? ? ? ?［摘??要］ 新型冠狀病毒已成為世界各國的嚴峻挑戰，中國將“健康碼”等數字技術創造性地運用到此次疫情防控之中，成效斐然。數字抗疫技術的使用有效促進了人員流動和復工復產，但同時也面臨著判斷錯誤、無法互認以及強化政府監控、模糊政企界限、侵犯公民隱私的質疑。立基于數據治理中“私人治理、政府管理和公共治理”的范式轉變，數字抗疫技術的有效性和正當性得以審視，政府、民眾和企業等多主體參與治理的機制得以確立，從而在數據效率和數據正義的雙重目標下建構應急狀態下的數據規則，最終有裨于未來的治理創新與制度變革。

? ? ? ?［關鍵詞］疫情；數據治理；數據正義；健康碼

? ? ? ?2020年的新型冠狀病毒已經成為關乎各國人民的安危，影響世界政治經濟的重大公共衛生危機。如何應對這場被聯合國秘書長古特雷斯稱為“自聯合國成立以來我們面對的最大考驗”，需要凝聚人類社會的共同智慧。在本次疫情中，中國既采取了世界衛生組織報告總干事高級顧問布魯斯·艾爾沃德所言的“古老圍堵策略”，更將智能服務機器人、大數據分析系統、智能溫測設備等數字技術運用到疫情監測分析、人員物資管控、醫療救治、藥品研發、后勤保障、復工復產等多個場景中。盡管人們日益認識到：較諸傳統公共衛生措施，物聯網、大數據、人工智能、區塊鏈在監控、檢測和預防新冠病毒并減輕其對醫療保健部門影響方面意義重大，但中國數字抗疫實踐依然引發了激烈爭論：贊成者認為其有效遏制了新冠病毒的傳播，確保了民眾安全；反對者則援引本杰明·富蘭克林的名言“那些放棄基本自由而求得短暫安全的人，既不配有自由也無法享有安全”，質疑中國數字技術的過度使用損害了公民權利，甚至可能陷入全面“監控國家”（surveillance state）的境地。為回應這一爭議，本文嘗試著聚焦于一種具體而微的數字抗疫技術——“健康碼”，以“數據治理”為觀察棱鏡，探索其背后的邏輯，展示其潛力，并反思其有效性與正當性，進而提出可能的完善之道。任何危機都是轉機，我們相信，本次疫情不但是觀察與反思中國經驗的良機，也將成為未來重大衛生事件應急制度變革與創新的契機。

? ? ? ?一、數據治理：健康碼的底層邏輯

? ? ? ?（一）健康碼的爭議

? ? ? ?在中國，健康碼獲得了普遍的認可。對政府而言，健康碼大幅提高了人員信息核驗效率和精準度，通過“數據流”牽引帶動真實世界中“人流”、“物流”、“商流”的復蘇與回歸，在疫情防控的同時有序恢復生活秩序。對個人而言，健康碼不但避免了重復、多次填報信息的繁瑣程序，避免個人信息過度收集和不當泄露，而且減少了人員聚集的傳染風險。對企業而言，健康碼便利了員工管理，有助于采取有針對性的精準聯防聯控措施，有效促進了復工復產。

? ? ? ?但是，健康碼收獲并不僅是贊揚。事實上，對其可信度質疑的聲音不時出現。由于健康狀況等大量關鍵信息均是個人自行申報，難免稂莠不齊，還有少數人故意隱瞞病情，無怪乎被人批評健康碼為“形式主義”。對系統故障和誤差的抱怨亦屢見不鮮。“我的綠碼為什么變成了黃碼？”“溫州返杭的給綠碼，我諸暨的給紅碼”“一家三口情況一樣，一更新就我變紅碼”的吐槽多有，更有不少質疑直指二維碼生成缺乏科學依據。最為嚴重的批評是：健康碼將人臉識別、大數據行為追蹤用于“多場合人口管理”，不但過分強化政府的電子監控權力，而且打破了政府與企業的邊界，最終侵犯了公民隱私。如果說前一種質疑集中在健康碼的“有效性”，那么后一種批評則以健康碼的“正當性”為鵠的。

面對健康碼的不同聲音，我們有必要將其置于國家權力運作和公共衛生管理的視野中仔細審視。在此，我們嘗試著以“數據治理”為棱鏡，解析健康碼的底層邏輯。

? ? ? ?（三）數據治理的三重范式

? ? ? ?在初始的意義上，“數據治理”原指一種以“公司治理”為摹本的資產管理。正如美國俄克拉荷馬州“管理和企業服務辦公室”（Office of Management & Enterprise Services）2019年《數據治理概覽》（Data Governance Overview）報告所指出的，數據治理是一個關于數據的組織過程和結構，指向一個戰略性的長期過程，它建立對數據的責任，組織工作人員通過系統地創建和實施政策、角色、職責和程序來協作并持續地改進數據質量。不論是其中的元數據管理、主數據管理、數據生命周期管理，抑或數據應用創新，均以最大化數據價值為依歸，以數據風險管理為底線，并考慮到國家法律和社會化對數據利用過程的約束，具有私人性、營利性和管理性的特色。

? ? ? ?隨著世界的數據化轉型，人們日益發現，數據早已超出了“企業”的樊籬：數據業已成為國家經濟運行機制的重要生產要素，是國家治理能力的“基礎性戰略資源”，其重要性甚至居于礦藏、土地、河流等耳熟能詳的戰略資源之上。2015年，國務院發布《促進大數據發展行動綱要》，指出數據的分析和使用為有效處理復雜社會問題提供新的手段，一個“用數據說話、用數據決策、用數據管理、用數據創新”的管理機制亟待建立。“數據治理”由此演化為“用數據治理”，成為提升行政效率和管理效能的政府管理新方向。作為政府管理的數據治理本質是“電子政府”的升級版，其不但與“政治—行政二分法”、理性官僚制和科學管理原理的現代行政觀念合若符契，而且以實現公共數據的高度共享、政府部門間實現無縫合作的“整體政府”為宗旨，充分利用物聯網、移動互聯網、云計算、Web3.0、人工智能提供決策支撐和精準化管理能力，使政府自數據“收集者”轉為“分析者”、從數據“被索取者”轉為服務“推送者”、由“決策預報”轉為“決策實報”，最終推動政府的數字化轉型。

? ? ? ?然而，僅僅將數據視為政府資源，不免忽視了現代社會中數據與人的復雜關系。自《數字化生存》一書問世以來，從個人檔案電子化到社交媒體，從用于營銷的個人畫像到金融信用評分，從公共場所的人臉識別到穿戴設備中的量化自我，人類不斷地從“自然人”邁向“數字人”（data-person），這改變了普羅大眾對自我和對隱私的觀念，塑造了人與人交往的方式。數據和人格的交疊使得“數據”不再是無知無覺的資源，而是“數字人格”和“生命政治”的一部分。另一方面，將政府作為治理的唯一主體，無疑窄化了治理的內涵。事實上，近年來“治理”的興起恰恰意味著權威主體從“單一國家”向“多元社會經濟組織”轉變，權威性質從“強制性”向“協商性”轉變，權威來源從“法律”向“契約與軟法”轉變，權力向度從“自上而下”向“自下而上”轉變，作用范圍從“行政領域”向“公共領域”轉變。就此而言，“數據治理”毋寧是由政府、互聯網企業、技術社群、民間機構、公民等各個利益相關方共同參與的治理過程，它不再是企業價值或政府管理的工具，而是在數據利益攸關者之間鑄就相互依賴關系、發掘數據自身價值的基礎性架構。為此，我們可借鑒“數據治理研究所”(Data Governance Institute)的《DGI數據治理框架》，將邁向公共治理的“數據治理”理解為“對數據相關事項進行決策和行使權力”，容納更多元的行動主體、決策目的以及多樣化的制度約束，以跨越私營部門和公共機構的二元對峙，最終實現公共領域的“數據善治”（good governance of data）。

? ? ? ?數據治理中私人治理、政府管理與公共治理的范式區分，為我們檢視健康碼的優勢及其不足，提供了宏觀視野和微觀工具。

? ? ? ?二、?作為政府數據管理的健康碼：“有效性”反思

? ? ? ?政府運用數據治理并非全新事物。從漢代的“編戶齊民”，?到明代深藏在南京的后湖黃冊庫，均顯示出中國“數據治理”的能力。不過，這里的“數據”主要是指基于財務數據、經濟數據、統計數據等數值和量值的“定量小數據”，只有在互聯網、大數據、云計算等數字技術蓬勃興起，文字、聲音、圖像、視頻，乃至客觀世界的一切都正在或即將被數據化的時代，數據治理才真正來臨。質言之，有效政府數據管理，端賴如下三者：電子化數據是其能量之基，數字設備是其物質之基，而政府和企業的合作是其組織之基。

? ? ? ?（一）以數據為驅動力

? ? ? ?在疫情防治中，數據具有決定性意義。對于公眾而言，疫情數據的及時公開有助于增強民眾安全意識，識別潛在風險，采取適當的防范行動。對于政府而言，大數據在疫情預警、人員追蹤、物資調配、復工服務等方面作用非凡。在我國臺灣地區，政府部門將國民健康保險數據庫與移民和海關數據庫聚合，利用出行歷史和臨床癥狀生成實時警報，同時還根據過去14天的航班始發地和行動軌跡對旅行者的傳染風險進行分類，形成在線健康報告和二維碼信息。研究表明，通過大數據在邊境控制、可疑病例隔離，資源分配、學校政策、企業紓困中的運用，臺灣地區有效遏制了新型冠狀病毒蔓延。類似地，以色列總理本杰明·內塔尼亞胡（Benjamin Netanyahu）在3月中旬表示，司法部已批準使用情報跟蹤工具對病毒患者及其所接觸人員進行數字監控。韓國政府也在利用攝像頭、智能手機位置數據和信用卡購買記錄，來追蹤冠狀病毒患者的最新動向并建立病毒傳播鏈。

? ? ? ?健康碼也是數據驅動的產物。從個人數據的收集到數據觸達，從政府數據決策到各個場所的監督執行，健康碼恰恰建立在數據聚合、處理、解釋、建模、分析和預測之上。作為數字抗疫的一環，健康碼以KYC（知曉你的用戶）為目的，通過關聯內外部數據庫進行交叉核驗，精確識別人們的身份特征，回歸到疫情防控的本質，從而“不以地域論風險”，在很大程度上杜絕了基于疫區、民族、種族的歧視。湖北黃梅縣交警與江西九江警察近日發生的執法沖突，凸顯出其他省份對“湖北人”的污名化以及由此而來的非理性恐慌。最終，兩地政府聯合發出公告：雙方互認湖北健康碼和贛通碼，兩地群眾持綠碼通行，不需要其它任何通行證明。而這，正是“健康碼”的意義所在。

? ? ? ?所謂成也蕭何敗蕭何。健康碼的成敗與數據質量息息相關。正如數據業界的俗語——“垃圾進，垃圾出”（Garbage in, Garbage out）所言，只有基于完整、一致、準確、有效和及時的數據輸入，才能有有效的數據化治理。健康碼的關鍵性數據均由個人自行輸入，準確性有待核驗。3月22日，一名患者持湖北健康碼“綠碼”從湖北省咸寧市返回蘭州，28日被確診。其原因目前尚不得而知，可健康碼數據錯誤的潛在風險，不容小覷。怎樣在制度上和技術上防范少數人上傳虛假信息，是健康碼的當務之急。為此，政府有必要強化個人數據提供的真實性義務與責任。根據《中央全面依法治國委員會關于依法防控新型冠狀病毒感染肺炎疫情 切實保障人民生命健康安全的意見》，患有或者疑似患有新型冠狀病毒感染的肺炎，故意隱瞞病情，拒絕接受檢疫、強制隔離或者治療，將依法承擔責任。但這只是事后措施。實際上，數據質量的完善還可以通過提升數據多樣性來實現。大數據所具有的巨大規模（volume）和種類繁多（variety）的特征，可以交叉比對、聚類回歸，糾正數據錯誤，消除噪音數據。顯然，如欲健康碼發揮作用，就必須擴大數據來源，匯聚公共交通數據、醫院診療數據、行為軌跡數據、家庭人口數據、工作單位數據等與個人健康狀況相關的數據，實現對個人疾病情況的精準畫像。

? ? ? ?對分散化來源數據的匯聚，暴露出當前數據無法連通的痼疾：數據標準不統一、分散，數據核對、清理、映射的工作量巨大，導致難以共享集成數據和數據分析。不同地域、不同職能部門之間的數據孤島問題，不但令健康碼可能出錯，而且使其難以跨地域、跨場景的使用。以江蘇省為例，就有南京“寧歸來”、蘇州“蘇城碼”、無錫“錫康碼”等十幾個不同的健康碼。這迫切要求遵循“整體治理”（Holistic Governance）的邏輯，以核心需求為治理導向，以數字技術為治理手段，以協調、整合、責任為治理機制，對治理層級、功能、公私部門關系及信息系統等碎片化問題進行有機協調與整合，既要推動數據在政府內部的跨部門、跨地域共享，亦應推動政府數據開放，利用社會力量發掘數據多維度價值。就此而言，數據不但是支持和改善行政職能的工具，還應當成為變革傳統科層制度的力量，從而打破“自上而下”和“職責不清”的桎梏。

? ? ? ?（二）以數字設備為載體

? ? ? ?數字技術視野下的“健康碼”表現為一個數字化的健康評估證明。在申請健康碼時，民眾通常需要在手機App或微信小程序上注冊并提供自身的實名信息，驗證用戶身份（部分應用可能會用到人臉識別技術）之后，填寫自己的體溫和接觸史等健康信息，并結合權威數據平臺查詢用戶的行蹤記錄（是否出入疫區或疫情國）、健康狀況等，最終生成屬于個人的二維碼。在動態碼的技術下，健康碼本身不包含任何個人信息，而只存在相關網頁鏈接的加密編碼。只有通過特定掃碼設備，在驗證訪問者身份和授權情況之后，個人健康信息才被訪問。在網頁被訪問時，用戶被掃碼的時間、地點、次數亦同時記錄，以滿足后續追溯的需要。顯然，較諸之前線下的、分散式證明方式，健康碼不僅更為準確、便捷，還提升了政府的回應性。

? ? ? ?在數字社會中，數字素養、技能和設備決定著社會新的權力關系、財富結構和階層等級，健康碼同樣如此。作為依托于智能手機的應用，健康碼對于沒有智能手機的人群，不但不便利，反而增加了麻煩。國務院“我向總理說句話”欄目中登出這樣一段留言：“我爺爺奶奶70多歲了，普通老年手機都不會使用，更別說智能手機了。現在讓他們整個健康碼，對他們來說太難了。這樣導致他們不能去超市買菜、去銀行取錢、去醫院開藥。”中國移動數據分析公司QuestMobile在2018年的報告稱，中國每8位年齡超過50歲的銀發人群中，僅有1位是移動互聯網的使用者，遠低于全部網民的水平。不便的不僅僅是老人，美國知名智庫皮尤研究中心（Pew Research Center）報告顯示，2018年中國智能機普及率不足70%，這與中國互聯網絡信息中心2019年6月統計的8.54億網民規模大致相當。各地已經意識到“數字難民”的弱勢地位，但不論是上海由社工代為申領，還是浙江省衢州市“打印健康碼送老人”的做法，均失去了健康碼的本意。如何彌合“數據鴻溝”，回應那些被排斥在外的5億“剩余之人”的求助，成為健康碼必須解決的難題。對此，不妨將這次疫情視為助力“剩余之人”融入數字社會的契機，通過政府補貼、企業捐助、個人承擔資訊費用的方式，為其免費提供智能手機以及2小時左右的快速教學，幫助他們邁出“數字第一步”。同時，政府還應積極引導企業開發面向老人、用戶友好的健康碼APP和其他應用場景，以保障數字生活的可持續性。

? ? ? ?（三）以政企協力為組織形式

? ? ? ?如同電子政府，在數據治理中，政府主導、企業參與的合作模式已成為普遍實踐。一方面，政府作為公共事務的“第一責任人”，是數據治理的發起者和維系力量；另一方面，由于數字治理依賴于高質量、高標準的軟件系統、數據分析和安保措施，科技企業在項目規劃、方案設計、基礎設施建設、業務應用開發、運維服務、公共數據利用等方面的作用日益顯著。例如，在廣東數字政府“管運分離”的改革中，數字廣東網絡建設有限公司作為建設主體，負責需求對接、系統遷移、數據融合、建設維護、系統運營以及標準制定。

? ? ? ?作為孵化于互聯網企業政務服務的系統應用，健康碼亦是政府和企業協作治理的典范：政府發起、企業響應，來自政府部門與數字企業的工作人員并肩奮戰。那些批評健康碼模糊了政府和企業邊界的聲音，恰恰沒有看到政企合作的潛力。如聯合國全球脈動計劃(United Nations Global Pulse)的“數據和治理”負責人米拉·羅曼諾夫(Mila Romanoff)所言：“我們需要有一個框架，允許公司和當局進行合作，以對公共利益作出適當回應”。在疫情面前，各國也在積極謀求公私合作的新途徑。在美國，政府正與Facebook、蘋果和谷歌等科技巨頭積極商討從智能手機獲取位置數據，以便讓公共衛生專家追蹤冠狀病毒感染數據。在歐洲，歐盟委員會已與歐洲電信公司和GSMA（全球移動通信系統協會）達成一致，要求運營商共享匿名元數據，來追蹤、建模和預測病毒傳播。顯然，在世界數字化轉型的背景下，擁有最先進技術和最廣泛用戶的大型科技企業，已成為綜合性、立體化、多層次數據治理中不可或缺的力量。

? ? ? ?三、作為數據公共治理的健康碼：?“正當性”?反思

? ? ? ?如果說“政府數據管理”是理解和提升健康碼“有效性”的鑰匙，那么“數據公共治理”就是回應和審視健康碼“正當性”的不二法門。作為對數據進行決策的權利、權力和責任系統，數據公共治理可以分解為三個環環相扣的議題：（1）治理的目標為何？（2）各方主體在治理中的角色為何？（3）治理應遵循何種規則？數據公共治理視域下“健康碼”正當性的探究，亦應循此展開。

? ? ? ?（一）健康碼的目標：數據效率與數據正義

? ? ? ?數字技術并不中立，它始終被其棲身的社會、經濟、政治環境所塑造，體現著設計者、使用者的權力行使和價值目標。健康碼也不例外。作為一種“經由設計的規制”（regulation by design），健康碼經過精心設計嵌入到疫情防控的流程之中。根據2020年2月25日國務院《關于依法科學精準做好新冠肺炎疫情防控工作的通知》，健康碼成為行政機關綜合判斷個人健康風險等級，獲得出行、復工資格的法定證明。健康碼所具有的電子化、數據化、智能化特征，并未遮蔽原有的行政化自動評級的屬性。“國家通過技術之眼觀察社會圖像時，它看到的可能是自己的倒影”。命令服從的權力運作、各行其是的地方割裂、控制優先的封閉體制、穩定壓倒一切的極端思維都可能在科技外殼下，進到健康碼之中。為此，健康碼必須將多元價值注入其中，以避免不自覺地被單一目標所宰制。質言之，與數據私人治理和政府數據管理以“數據效率”（Data Efficiency）為原則不同，數據公共治理要求將“數據正義”（Data Justice）置于更高的位置。

? ? ? ?正義有一張普洛透斯的臉，數據正義同樣人言人殊。在西方，數據正義多圍繞著個人數據保護權利（right to the protection of personal data）、信息隱私權（information privacy）、言論和交流自由（right to free speech and communication）等基本權利展開。這部分解釋了為何西方對于健康碼等數字技術廣泛使用的抵制。但正如斯諾登事件所揭示的，數字正義不僅關乎個體的權利，還和群體畫像（profiling）及其社會排序（social sorting）有關，進而與實質性社會經濟的訴求相聯系。正因如此，在探索全球正義的過程中，人們日益發現權利語言并非正確的工具。以隱私權為例，中國既未選擇美國將政府和公民互不信任的隱私價值，也不選擇歐洲將之作為超越國家主權的基本人權，而是遵循著可信任政府和負責任公民的路徑。職是之故，我們有必要立足《憲法》38條“中華人民共和國公民的人格尊嚴不受侵犯”條款，使用一個更具包容的數據正義框架，通過借鑒阿馬蒂亞·森的正義理論，立基于“人的可行能力”而非“經濟效用”，將“數字技術自主選擇”、“數據使用透明度”和“數據非歧視”作為數據正義的核心要素。

? ? ? ?一旦將數據正義價值注入到健康碼中，我們就能發現，“健康碼是新的自動化監控形式，是反烏托邦典型”的批評固然看到了健康碼在數據效率和數據正義之間的失衡，但卻忽略了健康碼對民眾的賦能。作為一種通用科技，數字技術有著鮮明的多面性：監管者和被監管者均能從中獲益。2018年，英國學者Simplice A. Asongu等人對47個非洲國家的實證研究表明，非洲的手機數量與政府治理指標之間有著明顯的正相關，民眾對手機的使用有效提升了政府的透明度，并降低了腐敗。另一個有趣的例子來自中國，學者于建嶸在描述上世紀90年代中國農民維權狀況曾指出，復印機的出現提升了農民的博弈能力，因為他們可以將中央政府的紅頭文件復印多張，以作為應對基層政府官員侵擾的擋箭牌，在此意義上，數字技術已改變了中國的政治生態。回到健康碼，不論是與地區與地區隔離、人與人隔離的中國網格化靜態管理相比，還是與世界各國禁止居民外出的“禁足令”對照，健康碼更適應“流動性社會”，并拓展了人的自由。這一點已為牛津大學Luca Ferretti等人所證實，相關定量研究表明：接觸追蹤的手機APP比大規模隔離（lock-downs）在防控疫情方面更有效。

? ? ? ?但問題在于，在數據正義的視野中，是否使用以及使用何種數字技術，應當盡可能尊重個體的選擇。實際上，在抗擊疫情過程中，目前已存在多種數字技術。例如，新加坡政府的Trace Together藍牙追蹤應用，瑞士，愛沙尼亞、奧地利的泛歐藍牙跟蹤項目DP3T（Decentralised Privacy-Preserving Proximity Tracing），等等。與健康碼建立中心化的用戶數據庫思路不同，基于藍牙的病毒傳播追蹤多采取“去中心化”路徑，利用智能手機的本地追蹤密鑰（Tracing Key）、臨時追蹤密鑰（Temporary Tracing Key）、滾動接近標識符（Rolling Proximity Identifier）等近距數據（proximity data）匹配計算，從而最大程度地減少了個體信息的收集、存儲和使用。甘瓜苦蒂，物無全美。任何方案都非完美無缺，國家應當采取開放態度，鼓勵不同數字技術的發展，并交由個體比較權衡后，作出妥當選擇。

? ? ? ?“數據使用透明度”和“數據非歧視”對健康碼提出了進一步要求。在疫情面前，個體權利當然可能受到一定限制，但“若要設定對基本權利的限制，就必須同時設定對這些限制的限制”， 正當程序、比例原則、禁止不當聯接等原則仍應堅持，個人對其信息的知情權、更正權、刪除權和獲得救濟的權利亦不得因疫情而遭到克減。在政府電子留言版上，就“個人對湖北健康碼生成的顏色狀態不認可？”的問題，官方在3月2日的回復非常簡單：“人工無法干預或修改結果，這也是為了您的健康安全著想，請您理解。”由于健康碼影響公民自由甚巨，上述回答顯然無法滿足依法行政要求和公眾期待。為此，政府部門盡可能向公眾披露健康碼使用的數據和運算的邏輯，更重要的是，應賦予公眾異議并獲得合理說明的權利。事實上，政府部門也已改弦易撤，其3月11日回復說：“如果個人認為和實際不符，可通過12345熱線或糾錯功能發起申請，經縣級防控指揮部核實確認，確需修改的將在后臺完成修改工作。”但這依然不夠。根據2020版國家標準《個人信息安全規范》，健康碼作為一種自動化決策機制，應在規劃設計階段前就開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施。同時，還應借鑒歐盟《一般數據保護條例》中對算法解釋的規定，強化政府的解釋、說明職責，避免算法的關聯歧視和特征選擇歧視，并通過算法審計等技術手段予以落實。

? ? ? ?（二）健康碼的治理主體：政府、民眾與企業

? ? ? ?“只有利害相關人共同承擔責任并共同參與，在個人自由與社會需求之間，才能有平衡的關系。”健康碼的治理，亦需政府、民眾、企業參與其中。政府機關在依法行使職權的同時，應遵循其他利益攸關者的行為邏輯，充分發揮分工合作和制衡作用。

? ? ? ?就民眾而言，“綠碼”的持有者獲得了在疫情期間的行動自由，從而免遭來自不同層級、不同區域的不合理限制，這在事實上構成民眾對政府的限權。作為一個反例，截至2020年4月，北京還是少數不采用“健康碼”的城市，其“健康寶”同樣旨在查詢個人疫情期間的健康狀況，但它既不能掃碼，也沒有精確的分類，更不能直接用于通行。正如“健康寶”所提醒的：它不過是政府和企業決策的參考因素之一。從個人經驗觀察，民眾能否通行完全取決于不同場所測體溫、出示實名出入證、掃行程卡等五花八門的要求，而其背后是首都的特殊地位使然。不過，民眾在健康碼中的角色仍然是消極性的，有待從“公民科學”（citizen science）的角度，激發民眾的創造力和“積極團結”精神，運用網絡分享、匯聚和改進抗疫技術，共同應對新冠病毒。在此方面，德國值得效仿。2020年3月，德國政府發布了“我們抗擊病毒”（#WirVsVirus）的征集公告，在短短48小時內，28000多名參與者提交了超過1500個提案，其中有20個獲得財政支持。

? ? ? ?就企業而言，數據協作治理絕不意味著政府的企業化抑或企業的政府化，毋寧是各方在發揮自身優勢的基礎上，實現跨邊界的合作。健康碼依托數據資源匯聚、數字技術支撐和產品思維驅動，發揮了政企協同的效應。但另一方面，我們也應厘清各自各方職責，妥善劃定邊界。在健康碼所涉及的政府、企業與民眾三方關系中，政府部門是健康碼的需求方、發起方、推動方，是面向民眾做出最終決定的一方，其決定了健康碼數據采集的類型、內容、使用方式、使用用途，屬于《個人信息保護法（草案）》下民眾個人信息的“處理者”，企業是接受政府委托為健康碼提供技術支持、平臺接入、數據存儲等服務的“數據受托處理者”。作為數據處理者，政府承擔著數據和個人信息保護的首要責任，就收集、存儲、共享、使用、刪除等整個數據生命周期向民眾承擔直接責任，務必采取加密存儲、加密傳輸、訪問控制等相關安全措施。企業則應依其與政府達成的協議承擔合同義務和數據保密性、完整性、可用性的安全義務。為此，政府應根據《數據安全法（草案）》第37條規定，履行嚴格的批準程序，審慎選擇受托處理者、達成委托協議并監督企業履行，明確不得轉委托、泄露報告義務等義務等。不僅于此，在企業超越政府的授權留存數據，或者違反委托目的擅自開展處理行為，則視為自行決定處理的目的和方式，不但承擔違約責任，還應承擔侵害個人信息的侵權責任。

? ? ? ?政府和企業之間的數據共享是數據協作治理的關鍵，而這也是各方爭議的焦點。3月4日，韓國為抗擊新冠疫情再次修訂《傳染病控制和預防法》，要求私人電信公司、國家警察局與韓國公共衛生機構共享患者的位置數據。相反，Facebook的 CEO馬克·扎克伯格強調其不準備、也不會將用戶的位置數據大規模移交給美國政府。在中國，企業為防疫目的向政府報送數據可以《中華人民共和國傳染病防治法》《突發公共衛生事件應急條例》為依據，國家網信辦《數據安全管理辦法（征求意見稿）》第36條“國務院有關主管部門為履行維護國家安全、社會管理、經濟調控等職責需要，依照法律、行政法規的規定，要求網絡運營者提供掌握的相關數據的，網絡運營者應當予以提供”，亦可作為參考。不過，從有效規范政企關系的角度看，上述規定均失之粗疏，有待在規則層面予以細化。

? ? ? ?（三）?健康碼的治理規則：應急狀態下的數據規則

? ? ? ?現代化治理是“依規則的治理”，數據治理概莫能外。鑒于健康碼使用的數據涉及姓名、性別、出生日期、民族、身份證號碼、電話號碼、戶籍地市、家庭住址、出行方式、行蹤軌跡、車牌號碼、精準定位信息、健康狀況、個人職業、通信記錄、診療信息等大量個人信息，個人數據保護規則自然是重中之重。正如歐盟數據保護委員會在《新冠病毒爆發期間處理個人數據的正式聲明》中所表明的：“個人數據保護規則并不妨礙針對病毒大流行采取的措施。與傳染病作斗爭是所有國家共同的寶貴目標，因此，應以最佳方式予以支持。”個人數據保護與挽救生命之間并不是非此即彼的選擇，而是即此又彼的權衡。可與此同時，我們也應清醒地認識到：健康碼規則是調控緊急事件的“非常規則”，它具有應急法律固有的授權性、預防性、必要性、臨時性特征，一旦疫情防控從急性、超常規轉向常態化，相關治理規則甚至健康碼的存廢即需要重新評估。

? ? ? ?在數據收集環節，無論是歐盟《一般數據保護條例》（GDPR）第六條（d）“為保護數據主體或其他自然人重大利益”或第六條（e）“公共利益目的執行任務或數據控制者履行所賦予的公共職能所必要”，還是我國《傳染病防治法》和《突發公共衛生事件應急條例》，均賦予國家機關在履行法定職責時收集個人信息的權力，而無需取得個體同意。《民法典》1036條也將“維護公共利益”作為處理個人信息不予承擔民事責任的事由之一。《個人信息保護法（草案）》第13條第4項進一步明確“為應對突發公共衛生事件”構成個人信息處理的合法性依據。但是，這種授權并非沒有邊界，而應受到三重制約：一是收集機關的制約。當前，基層自治組織、公共場所經營管理者、社區組織以及公安、交通、海關、市場監管、工信、網信等行政部門紛紛通過線下或線上方式獲取個人信息。對此，一方面應根據中央網信辦《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，將突破同意原則收集信息的主體限于國務院衛生健康部門及其授權機構，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。另一方面，應以健康碼申報、展示和授權查詢的功能為前提，推動《公共場所新型冠狀病毒感染的肺炎衛生保護指南》項下辦公樓等場所管理者以及《突發公共衛生事件應急條例》項下基層、社區組織登記工作的電子化，除異常體溫信息外，禁止其他信息的線下收集。二是收集透明度的制約。在收集時，個人的知情權應得到充分保障，政府機關應當按照《個人信息保護法（草案）》第18條的規定，以簡潔、易于理解的語言，以顯著方式明示處理者的身份、聯系方式，個人信息的處理目的、方式、種類和保存期限，并告知個人行使個人信息權益的方式和程序。例如，上海市“隨申碼”、廣東省“粵省事”和貴州省“貴州健康碼”均以用戶協議、隱私政策的形式，對用戶予以告知。三是收集范圍的制約。《網絡安全法》第41條下“合法、正當、必要”的要求和《個人信息保護法（草案）》第6條下“最小范圍處理原則”仍應遵循，收集活動以達到預防或遏制疫情擴散之目的，信息類型應限于基礎性的身份信息（姓名、身份證號、聯系電話）、健康信息和行蹤軌跡信息以及家庭人口信息、工作單位信息等與密切接觸者必要關聯信息，至于民族、政治面貌、收入、學歷、身高、血型、婚姻狀況、微信號等其他信息顯然超出了“防疫必要”的范圍，理應禁止收集。

? ? ? ?在數據使用和共享環節，個人信息權益應受到更多的尊重。基于目的限制原則，個人信息不得用于與疫情防控無關的目的。同時，受制于《個人信息保護法（草案）》第34條“國家機關在履行法定職責處理個人信息，不得超出履行法定職責所必要的范圍和限度”之規定，即使在上述目的下，個人信息處理也應秉持“比例原則”，充分考慮公民的人格尊嚴和人格自由，盡量采取“去標識化（de-identification）或“匿名化”等損害最小的處理方式，保證手段與目的之間合理、適度、相稱，不能因小失大、得不償失。另外，數據的“整體治理”并不意味著大塊頭（one big lump）的政府，它并不摧毀職能邊界。就政府內部共享而言，健康碼涉及到個體行蹤軌跡、健康情況等敏感信息，共享范圍應當限于衛生行政部門、疾控機構和醫療機構之內，除非法律法規明確規定外，不得跨部門共享。出于聯防聯控的需要，可以向承擔職責的行政機關提供“確診者、疑似者、密切接觸者”的姓名、住址等一般個人信息的查詢功能，但不得留存和后續處理。

? ? ? ?就企業向政府報送數據而言，需要進一步確立如下規則：其一，有權要求報送的政府機關應限于國務院衛生健康部門及其授權機構；其二，報送的數據以匿名化數據優先，在匿名化數據不敷適用時，可報送假名化數據，未脫敏的個人數據僅在其他方式窮盡后方可提供；其三，報送數據的主體限于確診者、疑似者、密切接觸者，報送數據的類型限于防疫所必需的范圍內，并向社會事前公開；其四，非匿名化數據的報送呈現出一體兩面的性質：對企業而言，其屬于向第三方提供個人信息，應根據《個人信息保護法（草案）》第24條的規定，向個體告知行政機構的名稱、聯系方式、個人信息種類以及處理目的和方式；對行政機構而言，其屬于間接收集個人信息，應當履行與企業同等的處理者義務。對于匿名化數據，數據報送構成對企業經營自由的限制，報送義務的苛加應堅持法律保留、正當程序和比例原則，政府還應對數據承擔保密和安全保護責任，不得用于與防疫無關的用途，并在疫情結束后應停止處理和銷毀數據。

? ? ? ?在對外披露環節，應當禁止將“可識別特定個人的信息”向社會公眾披露。為滿足社會一般公眾對疫情狀況的知情權，僅公開流動人員統計數據以及確診者、疑似者人數、大致年齡段、確診日期、發病癥狀即可。為了提請民眾關注接觸情況和采取相應防控措施，可以將確診者、疑似者的活動范圍、行動軌跡等無法識別個體的信息片段公開，不宜將其姓名、性別、準確年齡、工作單位簡單標識化后公開，以免被公眾者結合自身掌握的其他標識，輕易識別出具體個人。

? ? ? ?在數據刪除環節，既然健康碼旨在防疫，那么在“存儲時間最小化”下，相關個人信息的儲存時間不得超過實現其防疫目的所必需。針對個體健康診療信息和行蹤軌跡信息等敏感信息，可借鑒歐盟《關于支持抗擊新冠疫情 APP 的數據保護指引》，存儲期限不得超過一個月（潛伏期加少部分時間余量）。針對其他一般個人信息，可借鑒《歐洲議會和歐盟理事會關于嚴重的跨境健康威脅的決定》，存儲時間限定在疫情結束之后的12月。至于具體結束時間，可以根據《國家自然災害救助應急預案》三級響應終止之日，即由“重大突發事件”降為“較大突發事件”之日計算。當然，后續為公共利益、科學或歷史研究、統計目的仍有可能處理相關數據，在該等情況下，相關機構可以采取個人信息匿名化的措施，或重新取得個體的同意。

? ? ? ?四、結??語

? ? ? ?健康碼雖小，卻集中體現了東西方對于科技、隱私和自由的價值沖突。可正如弗朗西斯·福山所指出的，順利渡過新型冠狀病毒危機的核心并不在于文化或政體類型，而在于國家的能力。健康碼所代表的中國數據治理能力，恰恰是中國取得階段性勝利的關鍵。那種將健康碼視為“反烏托邦”夢魘的人，不免陷入了“先入為主”的觀念幻覺。另一方面，我們也毋庸諱言，在數據治理的審視下，健康碼有效性和正當性依然面臨種種挑戰，尚待在治理目標、治理主體和治理規則層面力臻完善。最后但并不最不重要的是，作為《突發事件應對法》下應急時期的應急措施，健康碼以消除非常狀態、恢復正常狀態的目的，在應急狀態結束后，健康碼也應結束自由通行證明的使命。從納粹德國到拉丁美洲，歷史一次次表明：緊急狀態的權力如同嗎啡，用之一時為良藥，用之長遠為毒品，將緊急權力常態化，終將戕害民眾對政府的信任，而信任正是國家能力之基。