独家解读CCIA数安委《“健康码”数据安全和个人信息保护措施与建议》,透露了哪些关键信号?
作者:张芷馨
编辑:叁夭夭
“健康码”再提热搜!
河南储户被赋红码、外地绿码到本地转红黄码、结束隔离无法转码,屡见不鲜的“魔幻事件”,让人们不禁质疑健康码真的只是“健康码”吗。
作为“疫情围堵策略”的核心手段,健康码以其简单、易用、高效、互通等特点,为新冠肺炎疫情防控的精准施策、动态清零等举措提供了关键支撑,亦成为我国疫情防控中无可替代的重要技术工具。
“健康码”运转的背后是海量个人信息的汇集、共享并利用算法进行自动化决策。在全球新冠疫情仍将持续的大背景下,健康码的抗疫使命也必将继续。
“权不可知,则威不可测”。权力最害怕的是透明、是说理,技术恰恰能够解决这一问题,但健康码的边界、“算法黑箱”和可解释性隐蔽问题,却让健康码的技术正当性逐渐偏离,河南储户被赋红码一事,便是例子。一位网友指出。
众所呼吁的“健康码”规制何时能到位?
7月18日,CCIA数据安全工作委员会发布了《“健康码”数据安全和个人信息保护措施与建议》(附原文链接),依据相关法律法规、规章和规范性文件、标准等,研究建议了多项对个人信息及数据安全进行监管和保护的具体措施。
在健康码的数据安全管理方面,报告提出:
应当明确安全责任工作最高负责人。
按照不低于网络安全等级保护三级要求建设网络安全防护和安全管理技术。
管理体系要求,建立包括数据安全制度、作业规程、工作记录等制度体系。
建立健康码数据分类分级制度、数据质量校验制度、健康码算法人工干预制度、健康码用户反馈和举报受理等制度。
开展对个人信息保护影响评估工作,形成评估报告。
测试加强突发事件处置能力,建立数据备份机制等。
对健康码系统的供应商需要严格管理,监督其履行相关业务。
对从业人员要求签订保密协议;设置数据合规安全审计岗位,加强内部监督。
测算业务峰值,确保健康码核心功能在突发情况下能够正常运行
在个人信息权利保障方面,《措施与建议》强调:
首先需要充分说明个人对信息所享有的权利,保障用户的知情权。
其次是应当为用户提供在线查询、更正、补充基础数据的功能,如通过小程序相应入口提供查询用户填报的数据详情、申领记录。
此外,应当为用户提供申诉入口,建立便捷有效的权力行使申请受理机制。
这实质上是倡导将健康码对隐私数据的管理权部分交还用户,使得用户能够清晰透明的认知自己所享有的权利并且在有需求时及时行使。《措施与建议》释放了一定的信号,政府正在逐步调整公权力的干预边界以保障公民的合法权益。
对外经济贸易大学法学院副教授、数字经济与法律创新研究中心主任许可表示:健康码作为一项技术治理手段,本质上还是为人所控制。所有的算法分两部分,一部分是代码,一部分是策略。策略是由人做出的,不是由机器做出的;它只不过是通过代码的形式,通过算法的外装外壳体现出来,它并没有改变我们的行政法问责的基本原理——谁作出决定,谁承担责任。这也与报告中提出的首条“应当明确安全责任工作最高负责人”不谋而合。
健康码问题的内核:成本与收益的博弈
无论是河南储户被赋红码,还是各地区“层层加码”,健康码的管理问题不曾停止过。
许可强调:技术治理并不是一个从天而降的机制,健康码、核酸检测天数、行程码还是各种数字化治理方式也好,它归根到底都是镶嵌在传统的治理架构中的。健康码诞生的初衷是为了解决当时我们的人员流动问题,所以从另外一个角度来说,健康码本来应该是在紧急状态下扩张人们自由活动范围的一种方式。
许可继续表示:各种码的出现,实际上是要最大程度上实现人的自由流动和防疫目标的两个不同的需求。但是在这个平衡背后,会出现一些新的不平衡:中央和地方目标的不平衡、收益和成本的不平衡,这也是导致健康码乱象频出的根因。
在人员流动的网格化管理背后,缺少一个责任分担机制。对于地方政府来说,网格化管理也就意味着,我的地方上出现了问题就会找到我,但这种人员流动的好处,并不见得会让承担责任的地方获得。对于地方来说,人员流动的好处和它带来的风险之间实际上是不成比例不对称的。
流动的收益是各地区分散的、不平均的,而防疫安全的成本是具体的、本地化的。从全国来看,流动的好处是集中在经济发达地区和枢纽型城市。在这种判断下,我们看到一个现象是什么?就是越是经济不发达、越是与外界联系不多的地方,它管控越严格。
可能大家会觉得,这是一个非常不理性的政府行为。站在集体角度来说,这当然是不理性的,但实际上它背后是地方政府的极端理性。因为越是这种地方,它所获得的人员流动的好处越少,它的责任承担相对越重。基于收益与成本的重重考量,它会倾向层层加码以厘清责任,站在地方政府角度来说,这是非常理性现实的选择,这也是我们常常说的政府失灵的难题,如何解决它,考验决策者的智慧。
健康码收集的数据要“怎么办”?
在此次《措施与建议》中,有相当的篇幅是落在“数据存储”这个章节,对于健康码而言,数据存储往往是数据最为集中的环节,因此发生数据泄露、丢失、非授权访问的风险也最高。当大量用户的健康码相关信息在后台汇聚时,大批量的上报、登记、查询等过程都涉及对存储在数据库中数据的访问,如安全措施不足,则任何疏漏都可能造成个人信息的泄露。
如何有效加固“数据存储”环节,力求实现零风险?
《措施与建议》中提出了六大措施建议:
分区存储:划定敏感个人信息和其他个人信息或数据区域进行分区存储,方便进行差异化防控,比如将身份证号码与其他数据分离存储。
最少存储:针对不同的存储位置,如健康码应用程序端、健康码后台系统、扫码端,各端仅在满足功能需要的前提下,保留本端所需最少够用的数据即可。
密文存储:兼顾业务及安全性,对于敏感个人信息可以采取表空间加密算法降低对业务系统性能的影响,如身份证号码等;对于准标识符等个人信息只存储消息摘要(如进行加盐的SHA256处理),以防止被拖库造成个人信息的泄露。加密的密钥应定期更新轮换防止被暴力破解同时应加密存储秘钥,形成多级密钥并备份。
数据备份:根据需要对数据进行全量备份,具备条件的可采取异地备份的措施,以保证一旦数据丢失、被破坏后,健康码应用可以迅速恢复正常服务。
数据库安全:健康码应用后台系统中存储个人信息的数据库要及时修补漏洞。如果条件允许宜提升数据库的安全级别,使用安全数据库。
及时删除:系统内存储的个人信息,应在合法期限届满后,及时删除或匿名化处理。如需要进行其他用途使用,可在期限届满前,向用户再次单独告知并获取明确授权或具备其他合法性基础,再继续保留以用作新目的。
其中,最少存储、密文存储、及时删除被视为最核心的三条,尤其是健康码数据存储期届满后的处理是群众的深刻关切,许可也认为:健康码的行程等隐私信息是定期会覆盖的,因为保留长期的数据意味着成本,对于政府来说也没有太大意义,反而意味着危险。看起来政府掌握的信息量更大了,但数据积累的危险也在倍增。
健康码的“存续生命”之拷问?
在疫情防控过程中,运用到许多数字技术。这些数字技术并不中立,它始终被其栖身的社会、经济、政治环境所塑造,体现着设计者、使用者的权力行使和价值目标。健康码也不例外,在对健康码“是新的自动化监控形式,是反乌托邦典型”的批评中,可以看出健康码在数据效率和数据正义之间的失衡,忽略了对民众的赋能。
公共危机下,数据隐私是一个十分孱弱的价值。生命安危面前,放弃隐私会被公认为合情合理,这也与中国“舍小我,为大我”的文化无缝契合。当绝对透明成为了一种公共利益,人人维系,值得思考的是,健康码作为应急状态下的数据规则,如何自然的退出历史舞台。当公共危机离去之后,是否还会出现旅游码、买菜码......隐私利益是否会被抗疫科技挤压变形,无法回复到原来的状态。
荷兰Tilburg大学的科技法教授Linnet Taylor说,危急时刻我们要做的不是强调隐私保护的重要性,而是确保每一个人都能够公平地获取抗疫科技带来的便利和福利。危机之后,我们需要做的事抵制这类有着特殊历史烙印的科技生根发芽,渗透到正常的社会生活当中。我们要争取的,是这类科技的可逆性。
正如英国爱丁堡大学法学博士、讲师李汶龙所言,数字基础设施一旦建成,便可反复使用、变换用途使用、“创造性”使用。技术架构的外部性和延展性应是我们反思科技抗疫的核心议题。缺乏对数据和算法使用目的限制,仅有商业和有效治理驱动的结果势必是野蛮生长。我们亟需一套社会规则,能够促进生长,但限制野蛮。无论怎样,我们要对健康码有一个基本的社会共识:它是急中生智,是情急所迫,是紧急状态的产物;它是一种妥协,因为我们认为生命高于隐私和人格,社会情势高于个人便利;它不是我们生活的必需品,需要在某一刻寿终正寝。我们感激抗疫科技帮助我们去除行动自由的限制,同时也要警惕融进我们生活的底色。
许可亦强调:作为《突发事件应对法》下应急时期的应急措施,健康码以消除非常状态、恢复正常状态的目的,在应急状态结束后,健康码也应结束自由通行证明的使命。从纳粹德国到拉丁美洲,历史一次次表明: 紧急状态的权力如同吗啡,用之一时为良药,用之长远为毒品,将紧急权力常态化,终将戕害民众对政府的信任,而信任正是国家能力之基。而这次《“健康码”数据安全和个人信息保护措施与建议》则是健康码回归“健康治理”的一个明显信号。
参考资料
《疫情防控常态化背景下政府对个人信息之保护与处理的边界》
《李汶龙:健康码的兴衰演替:关于科技抗疫的反思》
《重大公共卫生事件的数据治理》许可
《疫情信息公开与个人信息保护|法治论苑》
● 往期推荐
欢迎投稿
hehaohua3h@163.com
好书推荐
⚪ 文章所载观点仅代表作者本人 ⚪
⚪ 且不构成投资建议 ⚪
⚪ 敬请注意投资风险 ⚪