“两码”退出后相关个人信息的处置

作者简介

张新宝，中国人民大学法学院二级教授、博导，教育部长江学者特聘教授，第三届全国“十大杰出中青年法学家”，中国法学会法学期刊研究会会长，中国法学会网络信息法学研究会副会长。

“两码”退出带来的个人信息处置问题

2022年12月7日国务院联防联控机制发布的《关于进一步优化落实新冠肺炎疫情防控措施的通知》（联防联控机制综发〔2022〕113号，以下简称《通知》）提出，“除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所外，不要求提供核酸检测阴性证明，不查验健康码。重要机关、大型企业及一些特定场所可由属地自行确定防控措施。不再对跨地区流动人员查验核酸检测阴性证明和健康码，不再开展落地检。”

随着《通知》的公布实施，过去在疫情防控工作中发挥重要作用的通信行程卡和健康码正逐渐退出人们的日常生活。2022年12月12日中国信通院及三家电信营运企业分别发布公告，自12月13日0时起通信行程卡服务将正式下线，通信行程卡短信、网页、微信小程序、支付宝小程序、APP等查询渠道也将同步下线。根据有关通知，健康码的应用场景也被限定于特定场所。

自投入使用以来，通信行程卡和健康码在运作过程中收集了大量的个人信息，其中包括生物识别、医疗健康、行踪轨迹等敏感个人信息。此外，有的地方和单位还通过“场所码”等特殊形式的健康码收集个人的行踪轨迹信息和其他敏感个人信息。这些个人信息广泛存储于手机运营商及相关行政部门等主体的服务器或平台上。《通知》公布实施后，如何妥善处置“两码”收集和存储的大量个人信息，是近期需要重点解决的问题。

“两码”的积极作用和潜在风险

2020年2月13日，在工业和信息化部领导下，中国信通院、中国电信、中国移动、中国联通共同推出通信行程卡，并在国务院客户端微信小程序上线，免费向手机用户提供本人行程查询服务。工信部数据显示，截至2022年6月14日，通信行程卡累计提供公益查询服务近600亿次，有力支撑常态化疫情防控和人民群众顺畅出行。2020年2月11日，由余杭健康码升级形成的杭州健康码正式上线，并于短时间内迅速推广全国。2020年2月24日国务院联防联控机制发布的《关于依法科学精准做好新冠肺炎疫情防控工作的通知》（联防联控机制发〔2020〕28号）提出，鼓励有条件的地区推广个人健康码等信息平台，不具备信息化条件的地区可采用个人健康申报等方式，居民通过网络平台申领电子健康码或通过社区申领纸质版健康码，获得出行、复工等资格。截至2021年3月，国家卫健委通过基础数据的互认共享，会同其他部门制定了健康码管理与服务制度，清理规范各类疫情防控码，原则上一个省份只保留一个统筹建设的健康码，全国已基本实现了健康码的“一码通行”。

在过去的疫情防控工作中，通信行程卡和健康码依托市场主流应用程序，实现线上采集信息授码、线下核验信息扫码两个主要功能，对用户健康状况、体温、重点地区出行记录等个人信息进行收集、存储、使用、加工等，构建起用户信息和疫情防控大数据库，并通过系统后台制定分析规则、数据比对等方式识别出高危人群，为科学防疫、精准防疫提供支撑，在有效管控人员流动、保障人民群众生命健康、有序推动复工复产等方面发挥了重要的积极作用。“两码”是我国利用数字化技术进行疫情防控和社会治理的一次重要实践与创新，也是我国数字治理能力的体现。

通信行程卡和健康码作为应用场景广、社会渗透力强的数字化工具，在深度处理公众个人信息的同时，也隐藏着巨大的个人信息安全风险。“两码”收集的个人信息中含有大量的敏感个人信息。通信行程卡除收集手机号等一般个人信息外，还收集个人的行踪轨迹信息，此等信息属于《个人信息保护法》所规定的敏感个人信息。根据《个人健康信息码 数据格式》（GB/T 38962-2020），健康码收集的个人信息包括个人基本信息、个人健康信息、行程信息和健康证明信息。个人基本信息中的证件号码、基础病史信息及个人健康信息、行程信息和健康证明信息、疫苗注射情况等均属于敏感个人信息。个人信息处理者通过“两码”处理大量敏感个人信息，本身即容易对个人的人格尊严和人身、财产安全等造成威胁。

实践中，“两码”对个人信息的处理还可能为个人和社会带来以下风险：“两码”未经个人同意收集的个人信息极有可能被相关地方管理机构或企业用于除疫情防控外的其他目的，损害公众或者特定个人的利益；此等个人信息可能被不法犯罪分子乃至境外敌对势力窃取，导致个人的人身、财产安全受到危害；长期通过“两码”监测公众的健康状况和行踪轨迹，容易致使其异化为永久的“电子镣铐”，不仅构成对公民权利的侵害，还可能成为境外敌对势力攻击我国的口实。在《通知》公布实施的背景下，除特殊情形外，个人信息处理者不应继续通过“两码”处理用户的个人信息。对于“两码”收集和储存的个人信息，个人信息处理者如果不能进行合理处置，其个人信息处理活动不仅缺乏相应的合法性基础，同时还可能对公众和社会的利益带来巨大风险。有鉴于此，当“两码”退出后，有必要采取相应措施，妥善处置其收集和留存的个人信息。

“两码”退出后的个人信息处置措施

建议对“两码”收集和存储的相关个人信息采取以下处置措施：

其一，随着防控政策的调整，通信行程卡已经退出服务，健康码也应尽快退出服务。从国务院联防联控机制发布的相关通知来看，现在绝大部分公共场所不再查验健康码，健康码的应用场景已大幅减少。作为《突发事件应对法》下应急时期的应急措施，健康码以消除非常状态、恢复正常状态为目的。在应急状态结束后，健康码的退出是必然选择，届时地方行政机关应当明确各地健康码退出的时间、方式和相关个人信息的处置措施。

其二，个人信息处理者通过“两码”收集和存储的个人信息，原则上应当全部删除、销毁。《个人信息保护法》第47条规定，处理目的已实现、无法实现或者为实现处理目的不再必要的，个人信息处理者应当主动删除个人信息；法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。随着疫情防控措施的不断优化调整，个人信息处理者通过“两码”处理用户的个人信息，已不再是实现科学防疫的必要手段。因此，个人信息处理者应当依照《个人信息保护法》第47条规定，主动删除、销毁其存储的全部个人信息。从地方立法实践来看，内蒙古自治区、浙江省、重庆市、广西壮族自治区等地的省级地方规范性文件已对个人信息处理者销毁相关个人信息的义务作出了明确规定。例如，《广西健康码管理与服务暂行办法》第38条规定：“广西健康码相关信息将严格按照国家安全管理使用规定及公民个人信息保护规定存储在政府部门或其指定的地点，按照相关法律法规规范使用，疫情结束后按规定销毁或妥善处置。各地已整合下线的健康码，要做好数据销毁并向社会公告，接受群众监督。”

其三，删除、销毁相关个人信息时应当遵循“谁存储谁删除谁销毁”的原则。作为通信行程卡收集的个人信息的主要存储者，中国电信、中国移动、中国联通均已发布公告表示，通信行程卡服务下线后将同步删除用户行程相关数据，依法保障个人信息安全。作为通信行程卡小程序的运营者，中国信通院本身不存储通信行程卡收集的个人信息，但是在其向用户提供查询服务的过程中，可能产生一些衍生数据。对于此等数据，中国信通院发布公告表示已在提供服务的过程中滚动删除、销毁。此外，根据《工业和信息化部关于政协十三届全国委员会第三次会议第1784号（政治法律类189号）提案答复的函》（工信提案〔2020〕171号），通信行程卡收集的个人信息数据经脱敏后还会通过国务院联防联控机制向相关部门审慎、定向提供。脱敏是指对个人信息进行技术处理，去除其中的可识别信息，使其无法直接识别特定自然人，包括去标识化和匿名化等风险控制措施。依照《个人信息保护法》第4条第1款的规定，相关部门接收的个人信息属于经过匿名化处理的个人信息的，其可以对此等个人信息进行自主利用。相关部门接收的个人信息属于经过去标识化处理的个人信息，且尚未达到匿名化处理的程度的，相关部门应当予以销毁。

健康码收集的个人信息一般存储在终端App、平台系统、扫码端，比较分散，再加上实际运营的外包和转包，信息的共享和流转，信息分布更加分散。鉴于此，凡存储有此等个人信息的单位、个人，不管通过何种途径获取此等个人信息，都应依法依规履行删除、销毁的义务。

其四，相关个人信息的销毁工作应当在中央网信办的统筹协调下进行，各级网信办负责对删除、销毁工作进行检查、监督。拒不履行删除、销毁义务的，应当被追究法律责任。由于“两码”收集的个人信息数量多、范围广，且包含大量的敏感个人信息，相关个人信息的全面、彻底销毁对于保障广大用户的个人信息权益而言具有重要意义。作为履行个人信息保护职责的部门，中央及地方各级网信办应当对相关运营商、服务商、行政机关等主体销毁个人信息的实际情况进行监督检查，确保相关个人信息“应删尽删”“应销尽销”。

其五，未来国家机关重启“两码”，需要以专门的法律或者行政法规为依据，不得任意重启，地方行政机关不得通过类似于“两码”的手段处理公民的个人信息和限制公民的自由。《个人信息保护法》第34条规定：“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度。”依据该条规定，国家机关为公共利益重启“两码”的前提是存在相应法律、行政法规的规定。

实践中健康码收集的个人信息在使用范围上存在外溢情况，一些地方将健康码与医疗社保、公共交通、政务服务等关联，形成对个人信息安全的威胁。例如，2020年6月28日某城市市通过的《关于做强做优城市大脑打造全国新型智慧城市建设“重要窗口”的决定》提出，要充分发挥杭州健康码在公共卫生体系中的重要作用，结合社会治理相关数据库，延伸移动端功能，拓展“一人一码”公共服务，推动健康码与就医、养老、健身等功能相集成，加快健康码使用从疫情防控向日常服务应用转变，使健康码在提升公共卫生现代化水平中发挥更重要作用。笔者认为，地方政府任意扩大健康码的使用范围或者重启健康码，没有合法依据，应当坚决制止。

（原文刊登于《上海法治报》12月28日5版“法治论苑”。责任编辑 徐慧，见习编辑 朱非）

作者 | 张新宝

编辑 | 张旭凡

声明：本文来自上海法治报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。