多地健康码“转型”?销毁防疫数据应是前提

作者 | 财经E法 姚佳莹 樊瑞 编辑 | 朱弢  

2023年02月18日 22:03  

本文5484字,约8分钟

无论健康码未来是彻底下线,还是转做他途,这一曾触达13亿人口数据平台最先要做的是,彻底销毁防疫三年收集的个人信息。

2023年2月16日11时起,广东省健康码——“粤康码”正式停止部分服务,包括抗原自测、老幼助查、健康申报、电子证照、防疫工作台,并将按照有关法律法规规定,彻底删除、销毁服务相关所有数据,切实保障个人信息安全。

财经E法从广州市12345了解到,粤康码的核酸检测、新冠疫苗等服务暂时保持正常运作。此外,电子证照功能可以在“数字空间”板块中使用。

财经E法体验发现,首次点击“数字空间”,将弹出“数据卡包”“授权开关”“数字档案”“个人数字空间”等“数字空间”的功能介绍页面,经人脸识别验证后,按下“同意并开启”后可进入并生成“粤省事码”(粤居码)。

“粤居码”主要包含个人姓名和证件号信息,页面显示,出示“粤居码”可办理酒店民宿入住、就医等服务。

借由健康码探索线上城市服务,并非广东省独创,从防疫初期开始,各地对健康码在疫情防控下半场的“转型”便已展开诸多构想。

多名学者向财经E法表示,无论健康码未来是彻底下线,还是转做他途,这一曾触达13亿人口数据平台最先要做的是,彻底销毁防疫三年收集的个人信息。

健康码淡出人们生活

目前来看,健康码仅在小范围、特定场景下使用。

2022年12月7日,国务院联防联控机制发布的《关于进一步优化落实新冠肺炎疫情防控措施的通知》提到,大部分公共场所不再要求提供核酸检测阴性证明,不查验健康码,除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所。此外,重要机关、大型企业及一些特定场所可由属地自行确定防控措施。

随着使用范围的缩小,健康码的打开频率大大下降,展示路径也发生相应变化。

2023年1月,支付宝将原有“健康码”入口调整为“医疗健康”,用户首次点击“医疗健康”前,该入口下小字显示“原健康码升级”。微信则将健康码归置到“城市服务”板块。

其中,在用户首次点开支付宝“医疗健康”后将弹出介绍页面:“国家‘乙类乙管’疫情防控政策重点从‘防感染’转为‘保健康,防重症’,健康码功能升级为一站式医疗健康服务”,用户可以继续访问健康码以及公立医院挂号、医保余额查询等医疗服务。

支付宝相关人士向财经E法解释称,目前的“医疗健康”模块并非在原健康码基础上升级而成。“目前只是把健康码在支付宝平台上的展示入口从首页调整到医疗健康频道页。”

随着新冠防控等级调整为“乙类乙管”,“通信行程卡”服务已于2022年12月13日零点正式下线。

相较行程码,健康码收集的个人信息更加复杂。根据2020年4月29日实施的国家标准《个人健康信息码—数据格式》,健康码采集的个人信息包括个人基本信息、个人健康信息、行程信息、健康证明信息。个人基本信息包括姓名、性别、证件号码、户籍区划内详细地址、联系电话、基础病史等;个人健康信息包括当前体温、症状、高风险地区旅居情况等;此外还有核酸检测、疫苗接种情况等健康证明信息。这些信息大部分属于敏感个人信息。

相关人士向财经E法表示,第三方平台在健康码的运维中主要发挥两个作用:一是页面的前端呈现,二是保障健康码正常运行和稳定展码,避免宕机等情形发生。“健康码的用户个人信息不由第三方平台掌握。”这位人士表示。

一位接近腾讯的人士亦向财经E法表示,腾讯只提供触达用户的入口,以及云服务等底层支持,由始至终并不掌握健康码的用户个人信息。

对于逐渐退出人们生活的健康码到底何去何从,北京市经信局回复称,关于北京健康宝的后续安排,目前尚未有明确说法,需要等待全国的统筹安排。

健康码转型升级?

过去三年,扫码、亮码无疑是人们最深刻的防疫记忆。基于大数据分析,健康码可以自动化识别、判定风险人员,通过赋码、弹窗等操作,对风险人员实现精准管理,可以说,是运用数字技术成功实现最广泛、全面社会治理的典型案例。

财经E法注意到,各地均不同程度地透露出意向,希望借助健康码的庞大用户基础打造移动端的便民便企服务。

以北京为例,2022年12月20日,该市推出“京通”小程序,具体做法是将“北京通”办事与“北京健康宝”服务融合。在上线发布期间,“京通”小程序入口名称仍为“北京健康宝”,在“京通”正式上线后,“京通”入口名称将变更为“京通丨健康宝”,小程序中包含北京健康宝、北京通和“我的”个人中心三个页面。

北京市经信局提供的信息显示,市民可自主选择是否将北京健康宝的个人身份验证信息扩展到“北京通”相关页面,所有信息都将存储在北京市政务云,且仅用于办理相关政务和公共服务事项时使用。如果选择不将北京健康宝的个人身份验证信息扩展到“京通”相关页面,健康宝可正常使用。

财经E法体验发现,点击“京通”页面,会弹出“用户须知”,告知用户“授权北京健康宝个人身份验证信息,以获取页面中需要验证个人身份信息的服务”,同时附上京通的《隐私政策》《用户服务协议》,这两份文件并未说明健康宝的信息拓展情况,用户可以选择“同意”或者“暂不同意”。

同样,新上线的“粤居码”亦是利用健康码进行“导流”。

这些尝试或许释放出信息,基于健康码史无前例的用户基础,各地对于健康码的未来转型存在诸多构想。

健康码的用户规模有多大?腾讯曾于2022年发布一组数据:在微信端的健康码累计用户达13亿。

北京大学法学院教授王锡锌向财经E法解释道,健康码在实际运行中存在两种模式:一种由地方卫健委主导;另一种则保存于大数据管理中心,如大数据局。

王锡锌表示,从大数据局的角度考虑,健康码是实名认证完成率最高的端口,借助健康码的个人身份验证信息,可以把公交、养老保险等线上城市服务全面覆盖。而2018年国家卫健委便推出了“电子健康卡”,其实质是电子病历,电子病历普及较慢,倘若能和健康码打通,平台便能迅速扩大。

根据2022年国家卫健委、国家中医药局、国家疾控局印发的《“十四五”全民健康信息化规划》,到2025年,每个居民将拥有一份动态管理的电子健康档案和一个功能完备的电子健康码。

从疫情防控起初,不少地方便曾具体谈到对健康码未来运营的构想。

2020年,江苏省镇江市在健康码上线之初便提到,将把疫情服务小程序发展为镇江市民办理日常事务的入口。“例如进行房产交接预约、挂号、交通违章处理、企业申报、领取公积金等”。

2021年,浙江省杭州市更因拟推行渐变色健康码引发各方质疑。2021年5月,杭州市卫健委在专题会上提到,拟升级健康码,通过集成电子病历、健康体检、生活方式管理的相关数据,将用户的健康指标和健康码颜色相联系,建立个人健康指数排行榜。除了健康码已经获取的个人健康信息较敏感外,渐变色健康码集成电子病历、生活方式管理等设想更引发了个人隐私被进一步掌控、甚至进行公开排序的担忧。因遭受质颖,这次升级计划最终被搁置。

中国人民大学法学院教授张新宝指出,健康码是《突发事件应对法》下应急时期的应急措施,在应急状态结束后,如果将健康码的个人信息拓展到其他城市服务功能,必须重新取得用户的单独同意。

“健康码中包含的个人信息很复杂,用户并不知道哪些个人敏感信息会被‘拓展’,而且其中部分信息并不适合拓展到其他应用场景。因此,仅是告知用户‘授权’,并不能保证用户的知情,哪些数据将被使用要明确列出,由用户逐一同意、授权。此外,使用场景、个人敏感信息处理的目的一经变化,必须重新取得用户的单独同意。”张新宝表示。

销毁数据应是前提

多名学者向财经E法表示,提供便捷的城市数字服务固然需提倡,但由于健康码包括大量涉及隐私的敏感个人信息,一旦泄露或被滥用,都将造成不可逆的安全风险。因此,健康码转型或升级的前提是,彻底销毁防疫三年收集的个人信息。

王锡锌向财经E法表示,支撑健康码运行的基础已经发生改变。

首先是健康码运行的管理权,其合法性基础已发生重大改变。健康码是在应对突发公共卫生事件时出现的,其正当性基础源自《传染病防治法》《突发事件应对法》等法律法规。随着疫情防控政策的重大调整,应急管理转变为常态管理后,健康码所依托的应急管理权的合法性、正当性基础,已不复存在。

其次,由于管理职权正当性的场景变化,健康码处理个人信息也面临目的合法性问题。依照《民法典》和《个人信息保护法》的规定,处理个人信息必须有明确的目的,为履行法定职责所必须。随着防疫政策的调整,健康码持续采集和处理个人信息,对于疫情防控的目的已不再具有实质意义。

尽管目前少部分人群、限定场景仍在使用健康码,但中国网络安全审查技术与认证中心高级工程师樊华表示,即使“健康码”仅部分功能退出服务,或大范围人群不再适用,同样属于“处理目的已实现”或“为实现处理目的不再必要”情形。因此,“健康码”运营者仍应主动删除相关个人信息,或者开放账号注销功能,由不再使用“健康码”功能的个人自行决定是否删除个人信息。

根据《个人信息保护法》第47条规定,处理目的已实现、无法实现或者为实现处理目的不再必要的,个人信息处理者应当主动删除个人信息。

事实上,在严防严控的防疫阶段,从中央到地方均发布了健康码管理与服务办法,明确了健康码的使用和后续处置。

2021年1月国务院联防联控机制印发的《新冠肺炎疫情防控健康码管理与服务暂行办法》明确规定,“健康码相关信息严格存储在政府部门或其指定的地点,按照相关法律法规规范使用,疫情结束后按规定销毁或妥善处置。”

从地方规范来看,包括浙江省、重庆市、广西壮族自治区等地的省级规范性文件均对个人信息处理者销毁相关个人信息的义务作出明确规定。

如2022年1月印发的《广西健康码管理与服务暂行办法》第38条规定:“广西健康码相关信息将严格按照国家安全管理使用规定及公民个人信息保护规定存储在政府部门或其指定的地点,按照相关法律法规规范使用,疫情结束后按规定销毁或妥善处置。各地已整合下线的健康码,要做好数据销毁并向社会公告,接受群众监督。”

张新宝认为,删除、销毁相关个人信息时应遵循“谁存储谁删除谁销毁”的原则。健康码收集的个人信息一般存储在终端App、平台系统、扫码端,加上实际运营的外包和转包,信息的共享和流转,信息分布较为分散。因此,凡获取、存储健康码个人信息的单位、个人,都应依法依规履行删除、销毁的义务。

“有效、高质量的城市管理的前提是遵守现行法律框架。现阶段最合规的解决方案就是健康码必须先彻底退出。”王锡锌表示。

正因此,“通信行程卡”服务下线后,各大电信运营先后宣布,“同步删除用户行程相关数据,依法保障个人信息安全”。“粤康码”在停止部分服务时也表示,彻底删除、销毁服务相关所有数据。

樊华向财经E法表示,健康码后续数据处理的难点在于难以监督“删除”是否得到彻底实施。“应该压实运营部门、开发厂商等相关主体的责任,及时对没有依法依规履行删除、销毁义务的单位、个人进行追责。”他表示。

清华大学法学院副院长程啸认为,可从两个方面入手:一方面是行政监管,即履行个人信息保护职责的部门制定删除的具体规定和要求,并加强对不履行删除行为的查处,也就是适用《个人信息保护法》第66条的规定,同时接受举报。另一方面,《个人信息保护法》第50条规定,个人信息处理者应当建立相应的申请受理和处理机制来便于个人行使权利,其中包括个人行使删除权。同时,该条第2款规定,如果个人信息处理者拒绝个人行使权利的请求,后者可以向法院起诉。

中央财经大学数字经济与法治研究中心执行主任刘权向财经E法表示,对于个人信息的删除,目前难以建立有效的事前、事中监管机制,事后监管往往更为可行。《个人信息保护法》规定,对于情节严重个人信息处理行为,可以“处五千万元以下或者上一年度营业额百分之五以下罚款”。通过严厉的惩戒机制,起到震慑和预防作用。