COVID19自一月爆发以来，各地推出了一系列数字化防疫措施，“健康码”是一个被各地广泛使用的方式，也被认为是一次较为成功的创新。不可否认，疫情中的“健康码”应用可以看做是“数据治理”的一场大型试验。依托数据资源汇聚、数字技术支撑和产品思维驱动，传统基于逐级上报制的管理模式演化为多方参与的、动态精准化的数字治理，通过“数据流”牵引带动真实世界中“人流”、“物流”、“商流”的复苏与回归，实现了国家治理现代化的一次跃升。

“健康码”治理模式，在未来将可复用至其他政务管理议题，这要求我们深思“健康码”经验与不足，为数字治理的持续化发展塑造良好的规则框架做好准备。本文即围绕“健康码”中最具有争议性的话题——个人信息保护，从政务数据规则视角提出相关建议。提出：在《个人信息保护法》立法中，应将政府部门全面纳入制度体系，作为被规范主体，并参考国际通行做法，区分“数据控制者”和“数据处理者”角色，建立有序的数据治理生态。

 一、解决“个人信息保护”问题，需厘清各方角色与责任

“健康码”自实施以来，其个人信息保护问题为各方关注，但讨论多止步于现象本身，包括：过度收集个人信息，信息不准确，如何保障用户申诉权，留存期限不明，存在信息泄露风险等，但却忽略了最为关键性的责任主体问题。明确这一问题，需要厘清“健康码”的性质与各方角色。 

“健康码”最早孵化于腾讯、阿里等互联网企业政务服务基础架构。在疫情发展初期，凭借对用户需求痛点的敏锐把握，企业快速响应政府需求，在政务服务平台入口开辟疫情相关功能服务。2020年1月31日，广州市市民和来穗人员可通过微信小程序 “穗康”，主动申报登记14天内离返情况及健康状况，并从小程序入口预约口罩购买；2月9日，深圳成为全国首个疫情期间凭“码”出行的城市；2月11日，杭州市民和入杭人员实施绿、红、黄三色动态码管理，并与钉钉企业复工申请平台打通。精准、高效的数字管理方式，很快在国家层面得到回应和推进。 

2月25日，国务院印发《关于依法科学精准做好新冠肺炎疫情防控工作的通知》，其中明确鼓励有条件的地区推广个人健康码等信息平台；2月29日，国家政务服务平台推出“防疫健康信息码”，并且依托国家政务服务平台统一身份认证系统、统一电子证照系统，利用汇聚的卫生健康、民航、铁路等方面数据，大大提升了“健康码”覆盖范围和准确度。根据已制定的《全国一体化政务服务平台防疫健康信息码接口标准》，国家政务服务平台防疫健康信息码推进与各地健康码对接；3月20日，国家卫健委宣布：各省份正在按照统一的数据格式标准和内容要求，加快向全国一体化平台汇聚本地区防疫健康信息的目录，全国绝大多数地区的健康通行码可以实现一码通行。 

从发端到全面推进，“健康码”深度融入了政府部门、互联网企业、运营商、硬件厂商、事业单位等诸多公、私主体，围绕“健康码”的个人信息保护职责如何在上述主体之间分配和界定，关系到相关问题能否得到根本性解决。 

二、“健康码”本质是政务服务，政府扮演数据控制者角色 

从当前国际主流的个人信息保护法律所采纳的数据控制者、数据处理者二维规制主体框架入手，可以为“健康码”有效划定各方责任边界，形成权责统一，各负其责的数据治理秩序提供参考。 政府部门在“健康码”政务服务中处于“数据控制者”角色。同其他数字政务项目一样，“健康码”是政府部门在疫情特殊时期发起的数字化管理项目。

政府在“健康码”中扮演了强有力的角色，是疫情和复工管理的需求方，发起方，推动方和最终实现方。政府部门决定了“健康码”应用中数据采集的类型、内容、使用方式、使用用途。 

参与“健康码”应用的企业，为政府部门推进实施“健康码”提供技术支撑服务，属于“数据处理者”。科技企业可凭借平台优势为政府部门和用户提供更为快捷的入口，比如微信小程序入口等可以让用户方便地获取“健康码”服务。尽管如此，“健康码”仍由政府部门主办和运营，在“防疫健康信息码”小程序界面也会做出相应提示。 概言之，从个人信息保护法律视角而看，政府与企业的法律角色清晰，分别属于数据控制者和数据处理者（以下简称控制者和处理者）。接下来的问题是，为什么这样的法律角色划分，有利于从根本上解决“健康码”的个人信息保护问题？ 

三、区分“控制者”和“处理者”，将为数据处理活动提供更明确的法律指引 

在早期的个人数据保护法律中，并没有控制者和处理者的明确分野。1995年欧盟数据保护指令（Directive 95/46/EC ）主要适用于控制者，处理者通过合同来承担数据保护责任。然而随着数据治理生态卷入更多主体，个人数据保护立法中开始区分并厘清二者的责任边界。作为对1995年指令的立法改革，欧盟2018年数据保护通用条例（General Data Protection Regulation，GDPR）中正式将数据处理者纳入规范主体，并通过明确的法律条款来规范二者关系。 

GDPR下的数据控制者是指：负责决定——不论是单独决定还是共同决定——个人数据处理目的与方式的主体。处理者是指：为了数据控制者而处理个人数据的主体。换言之，控制者是数据处理活动的决定方和最终责任方，而处理者在法定义务和受托范围内承担相应责任。 

“控制者”与“处理者”二者的区分，兴起于数据处理活动越来越专业化和细致化的历史背景，特别是随着“云计算”的发展壮大，作为专门提供数据处理服务的业态，有必要在法律上明确其独立的法律地位和权责义务。处理者并不能决定数据处理的目的，但参与了具体的处理活动，它的法律义务责任与控制者应当有所区分，二者的关系除了合同法予以调整外，也应适度被个人信息保护法所规制。

 GDPR细致规定了控制者和处理者之间的数据处理合同应当至少包含哪些内容，包括：数据处理的目的、期限、个人数据的类型、数据主体的类别以及双方的权利业务。数据处理者仅能按照数据控制者书面的要求处理数据，必须确保其员工能够遵守有关保密的要求；在数据安全、数据泄露、数据保护影响评估等方面对数据控制者提供协助。例如在发生数据泄露时，数据处理者应当及时通知数据控制者。 

在数据处理服务终止时，数据处理者应当删除或者将数据全部返还给数据控制者，除非根据法律的要求必须保留这些数据。

 四、“健康码”政务项目中的政府和企业的责任与边界 

对于“健康码”的参与主体，在清晰厘定各方法律主体地位后，将会更加明确自身的法律义务和责任，保障公民个人信息保护权利。 

（一）作为“数据控制者”的政府部门，应当在“健康码”政务项目中践行数据保护的基本原则，包括： 

1）合法正当原则。政府部门处理个人信息应当具备合理的法律依据。当前在疫情特殊时期，为保护公众生命健康，政府部门可依据《传染病防治法》、《突发公共卫生事件应急条例》的相关授权，收集并处理相关信息。2月5日，习近平总书记在中央全面依法治国委员会第三次会议并发表重要讲话，他强调，要全面提高依法防控、依法治理能力，为疫情防控工作提供有力法治保障。政府部门推进的“健康码”项目也应践行法治理念，在法治轨道上推进“健康码”。 

2）目的明确、必要原则。政府部门作为控制者，在确立数据的收集范围和使用方式时，应当限制在疫情相关的必要范围内，而不能超出实现这一目的必要范围。 

3）最小化原则，无论是 “健康码”所收集的信息范围，还是处理方式，展示方式都应符合这一原则。如工信部发起的行程自主查询短信和“行程码”中，不再收集用户的身份证号、家庭住址等个人信息。 

4）透明原则。这要求政府部门公开、明示“健康码”的个人信息处理规则，保障公民的知情权。当前，政府部门在推行“健康码”过程中，正在探索各类实现知情权的方式，比如在用户界面提示相关信息，在用户知情并明确授权的前提下，获取和处理用户信息；有的政府部门制定相应文档帮助用户了解“健康码”，如深圳政府专门编制了《操作指引》，通过指引向用户告知“健康码”汇聚分析的数据类型、申诉渠道等。 

5）质量原则。为实现管理目的，“健康码”所处理的个人信息应当准确、完整。目前大部分“健康码”应用服务，都可以为用户提供入口查看和更新个人信息入口。因疫情动态变化等原因，可能会出现健康码并不准确的情况。为保证用户的申诉权，各地政府也在不断完善申诉机制，例如目前大部分地方，用户可以通过12345政务服务热线进行投诉申诉。 

6）责任和安全保护原则。政府部门对“健康码”承担最终的法律和安全责任，因此在技术方案和安全保障措施方面，应当更加谨慎慎重。“健康码”汇聚了海量公民个人信息，并且有相当隐私的医疗健康信息、轨迹信息，这对数据安全提出了更高的挑战。目前，各地所推行的健康码或政务类医疗应急管理应用大部分采取了“信息安全等级保护3级”以上的安保措施，引入了包括加密存储、加密传输、访问控制等安全措施。 

（二）作为“数据处理者”的企业主体，除了遵守上述数据保护基本原则外，还应根据自身的独特角色，贯彻以下方面的法定义务，包括：严格在政府受托范围内处理数据，数据不得利用于企业运营自身目的。在承担相应的技术支撑工作时，不得未经政府同意，擅自转包，在发生数据泄露等安全事件时，应当及时通报政府。在完成相应的数据处理活动后，应当及时按照政府要求删除数据。 

五、我国现有个人信息保护法律体系VS上述管理框架

上述只是借鉴欧盟GDPR框架，为破解“健康码”个人信息保护问题提供思路参考。可以为我国当前个人信息保护法律体系的完善提供一些借鉴思路。 

（一）政府机构纳入个人信息保护法律体系 

作为公民个人信息的重要收集者和使用者，政府机构应考虑被纳入规范体系。 

从国际通行做法来看，毫无疑问政府是个人信息保护法律体系中的重要适用主体。欧盟GDPR适用主体不仅包括企业，也包括决定和参与个人数据处理的任何个人，机构，涵盖政府部门、公共机构、司法机构以及其他任何实体。从GDPR实施近两年看，政府部门是个人信息保护的重要监管对象。2019年，保加利亚国家税务局在黑客攻击下泄漏了400万公民和200万去世公民的个人数据，且其业务流程和IT系统不能完全满足GDPR的数据安全合规性要求，因此保加利亚数据保护委员会最终向国家税务局开具了260万（290万美元，可以改为“近300万美元”）罚单。 

而在美国，个人信息保护立法则更是发端于对政府机构的规制。美国第一部现代意义上的个人信息保护法——1974年《隐私法》，其适用主体为联邦政府部级以上机构收集与处理个人信息的活动。 在推进现代化数字治理的大背景下，政府机构依托于数据资源的高效治理方式，将发挥日益重要的作用，政府作为“数据控制者”的治理场景将会日益广泛，为了实现“数据治理”的健康持续发展，将政府全面纳入数据保护法律体系已尤为紧迫。 

（二）在个人信息保护法律体系中考虑引入“控制者”和“处理者”二元主体 

如上述，对“控制者”和“处理者”法律角色区隔，有利于数据生态各方主体各负其责，各司其职，建立有序的数据处理秩序。欧盟GDPR以及受其影响的大多数国家立法将二者独立出来。新加坡《个人信息保护法》虽然没有直接采用前述两个概念，但是也区分了组织（organization）和数据中介（data intermediary），数据中介是代表组织处理个人信息的主体，也意同数据处理者角色。印度正在制定中的《2019年个人信息保护法（草案）》也明确了二者区分，用“data fiduciary”和“data processor”分别指向控制者和处理者，充分说明区分二者法律定位代表了立法趋势。可考虑借鉴引入，以明确各方在数据处理活动中的角色及法定义务与责任。 

 六、结语与建议 

在这场前所未有的疫情大考面前，“健康码”无疑是数字治理进入新阶段的标志性案例。“健康码”中围绕个人数据保护的各类问题，通过这场大型试验得以凸显，并应当通过制度规则构建予以完善。建议正在立法日程中的《个人信息保护法》在规范主体上正式纳入政府部门，并在法律主体上区分控制者和处理者。 以色列历史学家尤瓦尔·赫拉利近期在《疫情中我们将创造怎样的世界？》指出：“让人们在隐私和健康之间进行选择是问题的根源。因为这是一道错误的选择题。我们可以并且应该同时享有隐私和健康”。以保护个人权利的法治理念为引导，构建合理法律规则之下有序的数据治理生态，将有助于帮助我们平衡实现二者目标。 

（王融系腾讯研究院资深专家）