孚道说法︱颜色不一样的焰火——健康码赋码行为的法律性质简析
来源:孚道律师 陈炫臻
引言:谁制定健康码?
为应对2020年2月以来全国范围内突发的公共卫生事件,在疫情防控和复工复产过程中,全国一体化在线政务服务平台、部分省(区、市)以及互联网企业联动逐步建立起全国互认的健康码。健康码以个人真实身份信息和实时健康数据等为基础,通过手机移动应用端等渠道申报,并按照不同场景及一定的赋码规则进行风险评估,形成“个人电子风险提示码”。(参见《新冠肺炎疫情防控健康码管理与服务暂行办法》、《杭州健康码管理与服务指南》等)
通过健康码的概念我们可以知道,健康码在官方的定义是“个人电子风险提示码”。之所以称之为个人电子风险提示码,是因为这个提示码是由个人申领、个人管理使用、与个人隐私信息绑定,并由个人授权审核相关信息。而风险提示,是经我们授权之后,政府管理的疫情防控平台进行审核之后,会根据我们的轨迹行程、健康数据对我们进行风险的评估,通常分别赋予“红”、“黄”、“绿”三色码。
那么进入今天我们讨论的正题:健康码赋码行为在法律层面属于什么性质的行为?
一、是谁制定健康码的使用规则?
“我们通过基础数据的互认共享,会同国务院办公厅电子政务办公室等部门。制定了健康码管理与服务的制度,明确了赋码和转码规则,清理规范现有的各类疫情防控码,原则上一个省(区、市)只保留一个统筹建设的健康码,全国目前基本实现了健康码的‘一码通行’”——参见《国家卫生健康委员会2021年3月23日例行新闻发布会文字实录》
通过检索,全国通行健康码的使用规则的相关文件和规定大致有下(不包含地方性规定):
同样,我们也看到一些地方专门针对地方健康码的使用进行了立法,如浙江省杭州市2020年05月15日发布的《杭州健康码开发运行规范管理办法》;或者对健康码的运营规则有专门的讲解,如《陕西省健康码赋码规则及健康管理措施》、《海南健康码规则(修订版)》、《广西健康码定码和转码规则》。
由上可知,健康码的管理制度已经于2021年年初明确了统一的规则,各地健康码虽然仍有区别,但是国家层面的制度和规则已经建立起来,依托于全国一体化政府服务平台进行数据的汇总和审核的做法在全国范围内是通行的,这也是各省互认,一码通行的前提。或许外省、外市出行可能仍然需要申领当地的健康码,但是启程和到达时的互认是可以做到的。以粤康码为例,粤康码在“常见问题”的解答中明确载明:“相关数据来源于全国一体化政府服务平台提供的健康数据”。另外值得注意的是,从地方的立法和规则制定以及实践来看,即使全国通行的方法已有明确规定,但是由于各地疫情面临不同的压力情况,各地方政府也是有各自的服务器和权限的,这也意味着地方在防疫的政策上是享有一定自主权的。
二、是谁负责健康码运营和维护?
根据前述可知,健康码一般性的赋码和转码规则是有通行做法的,但是同时也给予了地方根据各地实际情况一定的自主权,有的地方也出台了公开的使用规则。从公开的规范来看,健康码的规则是各地依据国家的规定和制度制定地方的细则,省一级的疫情防控领导机构在各地具有较高的领导权限,相关政府部门根据各自职能协助健康码运行。
(一)以杭州市为例
《杭州健康码开发运行规范管理办法》明确规定:“市政府统一组织实施杭州健康码的开发运行管理。市数据资源管理部门负责杭州健康码的开发维护,市卫生健康部门负责杭州健康码的日常运行管理。市数据资源管理部门应当与杭州健康码项目开发运行的政府部门和受委托进行技术开发的单位(以下统称有关部门和单位)签订协议或备忘录,明确各自职责,对杭州健康码项目涉及的应用范围、数据来源、数据安全、个人隐私保护以及相关权利归属等内容进行明确清晰的约定,确保项目依法依规有序推进。”
杭州健康码的组织实施由杭州市政府负责,日常运行管理是由杭州市卫健委负责。
(二)以陕西省为例
《陕西省健康码赋码规则及健康管理措施》明确规定:“省应对疫情工作领导小组疫情防控组根据疫情发展形势和风险等级变化情况,及时调整陕西健康码赋码及转换规则,并第一时间做好新规则的通报工作,以便及时更新陕西健康码系统。”
陕西省健康码赋码和转换的权限在省一级的疫情防控领导机构,此类疫情防控组是政府针对特定事件临时组织的机构。
(三)以广西壮族自治区为例
《广西健康码管理与服务暂行办法》明确规定:“本办法适用于涉及广西健康码管理的全区各地各部门各单位和公共场所,自治区新冠肺炎疫情防控指挥部会同自治区有关部门根据疫情防控要求强化广西健康码的统筹管理,同时按照属地管理原则,各地疫情防控有关部门做好本地区广西健康码管理和服务工作。自治区大数据发展局负责广西健康码信息系统的建设、运维和技术支持工作。”“按照属地管理的原则,由各级新冠肺炎疫情防控指挥部牵头负责本地健康码转码和管理服务工作,要加强组织领导,指定专人负责,明确责任和管理流程,统筹协调,根据疫情防控的变化灵活利用健康码有效规范开展疫情联防联控工作,动态掌握所管辖人员情况。”
广西健康码的规定更为细致和明确,一方面自治区级的防控指挥部仍具有统筹管理权限,同时也确定各地防控指挥部负责本地的转码和管理工作,同时在后续的规定中同时规定了社区网格管理人员的转码、采集和上传数据的权限。
三、健康码赋码行为的性质及其法律风险
(一)赋码行为属于具体行政行为
根据全国通行做法和上述规定可知,健康码赋码行为实际上是已经领取健康码的个人,授权政府平台获取隐私信息,包括轨迹、行程、健康、购票、出入境甚至家庭健康信息等等,由平台提供相应数据给各地疫情防控机构,各地疫情防控机构根据信息进行审核和赋码。如果一定要类比,就是根据个人所提供的隐私信息结合实时的疫情情况给个人的现实状态进行定义,根据个人状态确定此时此刻可以从事活动的权限。健康码在被赋予时形成了一种专属于个人的即时许可的证明文件,确定个人可以做什么,不可以做什么,最终形成对人身权利的许可或限制。
据此,笔者倾向认为,赋码行为属于具体行政行为。
(二)错误赋码的救济与越权赋码的责任
1、据检索,健康码的使用和管理受到相关文件和规定的限制
2、错误赋码的救济
(1)1、下表节选自各地的转码申诉方法,可以知道,一般而言各地可以通过小程序、app进行线上申诉,或者通过市民热线“12345”咨询申诉事宜,将会有工作人员审核并进行转码。
(2)赋码行为在性质上属于可诉的具体行政行为,笔者认为,若赋码行为对公民利益造成损害,可以依据行政复议法、行政诉讼法的规定依法申请复议或者诉讼。
3、越权赋码的责任
通过上述分析可知,健康码赋码的行为实际上对于公民的权利实际上存在具体的、现实的影响,如果被错误赋予红码,则进入各种公共场所会遭到限制,甚至会被采取隔离措施,由此产生各种损失。近日也确实存在被错误赋码的现实情况,那么对于擅自赋码、越权赋码是否需要承担相应的责任?答案是肯定的,“法无授权即禁止”,健康码是依托于全国一体化在线政务服务平台建立起来的防疫抗疫系统,经过层层立法构建高效、联动的疫情监测、预防系统,各地虽然有一定权限制定实施细则,但是并不能肆意扩大健康码的使用范围,若违法行政,则应承担相应的民事、行政和刑事责任。
若存在泄露个人信息、侵犯公民隐私的情形,应依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》规定追求民事、行政责任;若履职过程中出现滥用职权、玩忽职守情形的,应依据《国务院关于在线政务服务的若干规定》、《中华人民共和国公职人员政务处分法》追究组织或个人的行政责任;若履职过程中因滥用职权、玩忽职守行为严重侵害公民行为、造成严重不良社会影响、公共利益损失的,可能涉及《中华人民共和国刑法》规定侵犯公民个人信息罪、报复陷害罪、滥用职权罪、玩忽职守罪,应依法追究相应刑事责任。
四、健康码的延伸与展望
(一)“数据”闪烁所发现和提出的问题,需要的是解决之道。
健康码的适用规则便是个人让渡部分隐私权利,配合防疫工作对疫情发展进行监测、对公民的健康情况进行分类,实现社会面对疫情的防控,有利于公共安全和公共健康,无疑是良策。在大数据平台里,个体甚至群体或许只是一串代码、一个数字,标签化的定义和分类后有利于信息的大量处理和风险化解。但良策的前提是,应对个体和群体反馈的警示和问题进行及时的解决,从而形成高效有力的政府公信力。如果看到红灯、黄灯选择熄灯,如果无视个人授权径行获取个人信息,擅自改变规则、肆意使用数据平台,则是“数据暴力”。
“数据闪烁”的背后,是公民作为社会一员履行社会责任的表现,也是对于制度的信任。可能之后会有更多的颜色和标签,有可能没有了颜色和标签,但他们仍然会万紫千红,自己定义自己的颜色。
(二)“数据治理”的实现应紧紧背靠政府公信力,严格在法治的框架下运行。
健康码作为防疫抗疫的重要途径和有效方法,依托于政府平台、大数据分析建立的体系深入人心,是公民和政府相互信任、良性互动通过大数据平台实现良好社会治理的范例。然而个中风险仍然存在,一旦出现超越权限,侵犯公民隐私及相关合法权益的情形出现,政府公信不可避免地遭受不良影响,公民对于授权大数据管理的行为出现犹豫甚至抗拒,势必将对互信共治的形势产生非常恶劣的后果。所以,“数据治理”下相关组织的职权须更明确和公开,政府的公信力才更有保障,才能进一步压缩、减少越权行为带来的危害,从而保障数据时代的公民权益和社会稳定。
(三)大数据的互通互认是治理、经济和打破壁垒、垄断的更好契机。
依托于全国统一政务系统的数据互通、政务的公开透明,对于法律规范、国家政策的良好执行,消除区域间歧视、壁垒和垄断,以及形成更广泛的市场良性竞争有着重要意义。随着技术升级,信息流通的广度和深度已经有了剧烈的变化,大数据的治理依托的是高效行政和即时反馈,大数据的优势是法令和政令通行全国,信息通行无碍,商业遍布各地,这也是前所未有的优势。然而,这一优势也极易变成信息壁垒、地区保护的高墙,所以,加快法规和政策的配套,减少隔阂和促进流通,保护个人信息、实现更有效的信息公开,是5G时代甚至更高时代来临的重要课题。