《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 胡凌:健康码、数字身份与认证基础设施的兴起|中法评 · 思想

胡凌:健康码、数字身份与认证基础设施的兴起|中法评 · 思想

2021-11-05
来源:中国法律评论
关键词: 健康码 数字身份

  从基础设施角度讨论健康码问题,须理解健康码如何从一种普通的媒介工具(二维码)转化为一种在流动性环境中增强对社会主体进行健康认证的工具,并塑造了与之相应的社会行为惯习和身份制度。在新冠肺炎疫情期间,二维码继身份证、电话号码、身份证网上功能凭证(CTID/eID)、人脸之后成为一种新型基础身份标识符,限于行政体制因素,在疫情发生的不同阶段发挥的作用也不尽相同。健康码帮助促成了更多流动以及围绕“关联性”展开的相关技术——制度创新,且在疫情好转之后延伸了数字基础设施建设,其物质性、制度性和公私合作特征值得深入思考和总结。

  目次

  一、引子

  二、当二维码成为基础身份标识符

  三、信息关联、认证与流动

  四、数字基础设施的扩展

  结语

  本文首发于《中国法律评论》2021年第2期思想栏目(第102-110页),原文9000余字,为阅读方便,脚注从略,如需引用,请参阅原文。点此可购刊。

  本文的写作受国家社科基金重大项目《大数据时代个人数据保护与数据权利体系研究》(批准号:18ZDA146)、凯风基金会“网络法沙龙”项目资助。

  引子

  作为国家成功抗击新冠肺炎疫情的重要技术工具,从2020年年初启用的健康码不断演进完善。随着疫情防控常态化,健康码的应用更加普及,并在短时间内塑造了新的数字身份,并推动了突发公共卫生事件下的国家认证基础设施建设。

  由此,观察和总结作为一种技术媒介和权力机制的健康码,不论对于当下还是未来的中国国家治理都具有显著的意义。

  关于健康码的法律和公共管理维度,现有研究指出,健康码是一种自动化行政评级手段,应将各地有关管理规定作为裁量基准看待,防止将健康码的结果视为绝对标准;由于其涉及动态个人敏感信息的收集、存储和使用,需要特别注意保护;同时在防疫背景下要求国家必须在市场之外同步建立、强化与防疫需要相匹配的公共信息能力和权责体制,加强国家认证和监控能力。

  本文关注健康码的基础设施面向,即理解健康码如何从一种普通的媒介工具(二维码)转化为一种在流动性环境中增强对社会主体进行健康认证的工具,并塑造了与之相应的社会行为惯习和身份制度。在疫情缓解后,健康码还能够依托现有电子政务平台,扩展为一种应用更为广泛的数字基础设施。数字基础设施不同于简单的“新基建”,它实际上是信息技术和社会制度的结合体,将充分融入国家治理过程中。

  本文由此讨论这类数字基础设施的特点和数字身份的法律问题:第二节追溯了二维码如何成为一种新型基础身份标识符,限于行政体制因素,在疫情发生的不同阶段发挥的作用也不尽相同;第三节讨论流动性背景下健康码如何帮助促成更多流动以及围绕“关联性”展开的相关技术—制度创新;第四节进一步说明二维码延伸了数字基础设施建设,其物质性、制度性和公私合作特征值得深入思考;最后总结全文的发现。

  当二维码成为基础身份标识符

  新冠疫情发生之前,二维码在社会公众生活中的存在感并不普及,尽管越来越多的人开始习惯使用二维码进行收付款,但二维码盗刷问题也一度成为媒体关注焦点,成为公众保持谨慎的重要理由。

  2020年1月底至2月初,在严峻疫情威胁下,少数城市开始设计和试点以二维码技术为基础的健康码,最终推广到各地。健康码的功能在限制流动性的网格化治理与推动流动性的网络化治理环境下是不同的:在前种模式中,健康码起到通行证功能,即表明隶属于某网格单位的成员资质功能;而在后种模式中,除展示外,健康码更多起到记录、识别和追踪感染人群功能,成为社会主体行踪大数据的一个数据产品。

  这两种功能都是现代国家实现微观认证权力的重要体现,而且能够充分解决人工进行线下信息采集和处理的低效与弊端。健康码恰好在这一过程中成为一种继身份证、电话号码、CTID/eID、人脸之后的新型基础身份标识符,并可以在网格/网络的不同流动性场景中自由切换。经过几个月的推广和应用,在各地均拥有自己的健康码之后,中央政府开始归集汇总相关疫情数据,要求减轻群众扫码负担,合并不同健康码。目前形成了全国一体化政务服务平台和省级两级健康码技术和管理结构,后者需要依托前者进行跨省互认。

  健康码成为新型基础身份标识符既有疫情突发原因,也有其自身特点原因。实际上,在此之前标识符的出现都随着需要识别的主体数量增多、流动性增大,为确保安全,无论是为了事前预防还是事后救济取证,都需要更多具有普遍性、唯一性和难以更改的基础标识信息对社会主体进行定位识别。健康码的顺利推行得益于当下庞大的智能手机网民数量,以及诸如扫码添加好友与支付这样的日常惯习。它本身可以根据实时数据计算更换颜色,从而在展示过程中证明亮码主体自身的安全性。

  此外,每次亮码都意味着重新访问服务器,二维码由此得以实时更新,能够有效防止伪造或冒用。身份证件易于携带,但也容易丢失和仿造;人脸识别因为佩戴口罩而更不精确,同时也因为不受约束而开始受到社会舆论质疑;指纹信息不够安全;人们的工作生活更离不开智能手机,也开始习惯于扫码,这些因素综合起来都促成了二维码成为一种新型身份标识符,并在一些场合与其他标识符相互替代。同时,健康码的每次访问都依托于公民现实身份证数据库,因此在技术路线上看起来更像是“网证”(CTID或eID)的折中,既像CTID一样和真实身份绑定,又像eID一样确保加密安全,却比它们都更能被社会接受。

  出示健康码和佩戴口罩一样,需要行为习惯的强制认知和养成。只有通过公共机构和场所(政府、医院、公园、车站、学校)不断要求出示和宣传,才能在社会主体的快速流动中保持一定的安全可信度,并及时在发现传染病源的同时追踪密切接触者。这在本质上相当于法律为了公共利益强制全体社会主体披露行踪信息,并在紧急需要时加以利用。

  相反,当时欧美一些国家采用的平台企业开发的接触追踪技术(contact-tracing)表面上看尊重个体的知情、选择和隐私,但实际上因为其通过硬件和后台进行匿名性追踪,同时依赖群体自愿参与贡献相关行踪信息,在缺乏外在群体压力和足够责任感的情况下,大众参与比例不高,分享速度远低于病毒传播速度,使其效果大打折扣,没能阻止疫情蔓延。

  由此,健康码的主要社会功能是通过认证实现社会主体相对安全的流动性。社会主体不会仅仅局限于一个城市或省内流动,而是会在全国跨省流动,这就需要在全国范围内进行相关信息的共享和追踪。然而,在健康码开始推行的前几个月内都还无法做到互认和共享,人们不得不重复申请,带来诸多不便。造成这种现象的原因不完全是技术上的,而是地方行政体制运作的逻辑使然。

  接受外地或其他省份的健康绿码在政策执行上没有问题,但如果因为数据计算错误而导致持绿码者仍可能是(无症状)感染者,就会给本地防疫带来不小压力,特别是这更意味着政治责任。这就是为什么在疫情初期,每个城市只要有条件都会开发可控健康码,均基于本地采集的数据进行计算,和外地健康码不兼容除了单纯技术成本上的考虑,更主要是出于对外地数据采集标准和计算方式的不信任。

  这种不信任只有在2020年夏秋之际本土新增病例完全清零的时间里才逐渐消除,并在各省内逐渐统一健康码。将感染者涉及小区或楼宇进行差异化分级和精细化防控也在这时完全成为可能,在确保绝大部分地区安全可控的前提下,如有少数核酸阳性者出现,仍然可以动用相当的医疗与疾控资源在事后进行流调处理,这能够最大限度地确保其他地区进行稳定生产生活。

  然而随着外来冷链等新型传播渠道出现,以及入冬以来无症状感染的不断增多,人员跨省流动时不仅需要健康绿码,还需要辅以中国信通院开发的通信大数据行程卡——过去两周内如果到过中高风险地区都可能被拒绝进入某个场所,这意味着增加了时间维度。更关键的是,强制隔离14天已经无法作为安全的判断标准,病毒变异带来的不确定性不断增大,这使地方的防疫要求标准又遽然增加。特别是从2021年1月以来,北方若干省份新增本土病例增多,为防止春节期间人员流动带来的大范围传播,国家号召就地过年,并增加返乡的难度和成本。

  地方政治责任再次压倒一切,事后固然可以进行流调,采取隔离措施,但只要有一个核酸阳性者遗漏(且可能性较大),那么在政治上相关主管官员就可能会被认为防疫不力。这终将导致官僚制层层加码,出现大面积“一刀切”的现象,不论健康绿码、绿色行程卡、核酸检测、注射疫苗还是国家确定的中高风险分级在一些地方城市都不被信任;只要被当地划定为重点关注地区的人员跨省流动后都会被强制隔离,而这往往超出中央先前确定的差异化中高风险标准和返乡标准,流动的网络化模式再次退回到封闭的网格模式。

  上述冲突从法治思维的角度或许可以解释成“疫情新常态”和“突发紧急状态”之间的冲突。在前者条件下,佩戴口罩、出示健康码、划定中高风险地区、有条不紊地进行流动,都可以看成是某种由信息技术支撑的形式法治和新型规范,社会主体借由健康码获得了重新流动的自由权利。接触追踪软件的技术设计虽然巧妙,但仅适用于日常对流行病的随机报告,对疫情防控起到一定补充作用,无法过高估计其效果,更不能取代以大规模调用数据为前提的人工追踪。而在后者条件下,上述均衡再次被打破,形式变得不再重要,所有人都被假定可能存在安全隐患,跨省流动性被降到一个相当层次。

  这一过程凸显了人们如何真实地看待和信任技术媒介。健康码被认为是由不透明的算法对复杂的行踪数据进行的计算生成产品,本质上是一种专断性的权力,这就是为什么有相当的声音要求算法更加透明公开、可预期、适用准确、可救济。然而,不难看出,真正重要的不是使这种技术本身变得更加透明,因为抽象信任并不因为数据和算法透明就会直接增加或减少。公众关心的可能是个体层面上的识别精准性以及由此带来的麻烦和救济。但对地方政府而言,如何将对这种技术的抽象信任纳入实际行动,以及技术的透明性是否能够帮助地方增强能力降低责任风险,才是实际的问题。

  在现有行政体制下,即使健康码完全由中央政府生成分发,也未必能够改变地方政府的行为逻辑和动因。只有当新冠肺炎病毒带来的不确定性风险基本消除,由技术支撑的形式法治才可能重新回归。

  信息关联、认证与流动

  但这并不意味着技术就只能在边际上进行修补,或者动辄就要退回到低流动状态或紧急状态。经过大半年实践,健康码在没有事先精确规划的情况下不断解决新问题,逐渐成为数字化的公共卫生基础设施,在全国范围内探索回应如何应对不安全的流动性。

  这意味着健康码代表的新型权力机制已经进入人们的普通生活,身份认证和识别变得更加无处不在。传统线下认证(无论是警察查验公民身份,还是旅馆查验登记旅客身份)很难说构成了一种可见的技术性基础设施,直到出现了全国性的身份证数据库和其他各类核心关键数据库,可以实时联网查询,才意味着现代国家治理开始大规模依赖对数字基础设施的建设。

  而健康码同样需要对社会主体行为踪迹信息的实时处理,并在事后追踪密切接触者过程中,将不同种类的信息关联起来。这不仅涉及对私人信息的强制使用和披露,也涉及通过信息产品的方式对私人信息进行创造性使用。在笔者看来,健康码作为基础设施的实践在如下三个层面对“关联性”进行了深入探索,实际上也是对如何在风险社会中安全流动这样的宏观问题进行制度和技术上的回应。

  第一个层面是关联认证信息。健康码页面一般由一个带颜色的二维码及其他身份信息(如姓名或头像)构成,二维码本身可以看成是一种派生性的个人信息,和其他在先的基础身份标识符联系在一起构成了独一无二性,一人一码。现代可信身份认证越来越成为“一揽子”活动,依托于多元互认的标识符而非单一标识符,这不仅是为了应对账户安全风险,也是由于突发事件等不确定因素增多,在不同场景下起作用的标识符难以快速普遍推广。

  由此,虽然一直存在从全国范围内统一基础数字身份的呼吁和尝试性实践,但限于碎片化的技术使用实践和地方不同部门开发的差异,一直未能有机会实现。目前看来更为稳妥便捷的方式是多元认证,在现有各类标识符基础上逐渐打通,将不同标识符进行互认。实际上,单一身份标识作为身份认证手段在线下也很少存在,至少需要两个及以上的标识符相互结合才能确保准确识别个人,例如身份证上就记载了姓名、人脸、身份证号码和户籍地址等个人敏感信息。

  这也是为什么单一身份标识(如人脸)很容易被仿冒和伪造,在涉及人身财产安全场合需要多重因子认证手段。健康码的生成实际上也需要关联其他基础身份信息,从而帮助开启一个账户,实时根据大数据显示特定的界面。使用手机界面进行颜色功能展示,还可以有选择性地在界面上隐去其他无关的身份信息如照片和姓名,而在后台保持实名。

  健康码的使用还有助于我们更进一步理解所谓的“个人敏感信息”的本质。健康码信息是在抗疫活动过程中生成的身份认证信息,其被创设出来的主要目的是显示社会主体安全身份,确保平稳流动,因此超越了处理一般个人信息的知情同意框架。个人敏感信息(如身份证号码、人脸、住址)往往被法律和行业规范设置为高安全标准,这不仅因为其能够直接识别个人,关系个人的人身财产安全,更主要的是此类信息起源于国家认证需求,并随着技术条件的变化而不断将新种类信息纳入进来,只有在国家认证以外的场合使用个人敏感信息才涉及同意。

  与在公共场所不断亮码出行类似,高度流动性社会处处充满了认证,认证除了满足基本的统计需求,更主要的是根据某些特定标准确定资质,达到资质的社会主体才被允许进行流动和动态监控。健康码的动态使用在本质上深刻反映出这一点,也折射出所谓基础身份信息不像传统观念认识的那样是固定不变的,而是一个不断更新、加固、充实的过程。

  第二个层面是关联账户。老年人或未成年人如果因能力限制无法使用智能手机申请健康码,可以由其他具有可信身份的家庭成员进行协助申请和认证,这实际上是一种家庭账户实践,不仅能够帮助解决不少老人因缺乏健康码无法使用公共服务的问题,也能够间接地促进家庭关系的亲密程度。类似地,为保障特殊群体权益,健康码也可以和其他身份证件相互关联,健康码可以成为身份证明,反过来身份证也可以再次生成健康码帮助通行。

  账户关联在本质上是人的联系,目标是帮助可能被数字鸿沟阻隔无法被纳入数字世界的主体享有平等的数字化服务。考虑到中国尚有超过5亿人口未能通过智能手机接入互联网,通过联合共享账户的形式将其纳入认证范围将是推动他们进行更多合法安全流动的重要途径,也可以借此渠道增加社会中合规与提示的责任承担者,从而潜在地降低风险和纠纷。

  第三个层面是关联更多行为信息/数据。传统线下的认证是对客观存在的社会行为进行分类统计主动采集,而在流动社会中的认证不仅是通过展示确认固定不变的资质,更主要的是通过大量数据分析生成动态信息,不断追踪,并根据实际情况调整判断。健康码可以实时根据后台大数据生成独一无二的数据产品,将认证与识别整合在一起,使社会主体的数字身份处于不断变动的状态,这也是为什么存在如下担心:(1)大量个人敏感信息处理不当而泄露;(2)相关数据产品可能会因为算法或数据错误而产生误差。

  第一个问题更多发生在内部工作人员泄露核酸阳性者信息的场合,而且问题往往出在采集环节,恰好是存在多头收集、重复索要信息和填表增加了信息泄露的概率。第二个问题实际上折射出当下流动性社会的某种现实,即如何面对不确定风险利用大数据。我们尚未对新冠肺炎病毒本身有透彻的理解,包括此种病毒可能带来的副作用或变异情况,考虑到其较强的传染性,实际上相当于将健康认证本身上升为社会成员流动交往的重要资质,特定单一个人信息势必需要关联其他类型的行为或健康信息共同发挥作用。

  通过对越来越多种类的信息/数据进行事先收集,综合判断如何使用,对于高度结构化可以生成稳定数字产品的信息/数据,可以通过公共服务方式进行展示提示,引导社会主体行为,辅助流动性提升,从而进入稳定的法治化轨道;而对于有价值的非结构化信息/数据则需留有一定的余地,通过事后追踪/救济以及极端情况下限制流动性弥补数据缺失的不足。

  信息之间的关联性无法事先预知,往往会通过主体实践逐渐接受,因此当下需要做好的是:

  (1)按照相关法律和国家要求,确保信息在传输和使用过程中的安全,增强过程监督,确保个人信息不被非法使用或泄露;(2)在联通其他数据库的过程中,完善告知程序,需要主体了解何种数据被用于何种功能;(3)依托公共数据开放和使用制度,在特定种类数据实现其功能后,需要进行封存中止使用,如果可能的类似风险再度发生,可以经过法定程序重启。

  数字基础设施的扩展

  和无线射频识别技术(Radio Frequency Identification , RFID)支撑的条形码已经成为物联网的基础设施一样,如前所述,二维码只有在新冠肺炎疫情期间才真正成为对社会主体认证的数字基础设施,充实丰富了数字身份的内涵。

  在疫情根本好转后,国家的扫码治理并未暂停,而是逐渐规范二维码开发行为,使其超越了公共卫生治理范畴,成为一般性的认证基础设施,即成为联通访问特定数据库、接受公共服务的入口,在后台打通各类数据库进一步开发,进而成为电子政务的一部分。通过电子证照、电子印章等服务对企业和个人的资质在不同服务场景中进行快速认证,成为平台型政府为企业提供公共服务的基本要件。无论后台数据库如何变换,通过二维码或者未来其他标识符都可以实现快速和稳定的认证。

  这一过程凸显了数字基础设施的若干重要特征。首先是信息和技术的物质性。作为一种媒介,二维码需要依托特定APP和硬件进行展示和读取,也离不开无处不在的扫码终端。因此并不是说传统代表身份的卡证消失后,其物质性就削弱了,新的物质性只不过转换成其他更加电子化的形式。物质性提醒我们关注媒介传播的成本和损耗,随着智能手机的成本不断降低,将有更多的公民通过能够联网的手机在接受公共服务时进行身份认证。但如前所述,目前我们仍面临着相当大的数字鸿沟问题,除了5G基站这样的基础设施外,硬件以及数字化的家庭平台可能是更有帮助的。

  其次,数字基础设施既具有技术层面,也同样是一套行为制度。这涉及社会主体和使用者调整行为惯习及其认知:学会操作、知晓何种信息被收集、应用,以及理解这一过程的社会价值。单独依赖个人无法完成,甚至技术本身无法自动获得使用,需要有外在提示、压力、协助、甚至强制,才能确保一项基础设施能够尽快实现其功能。也是在这一过程中,社会更习惯于某种媒介,调整相应预期,从而做出集体选择,产生新的需求和应对手段,进而使这类设施能够进一步扩展应用。

  此外,健康码塑造的身份制度也变相改变了围绕居民身份证法确立的基础身份制度。居民身份证法只是在线下物理环境中确立了物理载体的合法性,却无法在数字化环境中代表唯一身份标识,而健康码、人脸、电话号码等标识符不断将流动社会中的数字化媒介与传统社会中的身份关联起来。

  第三,数字基础设施需要有效互联互通和公私合作。这里不仅涉及地方政府或区域之间的互认、标准统一,也要求作为健康码入口的私人平台之间不能存有阻碍。就区域合作而言,各类数字基础设施的建设总体上仍然是地方性的,也服务于本地各种活动。在健康码的例子中,一旦治理信息的处理超越了本地边界,信任问题就产生了,即需要对基于外地数据的二维码拥有一种抽象信任与合作意愿。

  在疫情缓解期间,地方政府为了经济恢复有动力开展互认,从而推动了流动性,而在冬季疫情加剧的时候,春节返乡人群的绿码可信度就没那么高,不论人们如何出具健康和安全证明。这不完全是地域歧视,而是地方政府基于自身利益最大化考虑而降低可能的政治责任的问题。类似问题在政府数据开放过程中也经常遇到,即数据归集主体和采集主体不同,因此责任救济、开发动力也有很大不同。

  因此,政治治理责任和证明权力的分离是现代社会认证面临的最大问题,如果外地信息有误,可能给地方应对突发事件的工作带来重大影响。目前有效但需要时间的应对方式是逐级统一安全和技术标准,增强大数据利用的可信度,并逐渐改进地方政府精准防控的能力。就公私合作而言,早期的健康码由企业开发、地方政府推动,后来在全国统一的“防疫健康信息码”推出后,健康码则完全变成一项公共服务和公共基础设施。如果由特定私人平台承担此项服务,互联互通也应当成为法定义务,由地方政府授权运营或监管。

  健康码实践充分展示了在面对突发公共事件时,公私合作是数字基础设施得以正常运作、共同解决问题的前提。作为回报,实际上该项服务也有利于平台企业获得更多新用户注册,甚至进入原先无法进入的社区和健康管理领域。

  结语

  本文从一个较少关注的角度——基础设施——讨论了围绕健康码而出现的诸多理论问题。

  首先,数字基础设施的形成,在某种程度上不是统一设计出来的,而是根据社会实际需求不断演进和迭加的。本文试图提供一个社会科学角度的解释,帮我们更好地理解技术如何嵌套和适应现有社会制度结构,又如何试图超越这个结构,塑造新的基础设施。

  其次,对技术的抽象信任在幅员辽阔的地域范围内难以快速实现,需要辅助相应的制度措施,这可能意味着退回到技术以外的传统手段(如强制隔离),但它也是技术应用本身的探索和转化过程,诸如评分、社会信用、拥有更多信息的网格化模式,都是通过技术重新开发的传统治理手段。

  最后,技术嵌入制度的过程也是治理常态化和法治化的过程,无论是对人行为惯习的塑造,还是对个人信息使用规则的诉求,都体现出这一趋势。然而,在面对不可预知的风险时,可能不存在“一揽子”解决方案,特别是需要大量有价值信息/数据的时候,需要根据风险变化不断测试确定,从而不断打破常规治理与风险治理的边界。同时,也需要适时总结降低不确定性、保持社会流动与活力的方案,健康码实践通过若干层面试图加强信息和账户的关联性,为我们创造性地使用信息/数据进行治理提供了新思路。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。