疫情中的“健康码”应用可以看做是“数字治理”的一场大型试验。依托数据资源汇聚、数字技术支撑和产品思维驱动,传统基于科层上报制的管理模式演化为多方参与的、动态精准化的数字治理,通过“数据流”牵引带动真实世界中“人流”、“物流”、“商流”的复苏与回归,实现了国家治理现代化的一次跃升。
“健康码”治理模式,在未来将可能复用至其他政务管理议题,这要求我们深度反思“健康码”经验与不足,为数字治理的持续化发展塑造良好的规则框架。本文即围绕“健康码”中最具有争议性的话题——个人信息保护,从政务数据规则视角提出相关建议。提出:在《个人信息保护法》立法中,应将政府部门全面纳入制度体系,为政府部门发起数字治理提供正面法律指引,并参考国际通行做法,区分“数据控制者”和“数据处理者”角色,建立各司其职、权责有序的数字治理生态。
一、解决“个人信息保护”问题,需厘清各方角色与责任
目前,关于“健康码”个人信息保护问题讨论多止步于现象本身,包括:过度收集个人信息,信息不准确,如何保障用户申诉权,存在信息泄露风险等,但忽略了最为关键性的责任主体问题。明确这一问题,需要厘清“健康码”的性质与各方角色。
“健康码”最早孵化于腾讯、阿里等互联网企业政务服务基础架构。在疫情发展初期,凭借对用户需求痛点的敏锐把握,企业快速响应政府需求,在政务服务平台入口开辟疫情相关功能服务。2020年1月31日,用户通过广州政务微信小程序“穗康”,可申报登记14天内离返情况及健康状况,并可预约购买口罩;2月9日,深圳成为全国首个疫情期间凭“码”出行的城市;2月11日,杭州实施绿、红、黄三色动态码管理。精准、高效的数字管理方式,很快在国家层面得到回应和推进。
2月25日,国务院印发《关于依法科学精准做好新冠肺炎疫情防控工作的通知》,明确鼓励有条件的地区推广个人健康码等信息平台;2月29日,国家政务服务平台推出“防疫健康信息码”,利用汇聚的卫生健康、民航、铁路等数据,提升“健康码”覆盖范围和准确度。3月20日,国家卫健委宣布:大力推动各地互认互通工作,目前全国绝大多数地区的健康通行码可以实现一码通行。
从发端到全面推进,“健康码”深度卷入了政府部门(这里的政府部门涵盖了包括国务院、各地地方政府、以及深入到社区的街道办事处等各级政府部门)、互联网企业、电信运营商、事业单位等诸多公、私主体,围绕“健康码”的个人信息保护职责如何在上述主体之间分配和界定,关系到相关问题能否得到根本性解决。
二、“健康码”本质是政务服务,政府扮演数据控制者角色
从当前国际主流的个人信息保护法律所采纳的数据控制者、数据处理者二维规制主体框架入手,可以为“健康码”有效划定各方责任边界提供参考。
政府部门在“健康码”政务服务中处于“数据控制者”角色(以下简称控制者)。同其他数字政务项目一样,“健康码”是政府部门在疫情特殊时期发起的数字化管理项目。政府在“健康码”中扮演了强有力的角色,是疫情和复工管理的需求方,发起方,推动方和最终实现方。政府部门决定了“健康码”应用中数据采集的类型、内容、使用方式、使用用途。
参与“健康码”应用的企业,为政府部门推进实施“健康码”提供技术支撑服务,属于“数据处理者”(以下简称处理者)。科技企业可凭借平台优势为用户提供快捷入口,如微信小程序、公众号以及各大主流APP均提供了健康码入口,让用户方便地获取“健康码”服务,并通过云计算技术为数据处理提供高效支撑。例如:在“防疫健康信息码”小程序界面提示:本防疫健康信息码服务由国家政务服务平台提供,……中国电子科技集团提供了相关技术支持。
三、区分“控制者”和“处理者”,将为数据处理活动提供更明确的法律指引
在早期的个人数据保护法律中,并没有控制者和处理者的明确分野。1995年欧盟数据保护指令(Directive 95/46/EC )主要适用于控制者,处理者通过合同来承担数据保护责任。然而随着数据治理生态卷入更多主体,数据处理越来越专业化和细致化,特别是随着“云计算”发展壮大,作为专门提供数据处理服务的业态,虽然不能决定数据处理目的,但参与了数据处理,有必要在法律上明确其独立的法律地位和义务责任。
作为对1995年指令的立法改革,欧盟2018年数据保护通用条例(General Data Protection Regulation,GDPR)中正式采用了控制者和处理者二分划法。GDPR下的数据控制者是指:负责决定个人数据处理目的与方式的主体。处理者是指:受控制者委托而处理个人数据的主体。
GDPR细致规定了控制者和处理者之间的数据处理合同应当至少包含哪些内容,包括:数据处理的目的、期限、个人数据的类型、以及双方的权利义务。数据处理者仅能按照数据控制者书面的要求处理数据,必须确保其员工能够遵守有关保密的要求;在数据安全、数据泄露、数据保护影响评估等方面为数据控制者提供必要协助。
四、“健康码”政务项目中的政府和企业的责任与边界
在清晰厘定“健康码”各方法律主体地位后,将会更加明确自身义务和责任,保护公民个人信息权利,保障数据安全。
(一)作为“数据控制者”的政府部门,应当在“健康码”政务项目中践行数据保护基本原则,包括:
1)合法正当原则。当前在疫情特殊时期,为保护公众生命健康,政府部门可依据《传染病防治法》、《突发公共卫生事件应急条例》的相关授权,收集并处理相关信息。2月5日,习近平主席在中央全面依法治国委员会第三次会议发表重要讲话。他强调,要全面提高依法防控、依法治理能力,为疫情防控工作提供有力法治保障。
2)目的明确、必要、最小化原则。政府部门作为控制者,在确立数据收集范围和使用方式时,应当限制在疫情相关的必要范围内。
如工信部指导下的行程自主查询短信和“行程码”,不再收集用户的身份证号、家庭住址等个人信息,实现最小化收集和处理。
3)透明原则。当前,政府部门在推行“健康码”过程中,正在探索各类透明公开的方式,保障用户知情权。如上海市“随申码”、广东省“粤省事”和贵州省“贵州健康码”在注册时需用户点击同意政府运营管理机构制定的用户协议和隐私政策;如深圳政府还专门编制了《操作指引》,向用户告知“健康码”汇聚分析的数据类型、申诉渠道等。
4)质量原则。目前大部分“健康码”应用服务,都可以为用户提供查看和更新入口。因疫情动态变化等原因,可能会出现健康码并不准确的情况,目前大部分地方,用户可通过12345政务服务热线投诉申诉。
5)责任和安全保护原则。“健康码”汇聚了海量公民个人信息,并且有相当敏感的医疗健康信息、轨迹信息,这对数据安全提出了更高挑战。目前,各地所推行的健康码应用大部分采取了“信息安全等级保护3级”以上的安保措施,引入了包括加密存储、加密传输、访问控制等安全措施。
(二)作为“数据处理者”的企业主体,除了遵守上述数据保护基本原则外,还应根据自身的独特角色,贯彻以下法律义务,包括:严格在政府受托范围内处理数据,数据不得利用于企业自身运营目的。承担相应的技术服务时,不得未经政府同意,擅自转包。
五、我国现有个人信息保护法律体系与上述规范框架尚存差距
(一)政府部门尚未全面纳入个人信息保护法律体系
首先,在刑事规范方面,我国虽然已将国家机关及其工作人员纳入适用主体,但囿于刑事规范的狭窄性:主要针对非法出售、非法提供、非法窃取(获取)等行为,无法为政府部门处理个人信息提供正面法律指引。
其次,在近年来出台的《网络安全法》、《电子商务法》中引入了国际通行的个人信息保护法律基本原则,但相关规范条款着重于对网络运营者、电子商务经营主体适用,并不强调适用于政府部门。国家标准《信息安全技术——个人信息安全规范》虽然在适用主体上并不做区分,但其仍然属于推荐性技术标准,对包括政府在内的各类主体并不具有强制力。
而对比国际通行做法来看,毫无疑问政府是个人信息保护法律体系中的重要适用主体。欧盟GDPR适用主体涵盖政府部门、公共机构、司法机构以及其他任何实体。GDPR实施近两年,政府部门也是个人信息保护的重要监管对象。2019年9月,保加利亚国家税务局因业务流程和IT系统不能满足合规要求致使公民数据泄露,被数据保护机构处以290万罚款[1]。而在美国,个人信息保护立法则更是发端于对政府机构的规制。美国第一部现代意义上的个人信息保护法——1974年《隐私法》,适用于联邦政府部级以上机构收集与处理公民个人信息的活动。
(二)我国个人信息保护法律体系中还尚未引入“控制者”和“处理者”二元主体
如上述,对“控制者”和“处理者”法律角色区隔,有利于数据生态各方主体各司其职,建立有序的数字治理秩序。目前,对二者角色的区分已经成为国际通说。欧盟GDPR以及受其影响的大多数国家立法将二者区分出来。印度正在制定中的《2019年个人信息保护法(草案)》也明确了二者角色,用“data fiduciary”和“data processor”分别指向控制者和处理者。在我国目前个人信息保护法律体系中,还尚未有这种划分方法,可考虑借鉴引入。
在这场前所未有的疫情大考面前,“健康码”无疑是数字治理进入新阶段的标志性案例。“健康码”中围绕个人数据保护的相关问题,通过这场大型试验得以凸显,应当通过制度规则构建予以补齐。建议正处于立法进程中的《个人信息保护法》在规范主体上正式纳入政府部门,并区分控制者和处理者,明确各方角色与责任。
(本文于2020年3月23日首发于21财经南财快评,本文为精简版)
参考资料:
[1] See Bulgaria: fines in millions for personal data breaches, https://www.lexology.com/library/detail.aspx?g=6356ed78-03c2-48d0-add2-c8848bfc60c9 .