行程码退场，数据何处去｜法经兵言

12月13日0时起，“通信行程卡”服务正式下线。“通信行程卡”短信、网页、微信小程序、支付宝小程序、 App等查询渠道将同步下线。通信行程卡，俗称“行程码”，是由中国信息通信研究院联合中国电信、中国移动、中国联通三大电信运营商，利用通信大数据为全国16亿手机用户免费提供的查询服务。

尽管行程码不收集手机用户的家庭地址、身份证号码等个人信息，但依然通过用户手机号所处的基站获取用户的话单数据、手机信令等相关数据，大致推测出用户的地理位置信息。行程卡承载着大量与用户紧密相关的数据，我国一向秉持着“目的正当、最小比例”的基本原则，审慎处理相关数据，将行程码中的数据仅用于疫情防控的目的，同时加大对数据传输过程中的安全保障力度，对数据进行脱敏处理，以此来保障行程码中的个人信息安全。

中国三大电信运营商均表示，依据有关法律规定，自12月13日0时“通信行程卡”服务下线后，同步删除用户行程相关数据，依法保障个人信息安全。中国信通院发布公告称，已按照有关法律法规规定，同步删除了行程卡相关所有数据，切实保障个人信息安全。

在行程码退场之后，如何实现数据要素的安全离场，是一个值得深入思考的问题。行程码所承载的数据要素涉及企业、用户、政府等多元主体，关系到企业、公民、社会、国家等多元利益之间的有机融合。保证数据要素的安全离场，必须要立足于公共卫生事件的预防这一基点，由有关部门采取更为精确、敏捷、有效的治理手段，在保证数据安全的基础上，做好数据删除与数据价值挖掘之间的协调统一，维护多元主体之间的利益平衡。

依法规范个人信息删除行为

《中华人民共和国个人信息保护法》（下称《个保法》）第十三条明确，为应对突发公共卫生事件，个人信息处理者无需取得个人同意即可处理个人信息。公共卫生事件关系到公民健康、社会稳定与国家安全，出于维护公共利益和国家整体利益的考量，相关主体可以突破用户对个人信息处理的知情同意权，其背后体现出的是社会公共利益和国家整体利益优先的利益权衡。

随着奥密克戎毒株致病性明显减弱以及我国疫情防控政策的调整，不再以应对突发公共卫生事件为由，突破用户对个人信息处理的知情同意权是法定义务及责任。此外，《个保法》第四十七条还明确，当处理目的已实现、无法实现或为实现处理目的不再必要时，个人信息处理者应当主动删除个人信息；应删而未删的，个人也有权请求删除。随着优化调整后的防疫政策有序落实，行程卡退场是大势所趋，以行程卡收集用户个人信息也已经失去其正当性与合法性基础，个人信息处理者删除数据是必然且必须的。

依据《个保法》的相关规定，有权删除个人信息的主体包括个人信息处理者与个人。基于此，在行程卡删除数据这一场景下，有权行使删除权的主体主要包括作为个人信息处理者的中国电信、中国移动、中国联通等个人信息处理者以及被收集信息的个人。至于微信、支付宝等生活信息服务平台仅为行程码程序提供接入端口，原则上不担负个人行程数据的收集、存储、管理等主体责任，但是由于其为行程码程序提供平台支持，也应承担相应的关键信息基础设施对个人信息和数据安全管理上的义务与责任。为行程码程序提供接入服务的上述生活信息服务平台是否可被认定为关键信息基础设施，这一点还有待进一步明确。

此外，就个人在此次行程码信息删除行为中的定位及地位，还有待进一步解析。作为个人信息提供者的个人基于《个保法》第十三条“个人信息处理者处理个人信息”的规定，负有在无需征得其同意的前提下，配合如实提交个人行程数据的义务，其中也包括删除。但是，如果个人要求中国电信、中国移动、中国联通等提供相关个人信息查阅、复制的配合，后者是否有相关配合义务，此时的“删除”能否对抗“查阅、复制”要求？

明确用户数据不等同个人信息

依据《个保法》规定，删除的内容应当为行程卡数据中的个人信息。而对于进行匿名化处理后，无法识别出对应的自然人的数据，不属于个人信息，该部分数据则不属于依据《个保法》所需要删除的范围之内。此外，由于行程码在一定时期内还呈现出行为人是否路过中高风险区域，这里就存在当地卫生健康部门的公共数据上传呈现的问题，这部分数据的管理和使用如何处理，还需要进一步明确。由此，引发了对不同数据来源和生产者主体关于数据提供、分享、使用、管理及删除的权利如何分配与认定的问题。

从数据的来源和生产过程进行分类，可以将数据分为原始数据、衍生数据与创生数据。原始数据理解起来比较简单，是对个人自然情况、行动轨迹等的客观呈现，衍生数据是对原始数据进行加工、处理并具有财产价值和增值价值的一类数据，创生数据则是在数据服务行为或（和）应用行为中对衍生数据的二次或多次利用或深度加工处理形成的各类数据。

原始数据中可能包含大量个人信息，因此在对原始数据进行处理时，应当注意依据《个保法》相关规定进行个人信息的删除。而在对衍生数据与创生数据进行处理时，由于其是对原始数据进行深度挖掘、分析加工、脱敏处理而成，数据的个人属性被淡化，取而代之的是数据的社会属性进一步提升。譬如，依据行程码的相关数据，可以分析出人流量较为密集的场所，对于城市规划、交通建设等其他场景有着十分重要的意义，此时出于公共利益的考量，应当将这部分数据用于其他场景之中，提升对数据的应用能力，避免浪费资源、重复收集、使用、分析、加工数据。甚或，在此类公共数据的分解与分享中，可以进入数据要素市场予以交易，由此获得的相关费用可以交由相关数据开发、存储、管理等部门，作为运营支出费用、相关收益进行合理分配，充分实现公共数据价值的挖掘和增值。

因此，数据的删除并不应是绝对的，而是应当依照分类分级的基本原则，依据场景化的科学方法稳步有序进行。具体而言，可以将数据分为原始数据、衍生数据与创生数据三类，将数据分为个人信息、社会或（和）国家公共信息，对于原始数据或衍生数据中可识别的个人信息，应当依据《个保法》进行彻底删除，以保护用户个人信息和隐私安全。特别是对其中的敏感个人信息，应当进一步加强安全保障力度，避免在数据删除环节中发生数据泄露等问题，对公民造成损害。而对于衍生数据、创生数据中所涉及的公共信息（数据），则应寻求转换其应用场景，一方面，可以用于日后的突发公共卫生事件的防治工作，编制公共卫生防控数据库，绘制精准化的公共卫生防控地图，形成实时动态的公共卫生防控压力测试敏感反馈机制；另一方面，可以将该类数据用于城市建设等不同场景之中，充分挖掘公共数据的分享和使用价值。

一旦确定了需要删除的数据的范围，就需要进一步明确有权对数据进行删除的主体，避免有权删除数据的主体超出范围删除数据，以及避免无权删除数据的相关主体删除数据，造成社会公共利益的减损。应当由网信部门总体统筹负责对相关主体删除数据行为的监督工作，形成中央层面与地方层面有关部门协同监管的治理体系，避免个人信息处理者误删、错删、滥删数据的情形发生。

统筹安全与发展推动数据健康治理

除行程码外，疫情防控政策优化后的健康码将如何处理同样引人关注。与行程码不同，健康码涉及的数据种类更加丰富、数据来源更加广泛、数据数量更加庞大、应用场景更加多样复杂，因此，在处理健康码中的数据问题时，应当更加慎重。须秉持统筹安全与发展的基本原则，保证公民利益、社会利益与国家利益的有机统一。

第一，针对健康码中与新冠疫情防控相关的数据，可以参照行程码中的数据离场规则进行处理。与行程码相同，随着新冠疫情防控政策的优化调整，健康码在疫情防控中的角色将进一步淡化，疫情防控已不再依赖健康码，因此可以依照《个保法》的相关规定，对健康码中涉及新冠疫情防控的个人信息进行删除处理。

第二，应当对健康码运行中存在的违规收集、使用个人信息的问题进行整治。在实践中，健康码的应用场景较为广泛，个别地区的健康码已不再仅仅局限于抗疫，而是结合了医疗社保、公共交通、政府服务等多重职能。不可否认的是，将健康码赋予多重功能对于提升社会治理的效率、增进人民群众福祉确有裨益，但若是违反《个保法》中的相关规定，突破处理个人信息的知情同意原则，则涉嫌违法违规。《个保法》明确，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。健康码在初始阶段以疫情防控为由收集公民个人信息，在发展过程中不断丰富自身应用场景，必定会改变个人信息的应用目的，此时，应当重新取得个人同意，方可进一步使用公民个人数据（信息）。

第三，应当强化对健康码中的敏感个人信息的保护。在健康码应用的场景中，包含大量用户的生物识别、医疗健康信息，这些信息一旦遭受不当使用，极易导致用户的人格尊严、人身健康、财产安全受到危害，属于敏感个人信息。因此，在使用用户的敏感个人信息时应当注意充分落实《个保法》中的相关规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。个人信息处理者还应向用户告知处理敏感个人信息的必要性以及对个人权益的影响，取得个人的单独同意。

第四，应当结合《个保法》，进一步落实公民对其个人信息享有的基本权利。尽管淡化甚至删除健康码中有关疫情防控的个人信息是大势所趋，但是其中部分个人信息对公民生活依然具有重要意义，应当予以合法适当存储，以便个人依法行使查阅、复制的权利，避免数据资源的浪费。譬如，健康码中关于公民个人新冠疫苗接种的信息，对于公民日后看病、治疗等场景依然有着重要意义，应当合法转移至相关机构和部门在规定期限内存储。若是对海量数据的存储存在困难，可以考虑依据《个保法》中个人信息复制权的相关规定，为公民提供下载、转移疫苗接种凭证等与个人相关数据提供技术上的支持。

此外，在对个人健康码上相关信息提供查阅、复制、转移等相关服务的同时，还要关注对含有个人健康信息的数据进行匿名化处理后海量的有价值群体性或地区性公共健康数据的合理合度开发和使用问题，不能简单化处理，一删了之，并非上策。

值得指出的是互联网是有记忆的，所谓“删除”也只是将海量的数据在存储介质上抹去，断开数据与信息之间的读取机制，但是未来能否借助相关技术予以恢复，还是有可能的，故此，如何做好事后监督也是完成整个退场工作的重要组成部分。无论如何，行程码作为一个时代重大公共卫生事件的记录介质，退去的只是过往时间，在未来时间里其影响和价值依旧值得关注。

（陈兵系南开大学法学院副院长、教授、博导，司法与社会研究中心主任；夏迪旸系南开大学法学院博士生）