经《财经》整理,此次删除、销毁的数据,主要包含的个人信息有个人姓名、身份证号码、联系方式、详细居住地、电子证照、检测信息,及基础体温等
近日,广东省健康码“粤康码”发布服务公告,宣布按照国家新冠病毒感染防控政策措施优化调整要求,抗原自测、老幼助查、健康申报、电子证照、防疫工作台服务将于2023年2月16日11时起停止服务。《财经》从广州市12345了解到,粤康码并非就此停止所有服务,包括核酸检测、新冠疫苗等服务暂时保持正常运作。“此次下线的服务仅包括抗原自测、老幼助查、健康申报、电子证照、防疫工作台,这五项服务的使用场景已很少。其他服务暂无下线通知。”广州市12345工作人员表示。尽管粤康码并未正式下线,但此次广东健康码下线部分服务,依旧打破了全国范围内在健康码去向问题中的沉默。公众对健康码去留问题的关注,实际上聚焦于健康码背后海量个人信息的处置方案。公告宣称,停止上述服务后,将按照有关法律法规规定,彻底删除、销毁服务相关所有数据,切实保障个人信息安全。据《财经》整理,此次粤康码下线的五项服务,主要包含的个人信息有个人姓名、身份证号码、联系方式、详细居住地、电子证照、检测信息,及基础体温等。下一步,全国范围内健康码该何去何从?北京市经信局相关负责人对《财经》称,关于北京健康宝的后续安排,目前尚未有明确说法,需要等待全国的统筹安排。
事实上,在粤康码下线抗原自测等五项服务之前,粤康码便已退出陆路口岸防疫工作。2023年1月15日,珠海市陆路口岸疫情防控工作专班一则消息显示,自2023年1月19日零时起,粤康码系统停止提供通关凭证转码服务,珠澳口岸出入境人员将使用“海关旅客指尖服务”小程序进行健康申报。据《财经》记者整理,此次粤康码下线的抗原自测等五项功能,主要包含的个人信息有个人姓名、身份证号码、联系方式、详细居住地、电子证照、检测信息,及基础体温等。中国网络安全审查技术与认证中心高级工程师樊华向《财经》表示,抗原自测等功能所涉信息均属敏感个人信息,按照《个人信息保护法》,敏感个人信息的收集需单独同意,这意味着,存在重复收集信息的可能性,即使删除某个业务数据库的数据,个人信息也可能在其他业务中保存下来。广州12345工作人员向《财经》表示,此次删除、销毁的数据是停止服务的五项功能所涉数据,其他包括健康码账号原始个人身份信息等数据的后续处置,暂无通知。尽管粤康码公告宣称,在停止抗原自测等服务后,将按照有关法律法规规定,彻底删除、销毁服务相关所有数据,但樊华表示,健康码数据删除工作的难点是难以监督删除是否得到彻底实施。樊华建议,应该压实运营部门、开发厂商等相关主体的责任,及时对没有依法依规履行删除、销毁义务的单位、个人进行追责。此外,应该畅通个人反馈渠道,接受群众监督。随着新冠防疫等级调整为“乙类乙管”,行程码、健康码这两大出行通行证已逐渐淡出人们的生活。其中,“通信行程卡”已于2022年12月13日零时正式下线,各大电信运营商随即宣布,将同步删除用户行程相关数据,“依法保障个人信息安全”。相较行程码,健康码收集的个人信息更加复杂。根据2020年4月29日实施的国家标准《个人健康信息码—数据格式》,健康码采集的个人信息包括个人基本信息、个人健康信息、行程信息、健康证明信息。个人基本信息包括姓名、性别、证件号码、户籍区划内详细地址、联系电话、基础病史等;个人健康信息包括当前体温、症状、高风险地区旅居情况等;此外还有核酸检测、疫苗接种情况等健康证明信息,其中大部分信息均属于敏感个人信息。根据《个人信息保护法》第47条规定,处理目的已实现、无法实现或者为实现处理目的不再必要的,个人信息处理者应当主动删除个人信息;法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。2022年12月7日,国务院联防联控机制发布《关于进一步优化落实新冠肺炎疫情防控措施的通知》,文件提到,除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所外,不要求提供核酸检测阴性证明,不查验健康码。重要机关、大型企业及一些特定场所可由属地自行确定防控措施。不再对跨地区流动人员查验核酸检测阴性证明和健康码,不再开展落地检。尽管目前少部分人群、限定场景仍在使用健康码,但樊华表示,即使“健康码”仅部分功能退出服务,或大范围人群不再适用,同样属于“处理目的已实现”或“为实现处理目的不再必要”情形,因此“健康码”运营者仍应主动删除相关个人信息,或者开放账号注销功能,由不再使用“健康码”功能的个人自行决定是否删除个人信息。
北京大学法学院教授王锡锌向《财经》表示,支撑健康码运行的基础已经发生改变。首先,健康码运行的管理权和合法性基础已发生重大改变。健康码是在应对突发公共卫生事件时出现的,其正当性基础源自传染病防治法、突发事件应对法等法律法规。但随着疫情防控政策的重大调整,应急管理转变为常态管理后,健康码所依托的应急管理权的合法性、正当性基础,已不复存在。其次,由于管理职权正当性的场景变化,健康码处理个人信息也面临目的合法性危机。依照《民法典》和《个人信息保护法》的规定,处理个人信息必须有明确的目的,为履行法定职责所必须。随着防疫政策的调整,健康码持续采集和处理个人信息,对于疫情防控的目的已不再具有实质意义。北京市经信局对《财经》表示,关于北京健康宝的后续安排,目前尚未有明确说法,需要等待全国的统筹安排。2020年2月11日,浙江杭州健康码率先上线,并于短时间内迅速推广全国。2020年2月24日,国务院联防联控机制发布《关于依法科学精准做好新冠肺炎疫情防控工作的通知》提出,鼓励有条件的地区推广个人健康码等信息平台,不具备信息化条件的地区可采用个人健康申报等方式,居民通过网络平台申领电子健康码或通过社区申领纸质版健康码,获得出行、复工等资格。目前,一个省份基本只保留一个统筹建设的健康码。事实上,在严防严控的防疫阶段,从中央到地方均发布了健康码管理与服务办法,明确了健康码的使用和后续处置。2021年1月国务院联防联控机制印发的《新冠肺炎疫情防控健康码管理与服务暂行办法》中明确规定,“健康码相关信息严格存储在政府部门或其指定的地点,按照相关法律法规规范使用,疫情结束后按规定销毁或妥善处置。”从地方规范来看,包括浙江省、重庆市、广西壮族自治区等地的省级规范性文件均对个人信息处理者销毁相关个人信息的义务作出明确规定。2022年1月印发的《广西健康码管理与服务暂行办法》第38条规定:“广西健康码相关信息将严格按照国家安全管理使用规定及公民个人信息保护规定存储在政府部门或其指定的地点,按照相关法律法规规范使用,疫情结束后按规定销毁或妥善处置。各地已整合下线的健康码,要做好数据销毁并向社会公告,接受群众监督。”浙江省于2021年11月发布《进一步完善“健康码”管理服务机制的通知》,文件明确,严格按照法律法规规范使用健康码数据,对疫情防控期间确需留存的健康码用户个人信息,疫情结束后按规定销毁或妥善处置。广东粤康码下线部分服务,会成为全国各地健康码下线的先声吗?樊华认为,由于健康码系统由各地运作维护,可能存在不同的处置方案。樊华建议,“健康码”运营者及上级主管部门在总体规划层面对“健康码”的定位予以明确,如果应用于社会管理、公共服务,建议合理规划、充分论证,确保各环节个人信息处理的合规性。而比较简单的做法是,将“健康码”下线或彻底改版,重新取得个人的同意后处理个人信息。从疫情防控起初,不少地方政府便曾具体谈到对健康码未来运营的构想。2020年,江苏省镇江市在健康码上线之初便提到,将把疫情服务小程序发展为镇江市民办理日常事务的入口。“例如进行房产交接预约、挂号、交通违章处理、企业申报、领取公积金等”。2021年,浙江省杭州市更因拟推行渐变色健康码引起多方质疑。同年5月,杭州市卫健委在专题会上提到,拟升级健康码,通过集成电子病历、健康体检、生活方式管理的相关数据,将用户的健康指标和健康码颜色相联系,建立个人健康指数排行榜。除了健康码已经获取的个人健康信息较敏感外,渐变色健康码集成电子病历、生活方式管理等设想更引发了公众隐私被进一步掌控、甚至进行公开排序的担忧。线上城市服务无疑是便捷的,但多位学者向《财经》表示,以隐私换便捷并不是健康码“何处去”的答案。多名学者称,城市数字服务值得推广提倡,但健康码转型的前提是,彻底销毁防疫三年收集的个人信息。“如果是有效、高质量的城市管理,我们为何不能重新在法律框架下建立起来?为确保用户知情同意,现阶段最合规、最合适的解决方案就是健康码必须先彻底退出。”王锡锌表示。
本文为《财经》杂志原创文章,未经授权不得转载或建立镜像。如需转载,请添加微信:caijing19980418