作者简介：查云飞，法学博士，浙江大学光华法学院讲师。杭州 310008

内容提要：疫情背景下，行政机关只有充分掌握信息才能做出有效防控，健康码以大数据分析的方式评判个人疫情风险，为行政机关的应急决策和行动提供支撑。健康码虽然解决了反复登记、信息碎片化、信息流转慢等问题，但存在数据质量瑕疵、标准和算法不透明、地域限制等技术障碍。从规范的角度看，生成健康码在行为类型上属于行政评级，过程为自动进行，方式是对个人信息的处理，须遵守行政评级、自动化行政和对个人信息的处理这三个概念所内含的法治要求。利用健康码是为了分类监管，应将各地有关管理规定作为裁量基准看待，在个案中起到裁量压缩的作用，同时不排除裁量收尽的可能，但要防止将健康码的结果视为绝对标准。

关 键 词：疫情/应急行政/风险/自动化评级

标题注释：本文系2019年中国法学会法治研究基地浙江公法研究中心项目的研究成果，受中央高校基本科研业务费专项资金资助。

一、引言

现代行政乃信息行政，行政机关扮演着信息中心的角色，负责信息采集、储存、分析、分享以及决策等工作。①在疫情背景下，由于传染病具有突发性、隐蔽性和易传播性等特点，行政机关只有充分掌握信息才能作出有效决策。为此，中央网络安全和信息化委员会办公室于2020年2月4日专门颁发了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，鼓励企业在政府部门的指导下，在注意个人信息保护的同时，利用大数据分析预测确诊者、疑似者、密切接触者等重点人群的流动情况，为联防联控提供大数据支持。随后，上百个地方人民政府与互联网技术企业合作开发了各自版本的健康码，要求所在地人员申领，并将该码作为是否采取隔离措施、限制使用交通工具、限制进出公共场所以及批准复工复产的判断标准。

政府联合企业推广健康码，不仅是公私合作的体现，也是数据治理(data governance)的直接表现。数据治理，包括对数据的治理和利用数据治理，前者关注数据的质量和安全，后者是以数据分析的方式为政府的决策和行动提供支撑的一种机制，这样的治理机制在大数据时代越来越普遍。②健康码由个人提交的敏感信息和后台的公共大数据自动比对而成，红码、黄码和绿码代表了个人的疫情风险等级，这些由个人疫情风险等级汇聚的数据集合宏观上反映了当地的疫情风险状况，有利于政府在防控疫情和恢复建设方面精准和有效地进行决策。微观上而言，健康码作为个人的“电子健康证明”，在具体场景中能为基层防疫部门和社会私主体提供判断依据。然而，治理角度的有效性并不等同于规范上的合法性，健康码在行政法上的法律性质如何界定，其应遵守何种法律边界?这都需要从规范的角度进行分析。在展开分析之前，有必要对健康码这一新生事物的运作机理和特点予以明晰。

二、健康码的运作机理及其特点

(一)健康码的基本原理

健康码，即负载持有人疫情风险等级信息的二维码，其生成分为个人申报、后台分析和最终发码三个阶段。③首先，申请人须如实填写个人信息，涵盖姓名、手机号码、是否在申领地、当前所在地区、详细地址、14天内是否离开过当前城市、14天内有无接触病人或疑似病人、当前健康状况等。提交后，系统将这些信息与后台大数据分析比对，标准由行政机关设定，算法由技术公司提供。最后，疫情风险等级以红、黄、绿三色可视化呈现，该等级并非一成不变，系统将动态评估。④不同的风险等级意味着不同的法律后果，在首次判定风险等级后，红码和黄码持有者得分别实施14天和7天的集中或居家隔离，只有绿码持有者才免于隔离。不仅如此，该风险等级结果还被用于其他场景，成为判断是否允许进入公共场所、乘坐公共交通工具和复产复工等情况的标准，是疫情期间区别对待的最重要凭证之一。

(二)健康码的功能

行政机关可利用健康码负载的信息动态管理，相比纸质登记和分散扫码登记，健康码具备如下优势：

第一，有利于解决因多次登记带来的信息重合问题，也有利于解决分散登记带来的信息碎片化问题。在应用健康码之前，相对人在各个流动节点都得登记。虽然在所居住的社区或者村落范围内，可通过纸质的“出入证”自由出行，一旦离开该范围，则每一次公共出行和场所出入都需要登记。如此多的信息重复填写大大增加了行政工作量，一次申报即可获取的健康码有效解决了该问题。同时，重复申报意味着信息的碎片化，单次登记仅能反映相对人的静态状况，无法描绘其动态变化。

第二，有利于信息流转共享，公平统一地判定个人的疫情风险等级。健康码为一人一码，其易读取、易流转的特性使得该码可供所有公共行政主体和社会私主体使用，而且该码仅呈现风险等级，申报人无须再次提供该码生成背后所需的诸多个人信息，降低了信息泄漏的可能。因技术后台基于同样的算法生成健康码，保证了在使用健康码时根据不同的风险等级作出不同的处理，评判标准统一，在此意义上，行政机关推广健康码落实了宪法上对平等权的保护义务。

第三，有利于政府提高监管的效率和准确性，因人而异采取分类监管措施。⑤在应急行政中，行政机关必须从危险应对扩大至风险预防，将所有人作为风险责任人对待，同时兼顾行政效率。健康码是结合申报人提供的信息和后台大数据比对后得出的评价，可将复杂繁重的监管问题大为简化，只需根据风险等级制定不同的监管方案，在此基础上再因人施策，运用得当将真正有效地实现应急处置有效与合法的统一。

(三)健康码的局限

第一，生成健康码的数据质量有瑕疵。健康码的生成依赖两部分数据，一部分为申请人自主填写，另一部分为行政机关所掌握的公共数据，这两部分数据都可能存在质量瑕疵。⑥个人填写部分，包括了申请人的行踪轨迹和健康状况，若申请人故意隐瞒行程和病情，则该部分信息为无效失真信息。⑦技术公司开发健康码时，被授权接入公共数据，鉴于当前各主体间普遍存在着数据壁垒，数据共享的现状并不理想，后台数据的完整性也不能保障。此外，公共行政主体所掌握的数据，也包括人工采集的部分，该部分数据的准确性和一致性同样不能确保。基于部分瑕疵数据作出的自动化决策，其结果不能作为绝对标准，只能作为参考。

第二，生成健康码过程中存在标准和算法不透明的情况。技术后台基于哪些数据比对分析，对各类数据如何赋值，在数据冲突时如何处理，风险等级的评定标准具体如何以及动态调整有哪些依据，这些由行政机关设定的标准并未公开。⑧技术公司受行政机关委托开发健康码，所使用的算法也并不透明，被算法支配的信息申报人无从知晓。⑨从针对健康码出现不少申诉的情况来看，算法至少存在一定程度的偏差，技术人员与非技术人员对其都无从审核。

第三，使用健康码受到一定的地域限制。推广健康码初期，存在着一地一码的现象，即申请人每到一地都需要申请当地的健康码，而且各地健康码反映的风险级别可能并不一致。原因在于，生成健康码时所需要比对的公共数据库存放于各地，各地行政机关确定的评判标准不一致，技术公司采用的算法也不一样。而健康码的功能之一便是在管控疫情的同时为人员流动提供便利，重复申请有违健康码的应用初衷。为解决该问题，在区域行政法意义上，多地达成了健康码的互认协议，国务院也制定了《全国一体化政务服务平台防疫健康信息码接口标准》，并建立了健康码的信息跨省互认机制，异地健康码可被验证并自动转化为当地健康码，实现了“一码通行”。

三、生成健康码的法律性质：基于个人信息的自动化评级

根据《突发公共卫生事件应急条例》第41条的规定，对传染病暴发、流行区域内的流动人口，属地人民政府应当做好预防工作，落实有关卫生控制措施。站在风险预防的角度，行政机关只有尽可能全面掌握风险信息，才能作出有效决策，做好预防控制工作。⑩健康码正是出于风险预防的目的而出现，乃我国首次在应急行政中掌握全民疫情风险信息的一次尝试。风险预防的目的一般是合法的，但并不意味着其手段同样合法，若手段超过法律设定的边界则不得使用，通过生成健康码掌握全民的疫情风险信息，这样的风险治理手段须经得起合法性审查的检验。生成健康码，在行政法上的行为类型属于行政评级，其过程是自动进行的，其方式是对个人信息的处理。为明晰生成健康码时应注意的法律界限，首先剖析行政评级、自动化行政和对个人信息的处理这三个概念。

(一)行为类型：行政评级

生成健康码在行为类型上符合行政评级的特征。行政评级，是指行政机关设定一些简明的评价标准，结合相对人的相关信息或者过往的行为予以定性评价，在此基础上可进行相应分类监管。(11)行政评级已被广泛运用于各个领域，例如餐饮业的卫生等级评定、纳税人的纳税信誉等级评定、行政审批中介机构等级评定以及备受争议的社会信用评价等。如此普遍运用行政评级，主要原因在于该行为简化了复杂的行政监管，提升了行政效能，增加了行政透明度，实现了执法优化。(12)

从行政过程看，行政评级分为标准制定和评价赋值两个阶段。在标准制定阶段，又可分为两种情形，一种是行政机关自行设定指标体系，另一种是首先由第三方机构制定标准，行政机关再予以认可，此处存在公私合作的现象。在评价赋值阶段，行政机关通过已有的信息，包括相对人的静态信息和某一时间段内相对人的动态信息，结合制定标准予以评估分级。早期的健康码属于企业产品，行政机关介入后便主导了标准制定，企业只负责提供算法，可基于个人填报信息和后台数据库信息完成疫情风险评级，此评级行为由行政机关作出。

从行政结果看，行政评级是行政机关在职权范围内，以等级、分值或者符号等形式要素给监管对象作出定性评价，属于针对特定人在特定事项上作出的单方行为。问题是，该行为是否直接引起了行政法律关系的产生、变更或者消灭?有学者认为，行政评级确认了相对人一定期限内遵守法规范的程度，例如社会信用评价即是根据相对人守法状态所作的确认性评价，所以该种行政评级符合行政确认的特征。(13)但健康码的生成与相对人是否遵守法律规范并无关联，不存在确认基础。健康码这样的行政评级无法归类于行政确认，在性质上与酒驾检测和车辆年检接近，实质上是通过大数据技术出具的“健康证明”，后者一般由医疗专业机构形成，健康码则是由行政机关委托技术公司形成。所以，无论评价的结果是积极的还是消极的，生成健康码本身都没有直接引起行政法律关系的产生、变更或者消灭，应作为行政事实行为对待。(14)

(二)行为过程：自动化行政

生成健康码在过程上是自动进行的，可被自动化行政覆盖。广义上讲，只要行政机关在行政活动中使用了电子技术设备，都可称为自动化行政。为避免概念的泛化，自动化行政应从狭义层面理解，即行政的大部分活动或者全部活动由机器完成。(15)实践中，大量行政活动正进行着自动化改造。2016年起国务院开始推进“一站式在线政务服务平台”建设，诸多行政许可、行政确认、信息公开事项都可以网上申请和办理，如“最多跑一次”“让数据多跑路，群众少跑路”“不见面审批”都是自动化行政带来的改革成果。该现象也出现在行政执法领域，电子警察和电子城管不仅发挥着取证功能，一旦配备人脸识别或者感应技术，就具备了发现和调查案件的能力，可替代人力完成行政检查和行政调查工作。在规范化执法的要求下，行政机关还将制定的裁量基准电子程式化，执法人员只需在执法设备中输入或者勾选事实要素，机器便能自动得出裁量结果。(16)

自动化行政也可能带来法律风险，尤其是信息处理的风险、对个人隐私和数据保护的侵扰风险、算法不透明的风险等。(17)自动化行政还引发了传统行政行为理论的革新，出现了“全自动行政决定”的概念，为防止由机器作出的全自动行政决定侵害相对人的权益，德国已经通过立法予以限制。2017年，德国修改《联邦行政程序法》，于第35条之一处设置了“全自动行政决定”条款，提出了严格的适用要求。首先，只有法律明确授权，行政机关才可通过机器作出全自动行政决定;其次，全自动行政决定仅适用于羁束行为，排除了裁量情形;最后，相对人在全自动行政程序中享有知情权、选择适用权、要求人工介入权，也包括有效及时的法律救济权。(18)不过，德国尚未对全自动行政事实行为进行立法约束。

健康码经由机器自动化决策生成，行政机关先将评判标准程式化，然后相对人在线提交信息并申请，最终由系统自动分配不同颜色标识的二维码。在过程上，健康码的生成是自动完成的，且由行政机关主导，服务于行政目的，因此可归属于自动化行政。如前所述，健康码的生成是对现有个人信息的形成性分析评价，并未直接引起行政法律关系的产生、变更或者消灭，所以健康码的自动生成属于全自动行政事实行为。虽然尚未有立法例对全自动行政事实行为进行限制，但仍需注意自动化行政的一般风险，尤其是须注意个人信息保护法上的规定。

(三)行为方式：对个人信息的处理

生成健康码在方式上是对个人信息的处理。个人信息处理，包括对个人信息的收集、使用、加工、共享、转让、跨境传输、去识别化、匿名化等操作。(19)从个人信息保护法的角度审视，生成健康码必须遵守个人信息保护的一般原则，《网络安全法》第41条确立了合法、正当、必要原则，学理上拓展为合法、目的明确、透明、必要适宜等原则。(20)

首先，合法原则要求行政机关为履行法定职责，在职权范围内处理个人信息，所以作为限制个人信息权的职权行为应满足法律保留的要求。在应急行政下法律保留也不得突破，《突发事件应对法》第69条规定，在进入紧急状态前，得先采取法律、法规、规章所规定的应急措施，明确指出法律保留原则适用于应急措施。(21)而当前健康码的生成所依据的都是各地人民政府颁发的行政规定，在授权依据层级上存在偏低的情况。其次，目的明确，是指个人信息的收集得具备清晰特定的目的，限制概括性的目的或者留存式的目的。(22)防控疫情属于概括性目的，判定是否采取隔离措施、是否限制使用公共交通工具、是否限制进入公共场所等则是清晰特定的目的，只能从这些清晰特定目的出发才可收集个人信息。另外，透明要求在处理个人信息时的过程和方式必须清晰，使个人能够查询、更正、提出异议。如前所述，健康码的生成过程中存在着标准和算法不透明的问题，分析比对时使用了哪些公共数据库，算法是否符合国家标准，其偏差性如何，信息主体无从获知，因此也无法查询和更正生成过程中所利用的个人信息，只能通过技术公司提供的申诉渠道对健康码的结果提出异议。最后，必要适宜，是指行政机关在处理个人信息时，采取符合目的且对于相对人权利侵害最小的手段，该手段不得超过目的达成所要求的边界。由中央网络安全和信息化委员会办公室颁发的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确提出，收集联防联控所必需的个人信息应坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群。而健康码面向所有人推广，其采集信息范围覆盖所有人，在必要性上健康码的生成也存在瑕疵。

此外，对个人信息的处理可能通过自动化的方式进行，为避免信息主体沦为纯粹的被评价客体，法律上对其予以了特别限制。(23)例如，《欧盟一般数据保护条例》第22条规定，针对个人人格特征的评判(例如征信)，原则上应禁止信息系统的自动决策，除非取得信息权利主体的同意，或者信息责任机关告知了权利主体并能为其提供适当的措施保护其正当利益。我国目前尚未有个人信息保护的一般法，但全国信息安全标准化技术委员会在2017年底颁发的《信息安全技术个人信息安全规范》提及应当“约束信息系统自动决策”。按其规定，“当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时，个人信息控制者应向个人信息主体提供申诉方法”。另外，2019年由公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所发布的《互联网个人信息安全保护指南》也有相关规定，为保护个人信息主体对本人信息的控制权，在涉及给用户带来法律后果的全自动行政决策类增值应用时，应获得用户的明确授权。健康码的生成属于自动化方式的个人信息处理行为，行政机关鼓励相对人生成健康码，生成健康码是基于申请人同意的。而且，技术公司受行政机关委托，提供了针对健康码异议的申诉渠道，可以及时有效地提供救济。因此，在个人信息的自动化处理方面，健康码的生成满足了国家标准和保护指南提出的基本要求。但从整体看，由于健康码的生成在遵守个人信息保护一般原则处存在不足，其在合法性方面仍然存在完善的空间。

四、利用健康码：压缩裁量空间

健康码生成后，行政机关可在疫情防控中进行分类监管，即涉及利用健康码的问题。实践中行政机关根据健康码的不同结果直接作出不同的行政决定，包括是否采取隔离措施、是否允许出行、是否允许复产复工等。结合行政法理论，健康码的管理规定在利用阶段发挥了裁量基准的功能，健康码在个案中应起到裁量压缩的作用，但不能将其作为绝对标准对待，当然也不排除裁量收尽的可能。

(一)应急行政需要裁量基准

立法者在制定法规范时，为行政机关保留了一定的决定空间，在此行政机关享有自我决定的权力，即自由裁量权。随着依法行政的不断深化，行政机关的自由裁量权将逐渐转变为法定裁量权，即行政机关所有的裁量活动都应在法之下，受到法的约束。(24)行政机关除了在个案中行使裁量权，为了达到同案同处理的效果，还可事先制定裁量基准将法规范提出的裁量要求具体化，从而形成法规范——裁量基准——个案裁量的路径。从宪法的角度看，行政机关制定裁量基准是为了落实宪法上对平等权的客观保护要求。(25)从行政过程的角度看，行政机关通过裁量基准进行了自我约束，乃行政自制的一种表现。裁量基准根据法规范的两部分划分，在构成要件处对不确定法律概念的判断标准，称为要件基准或者解释基准，在法律后果处的标准则称为后果基准或者引导基准。

应急行政相较于常规行政，无论在处置阶段，还是在恢复阶段，所适用的法规范几乎都授权行政机关进行裁量。例如在应急处置阶段，根据《突发事件应对法》第50条规定，行政机关应当针对事件的性质和特点，采取一项或者多项应急处置措施，包括封锁场所、道路，查验身份证件，限制公共场所的活动。此处“事件的性质和特点”属于构成要件处需要解释的不确定法律概念，应采取哪一项或者哪几项以及如何采取措施则属于法律后果部分行政机关的决定空间。又根据《传染病防治法》第41条第1款，县级人民政府可以对已经发生甲类传染病病例的场所或者场所内的特定区域的人员实施隔离措施，由于疫情期间各省都将“新型冠状病毒肺炎”划入乙类传染病目录并按照甲类传染病防控，该条的构成要件满足，但该条的法律后果规定的是“可以”采取隔离措施，属于决定型裁量后果，行政机关得在个案中综合各种情况判断是否采取隔离措施。所以，作为应急处置授权依据的《突发事件应对法》第50条和《传染病防治法》第41条第1款都属于裁量型规范，行政机关需要在个案加以判断。在恢复重建阶段，按《突发事件应对法》第59条，应急处置工作结束后，行政机关应组织尽快恢复生产、生活、工作和社会秩序，应满足何种条件以及按怎样的程序恢复也都需要行政机关进行裁量。

相较常规行政，应急行政下行政机关所作行政决定的频次更多，侵益性程度更为激烈，若仅在法规范——个案裁量的框架下作出个案判断，既不利于迅速处置应急事件，也不利于保护相对人的权利。需要引入法规范——裁量基准——个案裁量的框架，通过裁量基准这一转换器将一般情形相对具体化，这样既能保证应急处置措施有效及时地作出，也兼顾了相对人的权利保护。

(二)应急行政中裁量基准的设定密度

从依法行政的原理看，行政机关乃执行法规范的主体，应急行政也须符合法律保留和法律优先原则，为保护公民的生命健康权，同时又不过度限制应急措施相对人的人身自由权，行政机关在此承担基本权利调和的义务，裁量基准的制定即为了实现此种义务。既然应急行政需要裁量基准，接下来的问题便是如何设定?裁量基准的设定并非易事，既可能出现细化不足无法使用的问题，也可能出现规定过细、过于僵化的情况，后者在实践中更为常见，行政机关易产生裁量技术精细化的技术迷恋情节。(26)虽然裁量基准较法规范更为细密，但其本身的目的是为了缩小裁量空间，或者更形象地说，是为了给裁量空间装上风向标。在常规行政下，裁量基准这一风向标指明大致方向即可，在应急行政下其指向可能需要更为明确，但仍然不能消灭裁量空间。(27)

从各地所颁布的健康码管理规定看，多数地方将不同颜色的健康码作为采取应急处置措施的绝对标准：持绿码者无需隔离，可自由出入公共场所以及乘坐交通工具，复工时也无需再提供健康证明;持黄码者隔离7日，限制出行，不得复工;持红码者隔离14日，限制出行，不满足复工条件。(28)这些行政规定并没有发挥裁量基准的功能，而是在构成要件部分将健康码作为《突发事件应急法》第50条“事件的性质和特点”这样的不确定法律概念的必要判断依据，在法律后果部分则使用了“应当”的语句范式，使得健康码的颜色标识从“基准”变成了“绝对标准”。这些管理规定背离了依法行政原则，将法规范赋予行政机关的裁量空间彻底消灭。合法的健康码管理规定应当在构成要件和法律后果部分保持一定的开放性，作为判断不确定法律概念和选择法律后果的主要依据，而非唯一依据。

(三)个案中的裁量压缩、裁量怠惰和裁量收尽

依法设定裁量基准的健康码管理规定，在个案中对行政机关产生拘束效力，这样的拘束效力体现在行政机关的裁量空间得以压缩。个案中的裁量压缩，是指一般情形下，行政机关不得偏离裁量基准的要求，若行政机关欲偏离从而作出不同的决定，应承担说理义务。(29)疫情防控中，作出个案行政决定的主体以基层防疫组织为主，即《突发事件应对法》第55条所授权的居民委员会、村民委员会和其他组织。这些组织在判断《突发事件应对法》第50条所规定的“事件的性质和特点”从而采取合适的应急处置措施时，可按照健康码的管理规定执行，原则上根据健康码的不同颜色作出区分处理，若出现特殊情形应综合判断以决定是否偏离基准，若偏离应向相对人说明理由。在此基础上，个案中的裁量压缩还可以区分侵益行政行为和授益行政行为，若涉及侵益行政行为，例如行政机关对持有黄码和红码的相对人作出采取隔离措施的行政决定，因决定严重关涉相对人的人身自由权，须格外注意其他偏离裁量基准的因素。若涉及授益行政行为，如行政机关对持有绿码的相对人准予复工，一般不作出偏离裁量基准的决定，这也是各地规定持有绿码者无需另行提供健康证明的原因。

与裁量压缩相反，若行政机关根据健康码的颜色直接作出应急措施，则可能构成裁量怠惰。所谓裁量怠惰，是指法规范要求裁量但行政机关在个案中不予裁量的情形，这样裁量服务于个案正义便无从谈起，因此裁量怠惰被视为违法裁量的一种情形。行政机关或者法定被授权的组织在个案中采取应急措施时，如若对不同颜色健康码的持有者直接作出决定，而不考虑诸如相对人的健康码在产生时就存在不合理的技术原因或者相对人拥有除健康码之外的其他证明等情况，实质上将健康码作为绝对标准对待，则落入裁量怠惰的违法境地。

另外，裁量学说中还包括裁量收尽理论，该理论的适用结果从表面上看和裁量怠惰相同，似乎与裁量压缩相悖。裁量收尽，是指受个案的限制，行政机关只得保留一种选择，个案限制的原因一般为公共利益或者相关人基本权利的考量。(30)从概念上可见，裁量收尽是裁量压缩的一种例外，是在个案客观环境下对裁量的限制，与主观意义上的裁量怠惰不同。在应急行政下，尤其在应急响应为一级的情况下，行政机关需在极短的时间内对大量的相对人作出相应的应急措施，以迅速有效地保护公众的生命健康权。若此时持有红码的相对人经测量体温为正常，在没有其他证明的情况下，行政机关可以为保护公共利益一律作出隔离的决定。又如面对国际疫情复杂的情况，行政机关对所有境外来华人员予以隔离，也属于裁量收尽的情形。一旦应急响应级别调低，尤其进入秩序恢复期，无论是行政机关作出应急处置还是作出例如复工申请这样的恢复重建措施，个案中都不再具备裁量收尽的原因，应按裁量基准结合健康码和其他因素作出综合判断。

五、代结语

1996年尼葛洛庞帝在《数字化生存》一书中提到，“计算不再只和计算机有关，它决定了我们的生存”。(31)数据治理正是当今行政越来越倾向使用的手段，形塑和影响着国家和社会的各个方面。按国务院在《促进大数据发展行动纲要》中的表述，数据治理就是要建立一个“用数据说话、用数据决策、用数据管理、用数据创新”的政府管理机制，疫情背景下健康码的推广和利用正是此种管理机制的体现。从监督视角来看，健康码还须经得起合法性审查，为此，健康码的法律性质界定尤为关键。行政机关生成健康码，行为类型上属于行政评级，过程是自动进行的，方式是对个人信息的处理，应遵守行政评级、自动化行政和对个人信息的处理这三个概念所内含的法治要求。各地有关健康码的管理规定则应作为裁量基准看待，在个案中健康码起到压缩行政机关裁量空间的作用，同时不排除裁量收尽的可能，但一定要防止将健康码作为绝对标准，以免落入裁量怠惰的境地。符合依法行政要求的健康码为防控疫情而存在，作为应急状态下的临时措施在疫情结束后应归于消灭，收集和利用的个人信息也应全部销毁。(32)然而作为行政机关运用大数据治理的一次大规模操练，其不仅不会消灭，也许还会有其他各种二维码的出现，行政也随之进入“码上时代”，对此的讨论或许刚刚开始。

注释：

①施密特·阿斯曼：《秩序理念下的行政法体系建构》，林明锵等译，北京大学出版社，2000年，第233页。

②沈岿：《数据治理与软法》，《财经法学》2020年第1期。

③《河南省健康码使用管理办法》对健康码作出了界定：“是以个人真实身份信息和实时健康数据等为基础，个人通过‘豫事办’自行申报，经大数据分析自动生成，用于新冠肺炎疫情防控期间出行、返岗、复工显示个人健康状况的二维码电子凭证。”

④也有个别例外，例如吉林省的“吉祥码”为红、橙、黄、绿四色，南京市健康码为红、橙、绿三色，国际版健康码为橙、黄、绿三色。

⑤刘权：《用好健康码，助力精准防控》，《法制日报》2020年2月26日，声音版。

⑥孙丽岩：《行政决策运用大数据的法治化》，《现代法学》2019年第1期。

⑦为防止个人隐瞒或者不实填报，各地纷纷将此类行为列为失信行为或者予以严肃处理，参见《吉林省关于全面启动“人人有码、码上行动”工作支撑我省有序复工复产复业的通知》《海南健康码规则解读》以及《河南省健康码使用管理办法》等。

⑧多数地方都未公布健康码的判断标准，少有的例子如杭州市市委领导在新闻采访中透露，杭州健康码以空间、时间和人际关系三个维度为判断依据。

⑨关于算法黑箱，参见郑戈：《算法的法律与法律的算法》，《中国法律评论》2018年第2期。

⑩沈岿：《风险治理决策程序的科学与民主——以防控甲流的隔离决策为例》，《行政法论丛》第12卷，法律出版社，2009年，第138页。

(11)(13)王瑞雪：《论行政评级及其法律控制》，《法商研究》2018年第3期。

(12)吴元元：《信息基础、声誉机制与执法优化——食品安全治理的新视野》，《中国社会科学》2012年第6期。

(14)王锴：《论行政事实行为的界定》，《法学家》2018年第4期。

(15)马颜昕：《自动化行政的分级与法律控制变革》，《行政法学研究》2019年第1期。

(16)郝元：《基于计算机控制的自由裁量辅助决策系统初探》，《电子政务》2010年第9期。

(17)胡敏洁：《自动化行政的法律控制》，《行政法学研究》2019年第2期。

(18)查云飞：《人工智能时代全自动具体行政行为研究》，《比较法研究》2018年第6期。

(19)参见张新宝、葛鑫起草的《个人信息保护法(专家意见稿)》第103条第14项。

(20)Hting,Datenschutz-Grundverordnung,1.Aufl.,2016,S.145.

(21)赵宏：《疫情防控下个人的权利限缩与边界》，《比较法研究》2020年第2期。

(22)《欧盟一般数据保护条例》对目的限制有所松动，参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期。

(23)Wischmeyer,Regulierung intelligenter Systeme,AR 2018.

(24)章剑生：《现代行政法总论》，法律出版社，2019年，第101-102页。

(25)毛雷尔：《行政法学总论》，高家伟译，法律出版社，2000年，第127页。

(26)王锡锌：《自由裁量权基准：技术的创新还是误用》，《法学研究》2008年第5期。

(27)(29)章剑生：《现代行政法总论》，第104-106、104页。

(28)例如《山西省新冠肺炎疫情防控“健康码”系统管理办法》《天津健康码使用规则》《海南健康码规则解读》等。

(30)毛雷尔：《行政法学总论》，高家伟译，第132页。

(31)尼葛洛庞帝：《数字化生存》，胡泳等译，海南出版社，1997年，第4页。

(32)在吉林省人民政府出台的规定中，明确“所获取的个人健康数据仅限此次防疫期间使用”，参见《关于全面启动“人人有码、码上行动”工作支撑我省有序复工复产复业的通知》(数字吉林办[2020]5号)。