合库、电子证照库、信用信息库、地理信息库等基础数据库。健康码使用的数据类型至少包括上述政府数据库中的个人数据、手机运营商的用户数据及个人在其他平台中的相关数据。健康码的判定依据有三:一是空间维度,根据疫情风险程度,对行为人行踪的数据分析可精确到街道或乡镇;二是时间维度,行为人途径疫区的次数及停留时间;三是人际关系维度,即行为人与密接人员的接触状态。按三类标准的实时变化进行自动化分析,形成量化赋分,最终确定健康码的实时颜色。个人申领健康码时需填写健康、出行等相关信息,不真实填写及误填之所以被系统准确识别出来,就是凭借上述各类数据的交叉比对与关联分析。
图1 人员健康码系统的平台结构
可见性原则要求对社会公开具体且明确的数据使用目的,要求数据使用行为与治理目的直接相关;要求公开技术治理措施涉及的数据项,防范以治理创新为名肆意扩大数据收集的范围;还要求治理所涉个人数据必须是准确的,有误的个人数据应及时删除和更正。得益于《健康码管理规范》及后续出台《个人健康信息码》国家标准对用户管理、平台管理、功能要求、应用要求、保障体系等的系统规定,健康码应用初步实现了数据使用的可见性,但如何进一步提升可见性的社会清晰度仍有待思考。毕竟,人口数字化管控不能便利到只见结果而不见过程,保障健康码可用、可信的第一步莫过于数据使用的可见性。
(三)技术使用的事先约定
数据正义的事先约定原则是指数据控制者与相关群体就技术使用的情况做事先约定,以保障相关群体对技术使用情况的知情、参与及监督。关于问题二“健康码背后数据分析系统的决策依据及其有效性”,健康码的颜色基于算法决策自动认定。在回答个人是否健康时,看似对不真实填写没有约束力,但一旦有就医等记录就会被识别。在回答14天内是否接触过高危人员时,个人有时没能力了解所接触的对象是否来自疫区,但后台的数据分析能做出准确识别。如行为人与来自疫区的特定高危人员同一时间在相同场所有过密切接触,就有较大可能被系统自动抓取并识别。这在一定程度上解释了有些人没去疫区却被系统识别为黄码或红码的原因,也证明了大数据分析的有效性。在回答申领人是否去过疫区时,通过对手机定位等记录的交叉关联足以自动判定。
健康码依靠算法进行自动化决策,算法运行的规则(聚合、处理、解释、分析、预测数据的原理)对技术使用事先约定的现实至为重要。在算法时代,仅从可见性出发公布算法所涉数据项还远远不够,更应公开算法决策等技术的运行逻辑及规则。必须承认,算法决策对个体生活的影响愈发显著,人口数字化管控时常表现为基于算法决策的预测性执法,预测性执法的问题在于因算法的误差和偏见而陷入算法黑箱。如Northpointe公司的犯罪风险评估软件Compas在再犯风险评估中系统性歧视了黑人。在美国,算法量刑不仅与无罪推定原则相抵牾,还造成新的社会不公。有学者将算法歧视称为“最安静的恐怖主义”。健康码在使用初期出现了相当数量的算法偏误,对于算法偏误不能说只要给予复核、纠偏即可,更需通过听证等程序与社会约定技术使用的相关事项,公开算法决策的技术规则,公布健康码的误差率,以此保障算法的可解释性和健康码的透明度,并在验证算法科学性的基础上对之进行不断优化。
(四)反对不公平对待
反对不公平对待原则是指反对由数据使用引发的歧视性执法,为相关群体提供获得法律救济的渠道,为数据控制者设定滥用数据权力的法律责任。这是保障个人权利的底线要求。关于问题三“数据分析出现误差及申领人的申诉途径”,囿于算法偏见的存在,大数据分析不能直接等同公平公正,如何避免使个人生活完全陷入智能机器的支配?认为健康码识别有误时,能否引入人工审核?不同地区给出不同的回答:在海南健康码说明中,“健康码颜色为系统自动评级,无法人工干预”。湖北明确引入人工复核和纠错程序,“如果个人认为和实际不符,可通过12345热线或纠错功能发起申请,经县级防控指挥部核实确认,确需修改的将在后台完成修改工作。”在杭州健康码申领的第一周,曾有30万人显示为红码,其中有3万多人启动申诉程序。可见,算法决策与人工复核结合才能有效防范技术治理引发的不公平对待。关于问题四“数字弱势群体如何申领健康码”,部分老年人等群体没有支付宝甚至没有智能手机,如何保障其出入特定场所的权利?对此,天津等地明确允许家人代办健康码,“对于没有手机或是对手机操作不熟悉的人员,可通过家人代办的方式由一同出行的配偶、父母或子女进行申领。”在回归常态社会后,健康码的延展应用必须正视数字鸿沟,全面保障不适应数字化生活人群的数据权利。
反对不公平对待原则是对前述两个原则的重申,构成了健康码延展应用的底线要求。在回归常态社会后,应警惕健康码的延展应用可能潜藏的“看不见的非正义”。据报道,某地卫健委曾提出健康码深化应用的设计思路,以健康码集成个人电子病历、健康体检、生活方式管理等数据,探索建立个人健康指数排行榜,实现“一码知健康”的长效运行。这一思路的初衷是为了技术赋能健康,相信相关部门一定有详细的个人信息保护机制,但仍可能引发一系列正当性问题。电子病历、体检报告系个人隐私的核心部分,将就医信息集成至健康码的延展应用是否有法律上的明确依据;延展应用目的的正当性是否应经过必要的审查程序;个人对自身数据被使用的自主决定权(知情权和同意权)如何保障;成年人的生活方式是否有必要由政府统一管理、数据主义与家长主义的“完美”融合是否将导致个人的主体性被取代;以指数排名标注个人健康是否将影响其正常生活,如就业歧视、商业保险的不公平对待、侵犯劳动者权利等问题。
三、健康码运行的正当性基础
为防范可能潜藏的不公平对待,健康码应用离不开对人本主义核心价值的坚守,有赖于在文化与制度层面获得总体性发展。这种发展呼唤以数据正义锚定健康码等技术治理创新的价值导向,将数据正义的正当性原则体现于技术治理的主体关系、功能定位、权力制衡层面,以此奠定健康码运行的正当性基础。
(一)“政府 - 平台企业 - 国民”
的关系均衡
政府、平台企业、国民是技术治理的三元主体,三者关系形塑着健康码及其延展应用的运行方式。在政府和平台企业作为数据控制者掌握越来越多的数据、创造出愈发精妙的治理技术背景下,如何实现十九届四中全会《决定》提出的“加强数据有序共享”与“依法保护个人信息”的双重目标成为健康码应用亟待回应的焦点。在数据正义视角下,可将双重目标的兼顾转换为三元主体关系的均衡发展。
第一,政府与平台企业的双层治理模式是三者关系均衡发展的事实基础。社交、购物等在线平台成为数字化生活的信息入口,推动社会在整体意义上的平台化转型。数字社会的治理离不开平台企业的介入,平台企业凭借技术和数据等优势在社会治理中发挥着愈发重要的作用。基于在线平台的技术治理具有两个层次:一是平台企业监管平台内用户活动违规违法的治理过程;二是政府引导、保障及监管平台企业的治理过程。双层治理彰显了平台在数字社会的关键作用,也在事实上加剧了数据控制者(政府、平台企业)与数据生产者(个人)之间的力量失衡,个体愈发被数据看透、被算法干预。如何制衡数据控制者成为健康码应用至为关键的问题,并构成引入数据正义的事实基础与内在动因。在数据正义看来,健康码应用的正当性首先取决于针对数据控制者的社会制衡,针对数据控制者明确提出数据使用可见性、技术使用事先约定和反对不公平对待的正当性要求。
第二,政府与国民的数字协商是三者关系均衡发展的重要保障。双层治理并未取代政府与国民的直接交互,这种交互逐渐演化为政府与国民的线上对接,以数字协商传递和反映民意,数字协商依托的政务平台成为实现关系均衡的载体。党的十九大报告指出:“有事好商量,众人的事情由众人商量,是人民民主的真谛。”数字协商既是人民民主原则在数字政府建设中的体现,也是数据使用可见性和事先约定原则的保障机制。数字协商意味分散的国民是技术治理不可或缺的在线参与主体。数字协商是健康码正当性的重要体现。除涉及公共安全外,健康码在公共服务领域的延展应用应保障个人参与的自愿性,这种自愿性通过在线讨论、在线分享、众包众筹、线上回应等数字协商机制实现。数字协商凝聚了社会共识,保障了国民的表达权和话语权,増进了社会互信和良性互动,促进基于“用户视角”的线上回应型政府和服务型政府建设,引导健康码应用回归人本导向和权利本位。
第三,平台企业与个人的法律制约是三者关系均衡发展的基本模式。平台企业兼具平台服务提供者与监管者的双重角色,平台既向用户提供平台服务,也对用户在平台内活动进行监管。用户离开平台将无法正常生活、无法申领健康码,没有健康码则意味着丧失返工返岗和进入公共空间的权利。必须承认,以个人信息换取免费服务已成为平台社会的铁律,试问哪款APP不调取用户通讯录、短信、位置、麦克风、相册等权限,哪个平台不对用户做数据画像。用户作为“数字佃农”为平台源源不断地生产数据,海量数据汇聚于平台构筑的数据巨机器。哈佛大学商学院Shoshana Zuboff教授提出“监控资本主义”的观点,反思了平台企业对个人权利的威胁。反对因数据使用而引发的不公平对待恐怕将成为健康码应用必须回应的难题。为此,源自数据正义的理论反思和法律实践勃兴,个人对平台企业的制衡一般通过国家法律的形式实现。2018年生效的欧盟《一般数据保护条例》为平台企业规定了详尽的数据义务,为数据控制者与个人的法律关系调整树立了标杆。我国《未成年人保护法》修订中新增“未成年人网络保护”一章,为网络产品和服务的提供者、制造者和销售者增设未成年人网络保护义务;即将出台的《个人信息保护法》从数据使用的可见性与技术使用的事先约定等层面做出诸多规定,从整体上加重平台企业作为数据控制者的法律义务。2020年3月获批的日本《个人信息保护法》(修正案)明确了数据主体的权利,以扩大企业法律责任的方式限制非法或不当使用个人数据。上述立法将数据正义的反对不公平对待原则细化为数据控制者的法律责任,以保障数据权利的方式制衡平台权力,为健康码的应用提供了规制思路。
(二)从技术赋能到
技术赋权的功能定位
三元主体的关系均衡离不开技术治理中技术赋能与技术赋权的同步推进。“社会的发展塑造了技术,但也被技术所塑造。”在健康码应用中,迈向数据控制的技术赋能尤为彰显。信息技术以产生于数据的洞见提升了公共卫生安全的社会能见度及决策反应灵敏度,技术赋能成为健康码高效运行的底层逻辑。值得注意的是,走向数据控制的技术赋能在实践中时常引发各种不公平对待,如Clearview软件在网络中搜集了30亿人的人脸数据,截止2019年底,Clearview AI为600多家执法机构和2000多家机构提供身份识别的商业服务,引发隐私泄露的深深忧虑。健康码作为数字化公共产品如何避免出现隐私泄露、数字鸿沟、数据权力异化等问题不容忽视。对此,数据正义要求把研讨视线从技术赋能转向技术赋权。
信息技术兼具赋能与赋权的双重功能,且赋能以赋权为发展目标。健康码既是对政府的赋能,更是对国民的赋权。健康码即数字政府平台的前端,通过健康码推动政府治理的扁平化发展,拉近国家和社会的距离;通过健康码“以用户为中心搭建技术平台,最大范围覆盖数据开放、数据分析、身份认证、网络支付、云计算服务等,以支持新一代政府数字服务的运行”,给个人带来更优的公共服务、更好的发展机会,使个人遭受更少的困境及更快的获得救助。对政府的数字赋能无外乎是对国民赋权的方式,数字政府变革不能单纯指向数据控制和停留于工具理性,应保障国民获取信息及表达意见的权利、获得公共福利和社会救济的权利、参与及监督社会治理的权利,从而推动技术治理超越数据控制。赋权导向下的健康码应用指向技术治理的价值理性,呼唤技术治理回归以人为本和权利导向,推动以用户为中心的线上回应型政府崛起,以权利保障促进数据使用的可见性和技术使用的事先约定,提高数字政府运行的透明度,在数字政府变革中践行数据正义理念。
(三)以数据权利制衡
数据权力的法治选择
技术赋权的实现有赖于数据权利的法治保障,三元主体关系的实质是政府、平台企业的数据权力与个人数据权利之间的法治关系,健康码的正当性就蕴藏于这种法治关系之中。随着技术治理的扩张,各种感知、评估、预警社会风险的技术创新层出不穷,数据控制者掌握的数据权力愈发彰显。“相对于技术治理在政治实践中的轰轰烈烈,反衬的是学术界对技术治理的整体性反思,技术治理存在一系列悖论成为学界共识。”有学者总结到“国家通过技术之眼观察社会图像时,它看到的可能是自己的倒影”。
面对数据权力崛起,健康码的延展可能在大概率上引发对个人数据权利的威胁。加州大学伯克利分校Stuart Russell教授提出“究竟是控制人工智能,还是控制人工智能的造物者”的追问。数据正义的实现离不开数据权利对数据权力的制衡,这也是维系健康码正当性的关键所在。“法律上赋予自然人对个人数据的权利,该权利本身的内容既非自然人对个人数据的隐私利益,也非从个人数据交易获得的经济利益,而是保护自然人对其个人数据被他人收集、存储、转让和使用过程中自主决定的利益。”这里的“他人”主指数据控制者,数据权利构成了分散的个体与强大的数据控制者之间的法律之盾。个人对自身数据的所有权、知情权、同意权、访问权、更正权、可携带权、被遗忘权及隐私保护等权利既是数据使用可见性、技术使用事先约定的法治体现,也是反对不公平对待、制衡数据权力的法治屏障。由此,我们能够更准确地厘定健康码与个人权利的关系,“权利‘生产’治理、权利‘塑造’治理、治理‘实现’权利”,健康码在根本上是为实现个人权利的数字化工具。
总之,数据正义的三重体现为健康码应用提供了正当性基础。从主体关系看,健康码的运行应兼顾三元主体的关系均衡;从功能定位看,健康码有赋能和赋权的双重功能,但技术赋权无疑是更为根本的功能;从权力制衡看,个人数据权利保护有助于制衡健康码背后的数据权力。上述研讨在相当程度上回应了健康码的正当性追问,并将健康码正当性的实现聚焦于数据权力的规制与数据权利的保护。
四、健康码应用的正当性实现
“技术的本质是能力,而能力越大,其博弈均衡点就对技术掌权者越有利。如果技术掌握在少数人手里,弱者的讨价还价收益就越小。”随着数据控制者凭借健康码掌握更多的数据权力,如何对之进行规制或限定成为社会的共同诉求。数据权力规制与数据权利保护是健康码正当运行的一体两面,这要求健康码应用的重心在社会回归常态后从疫情防控转向公共服务、从技术赋能转向技术赋权、从政策推动转向法律主导,这种转型从以下四个方面促进了健康码正当性的实现:
(一)健康码应用的目的限定
在数据正义视角下,健康码及其延展应用的目的限定至关重要。目的限定性要求健康码作为公共卫生监测工具主要用于疫情防控;出于推进国家治理现代化的需要,健康码之目的变更亦具有限定性,其延展应用的目的限定于公共安全与公共服务领域,且不能违背人本主义价值导向。
一方面,健康码诞生于疫情期间,其目的指向满足防疫所需的人口管控和公共空间管制。在紧急法治下,对涉疫高危人员的行踪监测、对公共空间的健康码查验及准入管制等强制性措施有其正当性;随着国内疫情结束,这些强制性管控逐渐取消。也就是说,健康码的强制性措施是有适用条件或期限的。随着防疫目的消失,有关部门应通过政府令(地方规章)等形式终止这些强制性应用,正如彼时以政府令形式启动健康码一样。荷兰学者Linnet Taylor提出科技的“可逆性”(reversibility)观点发人深省,治理目的之变更或消失,亦导致特定技术治理随之变化或被撤回。紧急法治下的技术治理扩张不可能在后疫情时代完全保持不变,疫情期间个人权利的部分让渡也不代表权利让渡是永久的、无期限的、无节制的。
另一方面,出于推进国家治理现代化的需要,健康码的使用目的可发生变更,衍生出防疫以外的应用,但其延展仅限于公共安全与公共服务领域,不能被用于商业用途等其他目的,且不能违背人本主义价值导向。健康码无论迭代进化为何种形态,其只能以人的权利实现为终极价值。对于社会整体利益的追求应以维护个人权利为目的,健康码在公共安全及公共服务领域的延展不能过度使用个人数据、过度限制个人自由且有违法律法规。也可以说,健康码的延展应用如能满足人的权利实现,亦没有理由将其仅局限于防疫需要,但这种延展应用的前提在于不违背目的限定性。此外,特定延展应用的目的应是具体明确的,应警惕健康码沦为万能码,以防范因目的模糊而导致治理范围和手段不当扩张。
(二)健康码应用的制度完善
在疫情期间,健康码及其延展应用主要由政策推动;随着社会回归常态,健康码及其延展应用不能仅以试点或创新的名义实施,而应根植于充分的法律授权与系统性的制度依据。这涉及到基本法律、地方性法规及规章、国家及省级数据使用标准等法规范体系的建构。
一方面,健康码应以《个人信息保护法》、《数据安全法》、地方性法规和规章为应用基准。《个人信息保护法》(草案)对个人信息保护做出系统性规定,明确了政府部门和信息业者处理个人信息的具体规则与法律责任,通过加重数据控制者法律义务的方式保障个人数据权利。《数据安全法》为数据活动和数据安全保护提供全面保障,确立了数据安全和发展并重的理念,为健康码应用的责任主体设定明确的数据安全保障义务。这两部法律是数据权利保护最权威、最直接的法律依据。同时,相关省市对健康码的延展创新应制定专门性地方性法规和规章。在健康码法规和规章的制定中充分征求社会意见,将数据采集、数据使用、数据管理等内容逐一细化,以法律法规授权的方式保障健康码延展应用的合法性。
另一方面,健康码应用的个人数据使用和数据权利保护须参考《个人信息安全规范》。2020年3月,国家市场监督管理总局、国家标准化管理委员会发布新版《个人信息安全规范》(2020年10月1日实施),该规范属于推荐性国家标准。新版规范不仅指向信息业者,还适用于国家机关和企事业单位;规范虽不具有强制性,但为政府使用个人数据提供了行为指引。新版规范修订了个人生物信息保护的要求,对个人生物信息的采集、存储和共享提出更严格的要求;增强了信息主体对个人信息的管理能力,明确认可个人对自身信息的访问权、更正权、删除权、撤回授权同意及注销账户、获取个人信息副本、投诉权等;为防止个人被算法支配,对自动化决策机制提出更严格的程序要求,在首次使用前开展个人信息安全影响评估,向个人信息主体提供针对自动决策结果的投诉渠道,支持对自动决策结果的人工复核等。可以说,新版规范为健康码应用及数据权利保护提出更高层次的法治要求。
(三)健康码应用的方式明晰
健康码的延展应用离不开省市层面的地方性法规和规章授权,在未来的健康码法规范中应详细规定数据的收集方式、使用方式、管理方式等内容,以厘定健康码法规范的制度内核。
第一,健康码的数据收集应坚持合法性、自愿性及最小化原则。以渐变色健康码为例,医院将结构化的电子病历和体检报告上传至卫健委应有书面形式的法律法规授权在先,仅凭政府公文调取个人核心隐私数据与法治原则相抵牾。对于个人医疗数据的采集,如在常态时期且与公共安全无涉,则应重申个人参与的自愿原则,即无法律法规授权、无个人同意则无数据共享和使用。不能因个人不提交相关健康生活数据而对其接受的公共卫生服务做出限制性规定。在数据采集过程中应坚持最小化原则,反对将个体全面数据化、过度数据化的做法,仅限于预定目的所必需的范围收集个人数据。
第二,健康码的数据使用亦有严格的限制条件。在拓宽健康码应用边界同时,要严格依法建设与使用健康码数据库。未来的健康码应用应落实数据使用的安全性要求,对个人数据进行加密、匿名、假名处理;无论何种业务场景,所涉个人数据仅供特定公共服务使用,不得用于出版、展示、公开发布;应警惕健康码的相关数据被用于保险评估等商业用途,防范健康码数据库与商业数据库的强行关联。
第三,健康码的数据管理应集成于一体化政务平台。在浙江,健康码数据库共享架构由省大数据管理局统一归口,各地健康码统一归集到省公共数据基础平台,再开放端口给全省各业务部门。2018年国务院发布《关于加快推进全国一体化在线政府服务平台建设的指导意见》,要求到2022年底全国政务服务事项全部纳入平台办理,全面实现“一网通办”。不同于健康码在紧急法治下依托商业平台,健康码的延展应用致力于公共服务和国家治理,依托一体化的政务平台更为适宜。健康码的数据管理应通过一体化政务平台开展,应在《个人信息保护法》中给予政务平台明确的法律定位,尽快建立政务平台对接社会数据的常规机制和具体规则,以安全高效的数据管理促进健康码服务于社会治理大局。
(四)健康码应用的程序规范
正当程序对于数据权力的运行具有规制作用,健康码应用的目的限定、制度完善和方式明晰均有赖于正当程序的保障。首先,从步骤和方式上保障健康码延展应用的透明性,消除可能产生的数字鸿沟。从步骤上看,一个完整的健康码延展应用决策过程应包括决策启动、社会调研、方案起草、公众参与、专家论证、风险评估、合法性审查、集体讨论、对社会公布等环节。从方式上看,延展应用牵涉相关群体的个人数据,应通过线下论证会或听证会的形式对社会公开具体方案及征求意见,通过线上数字协商的形式收集建议和回应意见,尤其应重点征求权利救济及争议解决等方面的社会意见。
其次,通过自动化程序与人工程序、算法决策与经验决策的融合,防范可能存在的“算法黑箱”。从算法运行的外部环境看,应对社会公开健康码所涉的数据项、运行原理和决策机制,明确健康码的业务场景、服务内容和使用规则,为算法决策设计正当的法律程序和问责机制,以数据开放提升健康码运行的透明度。从算法运行的内在机制看,健康码应用不能唯数据主义,不能忽视经验决策对算法决策的修正作用。囿于训练数据缺陷和设计者主观偏差,算法决策存在陷入偏误的可能,健康码认定应引入基于经验决策的人工审核程序及纠错程序;对存在较大误差的算法应有审查程序,以防范算法决策的负效应。
最后,健康码应避免陷入计算机官僚主义桎梏,防范“以形式合理性设计的严格纪律、僵化规则及处事程序把人淹没在冷冰的技术主义之中”。应保障健康码运行平台的透明度,将健康码所蕴含的服务与管控措施由哪些机构对接与落实、这些机构的权限是怎样的、采集哪些个人数据、应用于哪些场景、健康码归口管理机构的法律责任及个体使用健康码的救济途径等事项对社会公开,将社会参与以正当程序固定下来,为数据权力运行置于正当程序之中。
五、结语
健康码及其延展应用是数字社会基于重大危机的系统重建。随着社会回归常态,在健康码某些强制性措施即将消失的同时,健康码不断被关联更多的数据、被赋予更多的功能,呈现出丰富的常态化与延展化应用,兼具人口数字化识别、服务及管控功能的健康码逐渐成为数字政府平台与现实社会对接的信息入口或服务端口。尽管健康码的延展应用有其充分的必要性,但必须承认这一社会实验使我们在不知不觉中走到技术治理的奇点。健康码及其延展应用适应了数字政府变革的发展趋势,以数据共享的方式创造出丰硕的大数据社会福祉;但同时引发个人信息保护、数据权利保障等方面的忧虑。“历史的弧线虽然很长,但它总是向正义弯曲的。”健康码的应用离不开对人本主义价值观的坚守,必须思索将新技术革命嵌入文明秩序和法治轨道之中。源自数据正义的正当性思考锚定了个人数据使用的正义准则,为健康码正当性的实现指明了方向。随着数据正义理论的深入发展,健康码的正当性思考在未来必将获得更为全面的认识。
| 留言与评论(共有 0 条评论) “” |
