張恩典

(南昌大學 法學院，江西南昌 330031)

一、問題的提出

2020年新型冠狀病毒肆虐全球，對人類生命健康產(chǎn)生嚴重威脅，對全球經(jīng)濟、政治、社會、環(huán)境和科技等諸領(lǐng)域產(chǎn)生深刻而復雜的影響。為提高疫情防控的效果，自2020年2月以來，各國都在探索應用大數(shù)據(jù)、人工智能等現(xiàn)代數(shù)字技術(shù)來緩解和控制不斷蔓延的疫情形勢。中國共產(chǎn)黨和政府高度重視大數(shù)據(jù)、人工智能技術(shù)在疫情防控中的積極作用。2020年2月14日，習近平總書記在主持召開中央全面深化改革委員會第十二次會議時強調(diào)，“要鼓勵應用大數(shù)據(jù)、人工智能、云計算等數(shù)字技術(shù)在疫情監(jiān)測分析、病毒溯源、防控救治、資源調(diào)配等方面更好發(fā)揮支撐作用?！?020年2月，中央網(wǎng)信辦發(fā)布了《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，“鼓勵有能力的企業(yè)在有關(guān)部門的指導下，積極利用大數(shù)據(jù)，分析預測確診者、疑似者、密切接觸者等重點人群的流動情況，為聯(lián)防聯(lián)控工作提供大數(shù)據(jù)支持?！迸c21世紀初的“非典”疫情防控實踐形成鮮明對比的是，此次新冠疫情防控的一個典型特征在于數(shù)字接觸追蹤技術(shù)在疫情防控工作中的廣泛運用。當前，數(shù)字接觸追蹤技術(shù)已然成為各國尋求從“人員隔離”走向“社會流動”，重啟社會經(jīng)濟活動的一項重要技術(shù)手段。

接觸追蹤技術(shù)是公共衛(wèi)生機構(gòu)緩和、控制傳染病傳播擴散慣常使用的一種傳統(tǒng)方法。區(qū)別于傳統(tǒng)的耗時費力的人工化接觸追蹤，數(shù)字接觸追蹤技術(shù)是一種數(shù)據(jù)驅(qū)動的工具。具體而言，其是基于現(xiàn)代大數(shù)據(jù)、移動互聯(lián)網(wǎng)、生物識別和傳感器技術(shù)對個人進行接觸史追蹤，并基于算法模型自動判定特定人員是否為病毒接觸者或者其風險等級的一種現(xiàn)代疫情防控工具。以健康碼為代表的數(shù)字接觸追蹤技術(shù)契合了大數(shù)據(jù)時代我國政府所倡導的“讓數(shù)據(jù)多跑腿，讓群眾少跑路”的數(shù)據(jù)治理理念。伴隨著數(shù)字接觸追蹤技術(shù)在各國的廣泛應用，其在世界范圍內(nèi)也引起了包括法律學者在內(nèi)的社會科學者和自然科學者的廣泛爭論。在我國，圍繞著“健康碼”這一頗具中國特色的接觸追蹤技術(shù)，法律學者立足法學視角展開了一些頗具理論和實踐意義的研究?？傮w上，目前的研究主要圍繞著作為數(shù)字接觸追蹤技術(shù)的健康碼應用的法律屬性、實踐問題與未來走向展開。在法律屬性的研究上，有學者認為，在規(guī)范屬性上，健康碼是一種基于個人信息的自動化評級。在健康碼實踐問題面向，有學者從組織法、行為法和數(shù)據(jù)法三個層面揭示了健康碼的法律維度，并側(cè)重從數(shù)據(jù)法維度探索健康碼應用中存在的實踐問題。在健康碼未來走向上，學者們莫衷一是。有學者從數(shù)字緊急狀態(tài)恢復機制的角度出發(fā)，深入思索健康碼這一數(shù)字接觸追蹤技術(shù)的未來，主張數(shù)字緊急狀態(tài)結(jié)束后引入被遺忘權(quán)，集中刪除個人信息。而有學者則從現(xiàn)代流動性社會的視角出發(fā)，認為健康碼將逐漸延伸為身份認證的數(shù)字基礎設施而應該在疫情結(jié)束之后予以保留。上述研究對于我們了解我國數(shù)字接觸追蹤技術(shù)的實踐及其問題，思索數(shù)字接觸追蹤技術(shù)的未來無疑具有重要啟發(fā)意義。但是，上述研究也存在著一些疏漏：一方面，現(xiàn)有研究更多將視野聚焦于國內(nèi)的健康碼應用，而未從更加廣闊的全球數(shù)字抗疫實踐來對其加以檢視；另一方面，現(xiàn)有研究對數(shù)字接觸追蹤技術(shù)應用所引發(fā)的風險缺乏系統(tǒng)性深入研究，尤其是對數(shù)字接觸追蹤技術(shù)所引發(fā)的不平等和社會排斥問題缺乏足夠的關(guān)注和回應。有鑒于此，筆者將我國以健康碼為典型的數(shù)字接觸追蹤技術(shù)置于全球數(shù)字防疫的實踐圖景中加以比較考察，基于不同國家地區(qū)數(shù)字接觸追蹤技術(shù)應用的技術(shù)特征和應用模式、凝練頗具理想類型的實踐類型，并從有效性和風險性維度對其加以比較甄別，進而系統(tǒng)檢視我國以健康碼為中心的數(shù)字接觸追蹤技術(shù)應用實踐中所面臨的突出問題，在此基礎上探索疫情防控常態(tài)化背景下我國數(shù)字接觸追蹤技術(shù)應用的法律規(guī)制方案，以明確其應用的法治邊界。

二、新冠疫情數(shù)字接觸追蹤技術(shù)實踐類型之比較考察

為了抗擊新冠疫情，減緩和控制疫情傳播蔓延速度，保護本國國民生命健康，重啟社會經(jīng)濟活動，中國、韓國、新加坡、美國、澳大利亞、以色列等國家紛紛聯(lián)合互聯(lián)網(wǎng)科技公司開發(fā)針對新冠疫情的數(shù)字接觸追蹤技術(shù)。數(shù)字接觸追蹤技術(shù)是一種通過數(shù)字化手段收集公民個人的旅居史、接觸史等信息，并據(jù)此對個人進行風險提示或者確定其風險等級，建議或強制采取居家或集中隔離措施的防疫工具。在全球新冠疫情暴發(fā)背景下，數(shù)字接觸追蹤技術(shù)已然成為后疫情時代一項重要的生命政治治理術(shù)，其普及應用無疑將對個人隱私和行動自由產(chǎn)生重大且深遠的影響。數(shù)字接觸追蹤技術(shù)開發(fā)應用的方式、程度和效果在很大程度上受到本國政治文化和隱私觀念的影響。考察目前各國數(shù)字接觸追蹤技術(shù)應用實踐，可以發(fā)現(xiàn)呈現(xiàn)出不同風格特征的實踐類型。

面對繁復的數(shù)字接觸追蹤技術(shù)應用實踐圖景，可以從技術(shù)特征和應用模式兩個維度對數(shù)字接觸追蹤實踐類型進行適當界分。從技術(shù)特征維度，目前各國所采用的數(shù)字接觸追蹤技術(shù)主要包括分布式與集中式，前者在個人信息數(shù)據(jù)的存儲和處理上采取分布式，個人信息和數(shù)據(jù)存儲于個人的手機上，而后者則對個人數(shù)據(jù)進行集中存儲和處理，公共衛(wèi)生部門等防疫機構(gòu)和人員可以訪問數(shù)據(jù)。從應用模式上，目前各國采行的模式主要分為自愿模式與強制模式。從理想類型上，根據(jù)技術(shù)特征和應用模式的不同組合，可以抽象凝練出數(shù)字追蹤技術(shù)應用實踐的四種基本類型：自愿—分布式接觸追蹤、自愿—集中式接觸追蹤、強制—集中式接觸追蹤與強制—分布式接觸追蹤。目前，前三種類型業(yè)已呈現(xiàn)于當前一些國家和地區(qū)的數(shù)字防疫實踐圖景之中。

(一)數(shù)字接觸追蹤技術(shù)的三種實踐類型梳理

1.自愿—分布式接觸追蹤：美國。美國所采行的是一種典型的自愿—分布式接觸追蹤技術(shù)。2020年4月，美國兩大科技巨頭蘋果公司和谷歌公司聯(lián)合開發(fā)了一款數(shù)字接觸追蹤工具“暴露通知系統(tǒng)”(EXPOSURE NOTIFICATION SYSTEM )?！氨┞锻ㄖ到y(tǒng)”以手機藍牙設備為基礎，作為病毒接觸信息的發(fā)送者和接收者，交換并保存彼此的信息。安裝了該程序的手機用戶在開啟藍牙裝置的前提下，可以接收到同樣安裝該應用程序的手機通過藍牙傳出的信息?！氨┞锻ㄖ到y(tǒng)”區(qū)分了兩種用戶角色：感染用戶和潛在暴露用戶。對于前者而言，當用戶確認感染新冠病毒時，該系統(tǒng)將共享其診斷密鑰，以提醒其他用戶可能接觸新冠病毒。對于后者而言，該系統(tǒng)將通過接觸日期和持續(xù)時間并確定其暴露風險，進而確定潛在的暴露者，并向其發(fā)送暴露通知。

為了回應本國民眾對隱私保護的強烈要求，避免直接利用手機設備唯一識別信息，兩大公司開發(fā)的這款數(shù)字接觸追蹤技術(shù)精心形成了“三碼合一”機制。這一“三碼合一”的工作機制和原理如下：首先，每部用戶手機都會生成一個固定不變的代碼A；其次，通過這一固定的A碼，手機能夠每天生產(chǎn)一個B碼，這個B碼在通常情況下也不會上傳；第三，為了實現(xiàn)接觸追蹤，手機每隔一段時間對外廣播一次，而對外廣播出去的是由B碼生成的C碼，并且C碼是動態(tài)更新的。而平時上傳的是C碼。蘋果公司和谷歌公司聯(lián)合開發(fā)的這款數(shù)字追蹤工具在個人隱私保護上具有優(yōu)勢：一方面，這款接觸追蹤應用程序不追蹤個人的地理位置數(shù)據(jù)，而是收集用戶手機設備的近距數(shù)據(jù)；另一方面，該應用程序也不會對數(shù)據(jù)采取集中存儲。具體而言，其不會上傳隨機生成而固定唯一的A碼，只是將其保存在用戶個人手機上；B碼也只有在與確診病例發(fā)生接觸時才會被作為診斷碼提取，用于確認身份，而不會被默認上傳。安裝的應用程序可以接受并保存的是周期性更新的C碼。公共衛(wèi)生管理部門和其他國家機構(gòu)難以確認用戶的真實身份，用戶的隱私也得到很大程度的尊重和保護。目前，已有一些美國州政府采用了蘋果和谷歌公司共同開發(fā)的這一數(shù)字接觸追蹤應用程序，并被德國等少數(shù)歐洲國家采用。鑒于國內(nèi)科學界和民眾對政府持續(xù)監(jiān)控的高度擔憂，德國政府宣布放棄之前的集中式處理數(shù)據(jù)的本土化方案，轉(zhuǎn)而采用蘋果和谷歌公司開發(fā)的“去中心化”數(shù)字追蹤技術(shù)。

在“暴露通知系統(tǒng)”的應用上，美國奉行的是自愿原則。這一自愿原則主要表現(xiàn)在以下兩個方面：首先，公民能夠自愿選擇是否應用。用戶有權(quán)自主決定是否下載、安裝使用、以及刪除這一應用程序，政府并不強制公民安裝使用該應用程序。這一自愿原則在尊重個人自治的同時，也導致了使用率不高的問題，從而影響到該數(shù)字接觸應用程序的功能發(fā)揮。其次，“暴露通知系統(tǒng)”只是通知其感染和暴露的風險，并向其發(fā)出就診或居家隔離的建議，而不能據(jù)此對個人實施強制集中隔離或居家隔離。

2.自愿—集中式接觸追蹤：澳大利亞。新冠疫情暴發(fā)后，澳大利亞是全球范圍內(nèi)較早采用數(shù)字接觸追蹤技術(shù)遏制病毒擴散蔓延的國家。澳大利亞于2020年4月26日推出了一款名為“COVIDSafe”的接觸追蹤應用程序。與美國蘋果公司和谷歌公司開發(fā)的“暴露通知系統(tǒng)”追蹤工具相似，一方面，“COVIDSafe”應用程序同樣是基于藍牙技術(shù)來記錄兩部安裝了該程序的手機之間的近距位置，該應用程序?qū)⑴R近距離確定為1.5米。另一方面，該應用程序不利用GPS技術(shù)收集用戶的地理位置數(shù)據(jù)。同時，在通常情況下，“COVIDSafe”應用程序收集的信息也是存儲在用戶的智能手機上?！癈ovidSafe”應用程序的上述特征，使其呈現(xiàn)出一定的分布式接觸追蹤的特征。但與美國的接觸追蹤工具不同之處在于,“COVIDSafe”程序在用戶確診后，會將確診用戶及其手機中記錄的接觸數(shù)據(jù)上傳至國家“COVIDSafe”數(shù)據(jù)存儲中心。具體而言，當運行應用程序的其中一個手機用戶的新冠病毒檢測結(jié)果呈陽性時，州或地區(qū)接觸追蹤人員會要求他們允許將其手機上記錄的一組接觸數(shù)據(jù)上傳到國家“COVIDSafe”數(shù)據(jù)存儲中心(National COVIDSafe Data Store)。然后，國家“COVIDSafe”數(shù)據(jù)存儲中心允許適當?shù)闹莼虻貐^(qū)接觸追蹤人員訪問由新冠病毒檢測成陽性的用戶上傳的接觸數(shù)據(jù)并解密，以及ID與已上傳的接觸列表中找到的ID匹配的其他用戶的電話號碼，以便于后續(xù)展開接觸者追蹤。由此可見，澳大利亞“COVIDSafe”應用程序采取的一種集中式的數(shù)據(jù)存儲、處理機制。

與美國相同，在“COVIDSafe”應用程序這款數(shù)字接觸追蹤工具的應用模式上，澳大利亞采行的是自愿模式。在應用方面，公眾能夠自主決定是否下載應用，也不將其作為對其居家隔離或集中隔離的憑證。同時，為了贏得公眾對該款應用程序的信任度，提高該款應用程序的使用率，澳大利亞在應用程序設計上非常重視對用戶的隱私保護和數(shù)據(jù)安全。一方面，建立了應用程序的隱私影響評估機制，對應用程序進行隱私影響評估。另一方面，建立了周期性的動態(tài)數(shù)據(jù)刪除機制?！癈OVIDSafe”應用程序用戶儲存于手機上的接觸數(shù)據(jù)將在接觸發(fā)生之后21日內(nèi)自動刪除，以防止數(shù)據(jù)泄露和不當利用。澳大利亞針對“COVIDSafe”應用程序所建立的這些規(guī)則，提高了該程序的使用率。澳大利亞政府宣稱在該款應用程序發(fā)布后的20天內(nèi)，下載的用戶就達到了250萬，占澳大利亞手機用戶的25%，占總?cè)丝诘?0%。

3.強制—集中式接觸追蹤：中國。為了有效追蹤新冠病毒傳播，遏制病毒蔓延態(tài)勢，實現(xiàn)健康人員有序流動，推動復工復產(chǎn)，浙江省杭州市于2020年2月11日率先推出杭州健康碼。杭州健康碼一經(jīng)推出，便在全國范圍內(nèi)推廣開來，各省市都相繼推出了“健康碼”，根據(jù)個人的疫情風險大小來分別對其判定為紅、黃、綠碼。為了克服各地健康碼應用中存在的標準不統(tǒng)一、數(shù)據(jù)不共享以及缺乏互認機制等突出問題，依托全國一體化政務服務平臺，國務院辦公廳會同各地區(qū)和國家衛(wèi)生健康委等有關(guān)方面，升級了全國一體化政務服務平臺“防疫健康信息碼”。應該說，以健康碼為代表的數(shù)字接觸追蹤工具在我國遏制疫情傳播與實現(xiàn)人員有序流動方面發(fā)揮著重要作用。

從工作原理上，我國健康碼屬于一種典型的強制—集中式數(shù)字接觸追蹤工具。就數(shù)據(jù)存儲和處理而言，我國健康碼采取的是集中式數(shù)據(jù)處理方式。具體而言，在個人數(shù)據(jù)處理方面，健康碼采行個人自主申報與后臺主動獲取個人信息相結(jié)合的方式，收集并存儲了公民個人的大量數(shù)據(jù)。其中，通過個人自主申報獲取的數(shù)據(jù)主要包括個人姓名、身份證號碼、所在城市、詳細居住住址、手機號碼、14天內(nèi)的行程旅居史和接觸史、當前個人健康狀況等。通過后臺主動獲取的包括個人行程信息、地理位置數(shù)據(jù)、個人發(fā)熱門診信息等。這些數(shù)據(jù)由相關(guān)部門收集，并采取集中存儲和處理的方式，疫情防控部門結(jié)合個人自主申報的信息與后臺獲取的個人行程信息、地理位置信息和個人就診信息等，通過算法模型來綜合判定其風險程度，并在智能健康碼應用程序終端自動生成紅、黃、綠三色碼。

在應用模式上，我國各地健康碼應用總體上采行的是一種強制模式。這種強制性主要體現(xiàn)在以下幾方面：一方面，各地將健康碼作為擬進入城市或公共場所的通行證。例如，在杭州健康碼推行之初，當?shù)胤酪卟块T要求擬進入杭州的人員必須申領(lǐng)健康碼。在出行方面，健康碼作為進入學校、醫(yī)院、超市等公共場所的主要乃至于唯一憑證，要求人員出示。另一方面，將健康碼應用程序生成的紅、黃、綠“三色碼”作為判斷其風險程度，進而對個人采取集中隔離、居家隔離或者放行等防疫管理措施的判斷標準。當個人健康碼呈紅色時，當?shù)氐慕】荡a防疫部門則要對其采取強制集中隔離觀察，當個人健康碼呈黃色時，則需要對其采取居家隔離觀察等防疫措施。由此可見，我國健康碼在疫情防控中呈現(xiàn)出高度的強制性色彩，這在很大程度上保證了應用程序高使用率，有助于健康碼防疫功能的有效發(fā)揮。

(二)三大數(shù)字接觸追蹤技術(shù)實踐類型之二維比較分析

自愿—分布式、自愿—集中式和強制—集中式三大數(shù)字接觸追蹤技術(shù)實踐類型在運行原理和應用模式方面存在著較大差異，并在很大程度上決定了不同數(shù)字接觸追蹤技術(shù)的有效性和風險性程度。

1.有效性維度。所謂數(shù)字接觸追蹤技術(shù)的有效性意指其在追蹤新冠接觸者和密切接觸者，減緩和抑制疫情傳播方面的效果。有學者指出，數(shù)字接觸追蹤技術(shù)的有效性取決于以下因素：(1)是否廣泛的采用；(2)收集和處理大量的數(shù)據(jù)，包括個人的接觸數(shù)據(jù)和健康數(shù)據(jù)；(3)確保政府、醫(yī)生、健康官員和研究人員能夠和獲取數(shù)據(jù)；(4)支持快速的決策和監(jiān)管干預。我們認為，單純從數(shù)字接觸追蹤技術(shù)的有效性角度而言，其依賴以下三個方面：一是接觸追蹤應用程序的使用率；二是收集數(shù)據(jù)的數(shù)量和種類；三是與數(shù)字接觸追蹤工具相對應的防疫措施的強度。從目前上述三種數(shù)字接觸追蹤技術(shù)的應用實踐效果來看，以我國健康碼為代表的強制—集中式接觸追蹤工具得益于其廣泛的使用率，海量的個人接觸數(shù)據(jù)和健康數(shù)據(jù)，以及與健康碼紅、黃、綠三色碼相對應的差異化防疫措施，在防疫有效性方面最佳。以澳大利亞“COVIDSafe”為代表的自愿—集中式數(shù)字接觸追蹤工具得益于其較高的使用率和相對集中的數(shù)據(jù)處理機制在控制疫情傳播、擴散方面發(fā)揮較大作用。而以美國蘋果和谷歌開發(fā)的數(shù)字接觸追蹤工具因過低的使用率，去中心化的數(shù)據(jù)處理機制以及全賴個人自覺而缺乏剛性的防疫措施而收效甚微。

2.風險性維度。此處所謂風險性主要意指數(shù)字接觸追蹤工具應用過程中對公民產(chǎn)生的隱私風險程度。上述三種數(shù)字接觸追蹤工具在隱私侵入性方面呈現(xiàn)較大差異。歐洲數(shù)據(jù)保護委員會發(fā)布的《關(guān)于在新型冠狀病毒疫情暴發(fā)背景下使用位置數(shù)據(jù)和接觸追蹤工具的指南》規(guī)定：“對自然人之間的位置或接觸進行系統(tǒng)的大規(guī)模監(jiān)測是對其隱私的嚴重侵犯，只有依靠用戶出于各自的目的而自愿采用，才能使其合法化。這尤其意味著，決定不使用或不能使用這些應用的個人，不應受到任何不利影響?！币晕覈】荡a為代表的強制—集中式數(shù)字接觸追蹤技術(shù)因?qū)€人行蹤軌跡、地理位置信息和健康信息等信息進行廣泛地實時監(jiān)控和收集，相對而言隱私侵入性最強。以澳大利亞“COVIDSafe”為代表的自愿—集中式數(shù)字接觸追蹤技術(shù)因?qū)π鹿诖_診患者的個人身份、電話等數(shù)據(jù)以及健康數(shù)據(jù)采取集中式存儲和處理機制，具有較強的隱私侵入性。而美國蘋果和谷歌公司為代表的自愿—分布化數(shù)字追蹤技術(shù)采取去中心化的數(shù)據(jù)儲存和處理機制，采集的數(shù)據(jù)少且數(shù)據(jù)都存儲在用戶的手機上，且采用匿名標識符，難以直接識別到個人，相對更注重隱私保護，對用戶隱私侵入性最小。應該說，新冠疫情暴發(fā)以來，全球各國都根據(jù)其社會、經(jīng)濟、人口、文化、醫(yī)療資源及抗疫理念等各方面因素來確定其抗疫策略和總體目標，其實抗疫理念是最為重要的。中國一貫秉執(zhí)人民至上、生命至上為核心的抗疫理念，盡一切可能去保護人民群眾的身體健康和生命安全。誠如學者所言，“在公共衛(wèi)生法中，在自愿與強制之間，在公民自由與公共衛(wèi)生之間，在分散的(或個別的)健康威脅與整體的健康結(jié)果之間存在明顯的緊張關(guān)系?！睌?shù)字接觸追蹤技術(shù)模式選擇實則反映出各國試圖在新冠疫情防控與隱私保護，乃至公民自由之間進行艱難而復雜的平衡。如何在保障公眾健康與隱私保護之間尋求反思的均衡，選擇適合本國政治體制和隱私文化的數(shù)字接觸追蹤工具，在合理運用現(xiàn)代數(shù)字技術(shù)保障公眾健康的同時，盡量減少對公民的隱私風險，成為后疫情時代各國政府乃至整個人類社會面臨的一個重大現(xiàn)實問題。

三、我國數(shù)字接觸追蹤技術(shù)應用實踐引發(fā)的雙重風險：以健康碼為中心

健康碼作為我國數(shù)字接觸追蹤技術(shù)應用的集大成者，在此次我國新冠疫情防控工作中發(fā)揮著重要功能。與此同時，各地健康碼在防疫實踐中也面臨著隱私與歧視的雙重風險。

(一)隱私風險

在后新冠疫情時代，面對傳染性極強且不斷變異的新冠病毒，為了遏制疫情蔓延，維護公眾健康，政府不得不在人們所珍視的隱私與公眾健康福祉之間作出權(quán)衡。因為疫情的有效控制必須建立在充分的信息基礎之上，以便及時追蹤和發(fā)現(xiàn)接觸者，并采取有效管制措施，為避免政府在疫情防控決策中出現(xiàn)“信息赤字”或“信息饑饉”狀態(tài)，提升疫情防控的效率，勢必要求民眾讓渡一定的個人隱私，加大對個人信息的收集和處理力度。誠然，在后疫情時代，作為數(shù)字接觸追蹤技術(shù)的健康碼在追蹤和發(fā)現(xiàn)接觸者，實現(xiàn)人員有序流動方面無疑發(fā)揮著重要作用，但是其潛藏的隱私風險也同樣不容忽視。以色列歷史學家赫拉利對新冠疫情接觸追蹤技術(shù)帶來的持續(xù)性監(jiān)控和隱私風險表示擔憂：“如果我們不夠警覺，新冠疫情將成為監(jiān)控歷史上的一個重要分水嶺。”我國以健康碼為代表的自愿—集中式數(shù)字接觸追蹤技術(shù)的應用實踐中，個人隱私風險彌散于數(shù)據(jù)收集、存儲和分析利用等各個數(shù)據(jù)處理活動中。

首先，個人數(shù)據(jù)的過度采集暗藏隱私風險。在通常情形下，個人數(shù)據(jù)的采集遵循知情告知—同意原則和最小夠用原則，這兩大原則是個人數(shù)據(jù)采集的基礎性原則。然而，在疫情防控背景下，基于防控對涉疫信息的強烈需求，這兩大原則已經(jīng)被突破，而且這一突破是“依法”進行的，而這種做法也得到國內(nèi)外部分學者的肯定。我國《民法典》《傳染病防治法》《突發(fā)公共衛(wèi)生事件應急條例》為突破告知—同意原則預留了一定空間。具體而言，《民法典》第1035條第1款規(guī)定，“處理個人信息”一般要“征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外”。同時，該法第1036條規(guī)定，行為人“基于維護公共利益或者該自然人合法權(quán)益”可以收集個人信息?！秱魅静》乐畏ā返?2條規(guī)定，“在中華人民共和國領(lǐng)域內(nèi)的一切單位和個人，必須接受疾病預防控制機構(gòu)、醫(yī)療機構(gòu)有關(guān)傳染病的調(diào)查、檢驗、采集樣本、隔離治療等預防、控制措施，如實提供有關(guān)情況”。該法第18條第1款規(guī)定，各級疾病預防控制機構(gòu)在傳染病預防控制中負有收集、分析和報告?zhèn)魅静”O(jiān)測信息，預測傳染病的發(fā)生、流行趨勢，開展對傳染病疫情和突發(fā)公共衛(wèi)生事件的流行病學調(diào)查、現(xiàn)場處理及其效果評價等職責。其中涉及到對健康信息等個人信息的采集權(quán)力?！锻话l(fā)公共衛(wèi)生事件應急條例》第40條規(guī)定,在傳染病暴發(fā)、流行時，街道、鄉(xiāng)鎮(zhèn)以及居民委員會、村民委員會負有“協(xié)助衛(wèi)生行政主管部門和其他有關(guān)部門、醫(yī)療衛(wèi)生機構(gòu)做好疫情信息的收集和報告的義務?！鄙鲜鲆?guī)定賦予衛(wèi)生行政部門等疫情防控部門在未經(jīng)個人同意的情況下收集個人數(shù)據(jù)信息的權(quán)力，為防疫部門收集、利用個人數(shù)據(jù)開展疫情防控提供了合法性基礎。

然而，在公共衛(wèi)生應急狀態(tài)之下，對告知—同意這一個人信息處理的基礎性原則的突破卻產(chǎn)生了過度收集的問題。實踐中，一些地方開發(fā)的健康碼應用程序即存在著過度采集個人數(shù)據(jù)的問題。例如，江西省贛通碼應用程序，在申領(lǐng)贛通碼時需要強制采集人臉生物特征信息，如果用戶不同意，將無法使用該應用程序。還有一些省市的健康碼收集的個人信息范圍過于寬泛，甚至包括籍貫、個人既往病歷等與疫情防控目的無關(guān)的數(shù)據(jù)也在采集范圍。這些個人數(shù)據(jù)的采集顯然超越了疫情防控需要，實屬過度采集。個人數(shù)據(jù)的過度采集，不僅與疫情防控保障公民生命健康權(quán)之公共利益不符，與合目的性原則圓鑿方枘，并使得個人生活悉數(shù)暴露于國家的持續(xù)監(jiān)控之下，這無疑對個人隱私和自由構(gòu)成了重大威脅。

其次，集中式的數(shù)據(jù)存儲潛藏隱私泄露風險。就數(shù)據(jù)存儲而言，我國各地推行的健康碼應用程序采取的是一種集中式數(shù)據(jù)存儲機制，通過應用程序采集的各種個人數(shù)據(jù)都集中存儲于服務器，并且對特定級別的疫情防控部門的專門人員開放訪問權(quán)限?？陀^而言，相對分布式而言，這種集中式的數(shù)據(jù)存儲方式存在更為嚴重的隱私泄露風險。一方面，集中式的數(shù)據(jù)存儲服務器往往容易成為黑客入侵的對象，在服務器安全性能不高時容易發(fā)生數(shù)據(jù)泄露問題，因此，個人隱私的風險一直存在。另一方面，集中式數(shù)據(jù)儲存的期限不明造成人們對隱私的擔憂。集中式的數(shù)據(jù)存儲有利于提高防疫效率，但如果長期儲存則將引起人們對于隱私泄露風險的擔憂。2020年2月9日，中央網(wǎng)信辦發(fā)布的《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》要求，“收集或掌握個人信息的機構(gòu)要對個人信息的安全保護負責，采取嚴格的管理和技術(shù)防護措施，防止被竊取、被泄露”。網(wǎng)信部門正是基于對防疫機構(gòu)儲存數(shù)據(jù)泄露風險的考量，對數(shù)據(jù)的安全性提出要求，以強化防疫機構(gòu)的數(shù)據(jù)安全管理職責。

第三，對健康碼不合目的的濫用加劇隱私風險。健康碼程序?qū)Ａ總€人信息數(shù)據(jù)的收集和利用是基于抗擊疫情，保障公眾健康之目的。健康碼程序開發(fā)應用的合目的性為其提供了正當性。超越這一目的，健康碼的正當性將受到質(zhì)疑。尤其是，基于防疫目的所收集的個人數(shù)據(jù)被不合目的地濫用。具體而言，包括以下兩方面：一是將通過健康碼應用程序采集的個人信息用于防疫之外的其他目的。由于目前我國健康碼的開發(fā)應用多是采取公私合作方式開發(fā)，這使得那些科技公司有可能借此處理或掌握一些個人的敏感、隱私信息，而這些科技公司出于自身商業(yè)利益考量，可能會將其處理或掌握的個人數(shù)據(jù)用于防疫之外的商業(yè)領(lǐng)域或者利用這些數(shù)據(jù)作為訓練數(shù)據(jù)進行AI機器學習。二是將健康碼升級擴展用于防疫之外的領(lǐng)域。新冠疫情為人類社會的數(shù)字化轉(zhuǎn)型按下了加速鍵?！叭缃衩鎸π鹿谝咔?，‘數(shù)字化轉(zhuǎn)型’獲得了進一步發(fā)展的動力。人們緊閉在家?guī)淼囊粋€主要影響是，數(shù)字世界實現(xiàn)了決定性甚至是永久性的拓展和發(fā)展?！苯】荡a在此次新冠疫情防控中的大力推行和普及，為我國智慧城市建設提供了契機。一些城市在推出健康碼之后便提出了升級延展健康碼的設想。在杭州健康碼推出之后的2020年5月，杭州市衛(wèi)健委在健康碼的基礎上提出開發(fā)漸變色健康碼的設想，通過集成個人病例、體檢、生活方式管理的相關(guān)數(shù)據(jù)，同時針對運動步數(shù)、飲酒情況、吸煙情況、睡眠質(zhì)量等數(shù)據(jù)，對健康進行打分，不同的分數(shù)，健康碼將呈現(xiàn)出不同顏色，并且建立起個人健康指數(shù)排行榜。無獨有偶，蘇州市通過在本地的健康碼“蘇城碼”應用程序上嵌入“文明碼”的方式推出所謂“文明”碼，在城市管理領(lǐng)域推出“文明碼”，試圖借此對當?shù)鼐用竦墓采畹奈拿鞒潭冗M行量化打分。

從隱私角度而言，杭州和蘇州的做法實則是將應急狀態(tài)下處理個人信息的行為常態(tài)化，其應用程序運作中有可能會將之前在疫情期間未經(jīng)健康碼用戶同意收集到的個人信息挪作他用，從而加劇隱私侵入和泄露的風險。上述兩座城市升級健康碼的做法，令我們不得不認真思索新冠疫情之后的健康碼走向，也許德國學者克勞斯·施瓦布的下列論斷值得我們牢記：“當危機結(jié)束后，有些人會突然發(fā)現(xiàn)他們的國家已經(jīng)不再是那個他們愿意生活的地方了。這種心態(tài)的變化并不新鮮。過去幾年中，政府和企業(yè)一直在使用越來越專業(yè)的技術(shù)來監(jiān)測甚至操控公民和員工”。施瓦布的論斷表達了其對疫情過后數(shù)字接觸追蹤技術(shù)對公民持續(xù)監(jiān)控的深切憂慮。

(二)歧視風險

大數(shù)據(jù)、算法并非如同技術(shù)專家所宣稱的那樣中立，而是一如既往地反映著社會的偏見和不公。大數(shù)據(jù)的社會排斥與算法歧視一直是現(xiàn)代數(shù)字技術(shù)不容忽視的問題，且引發(fā)學者的高度關(guān)注。作為以大數(shù)據(jù)和算法為基礎的一種現(xiàn)代數(shù)字技術(shù)，我國以健康碼為代表的數(shù)字追蹤技術(shù)同樣充斥著歧視與不平等。只是在面對新冠疫情暴發(fā)導致的社會隔離和流動阻滯面前，這種歧視和不平等往往容易被遮蔽。有學者便指出：“抽象而言，信息加劇不平等的危險當然值得警惕。但問題是，在缺乏健康信息認證和披露機制時，社會未必就是更公平的?！辈豢煞裾J，健康碼在打破新冠疫情這一重大突發(fā)公共衛(wèi)生事件所導致的整體性物理隔離，促進社會有序流動方面發(fā)揮著重要作用。但是，健康碼這一數(shù)字追蹤技術(shù)給特定社會群體帶來的社會排斥和歧視問題仍然值得被認真對待。尤其是在疫情防控常態(tài)化背景下，健康碼將在一定時期內(nèi)成為表征個人健康狀況，決定通行流動的基本憑證，其帶來的上述問題應引起理論和實務層面的高度關(guān)切。

首先，健康碼應用的不均衡引發(fā)社會排斥問題。作為一種數(shù)字追蹤技術(shù)，健康碼依靠各級政府的強力推行，普及程度已經(jīng)很高，其在我國新冠疫情防控中取得了良好效果。但是，其帶來的社會排斥問題仍然存在。一方面，健康碼應用的不均衡分布加劇社會不平等。目前，健康碼應用在各社會階層之間呈現(xiàn)出不均衡分布。其中，老年人、低受教育程度者和低收入人群在健康碼下載、注冊和應用上相對要低于青中年人、受教育程度高和高收入群體。上述群體因為認知能力、經(jīng)濟能力等方面而處于相對弱勢的地位，在健康碼應用方面存在明顯困難。當各地紛紛將健康碼作為個人健康狀況和生活出行的基本憑證乃至唯一憑證時，而在老年人、低受教育者和低收入人群者等社會弱勢群體的低普及率，已然對其日常出行、參與社會活動等造成嚴重不便。健康碼借由大數(shù)據(jù)和算法模型正在建構(gòu)各個社會成員的數(shù)字身份，通過注冊申領(lǐng)健康碼成為人們獲得數(shù)字身份的唯一方式。在新冠疫情背景下，健康碼成為個人出行的基本憑證。然而，上述弱勢群體的成員卻因各種原因難以注冊、使用健康碼而難以獲得數(shù)字身份，被數(shù)字化排斥。在疫情防控常態(tài)化背景下，這種數(shù)字化排斥在事實上造成了數(shù)字社會的階層隔離現(xiàn)象，從而加劇了弱勢群體邊緣化和社會不平等。另一方面，健康碼應用在弱勢群體中的低應用率導致其淪為“余數(shù)生命”。不可否認，在新冠疫情背景下，健康碼成為監(jiān)測病毒擴散傳播、追蹤病毒感染者、密接人員、接觸者的有力武器，然而，上述弱勢群體卻因未獲得數(shù)字身份而被排斥在數(shù)字接觸追蹤技術(shù)所建構(gòu)的公共健康保護層之外。健康碼的不均衡應用在事實上產(chǎn)生了相當一部分游離于健康碼之外的“余數(shù)生命”，而這些余數(shù)生命的存在則成為健康碼這一“碼上治理”所面臨的真正挑戰(zhàn)?！皩τ谠诋敶澜缰袨閿?shù)并不少的不會使用智能設備的老年人以及不想使用智能設備的技術(shù)厭惡者而言，他們盡管在生物性層面上并沒有受到病毒感染，然而卻由于未能轉(zhuǎn)型成為‘數(shù)字人’，故此無法在共同體內(nèi)部通行，并且無法享有對生命的相關(guān)扶助。”2021年8月初暴發(fā)的揚州疫情的一個特點是確診病例中老年人居多。根據(jù)媒體報道，揚州疫情60歲老年人占確診病例的70%以上，這與老年人健康碼應用率不高存在一定關(guān)聯(lián)。

為了解決疫情期間老年人等弱勢群體出行的問題，2020年12月，交通運輸部等七部門聯(lián)合出臺《關(guān)于切實解決老年人運用智能技術(shù)困難便利老年人日常交通出行的通知》，要求改進交通運輸領(lǐng)域“健康碼”查驗服務，“簡化操作以適合老年人使用，并應建立完善‘健康碼’親友代辦、工作人員代查等服務，不得將‘健康碼’作為人員通行的唯一憑證，對老年人等群體可采取憑有效身份證件登記、持紙質(zhì)證明通行、出示‘通信行程卡’作為輔助行程證明等替代措施?！笨陀^而言，這一通知確實在一定程度上緩解了老年人出行問題，但是，在疫情常態(tài)化背景下，一些地方疫情防控措施“層層加碼”，仍然將健康碼作為人員通行的主要甚至唯一憑證，老年人日常交通出行需要由親友陪同，仍面臨諸多不便。

其次，健康碼應用程序算法模型預測不準確導致歧視。健康碼基于個人自行申報的健康信息、地理位置等數(shù)據(jù)和后臺的大數(shù)據(jù)平臺所收集的個人地理位置、行蹤軌跡數(shù)據(jù)、發(fā)熱門診診斷數(shù)據(jù)等，由算法模型進行自動比對，并據(jù)此對個人的健康風險進行判斷，自動生成紅、黃、藍三色碼。所有的算法模型是均基于代理來工作的。健康碼在賦碼過程中，也是基于代理來判定其健康風險。我國各地的健康碼主要是基于個人旅居史、電信公司基站收集的移動手機信號、發(fā)熱門診等信息來確定其感染風險。例如，當通過GPS定位技術(shù)在高風險地區(qū)捕捉到某某手機信號時，后臺算法就據(jù)此判定其存在高風險地區(qū)的旅居史，進而對其賦紅碼。由于代理選擇和數(shù)據(jù)的準確性問題，各國基于算法模型的數(shù)字接觸追蹤技術(shù)均會存在錯誤，從算法模型產(chǎn)生的錯誤類型來看，包括假陽性和假陰性。其中，假陽性意味著個人實際上沒有感染病毒而被系統(tǒng)錯誤地判斷為很可能感染了病毒，而假陰性意味著個人實際上感染了病毒而被錯誤地認為沒有感染病毒。

各地所采用的健康碼算法模型在運行過程中同樣存在錯誤判定問題。但是，與國外基于特定個體與確診病例之間的近距離接觸時間長短作為判斷感染風險大小的標準不同，我國健康碼則是基于個人行蹤軌跡，過去14天是否途經(jīng)或存在中高風險地區(qū)旅居史，或是否存在發(fā)熱癥狀作為判斷感染風險程度的標準，相對側(cè)重于區(qū)域接觸追蹤而非直接的個體接觸追蹤。客觀而言，我國健康碼賦碼規(guī)則的相對寬泛和模糊，導致其在判斷感染風險方面不可避免地出現(xiàn)大量假陽性。這一賦碼規(guī)則也意味著，我國各地應用的“紅黃綠”三色健康碼更多是作為一種疫情期間控制人員通行流動的出行憑證，而非直接判斷個人健康狀況憑證。換言之，健康碼算法對特定個體賦紅碼并不意味著其被感染，而是認為其存在相對較高的感染風險。這一點，從各地出臺的賦碼規(guī)則就得以窺見。

我國健康碼賦碼規(guī)則深刻地反映了我國新冠疫情治理所秉持的“寧枉勿縱”的風險預防原則。這一賦碼規(guī)則在疫情防控方面收效顯著。相比國外數(shù)字接觸追蹤技術(shù)應用中出現(xiàn)大量的假陰性，我國出現(xiàn)假陰性的概率要低得多，減少假陰性的概率對于遏制疫情傳播擴散具有重要作用。同時，我們也要看到，在假陰性大幅減少的同時，健康碼疫情治理中出現(xiàn)大量的假陽性。這意味著，很多公民實際上并未接觸新冠肺炎確診者，但卻因?qū)挿旱馁x碼規(guī)則而被集中隔離或者要求進行規(guī)范的居家隔離，限制出入重點場所等，公民個人和整個社會也為此付出了很大代價。在某區(qū)域暴發(fā)疫情被確定為中高風險，所有在過去14天內(nèi)曾有該區(qū)域旅居史，甚至GPS定位技術(shù)在該區(qū)域內(nèi)捕捉到手機信號的個人，將會分別被賦黃碼或紅碼，防疫部門將對其采取居家或集中隔離等措施?？陀^而言，我國各地健康碼過于寬泛的賦碼規(guī)則既對個人行動自由產(chǎn)生了不利影響，還可能對某些個體構(gòu)成了一種不合理的差別對待。實踐中，個人乘坐高鐵途經(jīng)中高風險地區(qū)但并未?？?，僅因在中高風險地區(qū)捕捉到了該個體的手機信號，健康碼便直接判定為紅碼，進而對其采取強制集中隔離和核酸檢測等一系列管制措施。這種賦碼規(guī)則和實踐操作的合理性確實值得商榷。對這些個體而言，草率的賦紅碼或黃碼行為似乎構(gòu)成對其進行了不合理的差別對待。2021年7月中旬南京祿口機場疫情暴發(fā)期間，網(wǎng)民“吐槽”轉(zhuǎn)碼的艱辛過程，實則暴露出目前各地防疫機構(gòu)出臺的轉(zhuǎn)碼規(guī)則設計和實踐運行中所存在的標準不一、不合邏輯和操作混亂等突出問題，也從深層次暴露出目前各地健康碼賦碼規(guī)則本身的合理性問題。

綜上，我們可以看到，以健康碼為代表的數(shù)字接觸追蹤技術(shù)在緩解疫情傳播擴散、促進社會有序流動方面發(fā)揮著重要作用，但是其所潛藏的隱私和歧視風險也同樣不容忽視。尤其是在疫情防控常態(tài)化背景之下，如何從制度層面規(guī)范以健康碼為代表的數(shù)字接觸追蹤技術(shù)，在合理發(fā)揮疫情防控作用的同時，減少潛在隱私和歧視風險，成為一個亟待解決的重大現(xiàn)實難題。

四、疫情防控常態(tài)化背景下數(shù)字接觸追蹤技術(shù)應用的法治化建構(gòu)

2020年在全球范圍內(nèi)暴發(fā)的新冠疫情將整個人類社會從正常狀態(tài)推向緊急狀態(tài)。而數(shù)字接觸追蹤技術(shù)在世界主要國家疫情防控中的廣泛應用則進一步將人類社會推向“數(shù)字緊急狀態(tài)”。當前，我國疫情防控形勢總體趨于穩(wěn)定，暴發(fā)大規(guī)模疫情的可能性較小，處在“外防輸入、內(nèi)防反彈”的疫情防控常態(tài)化階段。這意味著，一方面，以健康碼為代表的數(shù)字接觸追蹤技術(shù)仍將在疫情防控中持續(xù)應用。誠如學者所言：“在疫情防控常態(tài)化的背景下，健康碼可能會成為長期伴隨個人的電子健康憑證?！绷硪环矫?，數(shù)字接觸追蹤技術(shù)應用的各種風險也如影隨行。“既然‘例外狀態(tài)……已然成為常態(tài)’，那么它便不僅越來越成為一種治理技術(shù)而非例外手段，并且也暴露了它自身作為法秩序之構(gòu)成性典范的本質(zhì)?！痹谝咔榭傮w形勢趨于穩(wěn)定的背景下，疫情防控趨于常態(tài)化，此時，之前懸置的法律制度和法秩序應當逐漸恢復。從這個意義上，很有必要對以健康碼為代表的數(shù)字接觸追蹤技術(shù)應用加以法律規(guī)制，在保障其防疫功能基礎上，尋求公共健康福祉與個人隱私、平等與自由等基本權(quán)利的動態(tài)平衡。

(一)數(shù)字接觸追蹤技術(shù)應用法治化的原則奠基：比例原則

“比例原則所強調(diào)的手段必要性和限制妥當性，本質(zhì)上是在權(quán)利侵害的嚴重性和公益保護的重要性之間追求均衡?！北壤瓌t是衡量和判斷公權(quán)力行使是否合乎理性的重要判準。傳統(tǒng)的比例原則包括適當性、必要性和均衡性三大子原則，這三大原則在具體個案適用中采取逐步遞進適用之方法，因此又稱為比例原則的“三階構(gòu)造”。隨著社會發(fā)展，比例原則將目的正當性納入其中，進一步擴展為“四階構(gòu)造”：即目的正當性、適當性、必要性和均衡性。數(shù)字技術(shù)在公共治理場景中的應用同樣需要遵循比例原則。歐盟《個人數(shù)據(jù)保護比例原則指南》規(guī)定，應在適當?shù)臄?shù)據(jù)處理與合法目的之間進行平衡，無論是公共還是私人領(lǐng)域，都應在所有階段實現(xiàn)公共利益、個人權(quán)利和自由之間的利害關(guān)系平衡，保證對個人權(quán)利干預強度與特定場景下意欲實現(xiàn)目標之間的必要平衡。作為當前各地疫情防控實踐中廣泛應用的一項技術(shù)手段，數(shù)字接觸追蹤技術(shù)應用意欲實現(xiàn)法治化，首先應當遵循比例原則，將比例原則作為判斷該技術(shù)應用是否具有合法性和正當性的基本判準。

1.合乎目的正當性。新冠疫情這一重大公共衛(wèi)生事件暴發(fā)對人民生命健康構(gòu)成嚴重威脅，這一重大而緊迫情勢的出現(xiàn)，要求國家擔負起疫情防控之義務，以保障公眾健康之福祉。國家基于疫情防控，保障公眾健康之目的，此目的本身具有正當性。這為疫情防控部門應用健康碼采集、處理個人數(shù)據(jù)提供了正當性基礎。目的正當性原則要求疫情防控部門將健康碼應用，包括個人數(shù)據(jù)采集、處理和分析都只能圍繞疫情防控這一目的展開，而不能基于其他目的，例如公共安全或城市管理等相對寬泛的行政目的或公共利益而升級健康碼應用程序所收集的數(shù)據(jù)。

2.合乎適當性。適當性原則又稱關(guān)聯(lián)性原則，它要求手段與目的之間存在實質(zhì)的關(guān)聯(lián)性。在疫情防控背景下，根據(jù)適當性原則，要求防疫部門采取的防控措施與有效控制疫情傳播、保障公眾健康的目的之間具有合理的因果關(guān)系。具體到健康碼這一數(shù)字接觸追蹤技術(shù)，適當性原則要求通過健康碼應用程序所采集的個人姓名、住址、聯(lián)系方式、健康狀況、行蹤軌跡、地理位置等信息與遏制疫情傳播、保障公眾健康之疫情防控目的之間存在實質(zhì)關(guān)聯(lián)性。一些地方的健康碼應用程序強制采集個人的人臉、虹膜等生物特征信息，這些個人生物特征信息具有唯一性、不可逆性，屬于個人敏感信息，且與保障公眾健康目的之實現(xiàn)無實質(zhì)關(guān)聯(lián)性，顯然構(gòu)成“不當聯(lián)結(jié)”，這種做法與適當性要求顯然是相悖的。

3.合乎必要性。必要性原則要求立法者、行政者所運用的手段是可供選擇的諸種手段中相對最小損害的。在疫情防控常態(tài)化背景之下，必要性原則要求防疫部門在諸種防控手段中選擇相對最小損害的一種。就健康碼這一接觸追蹤工具而言，必要性原則要求健康碼應用程序在個人信息收集上宜堅持最少夠用原則，不能過度采集個人信息；在個人信息的儲存上，應當根據(jù)新冠病毒感染潛伏期等因素綜合考量，合理確定數(shù)據(jù)存儲的期限；在個人信息的共享、處理和分析上，恪守目的限縮之要求，緊緊圍繞遏制疫情擴散傳播，保障公眾健康之目的來共享、處理分析個人數(shù)據(jù)，不得基于其他目的而對個人數(shù)據(jù)進行共享、處理和分析。

4.合乎均衡性。均衡性原則又稱狹義的比例原則，該原則要求公權(quán)力行為手段增進的公共利益與其所造成的損害之間成比例。均衡性原則要求執(zhí)法者目光在手段與目的之間來回穿行流轉(zhuǎn)。在行政實踐中，執(zhí)法者為達致均衡性，通常借助于成本—效益分析這一理性計算方法。然而，在新冠疫情大規(guī)模暴發(fā)之初，囿于對新冠病毒的傳染性、致死率和傳播途徑、速度等特征缺乏了解，防疫部門不得不在“不確定性條件下”快速作出判斷，此時要求防疫部門在公眾健康福祉與疫情所造成的個人隱私、歧視、自由等風險之間作出精確的計算是不現(xiàn)實的。但是，在疫情防控常態(tài)化之后，要求防疫部門在數(shù)字接觸追蹤技術(shù)應用中比較權(quán)衡其在遏制病毒傳播擴散、促進公眾健康福祉與侵害公民個人隱私、歧視和自由等基本權(quán)利方面造成的侵害是否成比例則是必要和可能的。根據(jù)均衡性原則，疫情風險程度和分布狀況各異，意味著在確定健康碼“亮碼”場合時，需要充分基于風險治理的理念，根據(jù)所在地區(qū)疫情風險等級、地域和具體場所來確定是否需要“亮碼”，那種搞“一刀切”，強制要求公民出入各種場所均需“亮碼”的做法顯然是不恰當?shù)摹?/p>

(二)數(shù)字接觸追蹤技術(shù)應用法治化的具體制度建構(gòu)

在明確疫情常態(tài)化背景下數(shù)字接觸追蹤技術(shù)應用應以比例原則為基本遵循，并以此原則為基礎，來建立健全數(shù)字接觸追蹤技術(shù)應用的制度規(guī)則，以確保技術(shù)應用在法治框架下展開。

1.健全以隱私政策為中心的數(shù)據(jù)采集告知制度。在疫情防控常態(tài)化背景下，健康碼開發(fā)者、使用者在注重健康碼防疫效果的同時，高度重視在數(shù)據(jù)采集過程中個人知情權(quán)的保障。正如前述，基于疫情防控的現(xiàn)實需要，盡管傳統(tǒng)個人信息處理的告知—同意原則被懸置，防疫部門能夠在未經(jīng)個人同意的情形下收集個人信息，但是，為了防止個人信息被過度收集、處理，保障個人的知情權(quán)，疫情防控部門通過健康碼收集個人信息時，仍負有明確的告知義務。為更好履行這一告知義務，各地的健康碼應用程序宜公布隱私政策，在隱私政策中向注冊用戶明確告知數(shù)據(jù)收集的目的、范圍、類型、用途等，以保障數(shù)據(jù)收集階段個人的知情權(quán)。

2.建立數(shù)字接觸追蹤技術(shù)影響評估制度。如果將人工智能類比人類的話，那么算法和數(shù)據(jù)則分別是組成人工智能軀體的神經(jīng)系統(tǒng)和血肉，兩者共同協(xié)作，使得人工智能更具智慧。數(shù)字接觸追蹤技術(shù)之所以能夠在防疫工作中發(fā)揮重要作用，也是得益于海量的數(shù)據(jù)收集和算法模型的強大數(shù)據(jù)分析處理能力。無論是算法，還是數(shù)據(jù)收集、儲存等活動均會對公民的基本權(quán)利產(chǎn)生深刻影響。誠如學者所言：“權(quán)力的數(shù)據(jù)性行使還會形成權(quán)利限制的正當性假象，公權(quán)力借助數(shù)據(jù)和算法的力量，通過觀念滲透和基礎設施搭建實現(xiàn)權(quán)利限制的生活場景重塑和邏輯植入，使個人不得不接受直至習慣于此隱形枷鎖?！痹谝咔榉揽爻B(tài)化背景下，為了全面了解、評估健康碼這一數(shù)字追蹤技術(shù)算法和數(shù)據(jù)處理活動對公民基本權(quán)利的影響，很有必要建立健康碼算法影響評估制度。目前，包括歐盟、美國和加拿大在內(nèi)的發(fā)達國家均建立了算法影響評估制度，特別是針對近年來在公共治理領(lǐng)域廣泛應用的自動化算法系統(tǒng)。究其本質(zhì)，算法影響評估制度反映的是一種風險治理的理念，即聚焦于算法自動化系統(tǒng)對公民自由、隱私和平等權(quán)等基本權(quán)利的潛在影響。借由對擬投入應用的算法自動化系統(tǒng)對公民自由、隱私等基本權(quán)利的影響程度的全面評估，來確定是否投入應用，并對投入應用的算法自動化系統(tǒng)有針對性地采取技術(shù)措施，以減少其對公民的基本權(quán)利的負面影響，降低由此帶來的風險。

在疫情防控常態(tài)化背景下，面對健康碼這一數(shù)字接觸追蹤技術(shù)潛藏的隱私和歧視風險，宜建立健康碼算法影響評估制度。在評估內(nèi)容上，健康碼算法影響評估主要聚焦于算法模型對公民的自由權(quán)、隱私權(quán)和平等權(quán)等基本權(quán)利的影響和風險程度。在評估時間上，鑒于疫情形勢的動態(tài)變化特征，宜建立動態(tài)、周期性的評估制度，由開發(fā)應用健康碼的防疫機構(gòu)定期對健康碼這一數(shù)字接觸追蹤技術(shù)的潛在風險展開評估。在評估報告披露方面，鑒于健康碼應用程序?qū)竦淖杂傻纫幌盗谢緳?quán)利所造成的影響，宜采行強制披露制度，即要求健康碼算法的開發(fā)者和應用者披露評估報告，以接受公眾監(jiān)督。借由這一強制披露制度來促使健康碼算法的開發(fā)者和應用者優(yōu)化算法模型的設計，改進性能，在保障健康碼防疫功能的前提下，減少其對公民基本權(quán)利所產(chǎn)生的負面影響和風險。

3.建立事前解釋與事后解釋相結(jié)合的算法解釋權(quán)制度。算法決策的一個基本特征在于黑箱性，防疫機構(gòu)利用健康碼為特定個體賦碼進而決定其隔離抑或通行的行為作為一種典型的算法行政也不例外。根據(jù)正當程序原則，行政機關(guān)對其所作出行政決定負有說明理由之義務，以闡釋其行為是基于充分的事實和理由而作出的，具有合法性和合理性。然而，健康碼算法行政的黑箱性特征卻褫奪了公民獲得合理解釋的權(quán)利。

誠如學者所言：“透明度和信息告知義務對個人權(quán)利和自由的內(nèi)在價值在于限制信息的不對稱，并向個人展示其數(shù)據(jù)處理情況。這對于保護人們在信息自決權(quán)意義上的數(shù)據(jù)保護權(quán)，維護個人自治、建立反歧視意識尤為重要。在疫情防控常態(tài)化時期，為了克服健康碼自動行政的黑箱性，提升健康碼算法的透明性，需要在健康碼應用中引入算法解釋權(quán)制度，通過賦予那些受健康碼算法決策影響的公眾獲得健康碼算法決策的解釋權(quán)利，來使其了解健康碼算法決策背后的邏輯乃至正當性基礎。在健康碼算法的解釋權(quán)構(gòu)造上，可以考慮根據(jù)算法決策的多階構(gòu)造采取事前解釋和事后解釋相結(jié)合的雙層解釋權(quán)構(gòu)造。具體而言，事前解釋主要圍繞健康碼算法模型展開，是一種以“算法功能為中心”的算法解釋模式。這一算法解釋模式一般發(fā)生在健康碼算法模型投入使用前，由健康碼開發(fā)者和應用者對健康碼算法模型的功能、預定義模型、賦碼規(guī)則等進行解釋，以算法功能為中心的事前解釋模式有助于讓社會公眾了解健康碼算法的內(nèi)在運行機理。事后解釋則主要圍繞健康碼算法自動作出的具體賦碼行為展開，是一種以“具體決策為中心”的算法解釋模式，該解釋模式通常是健康碼應用程序?qū)μ囟ㄖ黧w作出自動賦碼行為之后進行，主要圍繞著健康碼對特定主體賦碼的理由、原因、作出特定賦碼決定所依據(jù)的個人健康數(shù)據(jù)、行蹤軌跡數(shù)據(jù)和地理位置數(shù)據(jù)等，以及每種指標的功能權(quán)重、機器定義的特定案例決策規(guī)則等。事后解釋有助于健康碼算法行政相對人了解對其賦碼背后的理由和原因，例如，事后解釋能夠使其了解到其之所以被賦紅碼是因最近14天內(nèi)有高風險旅居史或者確診人員密接觸史?！巴该餍杂兄跔I造一種信任的氣氛，引導大家接受算法的結(jié)果”。從個人角度而言，賦予其算法解釋權(quán)，能夠打破健康碼算法的黑箱，使其了解健康碼內(nèi)部運行的機理，知悉對其賦碼背后的原因和理由，有助于提高其對防疫措施的遵從度。從防疫部門角度而言，算法解釋義務切實履行，能夠使賦碼結(jié)果更具合理性，使得基于健康碼的算法行政避免專斷恣意，最終贏得公眾的信任。

4.建立類型化與周期性相結(jié)合的數(shù)據(jù)刪除制度。誠如學者所言，相對于傳統(tǒng)的緊急狀態(tài)而言，數(shù)字時代的緊急狀態(tài)恢復顯得尤為困難。這一點從一些城市以“智慧城市”建設名義迫不及待將健康碼這一數(shù)字接觸追蹤技術(shù)升級擴展的實踐做法中就得以略窺一二。9·11恐怖襲擊事件后，基于反恐的需要各國紛紛臨時采取監(jiān)控的安保措施，例如廣泛使用攝像頭等，而時至今日，攝像頭等技術(shù)已經(jīng)遍布周遭，顯得再正常不過了。而伴隨著人臉識別技術(shù)、數(shù)字接觸追蹤工具廣泛應用于新冠疫情防控之中，“越來越多的分析人士、政策制定者和安全專家擔心這一情況會再次上演，他們害怕為了控制新冠疫情而采取的技術(shù)解決方案會長期存在?！痹谝咔榉揽爻B(tài)化背景下，基于保護個人信息隱私和保障公民自由之目的，宜在確保健康碼防疫功能正常發(fā)揮之前提下，根據(jù)個人數(shù)據(jù)在防疫中的功能作用和重要性程度，建立類型化與周期性相結(jié)合的數(shù)據(jù)刪除制度。具體而言，首先，對于諸如個人的行蹤軌跡、地理位置數(shù)據(jù)、非確診人員的健康數(shù)據(jù)等這些處在不斷變動之中的數(shù)據(jù)進行處理。根據(jù)感染新冠病毒的潛伏期特征，該類數(shù)據(jù)只是在健康碼收集后一段時間內(nèi)可以用于防疫之目的，在經(jīng)過一段時間后，這些數(shù)據(jù)便失去了其進行流行病調(diào)查，開展接觸者追蹤的作用。因此，對于這類數(shù)據(jù)宜規(guī)定其在自采集之日起計算一定期限(通常不超過1個月)后即由專門人員負責刪除，數(shù)據(jù)主體也可以行使刪除權(quán)。這一動態(tài)的周期性刪除制度，有助于保護個人信息，避免數(shù)據(jù)泄露，也在一定程度上打消個人對持續(xù)的大規(guī)模監(jiān)控的擔憂。其次，對于諸如個人信息能夠持續(xù)用于疫情防控，例如確診患者的健康數(shù)據(jù)可用于疫苗研發(fā)、醫(yī)學研究、傳染病持續(xù)追蹤調(diào)查等，則不能刪除，數(shù)據(jù)主體的刪除權(quán)行使也應受到限制。當然，為了保護數(shù)據(jù)主體的健康隱私，數(shù)據(jù)控制者應當采取切實有效的技術(shù)措施對數(shù)據(jù)進行脫敏加密處理。第三，對于疫情期間收集的個人姓名、身份證號等基本信息，在防疫期間，為避免重復采集，上述個人基本信息不宜刪除，待疫情結(jié)束后再進行刪除。

結(jié)語

新冠疫情在全球范圍內(nèi)的大規(guī)模暴發(fā)，將世界各國政府卷入了一場百年不遇的“生命政治”治理實踐之中。生命政治的本質(zhì)是“政治直接作用于生物性生命、使人活下來的政治”?！艾F(xiàn)代社會的權(quán)力是一種保護和提高生命的權(quán)力，各種權(quán)力機構(gòu)的主要功能不是消滅生命，而是要去干預和調(diào)節(jié)生命的狀態(tài)?！敝蒙頂?shù)字化轉(zhuǎn)型時代，圍繞新冠疫情的生命政治正在誕生出新的治理術(shù)，亦即由大數(shù)據(jù)和算法共同驅(qū)動的算法治理術(shù)(ALGORITHMIC GOVERNMENTALITY)，而作為控制疫情蔓延、追蹤接觸者的數(shù)字接觸追蹤技術(shù)只是其中之一。參見Antoinette Rouvroy, “The End(s) of Critique: Data Behaviourism Versus Due Process”, Mireille Hildebrandt(ed.), , : , Routledge, 2013, pp.143-167.當前，人類在面對數(shù)字接觸追蹤技術(shù)時顯露出一種喜憂參半的復雜而矛盾的心理：一方面，數(shù)字接觸追蹤技術(shù)無疑承載著人類試圖借由自主性技術(shù)的力量走出重大公共衛(wèi)生危機的殷殷希望，并為人類社會在新冠疫情陰霾籠罩之下顯現(xiàn)的數(shù)字化轉(zhuǎn)型曙光而倍感欣慰；另一方面，強大而無所不再的數(shù)字接觸追蹤技術(shù)對人的持續(xù)性監(jiān)控又引發(fā)了對自由、隱私和平等等價值喪失的隱憂。但無論如何，作為法律人，面對新冠疫情帶來的數(shù)字緊急狀態(tài)，仍需要回歸到緊急狀態(tài)法治的框架下，在保障數(shù)字接觸追蹤功能作用的前提下，持續(xù)探索數(shù)字接觸追蹤技術(shù)的法律規(guī)制方案，這對于人類有尊嚴而從容地早日走出新冠疫情陰霾無疑具有重要理論和現(xiàn)實意義。