陈一飞

（四川大学 法学院，四川 成都 610207）

引言

自浙江省杭州市于2020年2月份率先推出“杭州健康码”以来，在获得国家层面的支持后，①参见章卉：《杭州健康码全国推广》，《浙江日报》2020年2月17日。全国各地陆续上线健康码，以极快的速度在全国更大范围内、更加普遍地推行开来。社会公众对健康码的关注与讨论也迅速增加。

面对健康码的大规模推行，国内对健康码的批评一直未停歇，除了对一刀切的“扫（出示）码通行”规定有意见，更多则是对健康码采集处理公民个人信息的不满与担忧。一方面，对健康码采集处理公民个人信息进行疫情防控的有效性有所怀疑，②参见许可：《健康码与国家治理现代化》，《经济日报》2020年2月9日。认为其形式作用大于实质作用，真正的病毒感染者或者无症状感染者并不能通过健康码识别发现，所采集处理的大部分个人信息是无关之人的信息，实无必要。另一方面，担忧健康码采集处理公民个人信息的安全性问题，存在“谁有权采集处理公民的个人信息？采集后的公民个人信息由谁控制？采集处理的公民个人信息的范围为何？是否会造成公民个人信息的泄露和滥用？”等等疑问。①对于健康码采集处理公民个人信息的担忧，参见高艳东：《推动健康码从“应急码”成为“法定码”》，《学习时报》2020年10月16日；陈禹衡、陈洪兵：《反思与完善：算法行政背景下健康码的适用风险探析》，《电子政务》2020年第8期；方兴东、严峰：《健康码背后的数字社会治理挑战研究》，《人民论坛·学术前沿》2020年第16期。随着国内新冠疫情逐渐得到控制，进入疫情防控的常态化阶段，大规模推行健康码用于防控疫情是否具有可接受性、正当性，作为一个复杂的社会工程，尤其是该措施在发挥一定作用但同时伴随着诸多问题时，很难笼统地给出肯定或否定的答案。②参见沈岿：《社会信用体系建设的法治之道》，《中国法学》2019年第5期。笔者认为，作为一种数据化、科学化的疫情防控措施，健康码采集处理公民个人信息确实有其积极意义，但也存在局限性；从宪法着眼，宪法的基本原则和公民基本权利与义务条款为其设定了框架，只有真正按照宪法基本原则与规定对其加以形塑，才能更好地发挥其正向效用。

为展开论证，本文将首先描摹健康码采集处理公民个人信息的现实图景，为后文的渐次展开奠定基础；其次，分析其正向效应和有效边界；而后，着重阐释我国宪法的基本原则和公民权利义务条款对健康码采集处理公民个人信息的约束；最后，在分析前文的基础上，探索健康码采集处理公民个人信息的宪法法治化路径，让其在宪法框架内实现良好的社会治理效果。

一、健康码采集处理公民个人信息的基本面相

（一）大范围、宽领域、多层级推行

2020年2月中旬，随着国内新冠疫情联防联控工作有序推进，新冠疫情防控形势逐渐稳定，迫切需要及时复工复产恢复社会经济秩序，健康码作为统筹疫情防控和复工复产的防疫工具应运而生。③参见陆乐、王波、叶诗蕾、黄娜：《全省各地健康码陆续上线》，《浙江日报》2020年2月16日。健康码是通过采集公民个人的健康信息、身份信息、人际关系信息以及行动轨迹信息等真实数据，借助大数据技术对公民个人信息进行处理，分析出公民感染新冠肺炎病毒的风险，对应生成不同颜色的二维码，进而对公民进行监控和区分，达到防控和阻断新冠疫情传播的效果。在获得国家肯定之后，健康码在全国范围内展开，从中央到地方、东部到西部，大范围、宽领域、多层级推行，遍及全国各地大大小小的城市和农村，深入到居民生产生活、交通出行的方方面面。基本上所有具有出行需求的公民都被要求填写自己的个人信息和使用（出示）根据个人信息生成的二维码，来决定是否可以搭乘交通工具、进出某些场所以及是否需要进行隔离等。有学者精准地将国内健康码使用图景概括为“全员、全域、全时、全息、全识”。④参见方兴东、严峰：《健康码背后的数字社会治理挑战研究》，《人民论坛·学术前沿》2020年第16期。“全员，即几乎覆盖了当下城市社会中的每一个人。全域，几乎覆盖了所有的乡村和城市。全时，数据获取具有即时性和动态性。全息，结合平台之上的用户个人数据，存在众多可扩展性。全识，国家背书与认可，全民使用和默认。”

（二）政府主导下公私联合推动

健康码的推出和实施，以及能够顺利采集处理公民的个人信息进行疫情防控，是政府、市场主体、社会组织和社会公众等共同努力的结果。健康码的推广落地，首先是来自政府层面的支持鼓励，最先是杭州、深圳等地方政府出于新冠疫情防控的考虑，指导相关部门开发健康码信息平台。⑤参见韩一丹：《杭州健康码：一场转“危”为“机”的创新实践》，《杭州》2020年第4期。之后在国家联防联控工作机制的统一协调下，阿里巴巴和腾讯等互联网平台企业参与到全国范围的健康码开发运营中。①参见方兴东、严峰：《健康码背后的数字社会治理挑战研究》，《人民论坛·学术前沿》2020年第16期。阿里巴巴和腾讯等市场主体凭借其人力物力和技术优势迅速搭建起健康码信息平台，依靠前期积累的巨大用户量和信息量，在很短时间内就将健康码推向全国，使其成为新冠疫情防控的重要技术手段。政府和互联网平台企业在健康码采集处理公民的个人信息过程中扮演着重要角色，成为掌握控制公民个人信息的关键主体。除了政府和互联网平台企业等市场主体，社会组织和公众在健康码的宣传推广和具体落实上也起到了重要作用，如基层社区通过拉横幅、出入检查等方式引导公众使用健康码，社会公众使用智能手机配合信息填报支持健康码信息平台对个人信息的采集和处理等，这些都是健康码发挥疫情防控作用的重要助力，可以说没有公私联合推动，健康码难以取得实效。

（三）基于个人信息权利的让渡

健康码能获得公民的个人信息并进行分析处理，本质上是基于公民对个人信息权利的让渡。通常认为，个人信息权利是本人依法对其个人信息所享有的一定的支配、控制并排除他人侵害的权利的统称。面对国内新冠肺炎传播扩散的紧急情况，公民如实填写自己的个人信息，让渡出部分个人信息权利，支持健康码采集和处理个人信息用于疫情防控和风险评估，配合国内新冠疫情联防联控工作大局。有学者运用英国人类社会学家玛丽·道格拉斯的理论②参见［英］玛丽·道格拉斯：《洁净与危险——对污染和禁忌观念的分析》，黄剑波等译，商务印书馆，2018。玛丽·道格拉斯曾对社会权力作出分析：社会中存在着正式的权力、产生于各种结构缝隙当中的初步权力、对违背社会结构之反应的污染的权力。，来分析健康码信息采集权、运用权的确权问题，认为健康码所涉及的公民个人的健康信息、身份信息、人际关系信息、行动轨迹信息等绝大部分是由市场主体完成采集，当前没有明确的法律法规来确定健康码采集处理的程序、内容、边界等，但面对新冠疫情肆虐传播风险又确实有采集处理公民个人信息的现实需要，因而拥有信息优势和技术优势的市场主体便自然拾得了对这些个人信息的采集权和处理权，即产生于结构缝隙当中的初步权力。③参见王海明：《杭州健康码：风险治理的地方创新及其扩面推广之完善》，《浙江学刊》2020年第3期。该文认为，国家治理框架下，各级政府由上而下依法获得获得正式的权力。但是，公共风险的治理形势会衍生出诸多结构缝隙，这些缝隙存在一些权力，国家法律无法做出预先确权。而且，面对高度复杂的风险形势，国家也不可能事无巨细地预先作出规制。因而，结构缝隙中的那些国家无法明确确权的权力，将被结构缝隙中具有控制优势的主体拾得。拾得结构缝隙中那些初步权力的主体，有可能是地方政府、有可能是市场主体、也有可能是社会组织或者公众个人，处于结构缝隙中的主体依据其在特定形势中的结构优势（如控制缝隙中相关的资源、距离或者关系）拾得初步权力，这种权力虽然未得到国家确权，但有一定的形势合法性。笔者认为与其说是市场主体自然拾得权力，毋宁说是公民在紧急情况让渡出自己的部分个人信息权利，服务于集体利益的保全或实现。没有公民对个人信息权利的让渡，即使市场主体拾得权力，也缺乏充分的合理合法依据。

（四）覆盖个人信息的全生命周期

相比于疫情初期全国各地的防疫关卡通过纸笔记录公民的个人身份信息、出入信息等进行疫情监控、排查和溯源，健康码不仅大大提高了个人信息采集处理的效率，而且拓展了个人信息分析处理的深度和广度。健康码基于大数据和人工智能技术应用，是一个动态的信息处理系统，其发生作用的过程涉及公民个人信息的采集、识别、汇聚、编码、加密、存储、传输、挖掘、应用、管控、删除等全生命周期。各环节之间的联系更加紧密，每一个环节都需要相应的技术和人力物力支持，任何一个环节的疏漏都可能影响健康码分析疫情风险并作出判断的准确度。同样的，对于采集的公民个人信息需要进行全生命周期的保护，任一环节的疏漏都可能造成公民个人信息被泄露甚至滥用等。

二、健康码采集处理公民个人信息的正向效应与有效边界

以上所述是从事实层面对当前健康码采集处理公民个人信息的图景进行描绘，可为下文的有效性边界和宪法界限阐释奠定基础。运用健康码采集处理公民个人信息进行疫情防控是数据化、科学化防疫的尝试，具有明显的积极作用，但也有局限性，本部分试图根据健康码采集处理公民个人信息已经显现的情况，尽可能客观地分析其正向效应和有效边界。

（一）健康码采集处理公民个人信息的正向效应

首先，健康码采集处理公民个人信息服务于疫情防控，最直接的作用是降低了新冠病毒传播扩散风险，统筹新冠疫情防控与复工复产复学，助力恢复正常的生产生活学习秩序。健康码通过采集公民个人信息，结合数据库进行分析比对，以不同颜色标识持码者感染新冠病毒的概率，决定其是否能够搭乘公共交通工具或者进出某些公共场所，在很大程度上减少了病毒感染者和潜在感染者与健康人群的接触，利用动态监测过程达到了阻断新冠疫情传播的效果。利用健康码进行疫情防控增强了新冠疫情防控的精准性，有效缓解了新冠疫情防控和复工复产复学之间的矛盾，推进返岗复工复产和返校复学顺利进行。①参见刘文静、吕维霞：《健康码应用的风险及优点》，《中国县域经济报》2020年3月23日。

其次，利用健康码采集处理公民个人信息进行疫情防控改进了地方风险治理机制，提高了地方风险治理效率和水平，促进地方治理体制和治理能力朝现代化、科学化、信息化转变。通过健康码采集处理公民个人信息，丰富了新冠疫情地方治理信息数据库，有助于打破新冠疫情防控中不同层级政府、不同部门、政府与企业之间的“信息孤岛”，为优化地方治理结构和治理效果开辟了广阔的空间。这是一次现代数据信息技术与地方风险治理相结合的有益实践，大数据和云计算等数据信息技术使得地方治理变得更加科学化和精准化，②参见吴兴智：《地方治理创新的五大发展趋势》，《学习时报》2017年9月4日。这为以后地方的数字化、科学化治理提供了丰富的资料和可资借鉴的模板。

另外，此次利用健康码采集处理公民个人信息进行疫情防控也是智慧城市、智慧社会、智慧国家建设的一次生动预演，展现了数字化、智慧化建设的美好前景，同时也发现了智慧城市、智慧社会、智慧国家建设的一些堵点和痛点。十九大报告提出要“建设网络强国、数字中国、智慧社会”③参见习近平：《决胜全面建成小康社会 夺取新时代中国特色社会主义伟大胜利》。，十四五规划和2035年远景目标纲要再次部署要“加快数字化发展，建设数字中国，建设智慧城市和数字乡村”④参见《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》。。此次健康码的大规模推行，采集处理海量的公民个人信息服务于新冠疫情防控工作，提升数字化、智慧化治理水平，是将规划和愿景付诸实践的举措，有助于探索现代信息技术融入整个国家和社会的体制机制创新和管理服务创新，实现跨层级、跨地域、跨系统、跨部门的协同管理和服务。⑤参见周民：《推进“三融五跨”构建全国一体化“互联网+政务服务”技术和服务体系》，新华网：http：//www.xinhuanet.com/politics/2017-02/07/c_129469960.htm。

（二）健康码采集处理公民个人信息的有效边界

首先，健康码采集处理公民个人信息无法完整反映公民的健康状况，不同地区、不同类型的健康码存在统一协调问题。健康码主要是依靠公民个人自主填报个人信息，存在信息瞒报、错报等情况，导致无法完整反映公民的健康状况和风险状况。另外，自健康码推行以来，各地长期存在不统一、“码上加码”的情况。①以江苏省内适用的健康码为例，除了由省政府统一发布的“苏康码”外，还有各地市发布的健康码，如淮安市的国家有关部门多次发文要求各地落实健康码全国互认、一码通行，②但直到2021年3月国家卫生健康委员会才在新闻发布会上介绍全国基本实现了健康码的“一码通行”。③全国各地诸多不同类型的健康码，一方面在公民个人信息的采集处理上存在差异，根据不同的算法，可能使得同一公民使用不同地方的健康码时呈现不同的风险预判，从而造成适用上的矛盾；④另一方面，部分地区“码上加码”的行为，给人员流通设置了障碍，不利于国内尽快推进复工复产和恢复正常的社会经济秩序。

其次，健康码在采集处理公民个人信息的过程中可能出现算法歧视，健康码程序存在误判风险。健康码是依靠人为设计开发的算法程序发生作用的，不可避免地带有算法技术的某些弊端，其中就包括算法歧视问题。研究者发现算法系统并不是绝对可靠的，其依赖于不完美的输入、逻辑和设计人员，算法程序设计偏差、测试数据偏差以及算法程序自我学习等原因都可能造成最终的算法歧视。⑤在健康码算法程序的运行过程中，算法歧视可能减弱、扩大抑或固化某些因素对评估新冠病毒感染风险的影响，导致公民在进行新冠疫情风险评测时出现误判。一旦出现误判，将会严重影响公民个人的正常生活和社会评价，侵犯公民的合法权益，带来社会公正问题，并且给新冠疫情防控工作造成困扰。⑥

再者，腾讯阿里巴巴等互联网公司在健康码采集处理公民个人信息过程中掌握了海量的个人信息数据，其凭借技术优势和资本优势，可能造成事实上的“监管俘获”⑦。面对精准防控新冠疫情和及时推进全国复工复产、恢复社会经济秩序的现实困境，政府必须及时作出应对，承担起责任，但政府在技术上相对处于劣势，开发智慧化、数字化的疫情防控工具需要人力物力和时间成本，很难在短时间内实现从无到有，因而各级政府不得不依靠阿里巴巴和腾讯等互联网企业的资源和平台。⑧从长远看，这对于政府监管和公民权利保障是极其不利的，因企业的逐利性质，互联网企业很可能凭借其技术优势和资本优势对政府监管形成束缚，扭曲政府机构对其的监管，最终使被监管行业和普通民众受损。

“淮上通”、南京市的“宁归来”等。

②2020年12月10日，国家卫健委、国家医保局、国家中医药管理局联合发布《关于深入推进“互联网＋医疗健康”

“五个一”服务行动的通知》，明确要求各地落实健康码全国互认、一码通行。2021年1月，国家发改委联合多部门发布关于做好2021年春运工作和加强春运疫情防控的意见，要求春运期间推动健康码全国一码通行，避免因扫码造成聚集。“码上加码”是个例、是特殊，确有原因暂不能与其他地区互认的，要先报告。

③参见吴佳佳：《全国目前基本实现了健康码的“一码通行”》，《经济日报》2021年3月24日。

④参见陈禹衡、陈洪兵：《反思与完善：算法行政背景下健康码的适用风险探析》，《电子政务》2020年第8期。

⑤参见陈洪兵、陈禹衡：《刑法领域的新挑战：人工智能的算法偏见》，《广西大学学报（哲学社会科学版）》2019年第5期。

⑥参见陈禹衡、陈洪兵：《反思与完善：算法行政背景下健康码的适用风险探析》，《电子政务》2020年第8期。

⑦监管俘获理论是指斯蒂格勒（G.J.Stigler）在1971年发表的《经济监管理论》一文中开创的“监管俘获理论”，该理论的主要内容是：政府建立管制起初，管制机构能独立运用权力公平管制，但在被管制者与管制者长期共存中，管制机构逐渐被管制对象通过各种手段和方法所俘虏，管制机构最终会被产业所控制，为少数利益集团谋求超额利润，使真正的守法者损失利益，结果使被监管行业更加不公平，降低整体效率。

⑧参见方兴东、严峰：《健康码背后的数字社会治理挑战研究》，《人民论坛·学术前沿》2020年第16期。

最后，由健康码采集处理的公民个人信息存在被泄露和被滥用的风险，侵犯公民的个人信息权利。尽管与依靠线下纸质方式收集公民个人信息的传统模式相比，健康码采集个人信息会经过“编码加密”和“去识别化”处理，信息泄露以及泄露后识别出个人的可能性大大降低，但从健康码的内在运行机理来看，信息被泄露和被滥用的风险难以完全消除。①参见宁园：《健康码运用中的个人信息保护规制》，《法学评论》2020第6期。公民的个人健康信息、身份信息、人际关系信息和行动轨迹信息等具有很高的利用价值，经过分析、挖掘等处理后能转化为现实的经济利益，因而在很大程度上，这些个人信息不仅面临着被黑客攻击的威胁，也面临着被政府和企业信息管理机构中的“内鬼”窃取泄露的风险。一旦这些重要的个人信息被泄露，即使经过脱敏加密处理，也可能借助一定的技术手段通过对比分析不同数据库的信息重新识别出个人，给个人隐私、个人安全以及公共安全带来现实的威胁。

三、健康码采集处理公民个人信息的宪法约束

前文第二部分主要分析了健康码采集处理公民个人信息的有效性边界，但作为一项数据化、智能化的疫情防控措施，仅仅有效还不够，还必须合法，尤其是符合宪法。依法治国首先得依宪治国，依法执政首先得依宪执政，限于篇幅限制，本部分将着重分析宪法对健康码采集处理公民个人信息的约束。

（一）宪法基本原则的约束

1.法治原则

我国1999年宪法修正案规定“中华人民共和国实行依法治国，建设社会主义法治国家”，由此将“法治原则”确立为我国宪法的基本原则，实现了从“法制原则”到“法治原则”的转变。法治是指统治阶级按照民主原则把国家事务法律化、制度化，并严格依法管理的一种方式。②参见张光杰等主编《中国法律概论》，复旦大学出版社，2005。法治是区别于人治的治理社会的原则、理念和方法，也是区别于静态的“法制”的动态法律治理过程。一般认为，法治有两项基本要求：一是要有制定得良好的法律，二是这种法律得到普遍的服从。具体到健康码采集处理公民个人信息，其需要利用公民个人的健康信息、身份信息、人际关系信息等重要敏感信息，涉及到公民基本权利的限制和克减，关系到公民个人信息权利的保护与社会公共利益的平衡，一方面要有法律规范依据进行指引，规定采集处理的主体、采集处理的范围、采集处理的程序规则以及必要的救济机制等等；另一方面，法律规范需要得到严格的执行，采集处理公民的个人信息必须按照法律规范的具体规定进行。缺少明确的法律规范指引以及未对法律规范切实做好贯彻执行，会在事实上和法律上减损公民的合法权益。

实际上我国有关个人信息保护的法律规范已经相当多。以法律为例，2016年全国人大常委会通过了网络安全法，规定了网络运营者收集使用个人信息的规则；2018年全国人大常委会通过了电子商务法，再次规定了电子商务经营者的个人信息保护义务和责任；另外，2020年5月通过的民法典设置专门章节规定了“隐私权和个人信息保护”；还有正在紧锣密鼓推进的个人信息保护法和数据安全法立法，将对个人信息隐私保护和个人信息安全作出专门规定。除了上述与个人信息保护关系紧密的法律，个人信息保护规范还散见于刑法①《中华人民共和国刑法》针对个人信息犯罪作了规定。如第二百五十三条之一：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。、消费者权益保护法②《中华人民共和国消费者权益保护法》（2013）第二十九条规定：经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。等法律之中。法律之下，行政法规、地方性法规、部门规章、地方政府规章等也有许多涉及个人信息保护的具体规范，如2019年国家网信办通过的《儿童个人信息网络保护规定》、2016年陕西省发布的《陕西省网络个人信息保护暂行规定》等等。

为精准防控新冠疫情，在保护个人信息的前提下有序利用信息技术支撑联防联控工作，国家和地方有关部门也出台了相关文件和通知，如2020年2月中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，通知明确采集处理个人信息的合法主体、个人信息采集处理应当遵循的原则以及对个人信息的安全保护要求；③参见中央网络安全和信息化委员会办公室：《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，中国网信网：http：//www.cac.gov.cn/2020-02/09/c_1582791585580220.htm。2020年3月天津网信办发布《天津市委网信办关于开展疫情防控相关App违法违规收集使用个人信息专项治理的通告》，通告明确归纳九类违法违规收集使用个人信息的行为等。④参见天津市委网信办：《天津市委网信办关于开展疫情防控相关App违法违规收集使用个人信息专项治理的通告》，天津网信网：http：//www.tjcac.gov.cn/m rtj/202007/t20200722_3088080.html。针对健康码的广泛应用，政府联合市场主体也出台了相关的技术指南和国家标准，在2020年3月推出《防疫通行码参考架构和技术指南》⑤参见《关于批准发布〈防疫通行码参考架构与技术指南〉团体标准的公告》，深圳标准促进会官网：https：//www.szstandards.com/xwzx20190611/tzgg20190611/202003/t20200309_2282074.htm l。该标准由深圳市政务服务数据管理局指导，深圳市标准促进协会发起，腾讯作为标准牵头编制单位。，在2020年4月由市场监管总局（标准委）发布《个人健康信息码》系列国家标准⑥参见《市场监管总局（标准委）发布〈个人健康信息码〉系列国家标准》，国家市场监督管理总局官网：http：//www.samr.gov.cn/xw/zj/202005/t20200501_314959.htm l。，以规范个人信息健康码相关系统的设计、开发和集成。

上述如此多的个人信息保护规范、文件通知以及技术标准，事实上已经为健康码采集处理公民的个人信息设定了法律制度框架，但法治的要求不仅仅是建立静态的法律制度体系，还需要实现依法管理国家、管理社会的动态法律治理。一方面，既有的个人信息保护规范并非完美无暇，法治原则要求对规范性文件进行必要的合宪性审查、合法性审查以及适当性审查，与时俱进对其进行立、改、废、释。相较于平常接触到的手机App或者应用小程序，健康码采集处理公民的个人信息有其特殊性和复杂性。健康码采集处理的都是个人健康信息、身份信息、人际关系信息、轨迹信息等重要敏感信息，需要基于实时准确的个人信息才有可能经分析处理后得出准确的结果以支持疫情联防联控工作，对个人信息的精度和准度要求更高，实时性更强，需要获得的权限也更多，实质上造成对公民个人的监控程度更高，侵犯公民权利的风险也更大。质言之，现有的法律制度框架能否有效规范这种新的情况以及如何规范值得注意。另一方面，法律规范制定后，更关键在于如何得到严格落实和普遍服从。以健康码统一推行为例，如前文所述，长期以来健康码存在各地不统一、“码上加码”的情况，国家有关部门多次发文要求各地落实健康码全国互认、一码通行，但直到2021年3月全国才基本实现了健康码的“一码通行”，也就是说，很长一段时间内有关的法律规范性文件并没有得到严格落实和普遍服从。法治原则为健康码采集处理公民的个人信息服务于疫情防控工作设定了框架，目前虽有相关的法律制度规范，但法律制度规范能否适应新情况、法律制度规范能否得到严格执行和普遍服从仍需要进行不断审视和思考。

2.尊重和保障人权原则

人权是指作为一个人所应该享有的不能被剥夺和让与的权利与自由。①参见张光杰等主编《中国法律概论》，复旦大学出版社，2005。人权在各国宪法文本中有不同的含义与表述，有的国家直接在宪法文本中规定人权，有的国家宪法文本中虽不出现“人权”二字，但解释上人权表现为基本权利。②参见韩大元：《宪法文本中“人权条款”的规范分析》，《法学家》2004年第4期。虽然人权的含义和表述方式有所不同，但保障人权早已成为国际社会的基本共识。我国一直注重对人权的保障，从1949年共同纲领开始，就规定了公民的基本权利，随着2004年“国家尊重和保障人权”正式写入宪法，尊重和保障人权原则成为国家的基本价值观。在紧急情况下，国家为了尽快恢复常态秩序可以对人权进行克减。面对新冠疫情——新中国成立以来我国遭遇的传播速度最快、感染范围最广、防控难度最大的一次重大突发公共卫生事件，③参见习近平：《在全国抗击新冠疫情表彰大会上的讲话》，新华网：http：//www.xinhuanet.com/politics/2020-09/08/c_1126467958.htm。怠于采取疫情防控措施保障公民的生命权、健康权等基本权利，抑或采取过于严厉的疫情防控措施过分克减公民的人格尊严、平等权等基本权利，都有违宪法上的尊重和保障人权原则。

健康码是国家为防控新冠疫情推行的一项重要举措，在新冠疫情防控的各个阶段，随着新冠疫情防控形势变化，是否过分限制公民的人格尊严、个人隐私、平等权等基本权利需要进行重复检视。一般认为，判断基本权利是否受侵害需经三步审查，一是审查是否属于权利保护领域，二是审查是否存在国家干预或者侵害行为，三是审查国家干预或侵害行为是否具有正当性，审查国家干预或侵害行为是否具有正当性主要考察其目的是否正当、是否符合法律保留原则和比例原则等。④关于宪法基本权利审查框架的内容，可参见张翔：《宪法释义学——原理、技术、实践》，法律出版社，2013；张翔：《基本权利的规范建构（增订版）》，法律出版社，2017。具体到健康码采集处理公民的个人信息，很显然公民的健康信息、身份信息、轨迹信息等重要敏感信息落入了个人隐私和人格尊严等权利的保护范围，政府和获得授权的商业组织等也存在采集处理公民个人信息等干预行为，因此判断的关键在于健康码采集处理公民的个人信息是否具有正当性。健康码的广泛应用，目的在于全面掌握新冠疫情防控形势、支撑全国新冠疫情联防联控工作，其在新冠疫情防控过程中也确实起到了重要作用。但不可否认的是，健康码采集处理公民的健康信息、身份信息、人际关系信息以及轨迹信息等重要敏感信息已经对公民形成事实上的监控，深入公民个人的私生活领域，影响公民的权利和自由。即是说，健康码采集处理公民的个人信息能通过目的正当性检视，但却很可能突破比例原则的限制。面对重大突发公共卫生事件，特别是在新冠疫情传播扩散严重期间，应当肯定，为保障公民的生命权和健康权，政府和获得授权的商业组织运用健康码采集处理公民的个人信息，虽然限制公民的部分其他权利，但仍符合比例原则，具有正当性。但是随着新冠疫情防控形势稳步向好，新冠肺炎病毒逐渐消弭，仍旧一刀切地要求公民出行必须使用健康码，抑或在健康码推行过程中对公民个人信息保护不周全，出现公民个人信息被泄露和滥用的情况，就有可能突破比例原则的限制，削弱其正当性。因此，随着疫情防控情势变化，需要对健康码适用的范围和人群进行适时调整，同时加强对采集的公民个人重要敏感信息的保护，若不特别注意和加以预防，很可能突破疫情防控的需要，侵犯公民的基本权利，违背宪法上的尊重和保障人权原则。

另外，有学者提出智慧社会背景下的“第四代人权”理论，即所谓的“数字人权”，是指在数字时代和智慧发展中作为人应该享有的权利，不同于前三代人权，它以双重空间的生产生活关系为社会基础，以人的数字信息面向和相关权益为表达形式，以智慧社会中人的全面发展为核心诉求。①参见马长山：《智慧社会背景下的“第四代人权”及其保障》，《中国法学》2019年第5期。虽然对于“数字人权”概念是否成立以及是否属于“第四代人权”仍有争议，②参见刘志强：《论“数字人权”不构成第四代人权》，《法学研究》2021年第1期。该文认为，从人权的代际划分原理来看，“数字人权”的概念即使成立，也只属于三代人权范畴的内容，可以在既有人权体系的框架内得到合理解释，没有突破既有的三代人权格局;个人数据信息类权利的出现，未构成人权的代际革新。但其提供了一个审视数字时代人权保障的新视角，数字时代的人权保障确与以往社会情景下的人权保障有所不同，数字时代的人权保障面临着更多技术性、复杂性和系统性的风险，侵犯公民自由平等、个人隐私和人格尊严等权利的手段更加隐秘，普通公众也更加难以察觉和进行有效应对。健康码是典型的新型数字信息技术的综合运用，在应用过程中需要严格规范政府和商业组织等主体对公民个人敏感信息的采集处理行为，尽量避免算法黑箱、信息泄露、监控范围扩张等问题，降低不确定的技术风险、社会风险，消减对公民个人隐私、自由平等、人格尊严、劳动就业和社会保障等各项人权可能带来的不利影响。③参见马长山：《智慧社会背景下的“第四代人权”及其保障》，《中国法学》2019年第5期。

（二）公民基本权利和义务条款的约束

1.平等权

我国宪法第三十三条规定公民在法律面前一律平等。一般认为，平等就是相同情形或事件应同等对待，没有合理的正当理由，不得对公民予以差别对待，反对任何形式的歧视性对待。健康码采集处理公民的个人信息主要涉及到三方面的歧视性问题。首先，在健康码推行初期，健康码采集处理公民个人信息针对特定地区、特定范围的所有人群，形成对特定地域人群的事实上歧视。如实践中特别针对湖北省户籍或者具有湖北省尤其是武汉市旅居史的人进行细查、严查，层层加码。其次，健康码从采集个人信息到风险结果显示都是基于具有二维码扫描识别功能的智能手机，强行要求扫描和出示健康码作为出入通行凭证，对部分没有智能手机或者不会使用智能手机的老人和小孩群体形成歧视。在健康码推行期间，国内多地出现了因没有智能手机出示健康码而无法搭乘交通工具的情况，如2020年3月江苏省镇江市镇江火车站北广场站台，因公交车司机坚持要扫健康码才能乘车，已登上公交车的老人无奈被迫下车；④参见《从疫情中老人不会使用健康码被赶下公交看所谓技术中立》，百度网：https：//baijiahao.baidu.com/s?id=1663364592270746942&wfr=spider&for=pc。2020年6月安徽大爷因没有手机无法出示健康码乘车遭拒，半月徒步千里从安徽毫州走到浙江。①参见《大爷没有手机无法出示健康码半月徒步千里露宿公园》，北青网：http：//news.ynet.com/2020/06/20/2674426t70.html。最后，健康码采集处理公民个人信息需要依靠算法技术对信息进行分析处理，介入了算法技术之后，可能带来看似平等实质上不平等的隐性歧视问题。②参见崔靖梓：《算法歧视挑战下平等权保护的危机与应对》，《法律科学（西北政法大学学报）》2019年第3期。如前所述，算法技术不是绝对可靠的，可能因为算法程序设计偏差、测试数据偏差以及算法程序自我学习等原因造成算法歧视，③参见陈洪兵、陈禹衡：《刑法领域的新挑战：人工智能的算法偏见》，《广西大学学报（哲学社会科学版）》2019第5期。更加隐秘地侵犯公民的平等权。

面对重大突发公共卫生事件，平等权要在多大的程度上让位于新冠疫情防控需要，需要进行审视。对于前两方面的问题，更多是在健康码具体运行过程中因理解和执行不当引起的歧视，已经超越了新冠疫情防控的需要，突破了比例原则的限制，对公民的平等权造成侵害。值得肯定的是，为消除对特定范围、特定人群的歧视，国家网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确要求：坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群，防止形成对特定地域人群的事实上歧视。④参见中央网络安全和信息化委员会办公室：《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，中国网信网：http：//www.cac.gov.cn/2020-02/09/c_1582791585580220.htm。针对老人和小孩等无法使用智能手机出示健康码的人群，各地也采取了各种变通措施予以解决，如健康码增加了“代领”功能、允许出示截图或者打印的纸质健康码等，规定与普通健康码具有同等效力。但具体执行效果如何，仍需进一步考察。相比于前两方面易察觉、易解决的显性歧视，算法歧视不易察觉更不易解决，在健康码采集处理个人信息过程中很可能会出现算法歧视，隐秘地侵犯公民的平等权，因而如何在利用大数据信息技术带来便利的同时克服算法歧视、实现算法正义，需要特别注意和预防。

2.人格尊严⑤在我国宪法学界，尊严是指人的尊严还是人格尊严抑或是人性尊严，三者能否等同引发了广泛的探讨。齐延平教授认为，无论在日常语言表达还是书面语言表达抑或专业领域表达中，人格尊严、人性尊严与人的尊严是通用的。笔者也倾向于此观点。参见齐延平：《“人的尊严”是〈世界人权宣言〉的基础规范》，《现代法学》2018年第5期。

我国宪法第三十八条规定公民的人格尊严不受侵犯。人格尊严的内涵在哲学领域有十分丰富的讨论和研究，相较于定义或描述何为人格尊严，在法学领域更多关注国家如何尊重并保护人格尊严，许多国家宪法直接确立了人的尊严不可侵害之原则，包括国家公权力对于任何一个人的尊严，在消极面上不应加以侵害，在积极面上负有防御侵害的保护义务。⑥参见刘志刚：《人的尊严的宪法意义》，《中国法学》2007年第1期。运用健康码采集处理公民的个人信息，可能在两个层面深刻影响公民的人格尊严。一方面，健康码虽然是防控新冠疫情的数字化、科技化利器，但通过采集公民的健康信息、身份信息、人际关系信息和轨迹信息等海量信息进行数字化分析处理，对人和人的行为进行深度监控，在很大程度上将人数据化和工具化了，违背了人是目的这一道德伦理要求，削弱了人的主体性。⑦参见洪丹娜：《算法歧视的宪法价值调适：基于人的尊严》，《政治与法律》2020年第8期。另一方面，主要涉及对个人隐私的影响，保障隐私具有天然正当性，它是人格尊严的一部分，现代国家基本都认为保护个人隐私是维护人格尊严的当然要求。⑧参见高艳东：《推动健康码从“应急码”成为“法定码”》，《学习时报》2020年10月16日。如前所述，在健康码的运用过程中，公私机构采集了海量的涉及个人隐私的重要敏感信息，深入公民个人的私生活领域，对公民形成事实上的监控。为应对新冠疫情防控需要，让渡部分个人隐私具有现实必要性和正当性，但如果超越了疫情防控需要对个人隐私进行过度干预，则有违人格尊严不受侵犯之规定。如若发生公民个人信息被泄露和被滥用的情况，对公民个人隐私和人格尊严将造成更加严重的不利影响。没有人愿意生活在一个被随时监控的环境之中，在大数据时代信息技术“阴影”之下人的尊严和价值如何安放值得思考。运用健康码等数字信息技术，应强调人格尊严的价值依归，要把维护人格尊严作为技术运用的重要价值参考，强化国家对人格尊严的尊重和保护义务。

3.通信自由和通信秘密

我国宪法第四十条规定公民的通信自由和通信秘密受法律的保护。运用健康码采集处理公民的个人信息主要涉及公民的通信秘密，所以此处详述通信秘密。传统认为，通信秘密是指公民的通信内容属于写信人、收信人（此处的“信”包括但不限于信笺、电话通信、电子邮件、传真等等）双方的私人秘密，受到国家法律保护。①参见孙国华主编《中华法学大辞典法理学卷》，中国检察出版社，1997，第426页。即是说，传统观点认为通信秘密的保护范围主要是“通信的内容”。近年来，随着宪法学界释义学的觉醒，学界开始对宪法规范有更加科学合理的解释与建构。对于通信自由和通信秘密，宪法学界有学者提出通信自由和通信秘密旨在保护私人通信空间，私人通信空间不等于存在于这一空间下的隐私、个人信息或言论，它们分属不同权利的保护范围；②参见秦小建：《新通信时代公民通信权的实践争议与宪法回应》，《政治与法律》2020年第7期。另有学者提出以“内容信息”和“非内容信息”的分层结构来重构通信秘密的保护范围。③参见张翔：《通信权的宪法释义与审查框架》，《比较法研究》2021年第1期。这些观点有助于更加全面地理解通信秘密，通信秘密保护的不仅仅是通信的内容信息，还可能包含非内容信息，甚至存在于个人隐私和个人信息之上的私人通信空间。

在健康码的使用过程中，需要用到公民个人的手机号等基础通信信息，如在微信或支付宝平台扫码登录获取健康码时需要手机号，在采集公民个人轨迹信息时也需要通过用户手机及手机信号获取所处的基站位置，查询本人前14天到过的所有地市信息。虽然健康码采集处理信息并不涉及公民个人具体的通信内容，但需要采集处理一些通信的非内容信息，这些信息仍然落入通信秘密的保护范围，在采集处理这些信息时也不能绕过知情同意原则和必要性原则，待疫情消弭及不再使用健康码时公私机构就不得随意进行采集。

4.维护国家安全和利益的义务

宪法第五十四条规定公民有维护祖国的安全、荣誉和利益的义务，不得有危害祖国的安全、荣誉和利益的行为。大数据时代，公民的个人信息具有重要价值，由海量个人信息组成的数据集合成为这个时代重要的资源，成为世界各国争夺的新高地。有学者形象地指出，一场没有硝烟的争夺大数据控制权的战争已经悄然在国家、企业和个人之间展开。④参见何渊等：《大数据战争》，北京大学出版社，2019，第2页。除公权力机构之外，腾讯和阿里巴巴等互联网企业也在健康码推行过程中接触和掌握到了海量的公民个人健康、身份、人际关系以及行动轨迹等信息，这些重要敏感的个人信息一旦被泄露，特别是跨境传输到其他国家，被其他国家加以挖掘利用，将可能给国家和人民造成不可控和不可逆的重大损失。因而，掌握海量公民个人信息的市场主体必须自觉履行维护祖国安全和利益的义务，承担对公民个人信息的安全保障责任，完善个人信息安全保障技术，加强日常技术维护防止公民个人信息泄露。健康码的开发维护人员以及能够接触到这些重要敏感信息的其他工作人员也必须自觉履行维护祖国安全和利益的义务，遵守职业道德和保密要求，在日常工作中保障公民的重要敏感信息不被泄露和滥用。

四、健康码采集处理公民个人信息必须在宪法界限内展开

宪法为健康码采集处理公民个人信息设定了框架性秩序，如何保证健康码采集处理公民个人信息符合宪法规定，如何坚持采集处理个人信息与保护个人信息的统一，①参见刘国：《个人信息保护的公法框架研究——以突发公共卫生事件为例》，《甘肃社会科学》2020年第4期。是本部分要解决的核心问题。

（一）须以法律法规限制和规范健康码采集处理公民个人信息

为了精准有效防控新冠疫情，保障广大人民群众的生命权和健康权，健康码是有力的疫情防控工具，现阶段仍有其重要价值。因而，目前需要真正思考的问题是，在运用健康码采集处理公民的个人信息服务于疫情防控时，法律法规应当如何进行更加合理的限制和规范，使其既能发挥有效精准防控疫情的重要作用，又不至于过度限制甚至侵害公民的平等权、人格尊严、通信自由和通信秘密等基本权利。宪法设定了框架性秩序，需要法律、行政法规、规章等具体规定采集处理公民个人信息的主体、程序、范围等等。需要说明的是，这并不意味着需要为健康码采集处理公民的个人信息制定专门的法律法规，一般来说通过修改有关法律、行政法规、地方性法规及规章等，或者对有关法律法规进行解释，抑或是对有关法律法规进行执法检查，就可以获得应有的效果。②参见郭延军：《采集公民民族信息的宪法界限》，《中外法学》2016年第6期。当然，修改、解释法律法规或者进行执法检查都必须恪守宪法的原则、价值与精神，任何法律规范都不能与宪法的精神与规定相背离。明确了以上要求，通过梳理网络安全法、《信息安全技术个人信息安全规范》等有关个人信息保护的法律法规以及结合《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》等有关疾病防治和应急处理的法律法规可以发现，限制和规范健康码采集处理公民的个人信息关键在坚持、遵守以及续造以下基础性规定。

一是，严格遵守知情原则，适当弱化同意原则。③参见宁园：《健康码运用中的个人信息保护规制》，《法学评论》2020第6期。我国网络安全法、《信息安全技术个人信息安全规范》等都明确规定了收集处理个人信息需满足知情同意原则。一方面，遵守知情原则是对公民作为个人信息权利主体的基本尊重，能使公民对自己被采集信息的范围、用途以及可能出现的后果等有一定的心理预期，还能对采集处理个人信息的公私机构形成必要的约束和监督。严格遵守知情原则不仅不会影响健康码作用的有效发挥，还有利于引导公私机构尊重公民的个人信息权利，树立个人信息保护意识。另一方面，面对新冠疫情此种重大的突发公共卫生事件，根据防治疾病和应急处理的现实需要，可以适当弱化同意原则，减少不必要的、人为的、故意或过失的阻碍，支持健康码采集处理信息应用于正当的疫情防控需要，维护全国新冠疫情防控大局。

二是，坚持最小范围原则。《信息安全技术个人信息安全规范》对收集个人信息的最小范围原则作了明确规定，最小范围原则能最大限度将采集处理个人信息对公民造成的影响降低到最小。健康码采集的个人信息应与实现其记录监控公民感染新冠肺炎病毒风险的功能有直接关联（即没有该个人信息则功能无法实现），以及采集个人信息的频率应是实现其记录监控公民感染新冠肺炎病毒风险功能所必需的最低频率。另外，在处理使用个人信息时，必须在原本设定的为防控新冠疫情目的范围之内，不得随意突破。

三是，对公民个人信息进行必要的加密和脱敏处理。在个人信息采集处理过程中加密和脱敏（匿名化）是重要的环节，在一些情况下，健康码采集的个人信息须符合网络安全法第42条的规定，即满足“经过处理无法识别特定个人且不能复原”的要求，此处的“不能复原”应当理解为对个人信息的匿名化处理，而不仅仅只是去标识化，如采用假名等等。加密和脱敏处理是为公民个人信息设置的重要安全阀。

四是，采集的个人信息不得随意公开更不得滥用。健康码为防控疫情所收集的个人信息，其中涉及公民个人健康信息、个人身份信息及行动轨迹信息等敏感信息，任何单位和个人未经原主同意或因新冠疫情防控需要，不得随意公开和用作它途。在健康码推行过程中采集掌握公民个人信息的公私机构要对公民个人信息安全负责，采取严格的管理和防护措施。

五是，建立健全公民个人信息退出机制。健康码采集了海量的公民个人健康、个人身份等敏感信息，新冠疫情过后不再需要使用健康码时，对这些重要敏感信息的处理将变得尤为重要，公私机构运用健康码采集的公民个人信息在使用完之后必须如实删除，不得擅自留存，防止公民个人敏感信息被泄露和滥用给公民、社会和国家带来安全风险。

（二）须严格控制公私机构采集处理公民个人信息方面的权能

面对重大的突发公共卫生事件，国家必须及时采取果断有效的措施进行防控，政府机关无疑在疫情防控过程中起着重要作用，这也意味着行政权力可能因此而扩张，从而对公民权利构成巨大威胁。除政府机关之外，部分拥有拥有资金优势、技术优势或者信息优势的私主体，也可能凭借其优势地位或者垄断地位，获得类似于公权力的某种临时性权力，同样会对公民权利产生巨大威胁。在健康码推行过程中，处于主导地位的政府和拥有技术优势的互联网企业获得了采集处理公民个人信息的重要权力，为保护公民的个人信息权利以及背后的人格尊严、平等权等基本权利，必须严格控制公私机构采集处理公民个人信息方面的权能。

一方面，公私机构在健康码运行过程中采集处理公民的个人信息必须符合法律法规的规定，按照法律程序进行采集处理，尽可能遵守知情同意原则、严格坚持最小范围原则以及对公民个人信息进行必要的加密和脱敏处理等等，承担已经采集的公民个人信息的安全保护责任，接受网信办等个人信息保护机构和公众的监督。另一方面，公私机构运用健康码采集的信息只能用作新冠疫情防控需要，绝不能成为监控公民行为的手段，必须对公私机构擅自挖掘处理公民个人信息的行为进行必要的限制和禁止，防止个人信息被窃取和滥用。

（三）对健康码采集处理个人信息的审查与救济应当是可得的

运用健康码采集处理公民个人信息，涉及公民个人健康、个人身份等敏感信息，关乎被采集信息者的切身利益，很有可能会发生纠纷，也有可能因违反法律法规规定而造成特定个人或组织的权益受损。因而，必须保证纠纷可以诉诸行之有效的解决机制，采集处理公民个人信息行为可以被特定机构审查，公民正当权益受损可以获得应有之赔偿，侵权者需要承担相应之责任。如若侵权者无需为自己的侵权行为承担责任，不需要接受惩戒，或是接受惩戒的成本小于侵犯他人的权利所获得的利益，那么侵权者就没有尊重他人权利的动力。运用健康码采集处理个人信息主要涉及公民与行政机关之间的关系，应保证针对具体行政行为和规范性文件附带审查的行政救济是可得的，完善涉及疫情案件的申诉、复议、诉讼以及调解等多元法律救济途径，保证各权利救济途径的协调衔接。

（四）适时调整乃至取消健康码采集处理公民个人信息的要求

健康码是新冠疫情防控期间的阶段性措施，随着疫情防控形势逐渐向好，需要适时调整健康码采集处理公民个人信息的要求，乃至取消健康码作为公众出行和进入公共场所通行凭证的要求，这是保障公民基本权利更为根本的举措。因为不采集处理公民的个人身份信息、健康信息、行动轨迹等信息，就不存在侵犯公民个人信息权利及其背后人格尊严、平等权等基本权利的可能。从疫情防控形势来看，可以从低风险到高风险地区逐步调整甚至取消扫描出示健康码的要求，如保留国外人员进入国内、中高风险地区人员进入低风险地区扫描出示健康码的要求，取消低风险地区之内健康码扫描出示要求，再到完全取消扫描出示健康码的要求，仅保留测量体温要求等等。在这个过程中，需要不断评估各地新冠疫情风险，运用比例原则重复审慎检视是否有继续推行健康码的必要，减少一刀切的不合理措施。

结语

虽然目前国内新冠疫情已经得到有效控制，但国际上还有许多国家仍然在遭受新冠肺炎病毒的威胁，国内新冠疫情防控已经走向常态化，健康码预计在很长一段时间内仍然是疫情防控的重要手段，仍然需要持码出行和进入某些公共场所。作为一种数据化、科学化的疫情防控措施，健康码有无未来以及未来如何，关键在于如何采集处理个人信息。用之得当，对社会治理将大有助益；用之不当，则将成为侵犯公民权利的危险工具。我国宪法为其勾勒出了框架，只有尊重宪法的原则与精神、在宪法规定的界限内采集处理公民的个人信息，健康码才能真正成为“抗疫利器”。这势必是一个逐渐校正完善的过程，考验的是正在进行的法治国家、法治社会和法治政府建设。