这些储户被强行赋红码,需调查政府工作人员是否泄露了健康码中的个人信息。

“取款难”储户神奇被赋红码

6月13日,很多网友在社交平台反馈,多名扫码进入“取款难”储户维权群而欲前往郑州沟通村镇银行沟通取款事宜的储户,其健康码都被赋红码,这其中既包含已达到郑州即发现健康码变红的储户,还包括多位尚未前往郑州,仅在填报完信息后就被神奇赋予“红码”的储户。 离奇的是,被赋红码的均是该维权群的储户,而无论是一同前往郑州的储户朋友,还是行踪轨迹几乎一致的储户家人,其健康码依旧是绿码。因为赋码原因显示为“正在实施集中或居家医学隔离观察的入境人员”,很多储户在达到郑州后就被带去集中隔离。如此吊诡的事件引发人们普遍质疑,本应用于疫情防控的健康码或许已被滥用。

 

人们产生这种的质疑又绝非空穴来风,早在今年4月,河南几家村镇银行的储户都相继出现取现困难,随后监管层也通报这几家银行的股东涉嫌勾结内外,非法揽储。正是为集体维权,这些储户才建立所谓“取款难”储户维权群。也因为上述背景,这些同时被赋红码的储户才会揣测银行和当地政府勾结,通过对储户强行变码来阻却其维权。

如果上述揣测成立,那么超出疫情防控目的,而随意对个人健康码强行变码的行为就已严重悖离健康码的适用规则。若事后调查可以证实,有政府工作人员故意泄露健康码中的个人信息,并与银行相互勾结,通过强行赋码的方式阻止储户前去维权取款,此类行为甚至会构成滥用职权罪并应承担刑事责任。 

健康码的运行机理与赋码规则

借助健康码进行疫情防控迄今已成为各地政府的通行做法。最初健康码的开发和适用是利用大数据技术分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,但之后逐渐演变成个人健康风险等级的行政证明,更是各地政府用以判断个人是否能否复工复产以及能否进入公共场所的法定凭证。  因为极大程度上提升了政府防疫的效率与精准度,健康码也获得大范围推广,以至于成为个人继身份证、电话号码、人脸之后的新型身份标识,也因此与个人完全绑定。  就健康码的运行机理而言,其生成首先依赖于对个人信息的收集、使用、加工、共享和转让等操作,因此属于《个人信息保护法》所规定的“个人信息处理行为”。

在个人如实填报姓名、手机号码、健康状况、居住地址、14日内是否离开过当前城市、14天内有无接触病人或疑似病人等个人信息后,系统会自动将这些信息与后台大数据对比,再根据行政机关设定的评价标准以及技术公司提供的算法设计,最终对当事人的健康状况和风险等级进行行政评级。  这种行政评价会通过健康码的红、黄、绿三色直观显示。不同的风险评级也同样是政府分类监管的直接依据,一般红码和黄码持有者会被限制出行,甚至被要求集中或居家隔离,只有绿码才能自由出入,也因此这种行政评价会对当事人的出行自由以及附着在出行自由上的其他权利都产生严重影响。  而在本案发生的郑州,红码更表示个人处于高风险状态,原则上只涉及确诊病例、密接隔离的人群、特殊工作人员、境外入境以及高风险地区的来客等。

健康码在使用个人信息和赋码处理时的法律约束

正因为由健康码所代表的行政评级攸关个人出行自由等核心权利,因此对健康码的使用和赋码处理都不能任由地方政府随意处置,而是在法律上有明确约束。这种约束又尤其表现为如下方面: 首先、政府在收集和适用健康码时对个人信息的保护。 健康码的应用建立在对个人信息广泛收集的基础上。健康码正是以此为基础,借助空间、时间和人机关系的维度对个人健康状况和感染风险进行评测。因为针对的是应急状态下为防堵疫情传播的需要,地方政府在健康码信息收集上几无任何阻力,所以在收集上也表现出全员收集、实时收集、事无巨细甚至是长期保存的特征。

 

▎储户微信群内流传的郑州场所码照片 

这种收集有赖于公众为防疫所进行的积极配合,但这种方式其实也隐含着信息泄露和数据滥用的风险。作为健康码基础数据的,几乎都是涉及个人的健康状况、生物识别、行踪轨迹等在内的敏感个人信息,其一旦被泄露或非法使用,就很容易导致个人人身财产权受到危害,人格尊严受到侵蚀,甚至于未来遭遇歧视性对待。也正因如此,政府在适用健康码时,对个人信息的收集和适用就必须严格遵循《个人信息保护法》中目的正当、最小够用以及目的限制等原则。这其中尤其应强调的就是目的限制。《个人信息保护法》第6条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关”。 国务院《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中也规定,“为疫情防控、疾病防治收集的个人信息,不得用于其他用途”。

目的限制约束信息处理者嗣后的信息处理和数据利用悖离最初的目的设定,对政府而言这就意味着,其通过健康码收集的个人信息只能用于防疫目的,而绝不能与防疫目的互相脱钩。  同时因为健康码关联的大多为敏感个人数据,政府在收集时因为是履职和公益需要,基本不受“知情同意”的约束,因此其理应承担更高的信息保密和保护义务,政府也需采取积极有效的方式防御与健康码关联的个人信息被无端泄露,并为其他目的适用。由此出发,上述储户的健康码被强行赋红码,首先就需调查政府工作人员是否泄露健康码中的个人信息。如确实,这一点就违背了《个人信息保护法》的要求,也将个人完全置于被数据监控和操控的危险之中。

 

▎一位家住北京的储户的行程卡、豫康码及北京健康宝截图  其次、从赋码过程来看,健康码红、黄、绿的赋码操作本质上又是自动化行政和算法决策的体现。但算法决策诚然带来了公共管理效能的提高,却同样会隐藏了权力异化乃至侵蚀个人权利的可能。而在技术理性的光环加持下,这些危险很容易被掩盖。  也正因如此,对健康码的赋码过程,法律也并非毫无约束。典型的例如国务院联防联控机制工作组在2021年下发的《新冠肺炎疫情防控健康码管理与服务暂行办法》中明确确定,“各地要严格健康码功能定位,不得扩大应用范围,切实防止码上加码”。国家市场监管总局发布的《个人健康信息码》以及《信息安全技术个人信息安全规范》中同样明确规定,对个人信息访问应采用“最小授权”策略,即“仅具备完成职责所需的最小的数据操作权限”。

为防止政府在适用健康码时码上加码,用作他途,《个人信息保护法》中的“合法、正当、必要和诚信原则”以及相关的算法规制原理,同样对这种算法决策提出了法律要求。  这种要求首先表现为: 第一、向公众进行算法解释、确保算法透明。在传统行政程序中,说明理由发挥着激发行政自我约束、强化相对人对行政决定的接受和理解以及提高司法审查效能的作用。而对于算法决策,说明理由就转化为算法解释。

例如,北京市政府今年在对健康宝进行升级管理并进行弹窗设计时,就已提示弹窗的5种类型,并解释其不同成因和处理方式,由此使被弹窗的公众明晰原因。而这种提示和解释同样对政府行使弹窗处置的权力予以限定,避免其随意将健康码弹窗与其他非防疫原因互相关联; 第二、引入算法监督和评估,这种评估和监督既包含政府的自我安全评估,也包括独立第三方的监督。由此同样为避免政府借由算法决策肆意扩张对个人权利和自由的限制;  第三、人工干预的介入。在信息法原理中,即使是全自动化行政也必须辅以人工干预和人工监督的环节,且保证个人能够顺利行使人工干预请求权,在个人要求算法控制者重新评估其决策结果时,能够重新为其做出不完全基于自动化系统的新决策。由此来看,不仅对于健康码关联的信息,政府无权肆意泄露和超范围适用,对于如何赋码也必须同样遵循合法目的和赋码规则,绝不能将赋码评价与防疫以外的其他目的互相关联。如果政府工作人员泄露个人健康码信息,并与银行互相勾结,将赋红码的目的与防止储户取款维权相关联,不仅是对赋码权力的无端滥用,还会极大程度上伤害公众对于政府的信赖。

强行赋码阻止取款是否构成滥用职权罪?

如事后查明,有政府工作人员与银行相勾结,通过强行赋码的方式阻止储户前去维权取款,此类行为或可构成滥用职权罪并应承担刑事责任。我国刑法第397条规定,国家机关工作人员滥用职权或者玩忽职守,致使公共财产、国家和人民利益遭受重大损失的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。 滥用职权罪的客观表现为:超越职权,擅自处理没有处理权限的事务;玩弄职权,随心所欲地对事项作出决定;故意不履行应当履行的职责;以权谋私、假公济私,不正确地履行职责。赋码应当仅限于防疫目的,阻止储户维权取款既不紧急也不必要,这是典型的超越职权胡搞乱搞。  滥用职权罪是一种结果犯,必须要导致重大损失才能入罪。最高人民法院、最高人民检察院《关于办理渎职刑事案件适用法律若干问题的解释(一) 》规定:滥用职权,造成恶劣社会影响的就应当认定为重大损失,如果造成特别恶劣社会影响的,则属于情节特别严重。 无端赋红码阻止特定人员流动,这违反了防疫法规,也让民众对于政府的公信力产生强烈的怀疑,严重干扰了防疫工作。 

实践中,偶有赋码错误,人们都善意地理解为大数据的偶发性问题并积极申诉解决,实在没法解决的也都自行承受赋码错误的后果,可谓最配合、最善意的行政相对人。但倘若信任丧失,势必损害公众对防疫的支持,进而对综合社会治理留下更大的隐患。此类行为严重损害国家机关形象,引起新闻媒体广泛关注,引起强烈社会反响,滥用权力强行赋码的行为,后果当属情节特别严重。  最高司法机关历来强调对于渎职行为的打击,无论是权力的不作为还是权力的乱作为都是法治大患。普通民众使用虚假的健康码,引起疫病传播,动辄追究刑责,公权力机关任性赋码,严重干扰防疫工作,更应严肃处理,否则法治的尊严将荡然无存。

2020年两高两部针对新冠疫情防控违法犯罪的意见中,也特别指出,在疫情防控工作中,负有组织、协调、指挥、灾害调查、控制、医疗救治、信息传递、交通运输、物资保障等职责的国家机关工作人员,滥用职权或者玩忽职守的,应当依照刑法第397条的规定,以滥用职权罪或者玩忽职守罪处罚。  可能有人会问,谁这么大胆子,敢用赋码的方式阻止储户维权?会不会是集体决定?所以法律无法追责呢?司法解释也提到,以“集体研究”形式实施的渎职犯罪,应当依照刑法分则第九章的规定追究国家机关负有责任的人员的刑事责任。对于具体执行人员,应当在综合认定其行为性质、是否提出反对意见、危害结果大小等情节的基础上决定是否追究刑事责任和应当判处的刑罚。从这个角度讲,无论是个人拍板还是集体决定,都无法逃脱法律的制裁。 刑法为何如此全面地规范职务行为并严厉打击职务犯罪,其实从埃德蒙·伯克的一句话里就可以看到根源:权力有多大,滥用权力的危害就有多大。假如你不想看到屠龙者变成恶龙,就必须将它关进笼子。

潘多拉盒子不能被打开

在储户被强行赋红码曝光后,郑州市很快做出回应说,此事的发生源于大数据信息库出现问题,且承诺已将情况上报政府且未来会积极改进。  然而,如此回应仍难排除公众的疑虑。如果此后有进一步的调查证明公众的疑虑属实,此案就会产生极端恶劣的影响,因为它示范了数据权力的异化及其带来的负面影响。很多学者评价,如果不将“码化治理”纳入法律控制的机制,而任由其泛化和滥用,无异于打开潘多拉盒子。  因为在信息、技术和算法的加持之下,政府权力的滥用对于个人而言将变得更不可防御,而个人自由被限缩、剥夺的可能也会无限加剧。具体至健康码的适用,此案中对于健康码的滥用,不仅将防疫工具违法用作他途,且严重破坏了公众对于政府的信赖。而这种信赖不仅是防疫成功的依托,更是政府执政的基础。