健康码收集存储的数据，能做到真正的删除销毁吗？

随着“新十条”等政策出台，防控措施叠加优化，出门看码、全民核酸的时代似乎告一段落，不少地方已撤下健康码海报，“告别健康码”也登上热搜榜。

2020年2月首个健康码诞生后便迅速嵌入14亿人的手机中，成为公民出行的健康凭证，以及精准防疫的重要参考。每一张健康码的二维码背后，存储着个人的身份证号、人脸信息、行踪轨迹等敏感个人信息，并且伴随着健康码与公众生活的深度绑定，不少地方健康码与公交、社保、支付系统打通，引发了对个人信息进一步被掌控的担忧；而赋码规则的不透明，也曾让健康码的管理受到质疑。

现在，随着我们迈向结束疫情生活的道路，三年来，伴随公众最紧密的健康码，是否也会走入历史？经过21世纪经济报道-南财合规科技研究院调研，仅少数地方出台专门的规范性文件，健康码数据使用范围存在外溢情况，健康码数据其存储期限、删除要求等并不明晰。健康码在完成其使命后，其收集、存储、流转的数据是否能真正做到销毁，是后疫情时代的重要命题。

健康码到底收集哪些信息？

健康码是根据个人填报信息并进行大数据分析后生成的二维码。“健康码”运转的背后是海量个人信息的汇集、共享并利用算法进行自动化决策。

三年来，健康码的功能愈加完善健全，背后的数据链路愈加复杂，收集的个人信息也愈发庞大。

个人健康码数据大致可分为个人基本信息、个人健康信息、行程信息、健康证明信息

四类，每类包含不同的具体数据条目。以国家标准《个人健康信息码 数据格式》中对健康码数据结构作为参考，健康码涵盖大量个人信息。

这些信息获取是不同部门合作配合的结果，用以研判个人健康状态，比如公安部门提供居民户籍信息，移动运营商、通信管理部门和铁路航空交通部门提供的用户行程与出行数据，卫健委部门提供居民就诊信息。

不同部门接入，在疫情精准防控发挥了举足轻重的作用，同时也意味着个人信息在多场景下的流转，健康码所处理的大量敏感个人信息一旦被滥用将直接影响公众的个人利益。

CCIA数据安全工作委员会发布的《“健康码”数据安全和个人信息保护措施与建议》中也指出，“健康码”的生成、申领必然涉及个人信息的收集，环节存在用户主动申报信息、多方数据打通、人脸识别验证等场景;在使用健康码进行防疫过程中，也存在相关单位要求用户出示、提供、留存健康码信息的场景。

资深数据法律师袁立志告诉21世纪经济报道记者，各地健康码管理平台收集的信息类型不一，一般有用户主动填报的身份信息、人脸识别信息、行程信息、健康信息、接触史信息等，以及从卫健、工信、交通、社区等间接获取的出行、位置、核酸、疫苗、抗原等信息。

“尽管大部分信息都是疫情防控所必需的，但是在防控压力下，收集各类信息的必要性未必都经过事先的充分评估和论证，超出必要范围收集信息的情况时有发生，甚至出现收集特定金融机构储户身份信息和生活习惯信息等明显不合理的情况。

多部门、不同层级重复收集信息的情况普遍存在，也不符合最少必要原则。”他表示。

不断扩容的健康码是否脱离“防疫”目的？

尽管健康码诞生之初以疫情防控为目的，但随着时间线的拉长，“码”数不断升级，疫情防控之外的场景不断融入。

2022年在健康码”之后，又增“场所码”。通过扫描“场所码”，可以对出入该场所的所有人员进行信息的自动化登记，同时也会显示出入该场所人员当时的健康码状态。

而对于场所码的数据如何管理，少数地方有针对性的回应。据惠州市疾控中心介绍，“场所码”信息系统里的个人信息是加密的。只有在特殊情况下，相关部门才能调取相关信息，并必须走严格的审批流程。

此外，健康码与其他功能的融合也成为“大势”，与医疗功能的整合似乎很“自然”。陕西省电子健康码融合了就医服务、疫情防控、疫苗接种、公共卫生、健康管理、医保结算等服务功能，实现了“一码通用、一码多用”功能。称建立全省卫生健康行业唯一个人身份主索引体系，串联卫生健康、疫情防控等应用，实现了从城市到乡村的卫生健康应用服务全覆盖。

不少地方还将健康码与公共交通、政务服务等关联，以安徽为例，为“安康码”拓展了支付渠道，对接支付宝、微信、银联、商业银行等支付接口，提供聚合支付服务。海南省健康码则与海口公交乘车码、实名登记码“三码合一”，市民可以在乘坐公交时实现亮码和支付“一码通行”。并且与中免海免离岛免税购物对接，“健康一码通”向“消费一码通”转换。

健康码的应用场景日益泛化，而回头看，其实早在2021年1月，国务院联防联控机制综合组印发《新冠肺炎疫情防控健康码管理与服务暂行办法》，曾明确要求，各地要严格健康码功能定位，不得扩大应用范围

，切实防止“码上加码”。办法第二十四条明确，加强个人隐私保护，为疫情防控、疾病防治收集的个人信息，不得用于其他用途

。

健康码数据将如何处理？

健康码不断集纳各项功能，其数据存储、使用、流转的管理难度系数也会增加。

袁立志表示，健康码相关信息一般存储在终端App、平台系统、扫码端，比较分散，再加上实际运营的外包和转包，信息的共享和流转，信息分布更加分散。

根据21世纪经济报道-南财合规科技研究院的调研，健康码的运维层层外包情况较为普遍，数据管理部门主管，底层数据库系统及高并发数据服务，制码服务、云计算等可能委托不同企业来完成。

而健康码收集数据的存储方式及期限、其中涉及的敏感个人信息的保护与存储措施，鲜有地方做出明确规范。

疫情防控生活正在进入尾声，健康码是否已经完成了自己的历史使命？此前收集的数据是否应该销毁？

今年10月，泰国宣布，其公共卫生部疾控厅关闭疫情追踪软件“医生胜利”，同时销毁系统中的所有数据。

广西、安徽等地方相关规定表示，“按照相关法律法规规范使用，疫情结束后按规定销毁或妥善处置。”广西还要求，接入单位在退出健康码系统时，需销毁系统所储存的用户个人信息、疫苗接种信息、行程信息、核酸检测信息历史记录等一切相关信息，并且签署《健康码下线协议》，提交至相关部门。

“在健康码整个研发、测试、设计、管理、运维等环节中，只要涉及到个人信息数据的，都应该按照法律法规相应的要求进行删除

。”北京汉华飞天信安科技有限公司总经理彭根指出。

袁立志表示，根据个保法，个人信息处理一旦完成，原则上就应删除或者匿名化。对于网络数据，就是要将数据从各个存储空间、介质中删除，使其不可被再次访问，或者通过技术处理切断信息与个人的关联，并确保不能恢复。各地在实践中还收集了大量的纸质数据，也应当及时销毁。