冯世昌

（河南科技大学法学院，河南洛阳471000）

进入大数据时代，政府采用数据治理的方式为其决策和行动提供支撑[1],体现了国家治理能力的提高与治理观念的转变。特殊时期，健康码是应对疫情防控的重要措施之一，通过内在镶嵌大数据、互联网等信息技术，利用信息共享、数字算法呈现最后的二维码颜色管控出行，防控效果明显。管理者通过二维码不同的颜色判断二维码持有人的风险状况，从而满足疫情防控的需要。客观来讲，采用电子数据产物（健康码）治理疫情“疗效显著”，但健康码自身运用过程中产生的问题不容小觑，如：法律属性不明确，运用过程中的授权性风险、功能扩张性风险和算法侵权与信息收集泄露风险需要从法律规范角度进行考量与分析，寻求规制之法，让算法程序之下的健康码与当下行政法治建设相融合，发挥其在疫情防控中强大生命力，为公共卫生安全防控和行政法治建设助力。

一、健康码的法律属性

行政机关使用健康码管控出行的办法，起源于我国杭州市余杭区，余杭区政府在满足严防严控总体要求和复工复产紧迫态势之间准确施策，联合相关部门，借助互联网企业，经过一番讨论，最终达成研发一套防疫防控应用软件的决定[2]。区域性健康码发挥强有力作用后，为满足全国居民合理出行的要求，打造全国性出行健康码随即被国务院纳入规划，国务院集合其相关部门与大互联网平台（支付宝和微信）和中国电信运营商[3]进行合作，研发出全国范围内互认互通一体的二维码，该码不同于以往的支付宝与微信支付码，仅是通过辨识二维码颜色进而起到管控出行目的的一种电子信息显示。

关于健康码的法律属性问题，至今未能定性，目前被大多数学者认可的理论为：发放健康码的行为符合行政机关裁量自动化行政行为，属于自动化行政评级行为[4]。行政评级，是指行政机关设定一些简明的评价标准，结合相对人的相关信息或者过往的行为予以定性评价，进而在此基础上进行相应分类监管的行为[5]。健康码产生步骤如下：先由行政机关将评判标准程式化于系统之中，再由相对人在线提交个人信息进行申请，最终由系统自动分配不同颜色标识的二维码于申请人设备之上。在健康码产生过程上，其生成是由系统自动完成的，因此可归属于自动化行政行为[6]。宽泛来讲，只要政府机关使用电子化、信息化设备于行政管理活动中均可归属为自动化行政范畴。但为降低理解程度上偏差，对自动化行政行为应作出限缩解释，即行政管理中行政机关大部分使用或者全部使用计算机互联网系统完成的才属于自动化行政。现实生活中，行政机关将自动化技术引入行政管理活动的做法比比皆是，如2016 年国务院“一站式在线政务服务平台”着手建设，诸多具体行政行为通过网络平台即可办理，切实实现国务院对群众的承诺,即“最多跑一次”“让数据多跑路，群众少跑路”“不见面审批”等，该现象的呈现与自动化行政密不可分。另有学者认为生成健康码的行为符合行政确认的特征。行政确认是指行政主体依法对行政相对人的法律地位、法律关系或有关法律事实进行甄别，给予确定、认定、证明并予以宣告的具体行政行为。例如公安机关进行户口登记，公证机关依当事人的申请进行的公证行为，技术监督部门对于产品质量是否合格的认定等,都属于行政确认[7]。而健康码是申请人主动申请，在对自己个人信息进行填报后，由行政机关根据互联网的数据比对进行二维码发放的行为，是对申请人近期活动范围以及有无经过风险地区进行的基本数据收集，进而对申请人状态的落实行为。仅从申领阶段分析，可以理解生成健康码属于行政确认行为是符合逻辑，但是，健康码的申领从体系上进行理解，发放并不属于对申请人是否遵守法律规范的认定，而是一种身体健康层面的法律拟定，不存在行政确认的确认基础，更何况二维码颜色的形成不是一种既定不可变的事实，只是初步定位，二维码颜色转换是实时、动态的过程，因此发放健康码不属于行政确认行为。

发放健康码的自动化行政评级行为是否具有可诉性？解决该问题要明确行政评级行为的性质，生成健康码是对个人信息在既定时间与范围内结合疫情风险区域为管控出行而作的一种分析性数据评价，行政法律关系的产生、变更、消灭并未受影响，属于一种全自动行政事实行为。行政事实行为不符合《中华人民共和国行政诉讼法》受案范围的规定，不具有可诉性。有必要指出，自动化行政存在一定法律风险，如个人信息使用风险、个人隐私与生物性识别数据保护不善的侵权风险、“算法黑箱”结果不透明的风险等[8]。自动化行政随着科技发展会逐步进入“全自动行政决定”时代，我国行政管理法律关系中还未运用机器作出“全自动行政决定”，自动化系统仅以辅助决策的地位存在。德国已经通过立法将计算机、机器作出全自动行政决定行为进行规制，2017 年修改后的德国《联邦行政程序法》将“全自动行政决定”加入法律条款之列，对其使用条件严格限定。发放健康码的行为属于全自动行政事实行为的行政评级行为，目前我国对全自动行政评级的事实行为未有立法惯例上的约束，但需要将采用自动化系统进行行政管理的风险考虑在内。

二、健康码运用中的风险

健康码内在呈现的算法赋权本质与行政机关借此实现裁量自动化与裁量半自动化的目的相符，但健康码运用过程中存在一定的风险，政府部门部分授权网络科技公司共同研发的行为，会让企业借机行使“私权力”情况凸显，健康码授权性运用风险加大；更有甚者扩张健康码功能，“一码多用”，超出健康码仅作管控出行的原始目的，渐显损害私权主体利益的风险；健康码产生之初是为了保护公民的生命健康权，与公民权利保护息息相关，但在运用过程中与公民个人信息权和个人隐私保护存在脱节之处，数据收集产生算法侵权与信息泄露风险也需谨慎对待。

（一）健康码授权性运用的风险

公权与私权运行过程中，因产生根源的不同，公权力蕴含着一种不受控制就会侵犯私权的“膨胀力量”。政府权力运行过程中，虽多次简政放权，让权力回归权利，但国家公权力仍处于强势地位，私权处于弱势地位，私权为谋求“生存”地位，转而借助公权力谋取“生存空间”的“公私合谋”情况就会发生。该种情况可从斯蒂格勒和佩尔兹曼提出的“监管俘获”理论中找到映射：监管者为了做自己的私利（该处仅指疫情可以有效防控）可能会与被监管者合谋[9]，而一旦“俘获”监管者所获得的收益高于成本，那么被监管者则会想方设法“俘获”监管者[10]。健康码中的“监管俘获”则表现为有效防控病毒传播效果产生后，互联网企业则会利用已经获得的数据信息，作为资本谋取私利。斯蒂格勒和佩尔兹曼并没有对“监管俘获”进行划分，而中国学者对此进行了理论分类，认为“监管俘获”从理论层面有主动和被动之分。方兴东、严锋对“被动监管俘获”的解释是：当监管者自身能力不足时，必须将部分资源或权力转移给被监管者，由此产生的状态称为“被动监管俘获”[3]。“被动监管俘获”造成的主要影响则是权力重构，互联网企业变相拥有“权力”。疫情治理上，“被动监管俘获”现象不可避免，新型冠状病毒肺炎对国家治理现代化提出了更高的要求,政府因自身资源不足，无法对疫情展开有效防控，需要部分授权互联网平台（如阿里巴巴和腾讯）。数据在国家和互联网企业中所占比重大，互联网和物联网的发展速度大大增加了每个人成为“数据人”的可能性，数据利用方面需要政府机构加强监管，避免被商业力量利用。互联网平台站位资本层面，夹杂资本利益，个人数据容易被互联网企业做资本利用，健康码产生的“被动监管俘获”现象只是数字治理背景下的一方面，“互联网+”工程的开展，政府与互联网企业合作频繁，“数据即权力”的说法有其现实意义。互联网平台治理难度大、内容治理范围广、国家治理和数据治理衔接不当均会影响政府治理成效[11]。因此，对互联网超级平台的数据进行治理非常必要。政府部门需要在利用社会资源过程中保持警惕，规避互联网领域的风险，为“公私合作”创造良好氛围。

（二）健康码扩张性运用的风险

扩张健康码的使用范围，推行“一码多用”，会在某种程度上侵犯公民的人格利益。使用健康码的界限应恪守在管控出行层面，公权力机关及相关场所管理人在人口密集场所行使查验权力（权利），要求出示健康码的行为，符合疫情防控目的；私权主体处于出行便利需要主动出示健康码，接受相关人员的查验，否则相关场所管理人有权利禁止进入，也与疫情防控目的一致。对于超出防疫防控目的，部分地区推出“多功能版健康码”的举措，超出应急行政的管理范围，如杭州地区的“变色码”和苏州地区的“文明码”。“变色码”是对健康码颜色添加辨别公民个人健康状况的功能；“文明码”则是加入文明行为评价，对公民文明程度进行区分。健康码是由于疫情传染速度快，政府为避免交叉感染便于管控而推出的社会治理行为，对出行自由权进行限制有其正当性，那么“变色码”与“文明码”的推行，揭示出政府治理层面的越界。个人信息被挪作他用，私权被进行限制，与疫情防控目的相悖甚远，缺乏正当性基础。利用行政权采集信息便利，将健康码升级挪作他用的做法损害公民人格平等与人身自由，侵犯公民的人格利益。《中华人民共和国突发事件应对法》（简称《突发事件应对法》）第50条规定，行政机关应当针对事件的性质和特点，采取一项或者多项应急处置措施，包括封锁场所、道路，查验身份证件，限制公共场所的活动。此处，多项管控措施的查验身份证件应理解为不仅仅指公安部门身份证，疫情期间的健康码也属身份证件。应急行政中健康码仅用作应急处置，添加其他功能做法，体系上与《中华人民共和国突发事件应对法》（简称《突发事件应对法》）立法目的不符，所以“文明码”与“变色码”中途禁止使用也是意料之中。智能化、自动化的社会治理模式用于所属国家的个别领域时，不能忽视该种治理模式存在风险。作为个体存在的公民与网络的关系日益密切，个人数据将与其他数据连接，新的治理模式下“政府—平台—社会”的权力重构势不可挡，政府会结合收集的数据对社会进行管理，数据的收集与利用仅限于社会专项治理，不应扩张其外延用作他处。

（三）健康码运用与公民权利保护脱节的风险

健康码以数据的采集、处理和分析为基础，进而形成二维码颜色，但数据收集和处理过程中对公民个人信息权与隐私权保护存在脱节的风险。一方面表现为算法侵权风险，即数字算法程序设计的复杂性致使个人信息应用范围不易得知，极易产生“算法黑箱”，侵犯公民个人信息知情权。健康码结合大数据利用个人信息进行自动化决策，决策内容的码色显示可能在产生过程中被算法程序“误判”，如：健康码使用者“被红”“被黄”，系统出具码色结果与申领者切实情况不符，造成申领者权益受损。公权力主体针对此种情况仅凭单一主观判断就采取限制出行、隔离措施，实属武断。面对算法程序的“误判”，健康码持有者举证困难，只能选择隐忍，维权手段不健全；另一方面则表现为个人信息泄露风险，实践中，健康码收集的个人信息范围广，均为辨识度高的个人敏感信息，收集来的个人信息以数据库的方式存在于个别数据平台，集中储存，该种方式加大个人信息泄露的风险。诚然，个人信息被用作于生成健康码进行疫情防控有其合理性，理由是相较其他人格权，生命权是享有其他权利基础，没有生命权，其他人格权就会成为“无根之木”，保护也就毫无意义，生命权无疑在人格权保护中具有优先地位。联合国人权理事会第6号与第14 号文件充分表明，生命权是“一切人权的基础”，是“绝对不可减损的权利”。对个人信息进行采集利用，达到社会治理和疫情防控合情合理，但不能避讳政府在治理层面的“着急心态”为追求公共卫生安全而忽视个人信息权益，对个人信息权益进行应急形势下的牺牲。

三、健康码运用中的风险规制

面对健康码运用过程中出现的种种风险给社会治理和公民权利造成的影响，从产生风险的源头入手，结合技术要素并分析实际情况，寻求相应的举措与对策，对信息科技产物的健康码风险进行规制。

（一）授权性风险规制之策

为避免“监管俘获”隐藏风险对公权与私权合作的威胁，需阐明公权主体授权私权主体为一定行为的性质。美国公私伙伴关系全国理事会认为，“公私伙伴关系是指公共机构（联邦、州或地方）与私人部门实体之间的一个契约协议”[12]11，属于民事法律调整的范畴。法国与德国则认为该种行为属于行政合同（契约）的范畴。公私合作行为在我国的应用，凸显公共产物制造和公共服务模式的一种新理念，涵盖公权力机关自主选择私权利主体并与之相互协作共担风险、共享收益的服务全过程。从这个层面可认为授权研发健康码行为应属于公共采购法的范畴，或者是传统政府采购的延伸[13]83，可以按照行政合同理论进行规制。首先，明确合同内容，规定研发期限、使用场域、各项数值指标、操控权限、各种风险因素及不可抗力因素承担等，同时，还应明晰使用期间的结果查验、信息资料保护、监管运营职责等。还应把《通用数据保护条例》的目的约束和数据最小限度使用原则与数据透明度要求和安全保护措施同步落实于合同之中，贯穿公私合作全过程；其次，数据存储过程中，按照《中华人民共和国民法典》（简称《民法典》）第1039 条与《中华人民共和国传染病防治法》第12 条的规定，行政机关与疾病预防控制机构应审慎保管收集的信息，不得泄露涉及个人隐私的有关信息、资料。作为被授权主体的企业也应按照与行政机关签订的行政合同内容承担其数据安全保护法定义务，数据仅作完善健康码自身使用，不得留存备份，也禁止在合同授权范围外处理使用，否则将面临合同违约之责甚至承担行政或刑事处罚之果；再者，中央和地方各级政府，需要根据全局进行安排，确立强有力、高效率的协调机制，尽快形成全国性数据使用制度和公私合作管理模式，还应建立数据使用问责机制，制定明确的规则，保障公私协作内容有序化。最后，引入公私合作方之外的第三方，对合作行为进行监督。第三方主体的选定可以是政府的相关监督部门也可以是与私主体从业内容相近的企业，用评估或者同行业自查的方法，检查程序有无隐藏性主观倾向。

（二）扩张性风险规制之举

就健康码扩张性使用行为，需要确定扩张边界，该边界指个人信息使用主体的使用行为，合理的使用行为可以被允许，否则便予以禁止。《民法典》第1036 条第3 项将“为维护公共利益合理使用个人信息”作为免责事由，行政机关可以基于疫情防控的初衷，数据使用过程中，无须遵循公民知情同意原则，但是第1035 条“不得过度处理”的规定和“合理实施”的要求揭示出处理个人信息必须坚持“目的限定”和“比例原则”禁止扩张性使用[14]。为避免行政机关扩张性使用个人信息产生风险，可用以下几种方法对风险进行规制。第一，遵守《中华人民共和国个人信息保护法》（简称《个人信息保护法》）第6条的规定，个人信息使用主体“处理个人信息应当具有明确、合理的目的或使用个人信息应明确、明晰、特定，并应当与处理目的直接相关，限制概括性目的或者留存式目的”[15]。时下疫情防控的目的在于通过健康码颜色判定持码人能否进入公共场所、乘坐公共交通工具等，减少居民交叉感染，扩张个人信息生成其他用途的做法与此目的相悖，应禁止使用。第二，收集个人信息，应当限于实现处理目的的最小范围，采取对个人权益影响最小的方式，应急行政下行政机关应在法律授权范围内处理公民个人信息，不得过度收集个人信息。第三，遵循《个人信息保护法》第5条之“合法、正当、必要和诚信原则”，减少对公民私权的变相损害。贯彻正当性原则应将健康码的使用价值和卫生防疫工作的实际情况相结合，功能定位要正当（限于管控出行），用途要正当（即不得超出疫情防控，不得进行与疫情防控无关的扩张性处理），内容也要正当（即健康码颜色仅是辨明所处区域疫情的风险状况），除此之外用健康码颜色对其他情况进行标注的行为，均应予以制止；落实必要性原则应将场合必要性与适用范围必要性相统一，行使行政权力时综合衡量公共利益和公民、法人和其他组织的关系，遵循“非必要不收集原则”。第四，践行《个人信息保护法》第14 条规定的“重新同意原则”，公权力机关对生成健康码的数据进行扩张性使用时，应结合疫情形势，对个人信息做动态处理，需进一步使用的应及时告知，并获得信息主体的授权，不需要使用部分应回归信息主体本身，以实现个人信息保护与疫情防控手段之间的均衡发展；落实比例原则，对私权处理要保持审慎态度，于私权保护与防疫措施正当性之间找到一个平衡点，不可顾此失彼，应尽量采取“去标识化”或“匿名化”等损害最小的处理方式，保证手段与目的之间合理、适度、相称[14]，力求实现疫情防控与公民私权保护的相对平衡。

（三）权利保护脱节风险规制之法

个人信息数据化的演变将人类权益内容丰富，算法程序让个人本体外的潜藏价值被挖掘，进而作为信息体存在的个人不仅便于政府从信息层面行政管理，企业也可借助信息收集牟利。基于公共利益，行政机关运用行政权收集个人信息，可以不经过信息主体的同意，还可因为管理之需让企业报送数据以备审查，两种手段于信息主体而言信息使用透明度不够，信息数据主体很难知晓被收集、备查的数据用在何处，个人信息权益被侵犯风险加大，权利保护存在脱节之处。疫情期间，规制算法侵权降低风险可从几个方面进行：一是明确自动化决策结果在疫情防控工作中的辅助地位，管理者在需要出示健康码的场景中，应当避免陷入对算法程序产生结果的过分信任，结果不合理时行政机关的裁量行为及时介入，该种弥补思路旨在寻求行政法基本原则与自动化算法决策两者之间的平衡。二是赋予健康码持有者要求算法决策解释的权利，当健康码颜色与自身实际不符时，行政机关以及算法程序设计者就要承担起算法决策的解释说明义务，对申请者从程序设计逻辑和结果如何产生两方面进行解释，申请者有证据证明自己从未去过高风险地区时，行政机关就需要对健康码颜色进行改变，以此来维护持有人的权益。三是成立临时健康码专门审查机构，进行算法审计。结合美国《算法问责法案》，对健康码审计可从以下因素着手：1.生成健康码数据详细报告；2.个人信息利用程度及利用后产出结果的时间；3.健康码持有者反馈途径；4.健康码个人信息差异化结果影响风险；5.健康码风险规制措施。审查机构中，审计人员应尽可能由来自计算机信息工程的人员组成，保证审查者具有算法程序鉴别能力，“被红”“被黄”的健康码持有人在无法证明自己从未去过中高风险地区时，可将健康码递交专门审查机构，由审查机构人员对健康码进行算法程序的检查。引用英国作家卢恰诺·弗洛里迪著作里的一句话来揭示算法侵权对我们的影响：“如果我们不努力解决，数字鸿沟将成为断层，在那些能够成为信息圈居民与那些无法做到这一点的人们之间，在知情者与不知情者之间，以及在信息富有者与信息贫困者之间造成新型歧视”[16]13。最后，关于个人信息泄露风险规制，应做到严禁重复注册。个人信息的重复注册和敏感信息的多条记录在一定程度上增加了个人信息和隐私泄露的风险，使用健康码应将使用的个人信息限于必要信息的范围，遵循“非不必要不收集原则”，与健康码生成和防疫目的无关的信息禁止收集。此外，收集的个人信息也要做必要脱敏处理，被健康码使用的个人信息应置于政府相关部门管控之下，企业服务器终端不留备份。

结语

信息社会数字代码结合程序性算法在法律治理社会关系中的作用不断增强，数据的客观性在治理过程中会减少权力恣意现象的产生。健康码是应急行政之下数字治理的手段之一，健康码自身存在的问题，在数字治理过程中也会渐显，数字治理对公民权利的保护应该更加高效便捷，而不应该畸形发展，肆意压缩公民权利内在生存空间。数字治理手段在实施过程中，应遵循法律基本原则，避免“数据独裁主义”理念蔓延，尽力缩小“数字鸿沟”。智能时代，应将科技前沿性与法律滞后性之间的差距逐渐缩小，探索与科学文明相伴而生的制度文明，创制出有利于人工智能健康、有序发展的社会规范体系[17]。借此，国家相关机关应参酌健康码运用实效，明确科技算法是为国家法治和法治国家建设服务这一理念，缩小科技前沿性与法律滞后性二者之间的差距。另外，国家也需要于法律层面对数据代码和程序性算法在国家治理层面的运用提供制度保障。