文/陈根
当前,河南银行储户莫名被赋红码的事件仍在发酵,而银行储户被赋红码背后,健康码的滥用风险则被进一步凸显。
人们曾经多少都相信,健康码只是暂时的计划。如今,两年过去了,健康码不仅没有退出,反而迎来了与人们生活更加紧密连接的下半场,在常态化的基础上更进一步。在许多城市,健康码已经跟乘车二维码在技术上打通,一个人如果健康码变成红色、黄色或者有弹窗,将面临无法乘车、无法买购买食物、无法造访公众场所、无法回到自己住处这样寸步难行的局面。
牵一发而动全身,当健康码高度关联人们的生活时,也就意味着,健康码获得了更多操纵人们生活的权力。正如此次河南储户被赋红码一样——这种精确记录了个人行程等隐私信息的防疫码,作为疫情时期的权宜之计,被滥用的风险极大。如何理解疫情防控背景下的健康码的隐私保护,如何保证健康码的有效性和正当性,成为后疫情防控时代亟待解决的新的问题。
健康码的福祉和代价
再来回顾下这次莫名的红码事件。
先是在河南村镇银行暴雷之后,作为受害者的储户们想要前去河南,讨回存款或者寻求当地监管部门帮忙,就是这个过程中,许多储户发现自己在没有途径疫情高风险地区的情况下,健康码变成红色。甚至有的储户,都没有踏入河南,就在外地莫名“喜提红码”。
整个事件复盘起来,可以说是既清晰又扑朔迷离。清晰的部分就在于,被河南赋予红码的,基本上都是这个村镇银行暴雷事件的储户们,似乎跟大家的行动轨迹并无关系;而让人觉得扑朔迷离的是,没有人知道这个红码到底是谁加到储户们头上的,又是怎么加到储户们头上的——河南卫健委推给市一级的大数据管理局,而大数据管理局又推给郑州疫情防控指挥部,疫情防控指挥部也语焉不详。
而一切的争议,还要从健康码开始说起。健康码的诞生,本是新冠大流行背景之下的一个权宜之计。在疫情快速蔓延期间,为了公共防疫的目的,为了节省个人行踪等信息申报和核实的繁琐程序,健康码应运而生。
一方面,健康码会记录个人行程,比如,有没有去过外地,有没有经过疫区;另一方面,健康码会记录个人有没有和其他确诊或疑似人员有过人际接触。从其运行原理来看,所谓健康码实际上就是一个可以精确记录个人行踪的防疫码,反映的是一个人的感染风险,跟健康其实并没有多大关系。
实际上,除了健康码外,在这场全球性公共卫生危机中,各国都开始采用数字化手段来监控新冠病毒的传播链条。
比如,在疫情刚暴发之时,同在东亚的韩国政府跟踪收集了所有人的手机位置信息并创建了一个公开的地图,允许任何人检查他们是否与任何冠状病毒患者有重合的活动路径。地图中的跟踪 数据不仅限于手机数据和信用卡记录,甚至与患者的面对面访谈都可以用来绘制活动轨迹的地图。韩国政府还利用收集到的数据主动推送区域性短信,警告接收者他们可能已经与携带病毒者接触。
欧盟则宣布区域内的移动运营商将与欧盟委员会共享客户位置数据,以监控冠状病毒的传播。此外,美国媒体也披露美国政府相关机构已经获得了全国数百万智能手机和移动设备的位置数据。不过,和欧洲不同的是,美国相关机构是通过移动广告跟踪器获取位置数据的,而不是依赖移动运营商的基站位置信息。
不可否认,数字化技术的发展将给人类带来更大的福祉。健康码将数据云端存储,使得所有的居民健康信息、出行信息与个人身份信息绑定,在云端存储共享,省去了地方机关设立卡口,重复填报健康表格的麻烦。作为数字通行证,健康码能够实现在全市甚至全国区域内一码通行,为疫情防控带来便利。
可以说,在疫情期间,选择数字化技术来对疫情进行更严格的防控是必要和及时的——健康码的出现和应用,依赖的是无处不在的大数据技术的升级,这是十几年前非典时期我们所没有的防疫利器。但要知道,这一切并非没有代价。
健康码的下半场
如前所述,健康码是数据驱动的产物。从个人数据的收集到数据触达,从各类数据的共享到数据分析,从政府数据决策到各个场所的监督执行,健康码就是这样建立在数据之上,再经过精心设计嵌入到疫情防控的流程之中。
根据2020年2月25日国务院《关于依法科学精准做好新冠肺炎疫情防控工作的通知》,健康码成为行政机关综合判断个人健康风险等级,获得出行、复工资格的法定证明。从这一方面来说,健康码印证了美国法学家Lessig的洞见——“代码就是法律”。
但要知道,健康码是建立在民众们为了防疫大局让渡了个人隐私权的前提下,这才是健康码能够成立的基础,这也让健康码成为比较特殊的“数据权力与行政权力叠加”的场景,这也是为什么人们对健康码的应用一直十分警惕的原因。
当前,随着健康码与人们生活的不断融合,健康码带来的挑战也日渐凸显,如今发生在河南的这一幕,更是证明了人们的担忧非杞人忧天。
一方面,数据是健康码的灵魂,没有可信的数据,就没有可信的健康码,所谓“垃圾进,垃圾出”。怎样在制度上和技术上防范少数人上传虚假信息,是健康码的当务之急。尽管当前河南储户莫名被赋轰码的原因尚不得而知,但其中暴露出健康码数据错误的潜在风险,不容小觑——而如果健康码已经被滥用在防疫目的之外,这不仅会让地方政府的防疫政策显得言而无信,还违反了个人信息保护法,某种程度上更是一种行政职权的滥用。
另一方面,对于数据的保密性、完整性、可用性,无论是政府部门还是开放健康码的第三方均负有数据安全的义务,务必采取加密存储、加密传输、访问控制等相关安全措施。毕竟,大数据虽然保证了疫情期间的信息通畅,实现了信息互通,做到个人信息透明化,却也带来了隐私信息暴露的风险。
预计到2025年,87%的数据都将是需要保护的数据。然而,现实的情况却是,一半以上的数据都没有得到适当的保护。近年来,隐私泄露的事件频发,我们不能确定,当健康码拥有更广阔的意涵时,健康码所覆盖的信息得到保护。更何况,在大数据个人隐私保护法律严重滞后的情况下,这种个人隐私数据的多平台,无标准的存储、流转,后期给个人带来的各种困扰与风险又由谁来负责?
作为健康码的发起者和使用者,政府部门决定了“健康码”应用中数据采集的类型、内容、使用方式、使用用途,应当承担数据收集者和数据控制者的一系列义务。同时,科技公司系接受政府委托进行数据存储、加工、分析的数据处理者,应严格按照相关协议约定和法律规定,遵循政府指示使用数据,不得违反委托要求备份、二次利用或提供给第三方。
健康码的滥用担忧
事实证明,健康码绝不是一个简单的“管理措施”。疫情期间,健康码从一开始的防疫功能逐渐升级,到与电子健康卡、电子社保卡联合,健康码逐渐作为一种身份的确认,可以实现某些特定场合的“准入”。甚至可以预见,健康码不会随着疫情的消失而消失,健康码将借着疫情长存下去并获得更广泛的应用。
在某种程度上来说,健康码一旦启用,就难以完全闭上,因为人类社会向数字世界的迁移不断在进行和深化。想退回到以前的状态是几乎不可能的。基于此,我们要做的,可能是习惯与之共存,并让其接受必要的约束与管控,以打消公众对其被滥用可能性的担心。
因此,政府部门尽可能向公众披露健康码使用的数据和运算的逻辑,更重要的是,应赋予公众异议并获得合理说明的权利。
比如,2020年3月,欧盟数据隐私委员会就曾发出声明,对《通用数据保护条例》在疫情期间的个人数据保护给出了明确的解释:只有在匿名或获得个人同意的情况下,运营机构(如通信运营商或互联网企业)才能使用用户的位置数据。公共当局应首先以匿名方式处理位置数据(以无法将其转换为个人数据的方式处理汇总数据)作为目标。
尤其是在健康码使用的数据涉及姓名、性别、出生日期、民族、身份证号码、电话号码、户籍地市、家庭住址、出行方式、行踪轨迹、车牌号码、精准定位信息、健康状况、个人职业、通信记录、诊疗信息等大量个人信息的情况下,个人数据保护规则更是是重中之重。
正如欧盟数据保护委员会在《新冠病毒爆发期间处理个人数据的正式声明》中所表明的:“个人数据保护规则并不妨碍针对病毒大流行采取的措施。与传染病作斗争是所有国家共同的宝贵目标,因此,应以最佳方式予以支持。”个人数据保护与挽救生命之间并不是非此即彼的选择,而是即此又彼的权衡。
并且,健康码规则是调控紧急事件的“非常规则”,它具有应急法律固有的授权性、预防性、必要性、临时性特征,一旦疫情防控从急性、超常规转向常态化,相关治理规则甚至健康码的存废即需要重新评估。
此外,“国家通过技术之眼观察社会图像时,它看到的可能是自己的倒影”。正如此次的河南储户莫名红码一样,各行其是的地方割裂、控制优先的封闭体制、政企合谋的利益共生都可能在科技外壳下,进入到健康码之中。为此,在健康码的设计中还应有意识地注入“公共安全、个人权利、市场竞争”等更多元的价值,敦促政府和企业负责任地使用这一技术,维护公民人格尊严和人身自由。
科技并不中立,它始终被它所栖身的社会、经济、政治环境所塑造,体现着设计者、使用者的权力行使和价值目标。健康码也不例外,它所具有的电子化、数据化、智能化特征,并未遮蔽原有的行政行为属性。
说到底,科技的更新虽然意味着许多行业边界、场景边界、产业边界的进一步拓宽,但我们在拥抱科技的同时也不能不忽视那些伴随着的危机,个人隐私暴露的风险是否会进一步加剧?社会监管对于数据的管理边界又如何定义?健康码虽小,可却蕴含变革的无穷潜力,如何发挥健康码的潜力,还需要人们更多的思考。