□赵宏

　　近日，有消息称：“湖南省居民健康卡”新版上线一个月以来运行良好，实现了统一预约挂号、一码就诊、健康档案共享等新功能，成为服务群众健康的总入口。这与此前江苏省无锡市举行涉疫个人数据销毁仪式，确保数据彻底销毁、无法还原的做法形成鲜明对比。“健康码”究竟能否安全合法地实现转型？是彻底销毁还是实现功能转型更佳？也再度成为公众热议的话题。

　　过去几年，健康码几乎成为人们每天都会使用的新型身份标识，它发挥着风险防控的重要功能，却也在很多时候成为束缚个人行动自由的工具。由于在应急状态下诞生，健康码表现出的对个人信息无差别全员收集、实时收集和事无巨细等特征，都隐藏着个人隐私被泄露和滥用的巨大风险。正因如此，当国家防疫政策发生重大调整后，彻底下线健康码，并将附着其上的个人数据永久性删除，成为公众的普遍呼声。

　　但在健康码的存废去留问题上，一直也有另一种声音，主张其尚有保存的必要。理由之一是，其中存储的疫苗接种信息或许在危重病人诊疗过程中会为医生提供诊疗依据。但伴随数轮感染过去，此类信息的有效性已彻底消失。而彼时很多地方政府希望保留健康码的理由还在于应对未来可能的疫情,但这个理由同样无法证立。未来如果再暴发其他大规模传染病，地方政府完全可以通过更精细、更合法合规的方式进行数据收集和突发公共卫生事件的应对。还有地方政府欲将其转型处理，在去标识化和匿名化处理后，将健康码的数据信息继续保留，并转用做诸如健康医疗、交通出行、文化旅游等其他目的。早在湖南省政府转型处理前，2022年底北京市就曾启动“京通”小程序上线试运行，尝试融合“北京通”与“健康宝”。市民可自愿或自主授权，选择是否将健康宝的个人身份验证信息拓展到“京通”页面。

　　地方政府将健康码转型挪作他用，当然是在健康码的疫情防控功能失效后的另一设想。但要落于实践却至少需要满足如下法治要求：

　　其一，删除和销毁与疫情防控相关的敏感个人信息。生成健康码的底层个人数据和衍生用户画像都与个人人格尊严高度相关，也属敏感个人信息，在完成既定功能后，无论是废弃还是转做他用，首要的都是将附着在健康码之上、与疫情防控相关的敏感个人信息彻底删除和集中销毁，这其中尤其包含个人的行动轨迹、健康信息、生物识别信息等。此类信息若继续留存就可能被泄露或滥用，不仅会危及个人人身财产安全，也极易导致个人名誉受损或遭歧视性对待。《个人信息保护法》规定，删除个人信息不仅是信息处理者的义务，也同样是个人重要的信息权利。这种权利的目的就是为了确保在信息处理目的已经完成或是已无必要时，避免个人信息被不当存储而可能导致的信息被泄露、被非法买卖甚至被用以其他目的的高度危险。

　　而此前很多专家反对将健康码转做他用的重要原因在也于：健康码在信息收集上表现出“可长期保存且易跨平台复制转移认证”的特点，而现有的脱敏化处理并不能彻底消除个人隐私被暴露和个人信息被滥用的风险。与此同时，尽管公众对此呼声很高，将健康码数据存而不废却一直是各个地方政府的普遍做法。这不仅体现了个人信息对于政府治理和管控的巨大诱惑，也能窥见各地政府对码化治理方式的路径依赖。据此，若将健康码转做他用，首先应确保在技术上能够删除和销毁个人此前存贮于健康码的敏感信息，或者至少通过脱敏处理排除个人隐私被暴露的可能。否则，无锡市政府举行涉疫个人数据销毁仪式，确保数据彻底销毁、无法还原的做法才更为稳妥。

　　其二，实现功能转型必须征得个人的重新同意。地方政府如果要实现健康码的转型，即使将所涉及的敏感个人信息进行脱敏化或去标识化处理，并由此转做他用，也必须重新征得个人同意，否则即属违法。就相关新闻来看，湖南省将健康码信息转做他用是否经过公众的重新同意并未明确。而此前曾尝试对健康码“转型升级”的一些地方政府，很多时候也忽略了这一法治要求，未意识到其中包含的法治风险。

　　目前，一些地方的市民查验健康码页面会发现，包括个人健康状况、感染风险以及接种疫苗情况等信息依旧存在，甚至实时查询功能也依旧可用，只是因很久不登录而未获更新。仍在运行的健康码中究竟关停了哪些功能，哪些数据信息目前依旧可用，对于普通用户都是一个谜团，也因此引发普遍担忧。在数据化时代，这几乎就像悬在每个人头上的达摩克利斯之剑。没有人愿意活在他人无时不在的窥视之下，也没有人愿意成为数据监控甚至数据操纵的对象。为避免这种危险的发生，政府即使要实现健康码的转型也必须符合严格的法律要求，否则彻底下线销毁才是最令人心安的做法。

　　（作者系中国政法大学法学院教授、博导）