【导读】近日，一则河南村镇银行“取款难”储户被精准赋红码的新闻，引发强烈关注。作为疫情防控的数字基础设施，健康码发挥着重要作用，但也备受质疑。此次红码事件，更是让很多人担忧健康码被非法滥用。那么，如何理解数字抗疫实践引发的争论？面对已经出现的健康码滥用，应如何整治，避免出现更严重的后果？

  本文从健康码的底层逻辑“数据治理”出发，重新审视健康码的有效性与正当性。作者认为：一方面，与严格隔离的网格化静态管理或禁足令相比，健康码更适应流动社会，在支撑疫情防控的同时，也可以保证基本的出行自由。但另一方面，命令服从的权力运作、各行其是的地方割裂、控制优先的封闭体制、稳定压倒一切的思维等，都可能在科技外壳下，被装进健康码中。因此，在健康码的运作上，相比“数据效率”原则，应将“数据正义”原则置于更高位置。

  作者指出，以数据正义为原则，应提高健康码的“数据使用透明度”，保证健康码的“数据非歧视”。疫情之下的个人权利当然会受到一定限制，但必须同时设定对这些限制的限制， 保证个人对其信息的知情权、更正权、删除权和获得救济权。负责防疫数据运营的政府部门和企业，应充分尊重个人信息权，不得将个人信息用于与防疫无关的目的。另外，健康码是《突发事件应对法》下的应急措施，在应急状态结束后，健康码也应适时结束其使命，以免挫伤社会信任。

  本文原载《暨南学报（哲学社会科学版）》2021年第1期，原题为《重大公共卫生事件的数据治理》，仅代表作者本人观点，供诸君思考。

  2020年的新型冠状病毒已经成为关乎各国人民的安危，影响世界政治经济的重大公共卫生危机。如何应对这场被联合国秘书长古特雷斯称为“自联合国成立以来我们面对的最大考验”，需要凝聚人类社会的共同智慧。在本次疫情中，中国既采取了世界卫生组织报告总干事高级顾问布鲁斯·艾尔沃德所言的“古老围堵策略”，更将智能服务机器人、大数据分析系统、智能温测设备等数字技术运用到疫情监测分析、人员物资管控、医疗救治、药品研发、后勤保障、复工复产等多个场景中。尽管人们日益认识到：较诸传统公共卫生措施，物联网、大数据、人工智能、区块链在监控、检测和预防新冠病毒并减轻其对医疗保健部门影响方面意义重大，但数字抗疫实践依然引发了激烈争论：赞成者认为其有效遏制了新冠病毒的传播，确保了民众安全；反对者则援引本杰明·富兰克林的名言“那些放弃基本自由而求得短暂安全的人，既不配有自由也无法享有安全”，质疑数字技术的过度使用损害了公民权利。为回应这一争议，本文尝试着聚焦于一种具体而微的数字抗疫技术——“健康码”，以“数据治理”为观察棱镜，探索其背后的逻辑，展示其潜力，并反思其有效性与正当性，进而提出可能的完善之道。任何危机都是转机，我们相信，本次疫情不但是观察与反思中国经验的良机，也将成为未来重大卫生事件应急制度变革与创新的契机。

  ▍数据治理：健康码的底层逻辑

  1.健康码的争议

  在中国，健康码获得了普遍的认可。对政府而言，健康码大幅提高了人员信息核验效率和精准度，通过“数据流”牵引带动真实世界中“人流”、“物流”、“商流”的复苏与回归，在疫情防控的同时有序恢复生活秩序。对个人而言，健康码不但避免了重复、多次填报信息的繁琐程序，避免个人信息过度收集和不当泄露，而且减少了人员聚集的传染风险。对企业而言，健康码便利了员工管理，有助于采取有针对性的精准联防联控措施，有效促进了复工复产。

  但是，健康码收获并不仅是赞扬。事实上，对其可信度质疑的声音不时出现。由于健康状况等大量关键信息均是个人自行申报，难免稂莠不齐，还有少数人故意隐瞒病情，无怪乎被人批评健康码为“形式主义”。对系统故障和误差的抱怨亦屡见不鲜。“我的绿码为什么变成了黄码？”“温州返杭的给绿码，我诸暨的给红码”“一家三口情况一样，一更新就我变红码”的吐槽多有，更有不少质疑直指二维码生成缺乏科学依据。最为严重的批评是：健康码将人脸识别、大数据行为追踪用于“多场合人口管理”，不但过分强化政府的电子监控权力，而且打破了政府与企业的边界，最终侵犯了公民隐私。如果说前一种质疑集中在健康码的“有效性”，那么后一种批评则以健康码的“正当性”为鹄的。

  面对健康码的不同声音，我们有必要将其置于国家权力运作和公共卫生管理的视野中仔细审视。在此，我们尝试着以“数据治理”为棱镜，解析健康码的底层逻辑。

  2.数据治理的三重范式

  在初始的意义上，“数据治理”原指一种以“公司治理”为摹本的资产管理。正如美国俄克拉荷马州“管理和企业服务办公室”（Office of Management & Enterprise Services）2019年《数据治理概览》（Data Governance Overview）报告所指出的，数据治理是一个关于数据的组织过程和结构，指向一个战略性的长期过程，它建立对数据的责任，组织工作人员通过系统地创建和实施政策、角色、职责和程序来协作并持续地改进数据质量。不论是其中的元数据管理、主数据管理、数据生命周期管理，抑或数据应用创新，均以最大化数据价值为依归，以数据风险管理为底线，并考虑到国家法律和社会化对数据利用过程的约束，具有私人性、营利性和管理性的特色。

  随着世界的数据化转型，人们日益发现，数据早已超出了“企业”的樊篱：数据业已成为国家经济运行机制的重要生产要素，是国家治理能力的“基础性战略资源”，其重要性甚至居于矿藏、土地、河流等耳熟能详的战略资源之上。2015年，国务院发布《促进大数据发展行动纲要》，指出数据的分析和使用为有效处理复杂社会问题提供新的手段，一个“用数据说话、用数据决策、用数据管理、用数据创新”的管理机制亟待建立。“数据治理”由此演化为“用数据治理”，成为提升行政效率和管理效能的政府管理新方向。作为政府管理的数据治理本质是“电子政府”的升级版，其不但与“政治—行政二分法”、理性官僚制和科学管理原理的现代行政观念合若符契，而且以实现公共数据的高度共享、政府部门间实现无缝合作的“整体政府”为宗旨，充分利用物联网、移动互联网、云计算、Web3.0、人工智能提供决策支撑和精准化管理能力，使政府自数据“收集者”转为“分析者”、从数据“被索取者”转为服务“推送者”、由“决策预报”转为“决策实报”，最终推动政府的数字化转型。

  然而，仅仅将数据视为政府资源，不免忽视了现代社会中数据与人的复杂关系。自《数字化生存》一书问世以来，从个人档案电子化到社交媒体，从用于营销的个人画像到金融信用评分，从公共场所的人脸识别到穿戴设备中的量化自我，人类不断地从“自然人”迈向“数字人”（data-person），这改变了普罗大众对自我和对隐私的观念，塑造了人与人交往的方式。数据和人格的交叠使得“数据”不再是无知无觉的资源，而是“数字人格”和“生命政治”的一部分。另一方面，将政府作为治理的唯一主体，无疑窄化了治理的内涵。事实上，近年来“治理”的兴起恰恰意味着权威主体从“单一国家”向“多元社会经济组织”转变，权威性质从“强制性”向“协商性”转变，权威来源从“法律”向“契约与软法”转变，权力向度从“自上而下”向“自下而上”转变，作用范围从“行政领域”向“公共领域”转变。就此而言，“数据治理”毋宁是由政府、互联网企业、技术社群、民间机构、公民等各个利益相关方共同参与的治理过程，它不再是企业价值或政府管理的工具，而是在数据利益攸关者之间铸就相互依赖关系、发掘数据自身价值的基础性架构。为此，我们可借鉴“数据治理研究所”(Data Governance Institute)的《DGI数据治理框架》，将迈向公共治理的“数据治理”理解为“对数据相关事项进行决策和行使权力”，容纳更多元的行动主体、决策目的以及多样化的制度约束，以跨越私营部门和公共机构的二元对峙，最终实现公共领域的“数据善治”（good governance of data）。

  数据治理中私人治理、政府管理与公共治理的范式区分，为我们检视健康码的优势及其不足，提供了宏观视野和微观工具。

  ▍作为政府数据管理的健康码：“有效性”反思

  政府运用数据治理并非全新事物。从汉代的“编户齐民”， 到明代深藏在南京的后湖黄册库，均显示出中国“数据治理”的能力。不过，这里的“数据”主要是指基于财务数据、经济数据、统计数据等数值和量值的“定量小数据”，只有在互联网、大数据、云计算等数字技术蓬勃兴起，文字、声音、图像、视频，乃至客观世界的一切都正在或即将被数据化的时代，数据治理才真正来临。质言之，有效政府数据管理，端赖如下三者：电子化数据是其能量之基，数字设备是其物质之基，而政府和企业的合作是其组织之基。

  1.以数据为驱动力

  在疫情防治中，数据具有决定性意义。对于公众而言，疫情数据的及时公开有助于增强民众安全意识，识别潜在风险，采取适当的防范行动。对于政府而言，大数据在疫情预警、人员追踪、物资调配、复工服务等方面作用非凡。在我国台湾地区，政府部门将国民健康保险数据库与移民和海关数据库聚合，利用出行历史和临床症状生成实时警报，同时还根据过去14天的航班始发地和行动轨迹对旅行者的传染风险进行分类，形成在线健康报告和二维码信息。研究表明，通过大数据在边境控制、可疑病例隔离，资源分配、学校政策、企业纾困中的运用，台湾地区有效遏制了新型冠状病毒蔓延。类似地，以色列总理本杰明·内塔尼亚胡（Benjamin Netanyahu）在3月中旬表示，司法部已批准使用情报跟踪工具对病毒患者及其所接触人员进行数字监控。韩国政府也在利用摄像头、智能手机位置数据和信用卡购买记录，来追踪冠状病毒患者的最新动向并建立病毒传播链。

  健康码也是数据驱动的产物。从个人数据的收集到数据触达，从政府数据决策到各个场所的监督执行，健康码恰恰建立在数据聚合、处理、解释、建模、分析和预测之上。作为数字抗疫的一环，健康码以KYC（知晓你的用户）为目的，通过关联内外部数据库进行交叉核验，精确识别人们的身份特征，回归到疫情防控的本质，从而“不以地域论风险”，在很大程度上杜绝了基于疫区、民族、种族的歧视。湖北黄梅县交警与江西九江警察近日（编者注：2020年3月27日）发生的执法冲突，凸显出其他省份对“湖北人”的污名化以及由此而来的非理性恐慌。最终，两地政府联合发出公告：双方互认湖北健康码和赣通码，两地群众持绿码通行，不需要其它任何通行证明。而这，正是“健康码”的意义所在。

  所谓成也萧何败萧何。健康码的成败与数据质量息息相关。正如数据业界的俗语——“垃圾进，垃圾出”（Garbage in, Garbage out）所言，只有基于完整、一致、准确、有效和及时的数据输入，才能有有效的数据化治理。健康码的关键性数据均由个人自行输入，准确性有待核验。怎样在制度上和技术上防范少数人上传虚假信息，是健康码的当务之急。为此，政府有必要强化个人数据提供的真实性义务与责任。根据《中央全面依法治国委员会关于依法防控新型冠状病毒感染肺炎疫情 切实保障人民生命健康安全的意见》，患有或者疑似患有新型冠状病毒感染的肺炎，故意隐瞒病情，拒绝接受检疫、强制隔离或者治疗，将依法承担责任。但这只是事后措施。实际上，数据质量的完善还可以通过提升数据多样性来实现。大数据所具有的巨大规模（volume）和种类繁多（variety）的特征，可以交叉比对、聚类回归，纠正数据错误，消除噪音数据。显然，如欲健康码发挥作用，就必须扩大数据来源，汇聚公共交通数据、医院诊疗数据、行为轨迹数据、家庭人口数据、工作单位数据等与个人健康状况相关的数据，实现对个人疾病情况的精准画像。

  对分散化来源数据的汇聚，暴露出当前数据无法连通的痼疾：数据标准不统一、分散，数据核对、清理、映射的工作量巨大，导致难以共享集成数据和数据分析。不同地域、不同职能部门之间的数据孤岛问题，不但令健康码可能出错，而且使其难以跨地域、跨场景的使用。以江苏省为例，就有南京“宁归来”、苏州“苏城码”、无锡“锡康码”等十几个不同的健康码。这迫切要求遵循“整体治理”（Holistic Governance）的逻辑，以核心需求为治理导向，以数字技术为治理手段，以协调、整合、责任为治理机制，对治理层级、功能、公私部门关系及信息系统等碎片化问题进行有机协调与整合，既要推动数据在政府内部的跨部门、跨地域共享，亦应推动政府数据开放，利用社会力量发掘数据多维度价值。就此而言，数据不但是支持和改善行政职能的工具，还应当成为变革传统科层制度的力量，从而打破“自上而下”和“职责不清”的桎梏。

  2.以数字设备为载体

  数字技术视野下的“健康码”表现为一个数字化的健康评估证明。在申请健康码时，民众通常需要在手机App或微信小程序上注册并提供自身的实名信息，验证用户身份（部分应用可能会用到人脸识别技术）之后，填写自己的体温和接触史等健康信息，并结合权威数据平台查询用户的行踪记录（是否出入疫区或疫情国）、健康状况等，最终生成属于个人的二维码。在动态码的技术下，健康码本身不包含任何个人信息，而只存在相关网页链接的加密编码。只有通过特定扫码设备，在验证访问者身份和授权情况之后，个人健康信息才被访问。在网页被访问时，用户被扫码的时间、地点、次数亦同时记录，以满足后续追溯的需要。显然，较诸之前线下的、分散式证明方式，健康码不仅更为准确、便捷，还提升了政府的回应性。

  在数字社会中，数字素养、技能和设备决定着社会新的权力关系、财富结构和阶层等级，健康码同样如此。作为依托于智能手机的应用，健康码对于没有智能手机的人群，不但不便利，反而增加了麻烦。国务院“我向总理说句话”栏目中登出这样一段留言：“我爷爷奶奶70多岁了，普通老年手机都不会使用，更别说智能手机了。现在让他们整个健康码，对他们来说太难了。这样导致他们不能去超市买菜、去银行取钱、去医院开药。”中国移动数据分析公司QuestMobile在2018年的报告称，中国每8位年龄超过50岁的银发人群中，仅有1位是移动互联网的使用者，远低于全部网民的水平。不便的不仅仅是老人，美国知名智库皮尤研究中心（Pew Research Center）报告显示，2018年中国智能机普及率不足70%，这与中国互联网络信息中心2019年6月统计的8.54亿网民规模大致相当。各地已经意识到“数字难民”的弱势地位，但不论是上海由社工代为申领，还是浙江省衢州市“打印健康码送老人”的做法，均失去了健康码的本意。如何弥合“数据鸿沟”，回应那些被排斥在外的5亿“剩余之人”的求助，成为健康码必须解决的难题。对此，不妨将这次疫情视为助力“剩余之人”融入数字社会的契机，通过政府补贴、企业捐助、个人承担资讯费用的方式，为其免费提供智能手机以及2小时左右的快速教学，帮助他们迈出“数字第一步”。同时，政府还应积极引导企业开发面向老人、用户友好的健康码APP和其他应用场景，以保障数字生活的可持续性。

  3.以政企协力为组织形式

  如同电子政府，在数据治理中，政府主导、企业参与的合作模式已成为普遍实践。一方面，政府作为公共事务的“第一责任人”，是数据治理的发起者和维系力量；另一方面，由于数字治理依赖于高质量、高标准的软件系统、数据分析和安保措施，科技企业在项目规划、方案设计、基础设施建设、业务应用开发、运维服务、公共数据利用等方面的作用日益显著。例如，在广东数字政府“管运分离”的改革中，数字广东网络建设有限公司作为建设主体，负责需求对接、系统迁移、数据融合、建设维护、系统运营以及标准制定。

  作为孵化于互联网企业政务服务的系统应用，健康码亦是政府和企业协作治理的典范：政府发起、企业响应，来自政府部门与数字企业的工作人员并肩奋战。那些批评健康码模糊了政府和企业边界的声音，恰恰没有看到政企合作的潜力。如联合国全球脉动计划(United Nations Global Pulse)的“数据和治理”负责人米拉·罗曼诺夫(Mila Romanoff)所言：“我们需要有一个框架，允许公司和当局进行合作，以对公共利益作出适当回应”。在疫情面前，各国也在积极谋求公私合作的新途径。在美国，政府正与Facebook、苹果和谷歌等科技巨头积极商讨从智能手机获取位置数据，以便让公共卫生专家追踪冠状病毒感染数据。在欧洲，欧盟委员会已与欧洲电信公司和GSMA（全球移动通信系统协会）达成一致，要求运营商共享匿名元数据，来追踪、建模和预测病毒传播。显然，在世界数字化转型的背景下，拥有最先进技术和最广泛用户的大型科技企业，已成为综合性、立体化、多层次数据治理中不可或缺的力量。

  ▍作为数据公共治理的健康码:“正当性” 反思

  如果说“政府数据管理”是理解和提升健康码“有效性”的钥匙，那么“数据公共治理”就是回应和审视健康码“正当性”的不二法门。作为对数据进行决策的权利、权力和责任系统，数据公共治理可以分解为三个环环相扣的议题：（1）治理的目标为何？（2）各方主体在治理中的角色为何？（3）治理应遵循何种规则？数据公共治理视域下“健康码”正当性的探究，亦应循此展开。

  1.健康码的目标：数据效率与数据正义

  数字技术并不中立，它始终被其栖身的社会、经济、政治环境所塑造，体现着设计者、使用者的权力行使和价值目标。健康码也不例外。作为一种“经由设计的规制”（regulation by design），健康码经过精心设计嵌入到疫情防控的流程之中。根据2020年2月25日国务院《关于依法科学精准做好新冠肺炎疫情防控工作的通知》，健康码成为行政机关综合判断个人健康风险等级，获得出行、复工资格的法定证明。健康码所具有的电子化、数据化、智能化特征，并未遮蔽原有的行政化自动评级的属性。“国家通过技术之眼观察社会图像时，它看到的可能是自己的倒影”。命令服从的权力运作、各行其是的地方割裂、控制优先的封闭体制、稳定压倒一切的极端思维都可能在科技外壳下，进到健康码之中。为此，健康码必须将多元价值注入其中，以避免不自觉地被单一目标所宰制。质言之，与数据私人治理和政府数据管理以“数据效率”（Data Efficiency）为原则不同，数据公共治理要求将“数据正义”（Data Justice）置于更高的位置。

  正义有一张普洛透斯的脸，数据正义同样人言人殊。在西方，数据正义多围绕着个人数据保护权利（right to the protection of personal data）、信息隐私权（information privacy）、言论和交流自由（right to free speech and communication）等基本权利展开。这部分解释了为何西方对于健康码等数字技术广泛使用的抵制。但正如斯诺登事件所揭示的，数字正义不仅关乎个体的权利，还和群体画像（profiling）及其社会排序（social sorting）有关，进而与实质性社会经济的诉求相联系。正因如此，在探索全球正义的过程中，人们日益发现权利语言并非正确的工具。以隐私权为例，中国既未选择美国将政府和公民互不信任的隐私价值，也不选择欧洲将之作为超越国家主权的基本人权，而是遵循着可信任政府和负责任公民的路径。职是之故，我们有必要立足《宪法》38条“中华人民共和国公民的人格尊严不受侵犯”条款，使用一个更具包容的数据正义框架，通过借鉴阿马蒂亚·森的正义理论，立基于“人的可行能力”而非“经济效用”，将“数字技术自主选择”、“数据使用透明度”和“数据非歧视”作为数据正义的核心要素。

  一旦将数据正义价值注入到健康码中，我们就能发现，“健康码是新的自动化监控形式，是反乌托邦典型”的批评固然看到了健康码在数据效率和数据正义之间的失衡，但却忽略了健康码对民众的赋能。作为一种通用科技，数字技术有着鲜明的多面性：监管者和被监管者均能从中获益。2018年，英国学者Simplice A. Asongu等人对47个非洲国家的实证研究表明，非洲的手机数量与政府治理指标之间有着明显的正相关，民众对手机的使用有效提升了政府的透明度，并降低了腐败。另一个有趣的例子来自中国，学者于建嵘在描述上世纪90年代中国农民维权状况曾指出，复印机的出现提升了农民的博弈能力，因为他们可以将中央政府的红头文件复印多张，以作为应对基层政府官员侵扰的挡箭牌，在此意义上，数字技术已改变了中国的政治生态。回到健康码，不论是与地区与地区隔离、人与人隔离的中国网格化静态管理相比，还是与世界各国禁止居民外出的“禁足令”对照，健康码更适应“流动性社会”，并拓展了人的自由。这一点已为牛津大学Luca Ferretti等人所证实，相关定量研究表明：接触追踪的手机APP比大规模隔离（lock-downs）在防控疫情方面更有效。

  但问题在于，在数据正义的视野中，是否使用以及使用何种数字技术，应当尽可能尊重个体的选择。实际上，在抗击疫情过程中，目前已存在多种数字技术。例如，新加坡政府的Trace Together蓝牙追踪应用，瑞士，爱沙尼亚、奥地利的泛欧蓝牙跟踪项目DP3T（Decentralised Privacy-Preserving Proximity Tracing），等等。与健康码建立中心化的用户数据库思路不同，基于蓝牙的病毒传播追踪多采取“去中心化”路径，利用智能手机的本地追踪密钥（Tracing Key）、临时追踪密钥（Temporary Tracing Key）、滚动接近标识符（Rolling Proximity Identifier）等近距数据（proximity data）匹配计算，从而最大程度地减少了个体信息的收集、存储和使用。甘瓜苦蒂，物无全美。任何方案都非完美无缺，国家应当采取开放态度，鼓励不同数字技术的发展，并交由个体比较权衡后，作出妥当选择。

  “数据使用透明度”和“数据非歧视”对健康码提出了进一步要求。在疫情面前，个体权利当然可能受到一定限制，但“若要设定对基本权利的限制，就必须同时设定对这些限制的限制”， 正当程序、比例原则、禁止不当联接等原则仍应坚持，个人对其信息的知情权、更正权、删除权和获得救济的权利亦不得因疫情而遭到克减。在政府电子留言版上，就“个人对湖北健康码生成的颜色状态不认可？”的问题，官方的回复非常简单：“人工无法干预或修改结果，这也是为了您的健康安全着想，请您理解。”由于健康码影响公民自由甚巨，上述回答显然无法满足依法行政要求和公众期待。为此，政府部门尽可能向公众披露健康码使用的数据和运算的逻辑，更重要的是，应赋予公众异议并获得合理说明的权利。事实上，政府部门也已改弦易撤，回复说：“如果个人认为和实际不符，可通过12345热线或纠错功能发起申请，经县级防控指挥部核实确认，确需修改的将在后台完成修改工作。”但这依然不够。根据2020版国家标准《个人信息安全规范》，健康码作为一种自动化决策机制，应在规划设计阶段前就开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施。同时，还应借鉴欧盟《一般数据保护条例》中对算法解释的规定，强化政府的解释、说明职责，避免算法的关联歧视和特征选择歧视，并通过算法审计等技术手段予以落实。

  2.健康码的治理主体：政府、民众与企业

  “只有利害相关人共同承担责任并共同参与，在个人自由与社会需求之间，才能有平衡的关系。”健康码的治理，亦需政府、民众、企业参与其中。政府机关在依法行使职权的同时，应遵循其他利益攸关者的行为逻辑，充分发挥分工合作和制衡作用。

  就民众而言，“绿码”的持有者获得了在疫情期间的行动自由，从而免遭来自不同层级、不同区域的不合理限制，这在事实上构成民众对政府的限权。作为一个反例，截至2020年4月，北京还是少数不采用“健康码”的城市，其“健康宝”同样旨在查询个人疫情期间的健康状况，但它既不能扫码，也没有精确的分类，更不能直接用于通行。正如“健康宝”所提醒的：它不过是政府和企业决策的参考因素之一。从个人经验观察，民众能否通行完全取决于不同场所测体温、出示实名出入证、扫行程卡等五花八门的要求，而其背后是首都的特殊地位使然。不过，民众在健康码中的角色仍然是消极性的，有待从“公民科学”（citizen science）的角度，激发民众的创造力和“积极团结”精神，运用网络分享、汇聚和改进抗疫技术，共同应对新冠病毒。在此方面，德国值得效仿。2020年3月，德国政府发布了“我们抗击病毒”（#WirVsVirus）的征集公告，在短短48小时内，28000多名参与者提交了超过1500个提案，其中有20个获得财政支持。

  就企业而言，数据协作治理绝不意味着政府的企业化抑或企业的政府化，毋宁是各方在发挥自身优势的基础上，实现跨边界的合作。健康码依托数据资源汇聚、数字技术支撑和产品思维驱动，发挥了政企协同的效应。但另一方面，我们也应厘清各自各方职责，妥善划定边界。在健康码所涉及的政府、企业与民众三方关系中，政府部门是健康码的需求方、发起方、推动方，是面向民众做出最终决定的一方，其决定了健康码数据采集的类型、内容、使用方式、使用用途，属于《个人信息保护法（草案）》下民众个人信息的“处理者”，企业是接受政府委托为健康码提供技术支持、平台接入、数据存储等服务的“数据受托处理者”。作为数据处理者，政府承担着数据和个人信息保护的首要责任，就收集、存储、共享、使用、删除等整个数据生命周期向民众承担直接责任，务必采取加密存储、加密传输、访问控制等相关安全措施。企业则应依其与政府达成的协议承担合同义务和数据保密性、完整性、可用性的安全义务。为此，政府应根据《数据安全法（草案）》第37条规定，履行严格的批准程序，审慎选择受托处理者、达成委托协议并监督企业履行，明确不得转委托、泄露报告义务等义务等。不仅于此，在企业超越政府的授权留存数据，或者违反委托目的擅自开展处理行为，则视为自行决定处理的目的和方式，不但承担违约责任，还应承担侵害个人信息的侵权责任。

  政府和企业之间的数据共享是数据协作治理的关键，而这也是各方争议的焦点。3月4日，韩国为抗击新冠疫情再次修订《传染病控制和预防法》，要求私人电信公司、国家警察局与韩国公共卫生机构共享患者的位置数据。相反，Facebook的 CEO马克·扎克伯格强调其不准备、也不会将用户的位置数据大规模移交给美国政府。在中国，企业为防疫目的向政府报送数据可以《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》为依据，国家网信办《数据安全管理办法（征求意见稿）》第36条“国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供”，亦可作为参考。不过，从有效规范政企关系的角度看，上述规定均失之粗疏，有待在规则层面予以细化。

  3.健康码的治理规则：应急状态下的数据规则

  现代化治理是“依规则的治理”，数据治理概莫能外。鉴于健康码使用的数据涉及姓名、性别、出生日期、民族、身份证号码、电话号码、户籍地市、家庭住址、出行方式、行踪轨迹、车牌号码、精准定位信息、健康状况、个人职业、通信记录、诊疗信息等大量个人信息，个人数据保护规则自然是重中之重。正如欧盟数据保护委员会在《新冠病毒爆发期间处理个人数据的正式声明》中所表明的：“个人数据保护规则并不妨碍针对病毒大流行采取的措施。与传染病作斗争是所有国家共同的宝贵目标，因此，应以最佳方式予以支持。”个人数据保护与挽救生命之间并不是非此即彼的选择，而是即此又彼的权衡。可与此同时，我们也应清醒地认识到：健康码规则是调控紧急事件的“非常规则”，它具有应急法律固有的授权性、预防性、必要性、临时性特征，一旦疫情防控从急性、超常规转向常态化，相关治理规则甚至健康码的存废即需要重新评估。

  在数据收集环节，无论是欧盟《一般数据保护条例》（GDPR）第六条（d）“为保护数据主体或其他自然人重大利益”或第六条（e）“公共利益目的执行任务或数据控制者履行所赋予的公共职能所必要”，还是我国《传染病防治法》和《突发公共卫生事件应急条例》，均赋予国家机关在履行法定职责时收集个人信息的权力，而无需取得个体同意。《民法典》1036条也将“维护公共利益”作为处理个人信息不予承担民事责任的事由之一。《个人信息保护法（草案）》第13条第4项进一步明确“为应对突发公共卫生事件”构成个人信息处理的合法性依据。但是，这种授权并非没有边界，而应受到三重制约：一是收集机关的制约。当前，基层自治组织、公共场所经营管理者、社区组织以及公安、交通、海关、市场监管、工信、网信等行政部门纷纷通过线下或线上方式获取个人信息。对此，一方面应根据中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，将突破同意原则收集信息的主体限于国务院卫生健康部门及其授权机构，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。另一方面，应以健康码申报、展示和授权查询的功能为前提，推动《公共场所新型冠状病毒感染的肺炎卫生保护指南》项下办公楼等场所管理者以及《突发公共卫生事件应急条例》项下基层、社区组织登记工作的电子化，除异常体温信息外，禁止其他信息的线下收集。二是收集透明度的制约。在收集时，个人的知情权应得到充分保障，政府机关应当按照《个人信息保护法（草案）》第18条的规定，以简洁、易于理解的语言，以显著方式明示处理者的身份、联系方式，个人信息的处理目的、方式、种类和保存期限，并告知个人行使个人信息权益的方式和程序。例如，上海市“随申码”、广东省“粤省事”和贵州省“贵州健康码”均以用户协议、隐私政策的形式，对用户予以告知。三是收集范围的制约。《网络安全法》第41条下“合法、正当、必要”的要求和《个人信息保护法（草案）》第6条下“最小范围处理原则”仍应遵循，收集活动以达到预防或遏制疫情扩散之目的，信息类型应限于基础性的身份信息（姓名、身份证号、联系电话）、健康信息和行踪轨迹信息以及家庭人口信息、工作单位信息等与密切接触者必要关联信息，至于民族、政治面貌、收入、学历、身高、血型、婚姻状况、微信号等其他信息显然超出了“防疫必要”的范围，理应禁止收集。

  在数据使用和共享环节，个人信息权益应受到更多的尊重。基于目的限制原则，个人信息不得用于与疫情防控无关的目的。同时，受制于《个人信息保护法（草案）》第34条“国家机关在履行法定职责处理个人信息，不得超出履行法定职责所必要的范围和限度”之规定，即使在上述目的下，个人信息处理也应秉持“比例原则”，充分考虑公民的人格尊严和人格自由，尽量采取“去标识化（de-identification）或“匿名化”等损害最小的处理方式，保证手段与目的之间合理、适度、相称，不能因小失大、得不偿失。另外，数据的“整体治理”并不意味着大块头（one big lump）的政府，它并不摧毁职能边界。就政府内部共享而言，健康码涉及到个体行踪轨迹、健康情况等敏感信息，共享范围应当限于卫生行政部门、疾控机构和医疗机构之内，除非法律法规明确规定外，不得跨部门共享。出于联防联控的需要，可以向承担职责的行政机关提供“确诊者、疑似者、密切接触者”的姓名、住址等一般个人信息的查询功能，但不得留存和后续处理。

  就企业向政府报送数据而言，需要进一步确立如下规则：其一，有权要求报送的政府机关应限于国务院卫生健康部门及其授权机构；其二，报送的数据以匿名化数据优先，在匿名化数据不敷适用时，可报送假名化数据，未脱敏的个人数据仅在其他方式穷尽后方可提供；其三，报送数据的主体限于确诊者、疑似者、密切接触者，报送数据的类型限于防疫所必需的范围内，并向社会事前公开；其四，非匿名化数据的报送呈现出一体两面的性质：对企业而言，其属于向第三方提供个人信息，应根据《个人信息保护法（草案）》第24条的规定，向个体告知行政机构的名称、联系方式、个人信息种类以及处理目的和方式；对行政机构而言，其属于间接收集个人信息，应当履行与企业同等的处理者义务。对于匿名化数据，数据报送构成对企业经营自由的限制，报送义务的苛加应坚持法律保留、正当程序和比例原则，政府还应对数据承担保密和安全保护责任，不得用于与防疫无关的用途，并在疫情结束后应停止处理和销毁数据。

  在对外披露环节，应当禁止将“可识别特定个人的信息”向社会公众披露。为满足社会一般公众对疫情状况的知情权，仅公开流动人员统计数据以及确诊者、疑似者人数、大致年龄段、确诊日期、发病症状即可。为了提请民众关注接触情况和采取相应防控措施，可以将确诊者、疑似者的活动范围、行动轨迹等无法识别个体的信息片段公开，不宜将其姓名、性别、准确年龄、工作单位简单标识化后公开，以免被公众者结合自身掌握的其他标识，轻易识别出具体个人。

  在数据删除环节，既然健康码旨在防疫，那么在“存储时间最小化”下，相关个人信息的储存时间不得超过实现其防疫目的所必需。针对个体健康诊疗信息和行踪轨迹信息等敏感信息，可借鉴欧盟《关于支持抗击新冠疫情 APP 的数据保护指引》，存储期限不得超过一个月（潜伏期加少部分时间余量）。针对其他一般个人信息，可借鉴《欧洲议会和欧盟理事会关于严重的跨境健康威胁的决定》，存储时间限定在疫情结束之后的12月。至于具体结束时间，可以根据《国家自然灾害救助应急预案》三级响应终止之日，即由“重大突发事件”降为“较大突发事件”之日计算。当然，后续为公共利益、科学或历史研究、统计目的仍有可能处理相关数据，在该等情况下，相关机构可以采取个人信息匿名化的措施，或重新取得个体的同意。

  结语

  健康码虽小，却集中体现了东西方对于科技、隐私和自由的价值冲突。可正如弗朗西斯·福山所指出的，顺利渡过新型冠状病毒危机的核心并不在于文化或政体类型，而在于国家的能力。健康码所代表的中国数据治理能力，恰恰是中国取得阶段性胜利的关键。那种将健康码视为“反乌托邦”梦魇的人，不免陷入了“先入为主”的观念幻觉。另一方面，我们也毋庸讳言，在数据治理的审视下，健康码有效性和正当性依然面临种种挑战，尚待在治理目标、治理主体和治理规则层面力臻完善。最后但并不最不重要的是，作为《突发事件应对法》下应急时期的应急措施，健康码以消除非常状态、恢复正常状态的目的，在应急状态结束后，健康码也应结束自由通行证明的使命。从纳粹德国到拉丁美洲，历史一次次表明：紧急状态的权力如同吗啡，用之一时为良药，用之长远为毒品，将紧急权力常态化，终将戕害民众对政府的信任，而信任正是国家能力之基。

  （编辑：李思）