面对新冠疫情对开放世界的挑战,如何在社会的公共安全和个体的自由流动之间取得平衡,需要精细化、动态化的敏捷治理。显然,无论是之前的“单位制”,还是层层下压的官僚体制,抑或立足社区的“网格化管理”,均无法应对复杂多元的社会目标,陷入进退失据的困境。就此而言,中国推出以信息技术为基础的“健康码”,正逢其时。但是,面对这一全新事物,如何从法律层面判断其性质,反思其正当性,进而作出制度上的调适,还有待全面、系统的检视。
政府作为平台:健康码的组织法面向
健康码并非孤立的手机应用,相反,它是嵌入“政府平台”之上的APP。就此而言,健康码是“政府作为平台”(government as a platform, GAAP)范式的典型例证。GAAP由蒂姆·奥雷利(Tim O""""""""Reilly)在2009年率先提出,并在2015年被英国政府所践行,时至今日,它已广泛运用于新加坡、美国、澳大利亚、法国、挪威、阿联酋、日本、德国、沙特阿拉伯等国的政府数字化转型之中。GAPP绝不仅是一套数字系统,事实上,它从理念和制度层面重塑了行政组织,就前者而言,它深化了我国行政法上的“公共治理理论”;就后者而言,它回应了当前“整体政府”的革新。透过GAPP的棱镜,我国健康码的优势和不足昭然若揭。
(一)健康码与公共治理:提升包容性
GAAP将政府定位于打造生态系统的中间节点,政府由从上而下的管理者转变为培育平台的领导者,将非政府公共组织、私企业、组织甚至公民都纳入到开放的、互动的治理网络之中,并采取适当的激励措施,推动多利益相关方分担传统的治理角色,以创新的方式应对层出不穷的新挑战和新风险。美国国际开发署抗击埃博拉疫情挑战的平台和联合国难民署的开放创意平台,均是其成功例证,健康码亦是如此。不论是“余杭绿码”,还是深圳的“深i您健康码”,都是政府发起、企业响应,政府部门与互联网企业共同努力的结果。但转换角度,我们也不难发现其中潜藏的缺陷。
首先,应注意到的是对私企业的包容性不足,如果说健康码的初期研发囿于时间,不得不在有限的企业中遴选,那么在《全国一体化政务服务平台防疫健康信息码接口标准》等标准制定和后续完善阶段,完全可以通过公开的招标程序,将更多企业纳入其中,以回应所谓的“垄断”或者“被动监管俘获”的质疑。
其次,政府平台应提供无歧视的公共服务,而在数字鸿沟的背景下,不使用智能手机的5亿剩余之人被排斥在健康码之外。面对这种“社会分裂”,经合组织理事会《关于数字政府战略的建议》(Recommendation of the Council on Digital Government Strategies)特别提出,政府应积极采取措施,回应无法负担或缺乏能力使用数字技术的民众的需求,满足其对正义、公平、效率的期待。
再次,公民不仅是被服务者,还是政府平台的积极参与者。政府应利用“众包平台”,激发民众的创造力。就此而言,德国经验值得借鉴。2020年3月,德国政府发布了“我们抗击病毒”(#WirVsVirus)的征集公告,在短短48小时内,共有28000多名参与者提交了超过1500个提案。
最后,开放性是GAAP的优先事项。政府平台应采取开放性架构,欢迎并允许任何有利于疫情防控的数字技术接入平台,进而通过民众选择、企业竞争和监管评估,作出更具正当性和平衡性的政策选择。放眼全球,在“人工主动输入信息—中心化处理分析”的健康码以外,“终端自动识别信息—分散化处理分析”的“接触者追踪技术”也被广泛应用。该技术以手机蓝牙为基础,立足于机器间的识别与交互,无需对用户位置信息的收集,最大程度地尊重了用户隐私。不过,物无全美,它也面临着使用条件苛刻、难以切断传播途径等质疑。其实,正是因为任何一项技术都不可能尽善尽美,它们之间的竞争和公众参与决定才显得尤为重要。
(二)健康码与整体政府:打破条块分割
为了对个体健康情况准确画像,健康码需要汇聚医院、卫生部门、工作单位、基层社区、公共交通部门等不同来源的数据,从而提供一站式的查询和服务。与此同时,消除跨地区人员流动窒碍是健康码的核心功能,如何破除数据孤岛,在不同行政辖区之间及时、准确、充分的信息共享自然是健康码的题中之意。对此,GAPP意味着建设“通用共享平台设施”,实现跨机构边界的政府内横向连接、中央和地方政府间的纵向连接以及有关互操作性议题上的基础设施连接。以此观之,各地健康码的码制组成和数据格式不尽一致、数据彼此区隔、互认机制缺乏的种种问题,固然表现为技术分野,实质却是各自为政所引发的成本分担和责任承担痼疾。
为此,在同一级政府内部,应延续大部门制改革、综合执法体制改革、简政放权改革等行政系统一体化趋势,通过地方条例细化落实《国务院关于印发政务信息资源共享管理暂行办法的通知》,以数据共享为原则,不共享为例外。不惟如是,基于整体政府和组织法定,还应进一步革新我国行政主体构造,“剥夺”政府职能部门的行政主体资格,由各级政府作为统一行政主体承担责任。这是因为,职能部门只是行政主体的组成部分,不享有组织法上的事权和财权,其与各级政府的关系,类似于独立个体与其身体组成部分的“四肢”的关系。另一方面,在不同级和跨地区的政府之间,应以疫情防控等特定事项为中心,以卫生健康部门为主体,建立全国性的“专业垂直平台”,提升医疗系统的可获得性、有效性和可持续性。在底层架构上,可借鉴欧盟公共数据空间战略,建立个人电子健康记录(EHR),推动电子病患摘要和电子处方共享,并通过打通信息传递的层级或选择码制转换和互操作机制,建立健康数据共享库,从而不但有助于医疗机构作出有依据、基于证据的医疗决策,而且可以支持政府部门对医疗产品、服务的评估和监管,以保障安全性和有效性。
最后,必须说明的是,整体政府并不意味着大块头(one big lump)的政府,它并不完全摧毁职能边界。行政职权来源法定和行政职权范围法定是法律保留原则的当然意蕴。在整体政府的建构中,各方仍应在法律、法规授权范围内行使职责,在此情形下,不同部门之间的权力衔接和责任分担变得更加重要。就健康码而言,各方应破除属地管辖的痼疾,以“流动的个体”为对象,以“数据的流动”为逻辑,明确数据收集、使用、共享、公布、删除等环节的责任主体。同时,应遵循“尽职免责”的原理,由各行政主体根据自身过错独立承担数据泄露、评价错误等责任,摒弃连带责任和客观归责,从而最大限度地推动跨界整合。
算法作为规制:健康码的行为法面向
根据2020年2月25日国务院《关于依法科学精准做好新冠肺炎疫情防控工作的通知》,健康码是行政机关综合判断个人健康风险等级,获得出行、复工资格的法定证明。鉴于健康码由行政机关所主导,服务于行政目的,对公民行为自由有着重大影响,其属于行政行为,当无异议。揆诸健康码的生成过程,行政机关先将评判标准程式化,然后相对人在线提交信息并申请,最终由系统自动分配不同颜色标识的二维码,因此构成“自动化行政”。不仅于此,正如湖南省政府电子留言版对“个人对湖北健康码生成的颜色状态不认可?”的回答:“省公安厅、省卫健委会同省政务管理办共同建设全省统一比对数据库,按审核比对结果信息制发健康码,人工无法干预或修改结果”所揭示,健康码还是无人工介入、且存在裁量空间的“完全自动化决策”,系最高等级的自动化决策。由此,健康码提出了一个重大问题:如何审查健康码评价结果的合法性?更准确的说,是如何审查健康码算法的合法性?
(一) 健康码的形式审查:算法解释
一般而言,行政行为的形式合法性审查包括对管辖权、行使程序、行使方式以及说明理由的审查。对健康码而言,审查重点当落在“说明理由”上。所谓“说明理由”,即要求行政主体在作出对行政相对人合法权益产生不利影响的行政行为时,应当向行政行为相对人阐明该行政行为的事实根据、法律依据以及其他考量理由。2004年,《国务院关于印发全面推进依法行政实施纲要的通知》(国发〔2004〕10 号)明确规定:“行政机关行使自由裁量权的,应当在行政决定中说明理由。”在健康码即算法规制的语境下,“说明理由”便转化为对其算法解释的要求。2016年,法国《数字共和国法》以欧盟《一般数据保护条例》(GDPR)中的“自动化决策解释权”为蓝本,规定当个人受到基于算法的行政决定时,有权要求行政机关提供算法相关信息,诸如算法对行政决定的影响程度和方式、使用参数的权重和适当性、处理的数据及其来源。
健康码的算法解释可进一步分为“算法数据的解释”和“算法逻辑的解释”。基于“算法数据的解释”,个人有权要求行政机关在合理范围内,展示输入算法的变量。这里的“变量”主要是健康码所处理的一般个人信息与个人敏感信息,从而有助于民众及时发现个人信息保护中的风险,又有利观察算法中是否存在歧视现象。在展示过程中,行政机关既可以采取简单的文字列表方式,也可以采取符合认知特点的可视化方式。基于“算法逻辑的解释”,个人有权要求行政机关在合理的范围内,说明相应变量对健康码评定结果产生何种影响。目前,尽管健康码开发者已经给出了算法判断的空间、时间、人际关系、健康状况等四个维度标准,但其依然有待进一步具体化。其一,这里“相应变量”指的是参与实际分析推断的个人信息;其二,这里“影响”指的是不同变量与评定结果之间“正相关”或“负相关”情形,并应展示相关性的作用范围。其三,鉴于健康码的普遍性,行政机关应向公众主动披露算法逻辑细节,帮助其了解富含不同社会价值的信息类型以何种方向影响输出,以便更精细地评估算法是否恰当平衡了各方社会利益。
(二) 健康码的实质审查:算法审计
行政行为的实质合法性审查针对的是行政行为处理是否得当,将其适用到健康码之中,便成为旨在规范价值内涵的“算法审计”(audits of algorithms)。虽然“审计”一般和财务审计相联系,但事实上,“审计”最初源于1970年代美国对住房政策中的种族歧视审查,近年来进一步发展为代码审计、合作审计、用户审计等多种算法审计方式。在广义上,算法审计意味着对健康码的整体评估。以美国2019《算法问责法案》(Algorithmic Accountability Act of 2019)为镜鉴,相关评估针对如下要素:(1)健康码的详细描述,包括设计、训练、数据及其目标;(2)健康码所需个人信息及决策结果存储的时间;(3)民众对健康码评价结果的获取权、修改权;(4)健康码对个人信息隐私和安全影响,以及歧视性后果方面的风险;(5)健康码开发者采取的降低风险措施。在狭义上,算法审计指向的是对特定评价结果的审查。为了回应民众可能的异议,行政机关应当对健康码的模型、数据和决策结果留有明确记录,从而在变动对应因素后,使算法输出特定决策,以备法院或上级部门的核查,最终判断健康码的评定是否具有歧视性或产生其他不当后果。同时,行政机关还应建构出一套具有交互诊断分析能力的系统,通过检视输入数据和重现执行过程,来化解人们可能的质疑。为此,行政机关可以引入“反事实问题”( counterfactual questions)测试。在加州大学伯克利分校发布的《人工智能的系统挑战:一个伯克利的观点》(A Berkeley View of Systems Challenges for AI)中,“虽然没有实际发生,但是假设发生了会怎样”的反事实问题是重现决策结果,甚至是使算法具有因果推断能力的重要方式。这意味着,健康码的算法必须回答诸如“如果我不是某某地居民,是不是就是绿码?”“如果我不是少数民族,是不是就是绿码”“如果我不从事莫某工作,是不是就是绿码”这样的问题。最后,为最大程度地实现正当程序保障,在上述措施均不能充分正当化健康码评定结果的前提下,个体有权要求行政机关采取人工方式重新作出决定,以补救算法可能的应用风险,并凸显人类的主体地位。
作为数据公共治理的一环,健康码被数据所驱动。这里的“数据”具有双重意义:一方面,数据是健康码的生产要素,不论是行政决定还是各个场所的监督执行,均建立在数据聚合、处理、解释、建模、分析和预测之上;另一方面,数据也是我们数字化人格的一部分,个人基本数据、医院诊疗数据、行为轨迹数据、家庭人口数据、工作单位数据,构成了个体的精准画像。如何平衡这两种不同价值和目的的数据以及背后的公益与私权,便是健康码的数据法问题。
(一)健康码的规则平衡
我国《民法典》将个人信息纳入“人格权”之中,从而回应了在大数据时代中人身自由和人格尊严的保护问题。但是,对个人信息的保护并非绝对,它需要同时考量其他社会价值和立法目标。正如欧盟数据保护委员会在《新冠病毒爆发期间处理个人数据的正式声明》中所表明的:“个人数据保护规则并不妨碍针对病毒大流行采取的措施。与传染病作斗争是所有国家共同的宝贵目标,因此,应以最佳方式予以支持。”因此,健康码不是在个人信息保护和疫情防控之间做非此即彼的选择,而应寻求可能的平衡之道。必须说明,这里的“平衡”绝不是同等考虑,而是在数据生命周期的不同阶段进行不同取舍,达致动态平衡。
在数据收集环节,我国《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》均赋予行政机关在未取得公民同意的情形下收集个人信息的权力,这亦被《民法典》第1035条第1项的“但书”所确认。不过,这种未经同意收集个人信息的权力应当受到严格制约。其一,“无需个人同意”并不意味着个体无权知情,收集透明度要求是最直接的制约。行政机关应当按照《民法典》第1035条第2、3项的规定,以简洁、易于理解的语言,明示信息收集的目的、方式和范围,并向社会公开处理信息的规则。例如,上海市“随申码”、广东省“粤省事”和贵州省“贵州健康码”均以用户协议、隐私政策的形式履行告知义务。其二,“无需个人同意”也不意味着可以恣意收集,收集范围应坚持最小够用原则,收集对象限于确诊者、疑似者、密切接触者等重点人群,不得针对特定地区的所有人群。
在数据存储环节,作为数据控制者的行政机关承担着个人信息保护的首要责任。《民法典》第1039特别强调,“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”《传染病防治法》第12条亦规定:“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”此外,作为数据受托处理者的企业应根据其与行政机关达成的合同,承担合同义务和数据安全法定义务。相关企业不得擅自留存数据或在委托范围外进行处理,否则将承担违约责任并遭至行政或刑事处罚。
在数据使用环节,《民法典》第1036条第4项确立了“为维护公共利益之目的,合理使用个人信息”规则。一方面,行政机关可以基于疫情防控目的,分析、加工健康码数据,而无需公民同意。但另一方面,“合理实施”和第1035条“不得过度处理”的要求均表明该等处理仍应坚持“目的限定”和“比例原则”,不得扩张使用目的,尽量采取“去标识化(de-identification)或“匿名化”等损害最小的处理方式,保证手段与目的之间合理、适度、相称,不能因小失大、得不偿失。
(二)健康码的机构平衡
徒法不足以自行,规则层面的平衡在“零容忍”的疫情防控压力面前往往会再次失衡,公共利益扩张了政府权力,最终侵蚀了个人权利。因此,健康码的规则平衡还有赖于机制保障,这就是通过“个人信息保护机构”的机构平衡。
伴随着个人信息重要性的提升,各国纷纷设立统一的个人信息保护机构,欧盟GDPR更是将“有效的专业规制机构”作为满足“充分性认定”的基本条件。迄今,个人保护机关已经在全球80多个国家或地区落地生根。在新冠疫情期间,欧洲数据保护委员会(EDPB)以及各国的个人信息保护机构出台了近百份有关个人信息保护的声明(Statements)、指引(Guides)和问答(FAQ)。我国中央网信办亦适时发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,在个人信息权益和联防联控中艰难平衡。
统一、独立、专业的个人信息保护机构是健康码不可或缺的机构保障。其中,“统一”是前提。当前,我国个人信息保护工作由中央网信办、工业和信息化部、公安部、市场监管总局、交通运送部等中央政府部门,以及人民银行、银监会、国家卫生健康委员会等专业监管机构共同承担,相关规范重复或冲突、执法权责不明的情形屡屡出现,不同机关之间的冲突协调又困难重重,亟待集中收归到统一的个人信息保护机构,从而使得监管目标更为单一和体系化,而后续问责机制亦相对明确。其次,“独立”是关键。比较法的研究表明,只有坚持个人信息保护机构的独立性和全局视野,才能有效防止和排除其他组织的干预,进而履行法定的监管职能。这里的独立并非“自治”,而是要求个人信息保护机构与其他行政机关之间的权力分配是明确和透明的,并在其职权范围内不受其他组织的压力,使之摆脱不当干预或受监管企业的捕获。正如健康码所凸显的,最有可能侵犯公民权益往往就是行政机关,在权利不足以制约权力之时,个人信息保护机构亟待发挥独立第三方的“权力制衡”功能,监督其他行政机关依法行政。最后,“专业”是基础。个人信息保护机构的独立性固然由外在的“人、财、物”所保障,但究其根本,是其专业性使然。近年来,从不同场景的APP治理到个人信息出境,从人脸识别和深度伪造到健康码,个人信息保护的工作日趋复杂。个人信息保护机构在技术、法律和政策的交叉领域中三面作战,理应成为“专家机构”(expert body),从而承担着制度塑造和法律执行的双重任务。
在疫情防控中,个人信息保护机构的职权包括但不限于:(1)规则制定权,就健康码涉及的个人信息保护出台专项标准、指南、规定,特别是就个人信息处理中的“公共利益”作出细化说明,遏制行政机关的扩张解释。(2)行政监督权,监督行政机关的个人信息保护工作,推广隐私增强技术并监督和评估疫情防控措施的合规性与合理性,在必要时,可以提供政策咨询、指导和建议;(3)接受投诉权,公民可以向个人信息保护机构投诉相关权益侵害事件,后者有权要求企业、行政机关做出回应;在必要时支持并指导个人提起民事诉讼,如存在潜在犯罪证据,应将相关情况通报至公安机关进行刑事追责;(4)调查处理权,对于健康码使用过程中企业、行政机关违法、违规处理个人信息的行为,有权依法采取现场检查、查阅和复制相关资料、查封和扣押相关设备以及询问当事人等方式,开展调查、予以行政处罚或启动行政追责。
结语:健康码的未来
2020年6月,《杭州关于打造全国新型智慧城市建设重要窗口的决定》发布,其中特别指出:充分发挥“杭州健康码”在公共卫生体系中的重要作用。建立“重大疾病防控库、个人健康信息库、法人健康信息库”三大信息库,结合社会治理相关数据库,延伸移动端功能,拓展“一人一码”公共服务,推动健康码与就医、养老、健身等功能相集成,加快健康码使用从疫情防控向日常服务应用转变,使健康码在提升公共卫生现代化水平中发挥更重要作用。这不是杭州一地的构想。事实上,如何在疫情常态化之后拓展健康码的应用,已经列入多地的议事日程。然而,健康码虽小,其中却蕴含着大风险,如果缺乏思考的法律视角,所谓转型或者徒劳无功,或者得不偿失。
在组织法、行为法和数据法的三维观照下,转型后的健康码首先要求引入“政府即平台”理念,彻底改造条块分割体系,重构行政主体制度,从基于疫情防控事项的整合迈向更广泛事项的整合。其次,限制公民行为自由的健康码是紧急状态下对个人基本权利的克减,其正当性建立在新冠疫情超强传播性和致命性的基础上,一旦疫情缓解或结束,健康码就必须脱离强制性和约束性,从行政机关依职权的行政行为转为公民自愿选择、国家依申请作出的行政给付行为。尽管如此,行政机关仍负有算法解释和算法审计的职责,以保证公共服务的公平性。最后,健康码数据的收集与使用与疫情防控的目的密不可分,若《国家自然灾害救助应急预案》三级响应终止,相关数据的处理将不再必要,根据存储期限最小原则,均应删除或匿名化。就此而言,转型后的健康码不再享有公共利益豁免,相关个人信息的收集和使用应重新获得个体同意,对于涉及健康医疗的敏感信息,还应单独取得明确同意,并履行必要的安全评估程序。总之,作为中国应对新冠疫情的成功经验,健康码蕴含了国家治理变革的契机,可只有矢志不渝地坚持法治原则和人权保障,才能让数字力量赋能美好社会,而不会滑入科技利维坦的深渊。
