前沿 | 沈伟伟：疫情结束后，健康码数据应否打包删除？

编者按

据媒体报道，河南一家村镇银行的外地储户因线上取款难而亲自前往郑州，但其到郑州进行个人信息登记后，健康码突然由绿转红。而根据河南省防疫政策，该储户不存在需要赋红码的情形。此事引发公众对健康码滥用的担忧。自健康码推出之时，就有学者对健康码克减个人权利提出隐忧，今日重温沈伟伟副教授曾发表的学术论文部分章节，以探求健康码合法使用之道。

沈伟伟

中国政法大学法学院副教授

本文为“蓟门决策”精编节选版。如体验完整版，请点击文末“阅读原文”。

尽管法学界对于当前疫情防控已有不少讨论，但由于受到学科研究方法和视野的限制，它们大都将研究对象局限于具备形式化特征的规范文本，而很容易忽略法律规范在数字时代实际适用中的技术实践难题。正因如此，要理解和应对疫情防控下数字紧急状态的困境，就必须在研究方法和视野上打破形式主义和文本主义的桎梏，从具体技术实践场景出发来考察法律规范。

本部分就是这样一个尝试，它将借助健康码规制这一具体技术实践场景，着重论述针对健康码的数字紧急状态恢复机制，亦即，在健康码场景下，如何将“权力—权利”的紧急状态失衡，恢复到日常状态平衡？具体而言，笔者将结合网络规制理论中的技术架构要素，分析隐私加强技术措施的局限性，并讨论被遗忘权制度在健康码的数字紧急状态恢复机制的作用和意义。

隐私加强技术措施的局限性

无论是对于个人信息保护的整体制度建构，还是针对健康码的具体恢复机制，我们都有必要考察技术这一要素。正如劳伦斯·莱斯格（Lawrence Lessig）所言，在数字时代，技术决定规制情境，它是数字时代尤其值得重视的规制要素。

数字时代疫情防控利用技术来实现个人信息保护，主要涉及两类方案：第一类是针对信息收集和使用环节的技术反制手段，通过相对保守的隐私加强技术措施，来缓解公权力对于公民隐私的侵犯；第二类是针对信息储存和流转环节的技术删除手段，采取更为激进的被遗忘权制度，附条件删除系统中的个人信息。接下来，将分别讨论这两类方案。

首先，我们来考察针对信息收集和使用环节的技术反制手段。基于“将隐私融入设计”（Privacy by Design）这一思路，不少学者已提出，通过加密技术、区块链技术、蓝牙追踪技术等隐私加强（Privacy Enhanced）技术措施，作为技术反制手段来缓解健康码所引发的个人信息保护危机。其中，被讨论和应用最广泛的，是以蓝牙技术为基础的接触追踪（Contact Tracing）技术。通过这类技术，用户在智能手机上安装应用，注册个人信息，授权应用使用手机的蓝牙功能，与其他临近区域内运行该应用的手机交换经加密的设备识别信息，并各自将收集到的识别信息存储在手机本地；一旦某个安装了应用的手机用户被确诊感染新冠，此时系统会通知曾经出现在感染者近距离接触的其他用户，而后者被通知接触风险的同时，也会被系统标示风险，提示与后者近距离接触的其他用户相应级别的风险。其技术特色，就是以去中心化的方式，最小化信息收集和使用——尤其利用蓝牙技术替代设备定位技术，从而无需收集地理追踪信息。而目前该技术在新加坡也取得了比较好的应用效果。

如果把隐私加强技术措施作为日常状态下对抗公共信息监控的手段，当然有其合理性。然而，若是作为紧急状态后的恢复机制技术措施，只能是为时已晚。如前文所述，这类隐私加强技术措施针对的是个人信息的收集和使用环节，其奏效的前提条件是必须先行部署。而事实上，在新冠疫情来袭之时，我国健康码技术措施是应激性的、突破自愿授权原则的个人信息收集和使用，短时间内根本来不及做精细而具体的技术开发和应用。时至今日，大量底层个人信息已经被收集和使用，这些信息和数据，并不会因为采取了隐私增强技术而自行消失。换言之，即便隐私增强技术可以有效防范信息的过度收集和使用，但对于以往的收集和使用的信息起不到任何保护效果。如此一来，这些大家热衷讨论的、可以被嵌入到当前健康码中的隐私加强技术，很难起到宪法意义上的恢复国家权力和个人基本权利平衡之回溯效果。

从现实角度出发，在新冠疫情期间，我国在紧急状态下应激式地采取健康码，它的主要目标并不是、至少不主要是平衡国家权力和公民基本权利，而是在日常法律悬置的特殊时期，最大限度地控制住疫情。对于我国采用的健康码，其在个人数据方面有着如下几个特性：无差别全员收集、实时收集、事无巨细、易跨平台复制转移认证、可长期保存等。这些特性决定了健康码对公民隐私权在某种程度上可能造成威胁。因此，针对健康码的紧急状态恢复机制的关键，便是将健康码已收集和使用的信息，在储存和流转环节进行规制，力图尽力恢复原状。这不是为了一劳永逸地处理数字时代隐私威胁，而是仅仅针对健康码这一紧急状态下的特殊防控措施，通过恢复机制的设计，尽力还原到疫情发生之前的日常状态。在某种程度上可能带来威胁。

综上所述，数字时代疫情防控所引发的公民隐私权利问题的症结，无外乎个人数据因紧急状态而被收集之后难以恢复日常状态下的原状。因此，本文认为，面对底层个人信息已被大规模收集和适用的现状，若要恢复日常状态，亡羊补牢式的隐私增强技术不是一个可行选择，被遗忘权才是标本兼治的对策。下文就将着重论述这一对策，并对可能的反驳做出回应。

被遗忘权与数字紧急状态恢复机制

通说认为，被遗忘权是指公民有权在满足一定条件下，要求掌握其个人信息控制者或处理者删除特定的个人信息。虽然把遗忘作为一项公民基本权利来对待早已有之，但在数字时代首次系统性地阐释“被遗忘权”概念的，是维克托·梅尔·舍恩伯格（Viktor Mayer-Schonberger）。他在《删除》一书中指出，在个人信息数字化、存储介质越发廉价、网络全球化的数字时代，“记忆是常态，遗忘成例外”，并由此出发，通过分析遗忘在社会生活中的重要性，来阐释数字时代被遗忘权的必要性，并提出一个恢复到前数字时代遗忘机制的制度构想。

此次新冠疫情防控下的健康码，可以作为舍恩伯格“记忆是常态，遗忘成例外”论断的完美注脚。如第二部分所述，政府和企业合力，通过紧急状态开启的正当性窗口，应激地、未经系统论证地收集和使用公民个人信息，并进行大规模持续监控。以往，借助人脑记忆力、人类寿命和传统信息载体，遗忘机制得以自然运行；如今一旦数字化——就像健康码疫情防控所呈现的这样——自然遗忘机制彻底失灵。你可能不会记得2000年的一场重感冒，但2020年的一次小感冒，健康码都帮你记得明明白白。之所以如此，是因为数字时代的记忆和遗忘机制已经发生根本性转变，数字紧急状态下所收集的个人信息，如若不加干预，都将被永久记忆。

此次健康码所涉及的、可能被永久记忆的个人信息，主要包含两类，一类是公民健康信息，另一类是公民行为信息。这两类中包含了健康生理信息、生物识别信息、行踪信息、过往病史（尤其是绝症、新冠、性病、妇科疾病等）等，它们这些信息大多属于《个人信息安全规范》和《个人信息保护法（草案）》中的“敏感信息”。可以想见，如果在疫情结束之后这些敏感信息未被遗忘，而继续在公权力机关和互联网企业留存，“一旦遭到泄露、非法提供或者滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或者歧视性待遇等”。那些在疫情后保留的且在疫情后无涉公共利益的个人敏感信息，随时可能转变成数字时代的“红字”或者“黥面”。例如，一位完全从新冠中康复的患者，如果健康码所收集的底层信息和敏感信息被永久留存和不当公开，则可能导致这位已康复的患者在一定时期内遭受歧视，而这种歧视并不会带来任何健康码推行时所应对的疫情防控层面的提升。从公法角度，更为紧要的是，诸如地理位置、行踪信息等敏感信息，直接触及国家权力与公民基本权利的这一对张力，这也是美国自由派法学家在两大国家收集公民行踪信息案件——琼斯案和卡彭特案——中的核心关切。一旦引入时间维度，从紧急状态到恢复后的日常状态，我们便可以从宪法紧急状态层面，观察到公民基本权利遭受侵蚀及其不合理性——起初，紧急状态赋予了公权力机关临时限制公民基本权利的正当性，然而紧急状态一旦结束，这些限制便不再具有原先的正当性。

在数字紧急状态结束后引入被遗忘权，恰恰是为了从公民隐私保护角度出发，恢复日常状态的“权力—权利”平衡。根据GDPR这一现有关于被遗忘权最整全的规定，除了数据主体有权要求控制者删除其个人数据这一典型主张之外，被遗忘权还适用于如下四种情形：①个人数据对于实现其被收集或处理的相关目的已不再具有必要性；②数据主体撤回先前同意；③已经存在非法的个人数据处理；④数据主体反对使用个人数据用于营销。在2020年10月全国人大公布的《个人信息保护法（草案）》中，提出了被遗忘权适用的几种情形：①约定的保存期限已届满或者处理目的已实现；②个人信息处理者停止提供产品或者服务；③个人撤回同意；④个人信息处理者违反法律、行政法规或者违反约定处理个人信息；⑤其他情形。具体到数字紧急状态的恢复机制，被遗忘权更多体现出来的，是作为对公权力机关权力扩张的限制，尤其是要求公权力机关在数字紧急状态结束之后，集中删除或清理个人信息。这在某种程度上，也拓展了原有被遗忘权被作为一项个人民事权利所遮蔽的公共权利属性。

反对被遗忘权的观点大致可以分为如下几类：保障公民的知情权、保护言论自由、企业负担过重、技术方案欠佳。前三个质疑都与本文无关，原因在于它们都是基于日常状态之中的法理讨论，而本文的努力恰恰是希望搭建回归日常状态的恢复机制，属于日常状态之前的讨论。但最后一个质疑，确实也存在于紧急状态与日常状态之间，直接影响到恢复机制的成效。在持此观点的学者看来，数字技术已经给“遗忘”下了死刑判决，设置被遗忘权也只是徒劳。但笔者认为，该观点低估了技术的可塑性，这在下一节将展开论述。在实践上，尽管数字技术给遗忘带来了很大挑战，但是目前欧盟GDPR实践以及美国未成年人信息删除实践，均为被遗忘权的成效——尽管还谈不上彻底胜利——提供现实例证。与此同时，被遗忘权还不仅仅是在技术层面，从更为宏观的社会治理层面上看，被遗忘权的规范化还可以带来桑斯坦所称的“法律的表达功能”（Expressive Function of Law），即便最后执行困难，但也将传达法律规制的信号，这种信号会转化成行政诉讼风险、企业合规风险、个人违法风险等，被融入到国家、企业、个人的具体信息实践中。当然，作为介于日常状态与紧急状态之间的恢复机制，被遗忘权的规范化努力，仍可以从日常状态的法律规范中汲取思路。

总之，本文所提出的以被遗忘权为基础的恢复机制，与其说是一种自由主义式的、主张赋予公民个人权利的机制，毋宁说是在紧急状态回归日常状态的恢复过程中，一种规范个人信息储存和流转的机制。这一恢复机制要求国家和企业，把紧急状态临时越界的那只无形的监控之手，在紧急状态结束后从公民身上缩回去。如果从“权力—权利”平衡的角度出发，那就是从紧急状态下应激式的失衡，回归原先日常状态下的平衡。

恢复机制中被遗忘权应用的具体措施

从技术角度而言，数字时代的技术确实便利了疫情防控个人信息的收集和使用，也大大增加了个人信息被遗忘的难度。但与此同时，技术的可塑性，也给规制留下了其他可能性。换言之，“不可被遗忘”不是技术上的必然，“可否被遗忘”、甚至“何时何处被遗忘”亦是技术上的选择。具体而言，利用技术的可塑性，健康码可以精确地被设计来服务于恢复机制。比如，通过事前设计、事后修改健康码，完全可以嵌入恢复机制理念，将特定个人信息在疫情结束后被删除，甚至根据具体监控场景需求，设置特定个人信息的定制化生命周期。实践中，政府在疫情彻底结束后，应当主动采取相应的个人信息删除措施，并激励健康码的企业运营方，在技术层面上实现特定个人信息“被遗忘”。

即便能通过技术架构，实现个人数据“被遗忘”，但我们还需要回答一个前置问题：到底哪些个人数据应当被遗忘？

被遗忘权的制度设计，为的是保证个人隐私恢复到原初日常状态。因此，所有紧急状态前未收集的底层个人数据，无论其如何被使用、被储存在何处，除非重新获得用户授权，均应被销毁（见表2）。之所以没有在此区分普通个人数据和敏感个人数据，除了这一区分本身存在争议之外，更根本的原因在于此处考察的是宪法上的个人基本权利恢复这一笼统问题，而非具体民法上的隐私权边界这一细节问题。

基于相同理念，对于紧急状态前已收集的个人数据，假如依旧以数据控制方原初声明目的使用，那么这些数据无需被遗忘。比如有些小区进出入的刷脸扫码，早在新冠之前就已获用户授权使用，并在新冠疫情防控中被纳入到健康码继续发挥作用，在这种情况下，即便疫情完全结束，也无需被遗忘。但是如果在紧急状态之下，转移他方使用，那么他方就有义务删除所获数据，除非重新获得用户同意。同样，如果在紧急状态之下，先前已收集的个人数据与他方数据对撞分析，那么除非重新获得用户授权，否则数据控制方就有义务切断数据汇通渠道。当然，对于公共数据和已公开的个人数据（如公共健康报告、疫情统计等），则无需纳入被遗忘权机制中，这些信息可以继续为公共和私营服务所用。

值得注意的是，当健康码长时间推行之后，人们的生活方式可能随之发生变化。健康码的一部分应用场景，可能发展成社会管理新措施，比如健康码的追踪功能比以往电子政务中的社保码、电子健康卡等更有利于实现流动人口治理，而且整个社会也可能在疫情过后已经适应了这种新型数字治理模式。同时，公民也完全有可能在某些场景下主动使用健康码，以享受其带来的便利。本文所提出的数字紧急状态恢复机制，并没有把这些可能性完全封闭：一方面，从影响范围上看，数字紧急状态恢复机制只针对国家权力扩张和公民基本权利限缩的部分措施，无涉其他不影响“权力—权利”天平的公共服务措施；另一方面，即便恢复机制确实影响到“权力—权利”天平，如有必要，也可以要求数据的控制方、处理方“重获用户授权”。在这一重新授权的前提下，公民仍然有权选择回到紧急状态中健康码的某些应用环境。在条件允许的情况下，还可以通过自主性更高的数据可携带权制度，保证用户继续转换平台使用健康码所提供的某些服务。这一点，在疫情结束后，健康码所带来的政企联动逐步转为政企脱钩，尤其具有现实意义。

可能的质疑与回应

当然，可能会有学者怀疑：如果疫情卷土重来，还需重启健康码怎么办？这不是不可能。就像战争和戒严一样，公共卫生事件的紧急状态同样可能卷土重来。但从宪法理论角度回应并不困难：再重新启动一次紧急状态。一旦紧急状态结束，大量个人敏感信息（比如疫情期间去了哪、见了谁等等）就不再具有任何新冠疫情防控的价值。如果疫情卷土重来，那么可以继续启用健康码采集全新的、实时的个人信息。在数字时代，这种重启收集个人信息的手段，成本比起前数字时代要低得多。更何况，不同传染病的病毒来源、传播方式、致病机理、变异阶段等都不尽相同，可能比新冠更严重，也可能比新冠更轻微，相应的公共健康危机防控的信息处理机制也必然有所差别。若是为了防范疫情卷土重来便让健康码常态化，充其量只不过一种刻舟求剑式的解决办法。

此外，也可能有学者质疑：如果本文最终政策建议的目标是为了“权力—权利”平衡，那么在国家权力通过紧急状态获得临时性扩张之后，除了利用被遗忘权将国家权力限缩到原初状态之外，有没有可能通过公民基本权利的赋权，让其与已扩张的国家权力保持一个新的均衡？从宪法理论上，这当然也不失为一种“权力—权利”平衡的进路。比如《美国权利法案》第2条就是典型——通过赋权公民持枪对抗政府，至少在当时达到“权力—权利”均衡的立法目的。但在笔者看来，这类公民赋权的思路，在数字时代几乎不可能实现。一方面，公民个人的技术能力相较于国家和互联网企业差距极大，这就将导致即便赋权，公民也无法充分实现权利。另一方面，这类通过赋权公民来实现均衡的思路，依然没法防范个人信息随着技术新发展导致的新开发、再使用。这就类似于美国《权利法案》第二条如今面临的尴尬境遇——公民持枪权设计得再精妙，但仅凭公民手里的枪械，如今也根本无法面对国家军队更先进的武器。

结语

此次新冠疫情是一种极端状态，无论是抽象的宪政制度，还是具体的经验生活，在这样的极端状态面前都面临不凡考验——一方面，它可以像“压力测试”那样，试探国家权力和公民基本权利的边界、甚至裂痕；另一方面，它也给法学研究者以扑面而来的切身感受和体悟，让我们得以从平常所不太容易察觉的视角，重新认识法律与秩序、紧急状态与日常状态、政企联动等理论问题。正是更突出的宪政问题和更强烈的身心刺激，启发笔者思考我国宪政框架的紧急状态制度，并以健康码为案例，剖析恢复机制对于平衡国家权力和公民基本权利的理论和现实意义。

尤其值得一提的是，此次新冠疫情恰逢《数据安全法》《个人信息保护法》紧锣密鼓的立法阶段。区分日常状态与紧急状态的意义还在于，我们应当将一部分非常规数字防控措施（比如健康码）归为紧急状态下的特殊措施。这么做，是为了避免给针对日常状态的《数据安全法》《个人信息保护法》立法打上过严或过松的、仅适用于紧急状态的补丁，毕竟这两部正在起草中的法律将要处理的是日常状态的数据安全和个人信息保护。我们不能忘记美国9·11之后仓促上马的《爱国者法案》这一前车之鉴——国家公权力和企业私权力通过紧急状态过后的立法，导致权力扩张的常态化。我们也不能忘记一个世纪来，思想家们的不断提醒：现代国家权力在紧急状态后，往往意欲常态化“权力—权利”失衡的倾向。这也是本文最后建议采取更激进的被遗忘权制度的内在动因。

综上，本文借助健康码，分析数字紧急状态的恢复机制，不仅指出了恢复机制作为一项制度性建构在数字紧急状态中的必要性，也揭示了被我国传统宪法理论所遮蔽的、其与主权学说有关讨论的关联脉络。本文处理的是数字紧急状态下公共卫生危机的问题，但由此所阐发的思考，并不限于此。当今的恐怖主义、甚至风险社会，也与传统的紧急状态有所不同，如此看来，阿甘本所指出的紧急状态常态化的论断似乎越发具有生命力。也正是在这一节点，本文对于紧急状态向日常状态恢复的讨论，有着超出数字紧急状态的意涵。当然，笔者更希望这些思考有助于我们理解紧急状态疫情防控措施的复杂性和政治意涵，期待能抛砖引玉，带来更多对于具体制度建构的讨论。