无锡率先销毁10亿条涉疫个人数据：虽是依法行事，仍是很大进步

　　昨日，距离新冠病毒感染实施“乙类乙管”过去50余天。

　　无锡市举行涉疫个人数据销毁仪式，首批销毁数据10亿条。据“平安无锡”公众号消息，此次无锡在全国地级市中率先销毁涉疫公民个人数据，体现了“以人民为中心”的治数理念。

　　伴随疫情防控政策调整，多数人已很久没再打开过“健康码”。但这些因疫情而生的工具究竟是要退出历史舞台还是转作它用，暂时并无定论。其背后涉及的数据安全和个人隐私问题，同样值得讨论和深究。

　　无锡销毁10亿条涉疫个人数据，广东也曾发布相关公告

　　3月2日，无锡市销毁了首批涉疫个人数据。为确保数据彻底销毁、无法还原，市政府邀请了第三方审计和公证处参与工作。

　　据了解，无锡市“数字防疫”服务上线以来，共搜集了10亿条个人数据，主要用于核酸筛查、流调溯源、外防输入性疫情、重点人群核酸检测等用途。至此，无锡市第一批涉疫个人数据实现成功销毁。同时，门铃码、疫查通、货运通行证等“数字防疫”40多项应用今天功成身退陆续下线。

　　消息一出，坊间不乏鼓励赞叹之声。追溯旧闻不难发现，这并不是第一次有地方主动销毁涉疫个人数据。

　　2023年2月14日，广东省健康码“粤康码”发布服务公告称，按照国家新冠病毒感染防控政策措施优化调整要求，抗原自测、老幼助查、健康申报、电子证照、防疫工作台服务将于2023年2月16日11时起停止服务。此外将按照有关法律法规规定，彻底删除、销毁服务相关所有数据，切实保障个人信息安全。

　　据《财经》周刊报道，此前粤康码并非停止所有服务，包括核酸检测、新冠疫苗等服务暂时保持正常运作。尽管粤康码并未正式下线，但此次广东健康码下线部分服务，依旧打破了全国范围内在健康码去向问题中的沉默。

　　2022年12月7日，国务院联防联控机制发布的《关于进一步优化落实新冠肺炎疫情防控措施的通知》提到，大部分公共场所不再要求提供核酸检测阴性证明，不查验健康码，除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所。此外，重要机关、大型企业及一些特定场所可由属地自行确定防控措施。

　　至此，健康码的防疫作用已被大大淡化，之前一直被置顶的图标也没那么方便找到了。今年1月，支付宝原有“健康码”直接入口消失，其被升级为“医疗健康”，提供包含健康码、三甲公立医院排队挂号等功能在内的一站式医疗健康服务。

　　而健康码的存在与否，实际传导的是所涉海量个人信息的何去何从。

　　法律：信息处理者应主动删除个人涉疫信息

　　2022年12月13日零时，“通信行程卡”正式下线，各大电信运营商随即宣布，将同步删除用户行程相关数据，“依法保障个人信息安全”。

　　而相比行程码，健康码收集的个人信息要复杂一些。据2020年4月29日实施的国家标准《个人健康信息码—数据格式》，健康码采集的个人信息分为四个部分，包括个人基本信息、个人健康信息、行程信息、健康证明信息。具体内容涉及姓名、性别、证件号码、户籍区划内详细地址、联系电话、基础病史，还有体温、症状、高风险地区旅居情况、核酸检测、疫苗接种情况等，涉及多条敏感个人信息。

　　国家标准《个人健康信息码 数据结构》

　　据CCIA数据安全工作委员会发布的《“健康码”数据安全和个人信息保护措施与建议》，健康码的生成申领必然涉及个人信息的收集，环节存在用户主动申报信息、多方数据打通、人脸识别验证等场景。换言之，这些数据中有一部分需要用户自己申报填写，另外如身份户籍位置等信息此前已由相关部门采集。

　　健康码的诞生无疑是中国数字社会建构过程中的标志性事件，过去一段时间里，民众让渡了部分个人隐私以支持疫情防控；而伴随防疫政策变化，健康码理应退出历史舞台。

　　北京金诚同达（上海）律师事务所的彭凯律师告诉蓝鲸记者，据《个人信息保护法》第47条规定，处理目的已实现、无法实现或者为实现处理目的不再必要的，个人信息处理者应当主动删除个人信息；法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

　　“防疫政策调整后，大部分人群已不再使用健康码，应当属于‘处理目的已实现’或‘为实现处理目的不再必要’的情况，因此健康码运营者仍依法应主动删除相关个人信息。”律师补充称：“无锡此次如此硬气的原因，便在于有法可依。”

　　从相关数据的有效性和风险性来说，健康码在今天也没有什么必须存在的理由。中国政法大学法学院教授赵宏接受红星新闻采访时曾表示：健康码中可能有参考价值的信息是疫苗的接种信息，但是伴随着时间的流逝，一些疫苗的有效期已过，健康码在这方面能发挥的作用也越来越小。

　　此外，数据储存本身就会产生成本，即便被匿名化处理，也会被部分机构用于牟利或其他目的。浙江大学数字法治研究院副院长高艳东曾在文章中强调，数字时代数据就是资源，一些企业可能将健康码、行程卡等的衍生数据使用于精准营销和广告，进行数据画像以分析用户的行为习惯、消费倾向。更严重的，去年六月某地借健康码红码限制群众正常出行的事，大家都了解了。

　　将防疫数据用于便民服务，靠谱吗？

　　一位从事数据治理的人士告诉蓝鲸记者，目前国家正在推动向社会开放公共数据，希望将可开放的与民生服务、社会发展、经济发展的相关数据，通过数据开放赋能更多相关领域的建设应用。目前全国各地也在探索如何建立数据安全合规有序流通机制，包括如何进行数据确权、加工、脱敏、定价等工作。

　　不少地方的确开启了健康码转型升级，尝试探讨是否可以将防疫数据用于电子健康卡、电子社保卡、交通、商贸旅游等领域。

　　12月19日，北京市启动“京通”小程序上线试运行，尝试融合“北京通”办事与“健康宝”。市民可自愿或自主授权，选择是否将北京健康宝的个人身份验证信息拓展到“京通”页面。而江苏镇江早在2020年健康码上线之初就提及，将把疫情服务小程序发展为镇江市民办理日常事务的入口。“例如进行房产交接预约、挂号、交通违章处理、企业申报、领取公积金等”。

　　不过人民智库的一份问卷调查结果显示，仅有37.6％的被调查用户认为“健康码”应该拓展使用场景。据《财经》周刊援引多名学者观点，城市数字服务值得推广提倡，但健康码转型的前提是彻底销毁防疫三年收集的个人信息。

　　彭凯律师告诉蓝鲸记者，防疫数据是基于防疫目的形成的产物，有其特定的处理目的和处理方式，如果从防疫切换为其他场景，则目的和方式都可能发生变化。由此对个人信息处理者而言，除非法律法规另有豁免，就需要将变更部分告知个人（《个保法》第17条第二款），并应当重新取得个人信息主体的同意（《个保法》第14条第二款）。

　　而当个人涉疫信息未被删除时，个人有权请求个人信息处理者删除。彭凯律师表示，实际操作中“个人申请删除”可能会面临一些困境，比如法律并未对个人信息储存期限做出日期上的明确规定，而数据删除前可能需要技术准备周期或稳妥的销毁方案等。此外，健康码由各地政府搭建运维，等待国家统一部署销毁工作或许是一个更好的办法。

　　“无锡销毁10亿涉疫个人数据，无疑开了个很好的头”，律师表示：“尽管只是做了法律规定的事，但现在看来依旧是一种进步。”