陳華麗，吳翠翠

(太原科技大學(xué) 法學(xué)院，山西 太原 030024)

一、引言

健康碼是由行政機關(guān)主導(dǎo)推出的，在使用上具有一定的強制性，對社會公眾的權(quán)利義務(wù)產(chǎn)生著重大影響，是政府?dāng)?shù)據(jù)治理與政企合作的典范。健康碼作為疫情防控的技術(shù)治理創(chuàng)新，提高了政府治理的效率，但健康碼應(yīng)用中存在的個人信息風(fēng)險也引發(fā)了個人信息保護的新挑戰(zhàn)?，F(xiàn)行法律側(cè)重于對責(zé)任主體的處罰，卻忽視了對信息主體權(quán)益的救濟。當(dāng)公民的個人信息權(quán)益受損時，在這種緊急狀態(tài)下如何救濟自己受損的權(quán)利，突發(fā)公共衛(wèi)生事件下如何平衡信息利用和個人信息保護之間的關(guān)系，對此問題的研究意義重大。一方面，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)規(guī)定了國家機關(guān)可以作為個人信息處理者，但國家機關(guān)作為公權(quán)主體，承擔(dān)的法律責(zé)任應(yīng)與私權(quán)主體有所不同。另一方面，《個人信息保護法》規(guī)定了受托人不得超出約定的處理目的、處理方式，但卻未規(guī)定超出委托范圍時受托人應(yīng)承擔(dān)的責(zé)任。鑒于此，筆者通過對健康碼應(yīng)用中個人權(quán)益受損風(fēng)險的情形進行類型化梳理，并針對具體情形提出了相應(yīng)的救濟途徑，以期可以引起疫情期間對個人信息保護問題的重視。

二、健康碼的法律特征

健康碼是一個以個人真實填報信息為基礎(chǔ)、將人員風(fēng)險轉(zhuǎn)化為基于顏色分類的數(shù)字二維碼，是嵌入企業(yè)平臺的公共防疫工具，肩負(fù)著身份識別、健康證明和行動軌跡追蹤等多種防疫功能[1]。健康碼的應(yīng)用，提升了政府防疫的效率，但治理的有效性并不等于規(guī)范的合法性，健康碼應(yīng)用的法律特征亦值得仔細(xì)審視。首先，從其本質(zhì)特征而言，此次健康碼的應(yīng)用被認(rèn)為是政府應(yīng)急行政之下數(shù)據(jù)治理的手段之一，有著傳統(tǒng)治理方式難以企及的優(yōu)勢。其次，從其表現(xiàn)形式而言，健康碼本身也是公私合作的典范，政府是數(shù)據(jù)治理的發(fā)起者，企業(yè)是技術(shù)支持者，政企雙方優(yōu)勢互補，推動了健康碼在短時間內(nèi)的迅速上線。但是由于健康碼涉及的個人信息基數(shù)大、主體復(fù)雜，在個人信息保護上更加容易出現(xiàn)風(fēng)險，因此有必要探索其背后的法律邏輯，以提出可能的完善路徑。

(一)以政府?dāng)?shù)據(jù)治理為本質(zhì)

健康碼是政府通過數(shù)據(jù)治理的個案典范。健康碼的應(yīng)用之所以歸于數(shù)據(jù)治理，是因為健康碼是以收集、處理個人信息并通過算法得出個人健康狀況結(jié)論，進而為其疫情防控決策提供支撐。

應(yīng)用健康碼的行為方式是對個人信息的處理，通過分析海量的個人健康信息、個人識別信息以及個人軌跡信息，進而得出公民健康狀況結(jié)論，因此各省市政府對健康碼的應(yīng)用必須遵守個人信息保護的相關(guān)規(guī)范。在強調(diào)數(shù)據(jù)治理的當(dāng)下，國家機關(guān)是重要的個人信息處理者，這也是《個人信息保護法》對國家機關(guān)處理個人信息的規(guī)則作出專門規(guī)定的重要原因?！秱€人信息保護法》第13條規(guī)定：“為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需的情形，個人信息處理者可以處理個人信息，不需要取得個人同意?！边@為政府在疫情期間推出健康碼提供了正當(dāng)化依據(jù)。

應(yīng)用健康碼的行為類型，是算法支撐的自動化系統(tǒng)輔助行政機關(guān)進行疫情防控決策的數(shù)據(jù)治理行為。“健康碼”于2020年2月份首次出現(xiàn)在杭州，其表明健康碼是根據(jù)一定時間內(nèi)的人員軌跡、健康狀況等數(shù)據(jù)而進行風(fēng)險分級所生成的彩色二維碼。隨后，各地政府迅速模仿并覆蓋全國。國務(wù)院于2020年2月份頒發(fā)的文件中鼓勵推廣健康碼的使用，認(rèn)為健康碼是允許個人獲得出行、復(fù)工資格的法定證明(1)《關(guān)于依法科學(xué)精準(zhǔn)做好新冠肺炎疫情防控工作的通知》(聯(lián)防聯(lián)控機制發(fā)〔2020〕28號)。。健康碼的應(yīng)用是由行政機關(guān)主導(dǎo)，且服務(wù)于行政管理目的，對社會公眾的權(quán)利義務(wù)會產(chǎn)生很大影響。一方面，公眾為了自身健康與公共利益，自愿讓渡出自身部分個人信息權(quán)益；另一方面，依據(jù)算法與大數(shù)據(jù)自動生成的健康碼，因顏色的不同對個人會產(chǎn)生不同的影響，既有出入通行的權(quán)利，也有居家隔離的防疫義務(wù)，而健康碼在疫情防控中其實是發(fā)揮了一種智能輔助決策的作用。

關(guān)于健康碼的法律屬性問題，理論界并無統(tǒng)一的定論，有學(xué)者將健康碼視為疫情風(fēng)險中自動化的行政評級[2]。筆者認(rèn)為，僅從健康碼生成的角度看，屬于政府的單方法律行為，未引起行政法律關(guān)系的產(chǎn)生、變更或消滅，可界定為行政評級，屬于行政事實行為。而一旦進入了整個健康碼的應(yīng)用階段，政府要求當(dāng)?shù)厝藛T申領(lǐng)健康碼，并將其作為是否限制使用交通工具、限制進出公共場所以及是否采取隔離措施的判斷標(biāo)準(zhǔn)，就具有一定的強制性，直接引起了行政法律關(guān)系的產(chǎn)生、變更或消滅，屬于依據(jù)健康碼作出的最終決策。因此我們認(rèn)為，生成健康碼，在行政法上的法律性質(zhì)屬于自動化評級，很顯然健康碼這種自動化系統(tǒng)僅以輔助決策的地位存在，在利用階段，政府以健康碼結(jié)論為依據(jù)作出法定、傳統(tǒng)的行政行為，因而健康碼的應(yīng)用被認(rèn)為是行政機關(guān)數(shù)據(jù)治理的典范。

數(shù)據(jù)治理是一種全新的政府治理模式，健康碼使用的數(shù)據(jù)涉及姓名、身份證號碼、電話號碼、家庭住址、行蹤軌跡等大量個人信息，在信息安全上更加容易出現(xiàn)重大風(fēng)險，應(yīng)在積極防疫的同時注重對個人信息的保護。

(二)以政企合作為組織形式

健康碼亦是政府和企業(yè)協(xié)作治理的典范。政府應(yīng)用健康碼進行行政管理需要企業(yè)的技術(shù)支持，一般從各省健康碼申領(lǐng)處可以看到，服務(wù)提供者為國家政務(wù)服務(wù)平臺或者各省公共管理機構(gòu)以及技術(shù)提供者，比如防疫健康碼是由中國電子科技集團提供的。由于企業(yè)擁有技術(shù)資源優(yōu)勢和全國統(tǒng)一平臺，各級政府不得不依靠互聯(lián)網(wǎng)企業(yè)的技術(shù)和平臺，目前各地健康碼平臺的運行主要由企業(yè)承擔(dān)。

對于行政機關(guān)與企業(yè)二者的關(guān)系，有學(xué)者認(rèn)為二者共同作為數(shù)據(jù)控制者，是一種對社會的雙層治理模式，企業(yè)既是平臺服務(wù)提供者，也對用戶在平臺內(nèi)的活動進行監(jiān)管[3]。也有學(xué)者認(rèn)為，行政機關(guān)是數(shù)據(jù)控制者，承擔(dān)著個人信息保護的首要責(zé)任，而企業(yè)作為受托處理者，承擔(dān)著合同義務(wù)和數(shù)據(jù)安全的法定義務(wù)，其不得超出委托范圍進行處理，否則承擔(dān)違約責(zé)任并承擔(dān)行政或刑事處罰[4]。只有明確個人信息處理者的含義，才能正確認(rèn)識二者的關(guān)系是共同處理者還是委托處理者。我國《個人信息保護法》第72條中明確規(guī)定，能自主決定處理目的、處理方式的組織、個人是個人信息處理者(2)《個人信息保護法》第72條：“(一)個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織和個人?！?。我國《個人信息保護法》中沒有區(qū)分個人信息處理者與控制者，一是由于不管是決定者還是服從者，這只是控制者與處理者之間的內(nèi)部關(guān)系，雙方是通過合同約定各自的權(quán)利義務(wù)，明確區(qū)分對于信息主體而言意義不大；二是由于根據(jù)社會大眾的心理認(rèn)知，只要向他們收集、處理了個人信息就是信息處理者，至于是否決定處理目的、處理方式往往并不知道，也不應(yīng)當(dāng)增加民眾的學(xué)習(xí)成本[5]。筆者認(rèn)為，政府以信用背書向社會公眾收集處理個人信息并用于行政管理目的，是健康碼的需求方、發(fā)起方，屬于個人信息處理者；而企業(yè)只是根據(jù)政府的指示提供技術(shù)支持和平臺接入，無獨立的處理目的與處理方式，屬于受托處理者?！秱€人信息保護法》第21條對委托處理個人信息作出了規(guī)定，健康碼應(yīng)用中政府作為委托者與企業(yè)作為受托者受此條規(guī)定的規(guī)制。

綜上，健康碼應(yīng)用中有兩組法律關(guān)系：一是行政機關(guān)和行政相對人之間的行政管理法律關(guān)系，二者是管理與被管理的不平等關(guān)系；另一個是行政機關(guān)和技術(shù)提供者之間的委托關(guān)系，雙方之間是平等主體之間的合同關(guān)系。厘清上述法律關(guān)系，有助于下文進一步分析健康碼應(yīng)用中個人信息權(quán)益受損的法律責(zé)任。

三、健康碼應(yīng)用中個人信息權(quán)益受損風(fēng)險之類型梳理

健康碼充當(dāng)了疫情防控期間的個人健康憑證和出行證明，其成功應(yīng)用獲得了許多贊譽，但健康碼聯(lián)結(jié)了公眾的個人信息，現(xiàn)實中已出現(xiàn)諸多問題，我們應(yīng)警惕健康碼成為危及全民隱私的隱患。下文通過對健康碼應(yīng)用中的風(fēng)險進行類型化分析，以期對其進行風(fēng)險規(guī)避，使得政府在利用健康碼進行社會治理時，提高公信力，保證健康碼的良好適用。

(一)個人信息錯誤風(fēng)險

健康碼應(yīng)用過程中有部分用戶出現(xiàn)被無故標(biāo)注為黃色或紅色的現(xiàn)象，這種誤判直接限制了公民的出行自由。這種誤判是人為導(dǎo)致還是單純算法規(guī)則導(dǎo)致，一直是人們關(guān)注的問題。對健康碼能否人工干預(yù)和修改的問題，湖南省政府電子留言中作出了否定回答，也就是說健康碼是無人工干預(yù)而全自動生成的。但是健康碼系統(tǒng)卻可能會出現(xiàn)由于算法偏見的存在而導(dǎo)致誤判的風(fēng)險。其中最典型的便是在未到訪過高風(fēng)險區(qū)的情況下，本應(yīng)為低風(fēng)險的綠色識別碼突然變成高風(fēng)險的紅色識別碼，疫情期間幾乎各個省份都有一些健康碼無端變黃或變紅的事件發(fā)生。比如，福建、廣西、杭州等多地居民反映“健康碼無緣無故變黃了”，還有的一家三口拿到的健康碼顏色居然不一樣。筆者所在的城市也出現(xiàn)了僅因戶籍地在中風(fēng)險地區(qū)而被賦黃碼，嚴(yán)重影響了居民正常出行。對于政府而言，以國家信用背書的健康碼出現(xiàn)錯誤會對政府公信力存在一定的沖擊；對于公民個人而言，錯誤的健康碼會嚴(yán)重影響個人的正常生活和出行，也會給疫情防控工作帶來麻煩。

(二)個人信息泄露風(fēng)險

健康碼應(yīng)用中導(dǎo)致個人信息泄露存在潛在風(fēng)險的途徑有兩種：一種途徑是企業(yè)作為受托人提供的技術(shù)漏洞所致；另一種途徑是個人信息處理者的不當(dāng)處理所致。比如，不合理的收集與不合理的公開。這兩種泄露風(fēng)險都給了社會第三人侵犯他人個人信息權(quán)益的可乘之機。

健康碼的運營是由企業(yè)提供技術(shù)支持，但囿于企業(yè)技術(shù)及風(fēng)險意識有待提高，導(dǎo)致健康碼在應(yīng)用中發(fā)生了個人信息泄露的風(fēng)險。比如，2020年12月發(fā)生的“北京健康寶明星信息泄露事件”。此事件中有人大量售賣明星健康寶的照片與查詢方法，事后調(diào)查發(fā)現(xiàn)是因為北京健康碼中的“他人核酸檢測結(jié)果代查”功能出現(xiàn)了漏洞，只要在此頁面中輸入明星的姓名與身份證號，無須再次人臉識別，即可獲得他們在錄入時的個人照片，甚至還可搜索到該人的核酸檢測結(jié)果與檢測時間(3)《大批明星健康寶信息遭泄露，實測：輸入名字和身份證即可查詢》，載搜狐新聞2020年12月28日，https:∥www.sohu.com/a/441050612_100117963，最后訪問日期2022年3月28日。。此事件導(dǎo)致多位明星的核酸檢測結(jié)果及照片遭到泄露并在網(wǎng)上傳播，這實際上是健康寶系統(tǒng)的不完善之處被不法分子利用，其暴露的疫情期間個人信息保護問題更值得警惕。

另外，疫情防控工作中為減少感染者數(shù)量，公布確診者信息可以滿足公眾知情權(quán)及健康權(quán)的需要，但用于記錄個人行蹤的健康碼包含許多詳細(xì)的個人敏感信息，這也導(dǎo)致了感染者個人信息泄露的風(fēng)險增加。例如，成都確診女孩趙某遭遇的網(wǎng)絡(luò)暴力事件即為個人信息泄露引起。2020年12月8日，成都公布新增3名本土確診病例軌跡，隨后一名20歲病例趙某的姓名、住址、身份證號、個人社交賬號等個人信息被曝光，并因其多次出入酒吧而遭到網(wǎng)絡(luò)暴力，后查明是24歲的成都男子王某將一張內(nèi)容涉及“成都疫情及趙某身份信息、活動軌跡”的圖片在個人微博轉(zhuǎn)發(fā)(4)《成都遭網(wǎng)暴確診女孩，最新進展》，載搜狐新聞2020年12月26日，https:∥www.sohu.com/a/440533940_161795，最后訪問日期2022年4月15日。?？梢?，健康碼的應(yīng)用存在一定的安全隱患，若是個人信息處理不當(dāng)，會引發(fā)個人權(quán)利受到侵犯和公民人格受到歧視等問題。

(三)個人信息濫用風(fēng)險

健康碼應(yīng)用中個人信息被濫用的風(fēng)險主要是因超出防疫目的的不合理的使用，大體又可以分為橫向和縱向的不合理使用。橫向濫用就是當(dāng)前健康碼應(yīng)用場景的延伸，縱向濫用是指后疫情時代對個人信息的私自使用。

數(shù)據(jù)時代，信息處理者與權(quán)利人之間是一種不平等的關(guān)系，權(quán)利人始終是相對較弱勢的一方，在健康碼的應(yīng)用中亦是如此。比如，在疫情逐漸趨于平穩(wěn)的情況下，一些地方政府試圖突破防疫目的，推出常態(tài)化健康碼，并準(zhǔn)備納入更多的醫(yī)療信息和生活數(shù)據(jù)，最受詬病的當(dāng)屬杭州政府推出的“變色碼”和蘇州政府推出的“文明碼”了?！白兩a”是一種升級版健康碼，集成個人電子病歷、健康體檢等數(shù)據(jù)，并以不同顏色代表不同的健康狀況。與此類似的是蘇州的“文明碼”，涉及交通指數(shù)和志愿服務(wù)指數(shù)，以此對公眾的文明程度賦分[6]。將個人信息用于與疫情防控毫無關(guān)系的治理領(lǐng)域，忽視公眾隱私權(quán)的保護，立刻引起了社會上的激烈討論并招致廣泛批判。

健康碼收集的個人信息應(yīng)以防控疫情為目的，當(dāng)處理目的已實現(xiàn)后應(yīng)當(dāng)主動刪除，若要繼續(xù)使用個人信息需要遵循知情同意原則，否則構(gòu)成個人信息的濫用。具體來講，行政機關(guān)對健康碼中收集的個人信息進行繼續(xù)使用時，應(yīng)及時告知權(quán)利人，并獲得其授權(quán)同意，否則只能將收集的個人信息做刪除處理，企業(yè)作為技術(shù)提供者應(yīng)履行協(xié)助義務(wù)。后疫情時代，作為技術(shù)持有者的企業(yè)，如果在刪除數(shù)據(jù)時有意留有后臺，那么技術(shù)相對弱勢的監(jiān)管者將很難發(fā)現(xiàn)，立法也并未明確規(guī)定具體的數(shù)據(jù)刪除程序和后續(xù)檢查制度，僅僅仰仗于存儲大量個人信息的企業(yè)“自律”，有可能將疫情后個人信息濫用的潛在風(fēng)險變成現(xiàn)實。

綜上所述，健康碼的應(yīng)用無疑給政府治理帶來了便捷和效率，但上述情況表明，其應(yīng)用過程中個人信息權(quán)益亦有受損風(fēng)險，急需對權(quán)利人提供相應(yīng)的救濟。

四、健康碼應(yīng)用中個人信息權(quán)益受損之救濟途徑

個人信息既可以是公法的保護對象，也可以是私法的保護對象，《個人信息保護法》不僅要保護公共利益、公共秩序，也要維護權(quán)利人的合法權(quán)益。而公法上的制裁不等于實現(xiàn)了對受害人的救濟，對受害人損害的填平只能通過私法救濟來完成[7]。因此下文探討的個人信息權(quán)益受損的救濟途徑主要以私法救濟為主。上文分析了健康碼應(yīng)用中政府與企業(yè)之間的關(guān)系，即個人信息處理者與受托人的關(guān)系，二者應(yīng)遵守《個人信息保護法》并受其監(jiān)管。一方面《個人信息保護法》有將監(jiān)管者納入監(jiān)管的特點，即政府作為個人信息處理者在履行法定職責(zé)時受該法規(guī)制；另一方面《個人信息保護法》規(guī)定了接受委托處理個人信息的受托人，應(yīng)當(dāng)遵守該法規(guī)定，履行該法規(guī)定的義務(wù)。但二者的法律責(zé)任配置問題亦值得思考。具體來講，應(yīng)當(dāng)從以下三個方面對個人信息權(quán)益受損進行救濟。

(一)個人信息錯誤情形下個人信息處理者的更正義務(wù)與賠償責(zé)任

如前所述，健康碼不能被人工干預(yù)和修改，實踐中健康碼賦碼錯誤的情形，也均因企業(yè)提供的技術(shù)漏洞所導(dǎo)致，但錯誤的健康碼會對個人權(quán)益造成重大影響，尤其對個人的人身自由造成限制，此時權(quán)利人又應(yīng)該如何救濟自己受損的權(quán)利？《個人信息保護法》第46條規(guī)定，權(quán)利人對于不準(zhǔn)確、不完整的個人信息有更正、刪除權(quán)，而個人信息處理者應(yīng)當(dāng)對提出更正、補充的個人信息予以核實，并及時更正、補充。據(jù)此筆者認(rèn)為，在健康碼錯誤情形下的救濟途徑主要是通過個人信息處理者的更正義務(wù)和賠償責(zé)任來實現(xiàn)的。其中對于更正義務(wù)，一是無論個人信息處理者主觀上是否有過錯，均應(yīng)該履行；二是一旦不履行即可追究政府作為個人信息處理者的行政不作為責(zé)任。對于因個人信息處理者過錯而導(dǎo)致權(quán)利人受損失的，權(quán)利人還可以要求個人信息處理者承擔(dān)賠償責(zé)任。具體分析如下。

首先，對于算法程序自我運行導(dǎo)致的偏差，由于這種偏差在現(xiàn)有的健康碼中只能避免無法根除，而政府、企業(yè)均無過錯，因此原則上無法進行追責(zé)，但應(yīng)該及時對個人信息進行修正并填補算法技術(shù)漏洞[8]。實踐中，在健康碼誤判的情況下，都是有修正途徑的，一般是需要通過平臺的“網(wǎng)絡(luò)申訴”功能進行復(fù)核。例如，河南省健康碼是以“自動為主、人工為輔”的方式進行，福建省健康碼通過社區(qū)報備調(diào)查后上報省里轉(zhuǎn)碼。

其次，如果權(quán)利人已經(jīng)向處理者指出了健康碼信息存在錯誤，而處理者卻不予更正，這種在處理者存在過錯的情形下，可進行追責(zé)。當(dāng)個人信息處理者不履行這種更正義務(wù)，應(yīng)由政府還是企業(yè)作為對外責(zé)任承擔(dān)主體呢？筆者認(rèn)為，應(yīng)由行政主體對外承擔(dān)責(zé)任，因為企業(yè)雖然是技術(shù)提供者，但其根據(jù)委托者設(shè)定的規(guī)則并以委托者名義在委托范圍內(nèi)處理個人信息，無獨立的處理目的。健康碼的應(yīng)用是由公權(quán)力機關(guān)推動的，其主導(dǎo)了技術(shù)提供者開發(fā)的算法程序，并以政府信用為健康碼的應(yīng)用背書，政府才是個人信息處理者，是與權(quán)利人形成行政法律關(guān)系中直接相對的義務(wù)主體，故應(yīng)以政府作為對外承擔(dān)責(zé)任的主體，但企業(yè)作為技術(shù)提供者有協(xié)助的義務(wù)，否則將對政府承擔(dān)違約責(zé)任。具體而言，當(dāng)政府作為個人信息處理者不履行個人信息更正義務(wù)，可構(gòu)成行政不作為，應(yīng)根據(jù)相關(guān)行政法律法規(guī)承擔(dān)責(zé)任，權(quán)利人可以針對此行為提起行政復(fù)議或行政訴訟。

最后，如果個人信息不準(zhǔn)確或不完整不是因為客觀情況發(fā)生變化所致，而是因處理者的過錯所致，這種情況可在追責(zé)的同時還需要對權(quán)利人的損失承擔(dān)賠償責(zé)任[9]。從實踐來看，權(quán)利人的損失分為兩個方面：一是人身權(quán)利方面，比如因健康碼錯誤而導(dǎo)致的強制隔離；二是財產(chǎn)權(quán)利方面，比如因健康碼錯誤而無法正常出行導(dǎo)致車票失效、誤工等方面的損失。在健康碼賦碼錯誤的情景下，除了法律責(zé)任的分配上具有特殊性，責(zé)任承擔(dān)形式上亦有所不同?！秱€人信息保護法》中規(guī)定的大部分侵權(quán)責(zé)任僅適用于私人個人信息處理者，而國家機關(guān)在履行法定職責(zé)過程中侵犯了權(quán)利人的個人信息權(quán)益，并造成實際損失時，除了適用《個人信息保護法》中有關(guān)國家機關(guān)不履行個人信息保護義務(wù)時設(shè)定的內(nèi)部責(zé)令改正和處分外，應(yīng)適用《國家賠償法》，要求政府承擔(dān)賠償責(zé)任。至于行政主體對于技術(shù)提供者的追責(zé)問題，完全可以通過雙方之間簽訂的委托合同來解決。

(二)個人信息泄露情形下個人信息處理者的安保義務(wù)與補充責(zé)任

從健康碼應(yīng)用的實踐過程來看，健康碼背后不僅僅是個人登記的信息，還包括個人健康狀況結(jié)論，看似簡單的紅、黃、綠碼卻實際關(guān)系到用戶的人格尊嚴(yán)。比如，持黃碼或紅碼的公民個人信息泄露，很可能引發(fā)網(wǎng)民的歧視甚至攻擊，而其個體尊嚴(yán)必將受到嚴(yán)重侵害。上文分析了導(dǎo)致個人信息泄露存在潛在風(fēng)險的途徑有兩種，對于這些情形下相關(guān)主體應(yīng)承擔(dān)的責(zé)任做如下分析。

個人信息處理者承擔(dān)的安全保障義務(wù)包括兩個方面：一是保證自己所處理的個人信息安全，不泄露、不公開其所處理的個人信息；二是保障其所處理的個人信息免受第三人的侵害。

一方面，在健康碼的應(yīng)用中政府與企業(yè)均負(fù)有對個人信息的安全保障義務(wù)。政府作為個人信息處理者，本身有防止其處理的個人信息泄露的義務(wù)，履行職責(zé)過程中導(dǎo)致所處理的個人信息泄露，權(quán)利人應(yīng)根據(jù)《行政訴訟法》或《國家賠償法》救濟權(quán)利。對于企業(yè)作為受托者，《個人信息保護法》第59條規(guī)定，受托人應(yīng)當(dāng)采取必要措施保障所處理的個人信息的安全。因此，企業(yè)作為受托人未盡到保護所處理的個人信息安全的法定義務(wù)，導(dǎo)致其所處理的個人信息遭到泄露，就是違反義務(wù)的表現(xiàn)，這種義務(wù)是法定義務(wù)，不同于與委托者之間的約定，是具有外部效力的，即：當(dāng)企業(yè)作為受托人違反《個人信息保護法》第59條規(guī)定的義務(wù)而導(dǎo)致個人信息泄露的情況下，其就該處理行為應(yīng)被視為個人信息處理者，應(yīng)承擔(dān)《個人信息保護法》第66條、69條所規(guī)定的行政責(zé)任、侵權(quán)責(zé)任等不利后果(5)《個人信息保護法》第66條關(guān)于違法處理個人信息的行政責(zé)任，包括責(zé)令改正、給予警告、沒收違法所得和罰款等；《個人信息保護法》第69條關(guān)于侵害個人信息權(quán)益的侵權(quán)責(zé)任，適用過錯推定責(zé)任，承擔(dān)損害賠償責(zé)任。。筆者認(rèn)為，在個人信息泄露的情況下追究企業(yè)受托人的責(zé)任，有利于加強企業(yè)的責(zé)任意識，確保其所處理的信息安全。

另一方面，個人信息處理者基于安全保障義務(wù)對下游損害應(yīng)承擔(dān)補充責(zé)任。個人信息處理者應(yīng)保障其所處理的個人信息免受第三人的侵害，這種安全保障義務(wù)類似于酒店等經(jīng)營者承擔(dān)的防止消費者免受第三人侵害的安保義務(wù)。有學(xué)者將第三人介入行為造成的損害稱為個人信息侵權(quán)的“下游損害”，并認(rèn)為在個人信息領(lǐng)域，個人信息處理者與個人之間存在法律值得介入的特殊關(guān)系，個人信息處理者有義務(wù)保護用戶個人信息不受第三人侵害[10]。筆者贊同個人信息處理者對下游損害承擔(dān)責(zé)任。個人信息處理者未謹(jǐn)慎處理個人信息是導(dǎo)致下游損害的因素之一，應(yīng)當(dāng)承擔(dān)個人信息權(quán)益受損害的侵權(quán)責(zé)任。其中，個人信息處理者和第三人的侵權(quán)責(zé)任形態(tài)不同，第三人故意侵權(quán)導(dǎo)致權(quán)利人個人信息泄露，其主觀心態(tài)是故意，而個人信息處理者則存在數(shù)據(jù)安保的過失。此外，個人信息處理者和第三人承擔(dān)的責(zé)任性質(zhì)也不同，第三人承擔(dān)第一順序的直接責(zé)任，個人信息處理者承擔(dān)補充責(zé)任，在無法確定第三人或其無力清償時，個人信息處理者按其過錯承擔(dān)相應(yīng)的責(zé)任。

至于第三人故意侵權(quán)的責(zé)任承擔(dān)，也即非個人信息處理者侵害他人個人信息權(quán)益，應(yīng)當(dāng)依照《民法典》的規(guī)定承擔(dān)侵權(quán)責(zé)任，而不適用《個人信息保護法》。

(三)個人信息濫用情形下個人信息處理者的賠償責(zé)任

如前所述，在健康碼的應(yīng)用中，國家機關(guān)作為個人信息處理者可以自主決定個人信息的處理目的和處理方式，這種情況下個人信息超出目的的濫用行為則會有兩種情況：一是政府或企業(yè)超出防疫目的使用個人信息；二是疫情過后，政府未征得權(quán)利主體同意私自使用或企業(yè)未按約定刪除個人信息并將收集的個人信息用作商業(yè)目的。

針對第一種情況，政府超出防疫目的違法使用健康碼中收集的個人信息。根據(jù)上文論述，行政主體可以作為個人信息處理者，與公民形成行政法律關(guān)系，其在履行法定職責(zé)過程中的個人信息處理行為，原則上適用《個人信息保護法》中的相關(guān)規(guī)定，但關(guān)于違法處理個人信息的行政責(zé)任、侵權(quán)責(zé)任條款，依照法條性質(zhì)不適用于國家機關(guān)。這并不意味著政府違法處理個人信息不用承擔(dān)責(zé)任，《個人信息保護法》針對國家機關(guān)及其工作人員的法律責(zé)任有特別規(guī)定，比如第68條規(guī)定的內(nèi)部責(zé)令改正與相關(guān)人員的處分。然而現(xiàn)行法律規(guī)定只側(cè)重對責(zé)任主體的處罰，卻忽視對信息主體權(quán)益的救濟。筆者認(rèn)為，國家機關(guān)為履行法定職責(zé)所需而進行個人信息處理時，也適用行政行為的一般性拘束。也就是說，政府在超出防疫目的使用健康碼中收集的個人信息時，既違反了《個人信息保護法》第34條國家機關(guān)應(yīng)遵守的規(guī)定(6)《個人信息保護法》第34條：“國家機關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍和限度?！?，也違反了行政法上的比例原則，因此除了適用《個人信息保護法》中有關(guān)國家機關(guān)不履行個人信息保護義務(wù)時設(shè)定的內(nèi)部責(zé)令改正和處分外，還應(yīng)適用《行政訴訟法》《國家賠償法》規(guī)定的救濟制度，使權(quán)利人可以通過司法程序主張權(quán)利。

若企業(yè)超出防疫目的使用個人信息，屬于個人信息受托處理者超出委托范圍處理個人信息。一方面，《個人信息保護法》第21條規(guī)定了受托人不得超出約定的處理目的、處理方式進行處理，這種義務(wù)與受托人的安保義務(wù)一樣均為受托人的法定義務(wù)，具有外部性和強制性。另一方面，《個人信息保護法》規(guī)定能自主決定處理目的和處理方式的是個人信息處理者，而一旦受托者超出委托范圍而自行決定處理目的，就是此次處理中屬于法律規(guī)定的個人信息處理者，并應(yīng)成為直接對外承擔(dān)責(zé)任的主體。綜上，在企業(yè)超出防疫目的使用個人信息時，應(yīng)由企業(yè)作為個人信息處理者承擔(dān)《個人信息保護法》所規(guī)定的行政責(zé)任、侵權(quán)責(zé)任，以救濟權(quán)利人受損的個人信息權(quán)益。

針對第二種情況，若政府未征得權(quán)利主體同意私自使用個人信息時，其承擔(dān)的責(zé)任與第一種情況時相同，在此不再贅述。若企業(yè)濫用權(quán)利人個人信息時，由于此時企業(yè)與政府之間的委托合同已經(jīng)終止，不存在超出委托范圍或違反受托人義務(wù)的情況，此時企業(yè)應(yīng)承擔(dān)何種責(zé)任呢？筆者認(rèn)為，企業(yè)在這種情況下屬于未經(jīng)權(quán)利人同意而處理個人信息的個人信息處理者，適用《個人信息保護法》規(guī)定的責(zé)任承擔(dān)方式。

五、結(jié)語

從上文梳理的健康碼應(yīng)用中個人信息權(quán)益受損的風(fēng)險類型可知，損害個人信息權(quán)益的主體包括政府、企業(yè)、個人，而研究這些主體的責(zé)任承擔(dān)，對于規(guī)避健康碼實際適用中的風(fēng)險以及救濟權(quán)利人受損的個人信息權(quán)益具有重大作用。對于政府而言，無論是作為委托者還是單獨的個人信息處理者，若其侵犯了個人信息權(quán)益，權(quán)利人可以通過司法程序?qū)ζ涮崞鹦姓?fù)議或行政訴訟以救濟受損權(quán)利。證明原則上應(yīng)適用違法性原則，只要行政機關(guān)的行政行為違法就應(yīng)承擔(dān)相應(yīng)的責(zé)任，而不應(yīng)適用《個人信息保護法》所規(guī)定的過錯推定原則。對于企業(yè)而言，企業(yè)作為受托人只有在違反《個人信息保護法》第21條與第59條明確規(guī)定的義務(wù)時，就該處理行為應(yīng)被視為個人信息處理者，并由企業(yè)承擔(dān)侵害個人信息權(quán)益的相關(guān)責(zé)任。對于個人而言，個人侵犯權(quán)利人個人信息權(quán)益應(yīng)當(dāng)依照《民法典》的規(guī)定承擔(dān)侵權(quán)責(zé)任，甚至可依照《中華人民共和國刑法》承擔(dān)刑事責(zé)任，而不適用《個人信息保護法》。