健康码、数字身份与认证基础设施的兴起
关键词:健康码 认证 数字身份 基础设施
一、引子
作为国家成功抗击新冠肺炎疫情的重要技术工具,从2020年年初启用的健康码不断演进完善。随着疫情防控常态化,健康码的应用更加普及,并在短时间内塑造了新的数字身份,并推动了突发公共卫生事件下的国家认证基础设施建设。由此,观察和总结作为一种技术媒介和权力机制的健康码,不论对于当下还是未来的中国国家治理都具有显著的意义。关于健康码的法律和公共管理维度,现有研究指出,健康码是一种自动化行政评级手段,应将各地有关管理规定作为裁量基准看待,防止将健康码的结果视为绝对标准;由于其涉及动态个人敏感信息的收集、存储和使用,需要特别注意保护;同时在防疫背景下要求国家必须在市场之外同步建立、强化与防疫需要相匹配的公共信息能力和权责体制,加强国家认证和监控能力。
本文关注健康码的基础设施面向,即理解健康码如何从一种普通的媒介工具(二维码)转化为一种在流动性环境中增强对社会主体进行健康认证的工具,并塑造了与之相应的社会行为惯习和身份制度。在疫情缓解后,健康码还能够依托现有电子政务平台,扩展为一种应用更为广泛的数字基础设施。数字基础设施不同于简单的“新基建”,它实际上是信息技术和社会制度的结合体,将充分融入国家治理过程中。本文由此讨论这类数字基础设施的特点和数字身份的法律问题:第二节追溯了二维码如何成为一种新型基础身份标识符,限于行政体制因素,在疫情发生的不同阶段发挥的作用也不尽相同;第三节讨论流动性背景下健康码如何帮助促成更多流动以及围绕“关联性”展开的相关技术―制度创新;第四节进一步说明二维码延伸了数字基础设施建设,其物质性、制度性和公私合作特征值得深入思考;最后总结全文的发现。
二、当二维码成为基础身份标识符
新冠疫情发生之前,二维码在社会公众生活中的存在感并不普及,尽管越来越多的人开始习惯使用二维码进行收付款,但二维码盗刷问题也一度成为媒体关注焦点,成为公众保持谨慎的重要理由。2020年1月底至2月初,在严峻疫情威胁下,少数城市开始设计和试点以二维码技术为基础的健康码,最终推广到各地。健康码的功能在限制流动性的网格化治理与推动流动性的网络化治理环境下是不同的:在前种模式中,健康码起到通行证功能,即表明隶属于某网格单位的成员资质功能;而在后种模式中,除展示外,健康码更多起到记录、识别和追踪感染人群功能,成为社会主体行踪大数据的一个数据产品。这两种功能都是现代国家实现微观认证权力的重要体现,而且能够充分解决人工进行线下信息采集和处理的低效与弊端。健康码恰好在这一过程中成为一种继身份证、电话号码、CTID/eID、人脸之后的新型基础身份标识符,并可以在网格/网络的不同流动性场景中自由切换。经过几个月的推广和应用,在各地均拥有自己的健康码之后,中央政府开始归集汇总相关疫情数据,要求减轻群众扫码负担,合并不同健康码。目前形成了全国一体化政务服务平台和省级两级健康码技术和管理结构,后者需要依托前者进行跨省互认。
健康码成为新型基础身份标识符既有疫情突发原因,也有其自身特点原因。实际上,在此之前标识符的出现都随着需要识别的主体数量增多、流动性增大,为确保安全,无论是为了事前预防还是事后救济取证,都需要更多具有普遍性、唯一性和难以更改的基础标识信息对社会主体进行定位识别。健康码的顺利推行得益于当下庞大的智能手机网民数量,以及诸如扫码添加好友与支付这样的日常惯习。它本身可以根据实时数据计算更换颜色,从而在展示过程中证明亮码主体自身的安全性。此外,每次亮码都意味着重新访问服务器,二维码由此得以实时更新,能够有效防止伪造或冒用。身份证件易于携带,但也容易丢失和仿造;人脸识别因为佩戴口罩而更不精确,同时也因为不受约束而开始受到社会舆论质疑;指纹信息不够安全;人们的工作生活更离不开智能手机,也开始习惯于扫码,这些因素综合起来都促成了二维码成为一种新型身份标识符,并在一些场合与其他标识符相互替代。同时,健康码的每次访问都依托于公民现实身份证数据库,因此在技术路线上看起来更像是“网证”(CTID或eID)的折中,既像CTID一样和真实身份绑定,又像eID一样确保加密安全,却比它们都更能被社会接受。
出示健康码和佩戴口罩一样,需要行为习惯的强制认知和养成。只有通过公共机构和场所(政府、医院、公园、车站、学校)不断要求出示和宣传,才能在社会主体的快速流动中保持一定的安全可信度,并及时在发现传染病源的同时追踪密切接触者。这在本质上相当于法律为了公共利益强制全体社会主体披露行踪信息,并在紧急需要时加以利用。相反,当时欧美一些国家采用的平台企业开发的接触追踪技术(contact-tracing)表面上看尊重个体的知情、选择和隐私,但实际上因为其通过硬件和后台进行匿名性追踪,同时依赖群体自愿参与贡献相关行踪信息,在缺乏外在群体压力和足够责任感的情况下,大众参与比例不高,分享速度远低于病毒传播速度,使其效果大打折扣,没能阻止疫情蔓延。
由此,健康码的主要社会功能是通过认证实现社会主体相对安全的流动性。社会主体不会仅仅局限于一个城市或省内流动,而是会在全国跨省流动,这就需要在全国范围内进行相关信息的共享和追踪。然而,在健康码开始推行的前几个月内都还无法做到互认和共享,人们不得不重复申请,带来诸多不便。造成这种现象的原因不完全是技术上的,而是地方行政体制运作的逻辑使然。接受外地或其他省份的健康绿码在政策执行上没有问题,但如果因为数据计算错误而导致持绿码者仍可能是(无症状)感染者,就会给本地防疫带来不小压力,特别是这更意味着政治责任。这就是为什么在疫情初期,每个城市只要有条件都会开发可控健康码,均基于本地采集的数据进行计算,和外地健康码不兼容除了单纯技术成本上的考虑,更主要是出于对外地数据采集标准和计算方式的不信任。
这种不信任只有在2020年夏秋之际本土新增病例完全清零的时间里才逐渐消除,并在各省内逐渐统一健康码。将感染者涉及小区或楼宇进行差异化分级和精细化防控也在这时完全成为可能,在确保绝大部分地区安全可控的前提下,如有少数核酸阳性者出现,仍然可以动用相当的医疗与疾控资源在事后进行流调处理,这能够最大限度地确保其他地区进行稳定生产生活。然而随着外来冷链等新型传播渠道出现,以及入冬以来无症状感染的不断增多,人员跨省流动时不仅需要健康绿码,还需要辅以中国信通院开发的通信大数据行程卡――过去两周内如果到过中高风险地区都可能被拒绝进入某个场所,这意味着增加了时间维度。更关键的是,强制隔离14天已经无法作为安全的判断标准,病毒变异带来的不确定性不断增大,这使地方的防疫要求标准又遽然增加。特别是从2021年1月以来,北方若干省份新增本土病例增多,为防止春节期间人员流动带来的大范围传播,国家号召就地过年,并增加返乡的难度和成本。地方政治责任再次压倒一切,事后固然可以进行流调,采取隔离措施,但只要有一个核酸阳性者遗漏(且可能性较大),那么在政治上相关主管官员就可能会被认为防疫不力。这终将导致官僚制层层加码,出现大面积“一刀切”的现象,不论健康绿码、绿色行程卡、核酸检测、注射疫苗还是国家确定的中高风险分级在一些地方城市都不被信任;只要被当地划定为重点关注地区的人员跨省流动后都会被强制隔离,而这往往超出中央先前确定的差异化中高风险标准和返乡标准,流动的网络化模式再次退回到封闭的网格模式。
上述冲突从法治思维的角度或许可以解释成“疫情新常态”和“突发紧急状态”之间的冲突。在前者条件下,佩戴口罩、出示健康码、划定中高风险地区、有条不紊地进行流动,都可以看成是某种由信息技术支撑的形式法治和新型规范,社会主体借由健康码获得了重新流动的自由权利。接触追踪软件的技术设计虽然巧妙,但仅适用于日常对流行病的随机报告,对疫情防控起到一定补充作用,无法过高估计其效果,更不能取代以大规模调用数据为前提的人工追踪。而在后者条件下,上述均衡再次被打破,形式变得不再重要,所有人都被假定可能存在安全隐患,跨省流动性被降到一个相当层次。这一过程凸显了人们如何真实地看待和信任技术媒介。健康码被认为是由不透明的算法对复杂的行踪数据进行的计算生成产品,本质上是一种专断性的权力,这就是为什么有相当的声音要求算法更加透明公开、可预期、适用准确、可救济。然而,不难看出,真正重要的不是使这种技术本身变得更加透明,因为抽象信任并不因为数据和算法透明就会直接增加或减少。公众关心的可能是个体层面上的识别精准性以及由此带来的麻烦和救济。但对地方政府而言,如何将对这种技术的抽象信任纳入实际行动,以及技术的透明性是否能够帮助地方增强能力降低责任风险,才是实际的问题。在现有行政体制下,即使健康码完全由中央政府生成分发,也未必能够改变地方政府的行为逻辑和动因。只有当新冠肺炎病毒带来的不确定性风险基本消除,由技术支撑的形式法治才可能重新回归。
三、信息关联、认证与流动
但这并不意味着技术就只能在边际上进行修补,或者动辄就要退回到低流动状态或紧急状态。经过大半年实践,健康码在没有事先精确规划的情况下不断解决新问题,逐渐成为数字化的公共卫生基础设施,在全国范围内探索回应如何应对不安全的流动性。这意味着健康码代表的新型权力机制已经进入人们的普通生活,身份认证和识别变得更加无处不在。传统线下认证(无论是警察查验公民身份,还是旅馆查验登记旅客身份)很难说构成了一种可见的技术性基础设施,直到出现了全国性的身份证数据库和其他各类核心关键数据库,可以实时联网查询,才意味着现代国家治理开始大规模依赖对数字基础设施的建设。而健康码同样需要对社会主体行为踪迹信息的实时处理,并在事后追踪密切接触者过程中,将不同种类的信息关联起来。这不仅涉及对私人信息的强制使用和披露,也涉及通过信息产品的方式对私人信息进行创造性使用。在笔者看来,健康码作为基础设施的实践在如下三个层面对“关联性”进行了深入探索,实际上也是对如何在风险社会中安全流动这样的宏观问题进行制度和技术上的回应。
第一个层面是关联认证信息。健康码页面一般由一个带颜色的二维码及其他身份信息(如姓名或头像)构成,二维码本身可以看成是一种派生性的个人信息,和其他在先的基础身份标识符联系在一起构成了独一无二性,一人一码。现代可信身份认证越来越成为“一揽子”活动,依托于多元互认的标识符而非单一标识符,这不仅是为了应对账户安全风险,也是由于突发事件等不确定因素增多,在不同场景下起作用的标识符难以快速普遍推广。由此,虽然一直存在从全国范围内统一基础数字身份的呼吁和尝试性实践,但限于碎片化的技术使用实践和地方不同部门开发的差异,一直未能有机会实现。目前看来更为稳妥便捷的方式是多元认证,在现有各类标识符基础上逐渐打通,将不同标识符进行互认。实际上,单一身份标识作为身份认证手段在线下也很少存在,至少需要两个及以上的标识符相互结合才能确保准确识别个人,例如身份证上就记载了姓名、人脸、身份证号码和户籍地址等个人敏感信息。这也是为什么单一身份标识(如人脸)很容易被仿冒和伪造,在涉及人身财产安全场合需要多重因子认证手段。健康码的生成实际上也需要关联其他基础身份信息,从而帮助开启一个账户,实时根据大数据显示特定的界面。使用手机界面进行颜色功能展示,还可以有选择性地在界面上隐去其他无关的身份信息如照片和姓名,而在后台保持实名。
健康码的使用还有助于我们更进一步理解所谓的“个人敏感信息”的本质。健康码信息是在抗疫活动过程中生成的身份认证信息,其被创设出来的主要目的是显示社会主体安全身份,确保平稳流动,因此超越了处理一般个人信息的知情同意框架。个人敏感信息(如身份证号码、人脸、住址)往往被法律和行业规范设置为高安全标准,这不仅因为其能够直接识别个人,关系个人的人身财产安全,更主要的是此类信息起源于国家认证需求,并随着技术条件的变化而不断将新种类信息纳入进来,只有在国家认证以外的场合使用个人敏感信息才涉及同意。与在公共场所不断亮码出行类似,高度流动性社会处处充满了认证,认证除了满足基本的统计需求,更主要的是根据某些特定标准确定资质,达到资质的社会主体才被允许进行流动和动态监控。健康码的动态使用在本质上深刻反映出这一点,也折射出所谓基础身份信息不像传统观念认识的那样是固定不变的,而是一个不断更新、加固、充实的过程。第二个层面是关联账户。老年人或未成年人如果因能力限制无法使用智能手机申请健康码,可以由其他具有可信身份的家庭成员进行协助申请和认证,这实际上是一种家庭账户实践,不仅能够帮助解决不少老人因缺乏健康码无法使用公共服务的问题,也能够间接地促进家庭关系的亲密程度。类似地,为保障特殊群体权益,健康码也可以和其他身份证件相互关联,健康码可以成为身份证明,反过来身份证也可以再次生成健康码帮助通行。账户关联在本质上是人的联系,目标是帮助可能被数字鸿沟阻隔无法被纳入数字世界的主体享有平等的数字化服务。考虑到中国尚有超过5亿人口未能通过智能手机接入互联网,通过联合共享账户的形式将其纳入认证范围将是推动他们进行更多合法安全流动的重要途径,也可以借此渠道增加社会中合规与提示的责任承担者,从而潜在地降低风险和纠纷。
第三个层面是关联更多行为信息/数据。传统线下的认证是对客观存在的社会行为进行分类统计主动采集,而在流动社会中的认证不仅是通过展示确认固定不变的资质,更主要的是通过大量数据分析生成动态信息,不断追踪,并根据实际情况调整判断。健康码可以实时根据后台大数据生成独一无二的数据产品,将认证与识别整合在一起,使社会主体的数字身份处于不断变动的状态,这也是为什么存在如下担心:(1)大量个人敏感信息处理不当而泄露;(2)相关数据产品可能会因为算法或数据错误而产生误差。第一个问题更多发生在内部工作人员泄露核酸阳性者信息的场合,而且问题往往出在采集环节,恰好是存在多头收集、重复索要信息和填表增加了信息泄露的概率。第二个问题实际上折射出当下流动性社会的某种现实,即如何面对不确定风险利用大数据。我们尚未对新冠肺炎病毒本身有透彻的理解,包括此种病毒可能带来的副作用或变异情况,考虑到其较强的传染性,实际上相当于将健康认证本身上升为社会成员流动交往的重要资质,特定单一个人信息势必需要关联其他类型的行为或健康信息共同发挥作用。通过对越来越多种类的信息/数据进行事先收集,综合判断如何使用,对于高度结构化可以生成稳定数字产品的信息/数据,可以通过公共服务方式进行展示提示,引导社会主体行为,辅助流动性提升,从而进入稳定的法治化轨道;而对于有价值的非结构化信息/数据则需留有一定的余地,通过事后追踪/救济以及极端情况下限制流动性弥补数据缺失的不足。信息之间的关联性无法事先预知,往往会通过主体实践逐渐接受,因此当下需要做好的是:(1)按照相关法律和国家要求,确保信息在传输和使用过程中的安全,增强过程监督,确保个人信息不被非法使用或泄露;(2)在联通其他数据库的过程中,完善告知程序,需要主体了解何种数据被用于何种功能;(3)依托公共数据开放和使用制度,在特定种类数据实现其功能后,需要进行封存中止使用,如果可能的类似风险再度发生,可以经过法定程序重启。
四、数字基础设施的扩展
和无线射频识别技术(Radio Frequency Identification, RFID)支撑的条形码已经成为物联网的基础设施一样,如前所述,二维码只有在新冠肺炎疫情期间才真正成为对社会主体认证的数字基础设施,充实丰富了数字身份的内涵。在疫情根本好转后,国家的扫码治理并未暂停,而是逐渐规范二维码开发行为,使其超越了公共卫生治理范畴,成为一般性的认证基础设施,即成为联通访问特定数据库、接受公共服务的入口,在后台打通各类数据库进一步开发,进而成为电子政务的一部分。通过电子证照、电子印章等服务对企业和个人的资质在不同服务场景中进行快速认证,成为平台型政府为企业提供公共服务的基本要件。无论后台数据库如何变换,通过二维码或者未来其他标识符都可以实现快速和稳定的认证。
这一过程凸显了数字基础设施的若干重要特征。首先是信息和技术的物质性。作为一种媒介,二维码需要依托特定APP和硬件进行展示和读取,也离不开无处不在的扫码终端。因此并不是说传统代表身份的卡证消失后,其物质性就削弱了,新的物质性只不过转换成其他更加电子化的形式。物质性提醒我们关注媒介传播的成本和损耗,随着智能手机的成本不断降低,将有更多的公民通过能够联网的手机在接受公共服务时进行身份认证。但如前所述,目前我们仍面临着相当大的数字鸿沟问题,除了5G基站这样的基础设施外,硬件以及数字化的家庭平台可能是更有帮助的。
其次,数字基础设施既具有技术层面,也同样是一套行为制度。这涉及社会主体和使用者调整行为惯习及其认知:学会操作、知晓何种信息被收集、应用,以及理解这一过程的社会价值。单独依赖个人无法完成,甚至技术本身无法自动获得使用,需要有外在提示、压力、协助、甚至强制,才能确保一项基础设施能够尽快实现其功能。也是在这一过程中,社会更习惯于某种媒介,调整相应预期,从而做出集体选择,产生新的需求和应对手段,进而使这类设施能够进一步扩展应用。此外,健康码塑造的身份制度也变相改变了围绕居民身份证法确立的基础身份制度。居民身份证法只是在线下物理环境中确立了物理载体的合法性,却无法在数字化环境中代表唯一身份标识,而健康码、人脸、电话号码等标识符不断将流动社会中的数字化媒介与传统社会中的身份关联起来。
第三,数字基础设施需要有效互联互通和公私合作。这里不仅涉及地方政府或区域之间的互认、标准统一,也要求作为健康码入口的私人平台之间不能存有阻碍。就区域合作而言,各类数字基础设施的建设总体上仍然是地方性的,也服务于本地各种活动。在健康码的例子中,一旦治理信息的处理超越了本地边界,信任问题就产生了,即需要对基于外地数据的二维码拥有一种抽象信任与合作意愿。在疫情缓解期间,地方政府为了经济恢复有动力开展互认,从而推动了流动性,而在冬季疫情加剧的时候,春节返乡人群的绿码可信度就没那么高,不论人们如何出具健康和安全证明。这不完全是地域歧视,而是地方政府基于自身利益最大化考虑而降低可能的政治责任的问题。类似问题在政府数据开放过程中也经常遇到,即数据归集主体和采集主体不同,因此责任救济、开发动力也有很大不同。因此,政治治理责任和证明权力的分离是现代社会认证面临的最大问题,如果外地信息有误,可能给地方应对突发事件的工作带来重大影响。目前有效但需要时间的应对方式是逐级统一安全和技术标准,增强大数据利用的可信度,并逐渐改进地方政府精准防控的能力。就公私合作而言,早期的健康码由企业开发、地方政府推动,后来在全国统一的“防疫健康信息码”推出后,健康码则完全变成一项公共服务和公共基础设施。如果由特定私人平台承担此项服务,互联互通也应当成为法定义务,由地方政府授权运营或监管。健康码实践充分展示了在面对突发公共事件时,公私合作是数字基础设施得以正常运作、共同解决问题的前提。作为回报,实际上该项服务也有利于平台企业获得更多新用户注册,甚至进入原先无法进入的社区和健康管理领域。
五、结语
本文从一个较少关注的角度――基础设施――讨论了围绕健康码而出现的诸多理论问题。首先,数字基础设施的形成,在某种程度上不是统一设计出来的,而是根据社会实际需求不断演进和迭加的。本文试图提供一个社会科学角度的解释,帮我们更好地理解技术如何嵌套和适应现有社会制度结构,又如何试图超越这个结构,塑造新的基础设施。其次,对技术的抽象信任在幅员辽阔的地域范围内难以快速实现,需要辅助相应的制度措施,这可能意味着退回到技术以外的传统手段(如强制隔离),但它也是技术应用本身的探索和转化过程,诸如评分、社会信用、拥有更多信息的网格化模式,都是通过技术重新开发的传统治理手段。最后,技术嵌入制度的过程也是治理常态化和法治化的过程,无论是对人行为惯习的塑造,还是对个人信息使用规则的诉求,都体现出这一趋势。然而,在面对不可预知的风险时,可能不存在“一揽子”解决方案,特别是需要大量有价值信息/数据的时候,需要根据风险变化不断测试确定,从而不断打破常规治理与风险治理的边界。同时,也需要适时总结降低不确定性、保持社会流动与活力的方案,健康码实践通过若干层面试图加强信息和账户的关联性,为我们创造性地使用信息/数据进行治理提供了新思路。
注释:查云飞:《健康码:个人疫情风险的自动化评级与利用》,载《浙江学刊》2020年第3期。
宁园:《健康码运营中的个人信息保护规制》,载《法学评论》2020年第6期;吴卫明:《突发公共卫生事件中的数据开放与保护》,载《信息安全与通信保密》2020年第3期;许可:《重大公共卫生事件的数据治理》,载《暨南学报(哲学社会科学版)》2021年第1期。
戴昕:《“防疫国家”的信息治理:实践及其理念》,载《文化纵横》2020年第5期;谢新水:《疫情治理中的健康码:认同与张力――基于“一体两面”三重交互界面的探究》,载《电子政务》2021年第1期。
欧树军:《新冠时代的健康认证与“防疫政治学”》,载任锋主编:《中国政治学》2020年第3辑,中国社会科学出版社2020年版;郭凤林、顾昕:《国家监测能力的建构与提升――公共卫生危机背景下的反思》,载《公共行政评论》2020年第3期。
这一术语包括:5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网七大领域。
北京、杭州和深圳的健康码服务从2020年1月下旬起相继开发,2月间陆续上线。关于北京健康宝,参见田进:《北京健康宝诞生记》,载微信公众号“经济观察网”2020年9月27日;关于杭州健康码,参见焦建:《解码“健康码”:杭州深圳首发后,全国通用有多远?》,载微信公众号“财经杂志”2020年4月15日;史晨、马亮:《协同治理、技术创新与智慧防疫――基于“健康码”的案例研究》,载《党政研究》2020年第4期;关于深圳健康码,参见《240亿+,健康码一岁了》,载微信公众号“腾讯云”2021年2月7日。
文宏、林彬:《应急需求、技术赋能与政务服务创新――对“健康码”数据流转的考察》,载《电子政务》2021年第1期。
详细的讨论,参见胡凌:《扫码:流动性治理的技术与法律》,载杨明主编:《网络法律评论》(第23卷),中信出版社2021年即出。
国家卫生健康委办公厅《关于做好信息化支撑常态化疫情防控工作的通知》(2020年6月28日)。
省级健康码只是开发和管理主体不同,但都需要按照统一技术标准进行。当时全国码提出了三种健康码互认的形式:一是在不改变地方现有健康码的情况下,通过数据共享,在本地健康码中增加跨地区互认功能;二是各地健康码与全国的防疫信息码对接,以“全国码”为中介进行转换,从而实现互认;三是没有本地健康码的地区,可直接采用“全国码”。参见胥大伟:《健康码遭层层“加码”,互认真的这么难吗?》,载微信公众号“中国新闻周刊”2020年4月28日。
截至2020年3月,我国手机网民规模为8.97亿,网民中使用手机上网的比例为99.3%。参见CNNIC《第45次中国互联网络发展状况统计报告》,第19页,载中国互联网络信息中心网站,http://hffgb5fa687c053694d3ahxouxvxxnuukf6f66.ffhb.libproxy.ruc.edu.cn/hlwfzyj/hlwxzbg/hlwtjbg/202004/P020210205505603631479.pdf, 2021年2月9日访问。
关于健康码的技术原理,参见刘行:《使用“健康码”能平衡个人信息保护和使用吗?》,载微信公众号“App个人信息举报”2020年3月19日。
产生随机二维码类似于动态短信验证,不易拦截,而且健康码平台还会根据大数据实时变化设置有效期,但现实中仍然出现了伪造各地健康码界面以及恶意替换等造假行为。这需要提高界面仿制难度,增添更多标识符(如头像、姓名),或者要求实时访问,以增加伪造成本。
关于健康码与市民卡、身份证、乘车码等相结合的例子,参见《让通行更高效,“杭州健康码”还能这么用!》,载微信公众号“杭州市数据资源局”2020年3月11日。
CTID由公安部第一研究所开发,需要依托特定平台展示,eID由第三研究所开发,需要依托特定硬件读取,它们的推行各有成本问题,目前看来前者推广更具优势。详细的讨论,参见胡凌:《塑造数字身份:通过账户的认证与识别》,载《北航法律评论》2020年第1辑,即出。
王融、闫锦麟:《谷歌苹果罕见联手,美国版“健康码”如何保护个人隐私?》,载微信公众号“财经杂志”2020年4月25日。参见戴昕:《“防疫国家”的信息治理:实践及其理念》,前引注 。
根据笔者有限浏览新闻报道,过去一年中,全国至少有上百名地方各级官员或干部因防疫不力被免职。
“国家卫健委人口家庭司司长杨文庄指出,各地健康码尚不能互认主要有三个原因:不同省份的风险等级、响应级别和防控要求不同;各地健康码生成的标准不一;健康码只能证明受检者当时的状况,此后的健康状况不能简单地据此判断。”参见胥大伟:《健康码遭层层“加码”,互认真的这么难吗?》,载微信公众号“中国新闻周刊”2020年4月28日。
原来《国家突发公共卫生事件应急预案》中规定的分级响应已经不再使用,因为涵盖的辖区面积太大,这意味着紧急预案规定的形式法治并不能解决问题。
不少地方要求14天在隔离点强制隔离,外加7天在家强制隔离以便继续观察。
参见国务院应对新型冠状病毒肺炎疫情联防联控机制综合组、中央农村工作领导小组办公室关于《冬春季农村地区新冠肺炎疫情防控工作方案》(2021年1月19日)。
虽然社会舆论反对,国家卫健委无力作强制要求,只是通过新闻发布会放话吹风,鼓励地方自我纠正,实际上仍然放任了地方层层加码。
按照统一宣传口径,地方之前一直在使用“战时状态”“战时管制”等话语,后来中央在宣传上统一要求不再使用该词。参见丁静:《滥用“战时状态”不利于抗疫大局》,载新华每日电讯网2021年1月16日,http://hffgb6be3085e87254f3bhxouxvxxnuukf6f66.ffhb.libproxy.ruc.edu.cn//mrdx/2021-01/16/c_139671725.htm。
许可:《健康码的法律之维》,载《探索与争鸣》2020年第9期。
类似地,将进口冷链食品纳入二维码追溯系统仅仅也只是为了事后追踪确责,但本身并不能保证绝对安全。
2002年SARS事件之后全国建立了各级疾控中心,在体制上形成了疾病预防制度,但仍然很难说是直接关联到社会主体的基础设施。新冠疫情则为完善各类疾病预防机制提供了契机,参见《中共上海市委、上海市人民政府关于完善重大疫情防控体制机制健全公共卫生应急管理体系的若干意见》(2020年4月8日)。
《居民身份证法》(2011年修正)第15条。
《旅馆业治安管理办法》(1987年制订,2020年修订)第6条。
这最早可以追溯到20世纪90年代中期的“三金工程”。
参见胡凌:《塑造数字身份:通过账户的认证与识别》,前引注 。
《网络安全法》第24条规定:“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。
当然也可以根据《个人信息保护法(草案)》解释成“同意”的一种类型,无论是基于合同,还是基于突发公共卫生事件,或是履行义务或职权。(第13条)。另外,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。(第27条)
《个人信息保护法(草案)》第29条规定,敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
类似的例子还见于游戏平台为家长子女共同创设家庭账户,使家长能够更好地了解监督子女使用互联网情况,与青少年模式的单独账户形成补充,从而潜在地降低打赏等纠纷。
国务院办公厅《关于切实解决老年人运用智能技术困难的实施方案》(2020年11月15日)。2021年1月初,上海“随申办” APP上线了服务老年使用者的“长者专版”。
2021年春运首日,刷身份证核验健康码的“健康防疫核验系统”在广东省汽车客运站长者绿色通道正式启用,老人只需将身份证放在识别设备上方2秒钟,“粤康码”的信息便出现在电脑屏幕上,绿码乘客可快速有序通过。而“离线码”功能可进行纸质健康码下载和打印,老人和孩子携带纸质健康码时,防疫人员或志愿者扫一扫便可进行信息核验,绿码人员予以放行。参见《240亿+,健康码一岁了》,前引注 。
中央网络安全和信息化委员会办公室2020年2月4日发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,要求任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
《“从口岸到餐桌”全程可追溯――“健康码”与食品追溯平台“绑定”见闻》,载微信公众号“网信天津”2020年12月15日。
胡凌:《个人私密信息如何转化为公共信息》,载《探索与争鸣》2020年第11期。
浙江省最早就这个问题进行了规定,《浙江省公共数据开放与安全管理暂行办法》第32条规定:“公共管理和服务机构按照突发事件应对有关法律、法规规定,可以要求相关单位提供具有公共属性的数据,并向自然人采集应对突发事件相关的数据。突发事件应对结束后,公共管理和服务机构应当对从其他单位和个人获得的公共数据进行分类评估,将其中涉及国家秘密、商业秘密和个人隐私的公共数据进行封存或者销毁等安全处理,并关停相关数据应用。法律、法规另有规定的,从其规定。”
Jordan Frith, A Billion Little Pieces: RFID and Infrastructures of Identification , The MIT Press, 2019.
姚佳莹:《健康码可否升级“全能码”:后抗疫时期,健康码信息该去该留?》,载微信公众号“财经E法”2020年6月5日。杭州市人民政府于2020年5月发布了《杭州健康码开发运行规范管理办法》;《国家卫生健康委关于加强卫生健康统计工作的指导意见》(国卫规划发〔2020〕16号)规定“积极整合以电子健康码为主索引,贯穿预防、治疗、康复、健康管理等环节的居民健康统计信息闭环”。“健康码背后是一张结构极其复杂的横纵大数据网络。横涉及全国各省市自治区县;纵考验卫生健康、工信、交通运输、海关、移民管理、民航、铁路等多个部门数据打通,这张全国大网目前还在迭代中。”参见柳书琪:《为什么总要刷不同的健康码?这背后有一张复杂的大网》,载微信公众号“财经十一人”2020年12月3日。
“将继续以应用为牵引,以服务为导向,围绕市民衣食住行等日常生活以及企业生产经营等场景,深入推进随申码在各个领域的应用,进一步挖掘随申码长期应用价值,全力将随申码打造为本市公共管理和服务领域的市民随身服务码。”参见《“随申码”累积使用超12.6亿次!可以应用在这些场景》,载微信公众号“上海发布”2020年9月3日。更具体的讨论,参见赵勇、叶岚、李平:《“一网通办”的上海实践》,上海人民出版社2020年版,第11章。
例如,《中共杭州市委关于做强做优城市大脑打造全国新型智慧城市建设“重要窗口”的决定》规定,建立健全全市统一标准地址库,以标准地址关联人、房、企、事件等基本元素,实现对城市运转全要素的协同感知、一体治理。类似地,深圳市市场监管局《社会管理要素统一地址规范》,建立了基于统一地址的社会治理要素编码。借鉴“身份证号码”和“统一社会信用代码”编制方法,建立社会治理要素唯一识别码,形成社会治理要素的“身份号码”。在此基础上,将社会治理要素与统一地址、网格进行关联形成整体,有效地解决了社会治理要素的定位问题与责任问题,为建立责任到网格、责任到人的社会精细治理体系提供了基础。
例如,Paul Dourish, The Stuff of Bits: An Essay on the Materialities of Information , The MIT Press, 2017。
全国人大在解释为何需要统一公民身份证件时认为,“由国家法律规定,制发统一的居民身份证,在公民参加各类社会活动或办理各种相关事务需要证明身份时,就能起到社会普遍认可的效果”。载中国人大网,http://hffgbc3bf1b819781432bhxouxvxxnuukf6f66.ffhb.libproxy.ruc.edu.cn/npc/c2187/200410/35f993dfb61e41e6a1c4d172c5d5c62b.shtml, 2021年2月9日访问。
2020年4月,个人健康信息码三个系列国家标准正式发布,要求健康码实现三个统一:码制统一、展现方式统一、数据内容统一。
例如,在新冠肺炎疫情初期,浙江等24个省市的健康码在微信无法正常访问,主要是因为微信全面封杀了钉钉的域名,而微信的回应是,因为该健康码标记的口令类信息触发了《微信外部链接内容管理规范》中第17条“特殊识别码、口令类信息”。载新浪网,http://hffgbf6478d0b19b94838sxouxvxxnuukf6f66.ffhb.libproxy.ruc.edu.cn/i/2020-03-03/doc-iimxxstf6108086.shtml, 2021年2月9日访问。
率先开展互认的往往是经济发展程度较高的省份和劳动人口输出较多的省份。
例如参见《杭州健康码开发运行规范管理办法》(2020年5月15日)。
关于浙江的实践,参见代润泽:《复盘浙江93天防疫:健康码和浙政钉的“以小博大”》,载微信公众号“雷锋网”2020年4月24日。另参见方兴东、严峰:《“健康码”背后的数字社会治理挑战研究》,载《人民论坛・学术前沿》2020年第16期。 作者简介:胡凌,法学博士,上海财经大学法学院副教授。 文章来源:《中国法律评论》2021年第2期。 发布时间:2021/6/28