视点
2020-08-03王融
王融
“健康码”折射政务服务数据规则
疫情中的“健康码”应用可以看作是“数字治理”的一场大型试验。依托数据资源汇聚、数字技术支撑和产品思维驱动,传统基于科层上报制的管理模式演化为多方参与的、动态精准化的数字治理,通过“数据流”牵引带动真实世界中“人流” “物流”“商流”的复苏与回归,实现了国家治理现代化的一次跃升。“健康码”治理模式,在未来将可能复用至其他政务管理议题,这要求我们深度反思“健康码”经验与不足,为数字治理的持续化发展塑造良好的规则框架。
解决“个人信息保護”问题,需厘清各方角色与责任
目前,关于“健康码”个人信息保护问题讨论多止步于现象本身,而忽略了最为关键性的责任主体问题。明确这一问题,需要厘清“健康码”的性质与各方角色。
从发端到全面推进,“健康码”深度卷入了政府部门(这里的政府部门包括国务院、各地地方政府、深入社区的街道办事处等各级政府部门)、互联网企业、电信运营商、事业单位等诸多公、私主体,围绕“健康码”的个人信息保护职责如何在上述主体之间分配和界定,关系到相关问题能否得到根本性解决。
“健康码”本质是政务服务,政府扮演数据控制者角色
从当前国际主流的个人信息保护法律所采纳的数据控制者、数据处理者二维规制主体框架入手,可以为“健康码”有效划定各方责任边界提供参考。
政府部门在“健康码”政务服务中处于“数据控制者”角色。同其他数字政务项目一样,“健康码”是政府部门在疫情特殊时期发起的数字化管理项目。政府在“健康码”中扮演了强有力的角色,是疫情和复工管理的需求方、发起方、推动方和最终实现方。政府部门决定了“健康码”应用中数据采集的类型、内容、使用方式、使用用途。
“健康码”政务项目中政府和企业的责任与边界
作为“数据控制者”的政府部门,应当在“健康码”政务项目中践行数据保护基本原则,包括:
1)合法正当原则。当前在疫情特殊时期,为保护公众生命健康,政府部门可依据《传染病防治法》《突发公共卫生事件应急条例》的相关授权,收集并处理相关信息。2)目的明确、必要、最小化原则。政府部门作为控制者,在确立数据收集范围和使用方式时,应当限制在疫情相关的必要范围内。3)透明原则。当前,政府部门在推行“健康码”过程中,正在探索各类透明公开的方式,保障用户知情权。4)质量原则。目前大部分“健康码”应用服务,都可以为用户提供查看和更新入口。5)责任和安全保护原则。“健康码”汇聚了海量公民个人信息,并且有相当敏感的医疗健康信息、轨迹信息,这对数据安全提出了更高挑战。
作为“数据处理者”的企业主体,除了遵守上述数据保护基本原则外,还应根据自身的独特角色,贯彻以下法律义务,包括:严格在政府受托范围内处理数据,数据不得利用于企业自身运营目的。承担相应的技术服务时,不得未经政府同意,擅自转包。