從基礎設施角度討論健康碼問題，須理解健康碼如何從一種普通的媒介工具（二維碼）轉化為一種在流動性環境中增強對社會主體進行健康認證的工具，并塑造了與之相應的社會行為慣習和身份制度。在新冠肺炎疫情期間，二維碼繼身份證、電話號碼、身份證網上功能憑證（CTID/eID）、人臉之后成為一種新型基礎身份標識符，限于行政體制因素，在疫情發生的不同階段發揮的作用也不盡相同。健康碼幫助促成了更多流動以及圍繞“關聯性”展開的相關技術——制度創新，且在疫情好轉之后延伸了數字基礎設施建設，其物質性、制度性和公私合作特征值得深入思考和總結。

　　目次

　　一、引子

　　二、當二維碼成為基礎身份標識符

　　三、信息關聯、認證與流動

　　四、數字基礎設施的擴展

　　結語

　　本文首發于《中國法律評論》2021年第2期思想欄目（第102-110頁），原文9000余字，為閱讀方便，腳注從略，如需引用，請參閱原文。點此可購刊。

　　本文的寫作受國家社科基金重大項目《大數據時代個人數據保護與數據權利體系研究》（批準號：18ZDA146）、凱風基金會“網絡法沙龍”項目資助。

　　引子

　　作為國家成功抗擊新冠肺炎疫情的重要技術工具，從2020年年初啟用的健康碼不斷演進完善。隨著疫情防控常態化，健康碼的應用更加普及，并在短時間內塑造了新的數字身份，并推動了突發公共衛生事件下的國家認證基礎設施建設。

　　由此，觀察和總結作為一種技術媒介和權力機制的健康碼，不論對于當下還是未來的中國國家治理都具有顯著的意義。

　　關于健康碼的法律和公共管理維度，現有研究指出，健康碼是一種自動化行政評級手段，應將各地有關管理規定作為裁量基準看待，防止將健康碼的結果視為絕對標準；由于其涉及動態個人敏感信息的收集、存儲和使用，需要特別注意保護；同時在防疫背景下要求國家必須在市場之外同步建立、強化與防疫需要相匹配的公共信息能力和權責體制，加強國家認證和監控能力。

　　本文關注健康碼的基礎設施面向，即理解健康碼如何從一種普通的媒介工具（二維碼）轉化為一種在流動性環境中增強對社會主體進行健康認證的工具，并塑造了與之相應的社會行為慣習和身份制度。在疫情緩解后，健康碼還能夠依托現有電子政務平臺，擴展為一種應用更為廣泛的數字基礎設施。數字基礎設施不同于簡單的“新基建”，它實際上是信息技術和社會制度的結合體，將充分融入國家治理過程中。

　　本文由此討論這類數字基礎設施的特點和數字身份的法律問題：第二節追溯了二維碼如何成為一種新型基礎身份標識符，限于行政體制因素，在疫情發生的不同階段發揮的作用也不盡相同；第三節討論流動性背景下健康碼如何幫助促成更多流動以及圍繞“關聯性”展開的相關技術—制度創新；第四節進一步說明二維碼延伸了數字基礎設施建設，其物質性、制度性和公私合作特征值得深入思考；最后總結全文的發現。

　　當二維碼成為基礎身份標識符

　　新冠疫情發生之前，二維碼在社會公眾生活中的存在感并不普及，盡管越來越多的人開始習慣使用二維碼進行收付款，但二維碼盜刷問題也一度成為媒體關注焦點，成為公眾保持謹慎的重要理由。

　　2020年1月底至2月初，在嚴峻疫情威脅下，少數城市開始設計和試點以二維碼技術為基礎的健康碼，最終推廣到各地。健康碼的功能在限制流動性的網格化治理與推動流動性的網絡化治理環境下是不同的：在前種模式中，健康碼起到通行證功能，即表明隸屬于某網格單位的成員資質功能；而在后種模式中，除展示外，健康碼更多起到記錄、識別和追蹤感染人群功能，成為社會主體行蹤大數據的一個數據產品。

　　這兩種功能都是現代國家實現微觀認證權力的重要體現，而且能夠充分解決人工進行線下信息采集和處理的低效與弊端。健康碼恰好在這一過程中成為一種繼身份證、電話號碼、CTID/eID、人臉之后的新型基礎身份標識符，并可以在網格/網絡的不同流動性場景中自由切換。經過幾個月的推廣和應用，在各地均擁有自己的健康碼之后，中央政府開始歸集匯總相關疫情數據，要求減輕群眾掃碼負擔，合并不同健康碼。目前形成了全國一體化政務服務平臺和省級兩級健康碼技術和管理結構，后者需要依托前者進行跨省互認。

　　健康碼成為新型基礎身份標識符既有疫情突發原因，也有其自身特點原因。實際上，在此之前標識符的出現都隨著需要識別的主體數量增多、流動性增大，為確保安全，無論是為了事前預防還是事后救濟取證，都需要更多具有普遍性、唯一性和難以更改的基礎標識信息對社會主體進行定位識別。健康碼的順利推行得益于當下龐大的智能手機網民數量，以及諸如掃碼添加好友與支付這樣的日常慣習。它本身可以根據實時數據計算更換顏色，從而在展示過程中證明亮碼主體自身的安全性。

　　此外，每次亮碼都意味著重新訪問服務器，二維碼由此得以實時更新，能夠有效防止偽造或冒用。身份證件易于攜帶，但也容易丟失和仿造；人臉識別因為佩戴口罩而更不精確，同時也因為不受約束而開始受到社會輿論質疑；指紋信息不夠安全；人們的工作生活更離不開智能手機，也開始習慣于掃碼，這些因素綜合起來都促成了二維碼成為一種新型身份標識符，并在一些場合與其他標識符相互替代。同時，健康碼的每次訪問都依托于公民現實身份證數據庫，因此在技術路線上看起來更像是“網證”（CTID或eID）的折中，既像CTID一樣和真實身份綁定，又像eID一樣確保加密安全，卻比它們都更能被社會接受。

　　出示健康碼和佩戴口罩一樣，需要行為習慣的強制認知和養成。只有通過公共機構和場所（政府、醫院、公園、車站、學校）不斷要求出示和宣傳，才能在社會主體的快速流動中保持一定的安全可信度，并及時在發現傳染病源的同時追蹤密切接觸者。這在本質上相當于法律為了公共利益強制全體社會主體披露行蹤信息，并在緊急需要時加以利用。

　　相反，當時歐美一些國家采用的平臺企業開發的接觸追蹤技術（contact-tracing）表面上看尊重個體的知情、選擇和隱私，但實際上因為其通過硬件和后臺進行匿名性追蹤，同時依賴群體自愿參與貢獻相關行蹤信息，在缺乏外在群體壓力和足夠責任感的情況下，大眾參與比例不高，分享速度遠低于病毒傳播速度，使其效果大打折扣，沒能阻止疫情蔓延。

　　由此，健康碼的主要社會功能是通過認證實現社會主體相對安全的流動性。社會主體不會僅僅局限于一個城市或省內流動，而是會在全國跨省流動，這就需要在全國范圍內進行相關信息的共享和追蹤。然而，在健康碼開始推行的前幾個月內都還無法做到互認和共享，人們不得不重復申請，帶來諸多不便。造成這種現象的原因不完全是技術上的，而是地方行政體制運作的邏輯使然。

　　接受外地或其他省份的健康綠碼在政策執行上沒有問題，但如果因為數據計算錯誤而導致持綠碼者仍可能是（無癥狀）感染者，就會給本地防疫帶來不小壓力，特別是這更意味著政治責任。這就是為什么在疫情初期，每個城市只要有條件都會開發可控健康碼，均基于本地采集的數據進行計算，和外地健康碼不兼容除了單純技術成本上的考慮，更主要是出于對外地數據采集標準和計算方式的不信任。

　　這種不信任只有在2020年夏秋之際本土新增病例完全清零的時間里才逐漸消除，并在各省內逐漸統一健康碼。將感染者涉及小區或樓宇進行差異化分級和精細化防控也在這時完全成為可能，在確保絕大部分地區安全可控的前提下，如有少數核酸陽性者出現，仍然可以動用相當的醫療與疾控資源在事后進行流調處理，這能夠最大限度地確保其他地區進行穩定生產生活。

　　然而隨著外來冷鏈等新型傳播渠道出現，以及入冬以來無癥狀感染的不斷增多，人員跨省流動時不僅需要健康綠碼，還需要輔以中國信通院開發的通信大數據行程卡——過去兩周內如果到過中高風險地區都可能被拒絕進入某個場所，這意味著增加了時間維度。更關鍵的是，強制隔離14天已經無法作為安全的判斷標準，病毒變異帶來的不確定性不斷增大，這使地方的防疫要求標準又遽然增加。特別是從2021年1月以來，北方若干省份新增本土病例增多，為防止春節期間人員流動帶來的大范圍傳播，國家號召就地過年，并增加返鄉的難度和成本。

　　地方政治責任再次壓倒一切，事后固然可以進行流調，采取隔離措施，但只要有一個核酸陽性者遺漏（且可能性較大），那么在政治上相關主管官員就可能會被認為防疫不力。這終將導致官僚制層層加碼，出現大面積“一刀切”的現象，不論健康綠碼、綠色行程卡、核酸檢測、注射疫苗還是國家確定的中高風險分級在一些地方城市都不被信任；只要被當地劃定為重點關注地區的人員跨省流動后都會被強制隔離，而這往往超出中央先前確定的差異化中高風險標準和返鄉標準，流動的網絡化模式再次退回到封閉的網格模式。

　　上述沖突從法治思維的角度或許可以解釋成“疫情新常態”和“突發緊急狀態”之間的沖突。在前者條件下，佩戴口罩、出示健康碼、劃定中高風險地區、有條不紊地進行流動，都可以看成是某種由信息技術支撐的形式法治和新型規范，社會主體借由健康碼獲得了重新流動的自由權利。接觸追蹤軟件的技術設計雖然巧妙，但僅適用于日常對流行病的隨機報告，對疫情防控起到一定補充作用，無法過高估計其效果，更不能取代以大規模調用數據為前提的人工追蹤。而在后者條件下，上述均衡再次被打破，形式變得不再重要，所有人都被假定可能存在安全隱患，跨省流動性被降到一個相當層次。

　　這一過程凸顯了人們如何真實地看待和信任技術媒介。健康碼被認為是由不透明的算法對復雜的行蹤數據進行的計算生成產品，本質上是一種專斷性的權力，這就是為什么有相當的聲音要求算法更加透明公開、可預期、適用準確、可救濟。然而，不難看出，真正重要的不是使這種技術本身變得更加透明，因為抽象信任并不因為數據和算法透明就會直接增加或減少。公眾關心的可能是個體層面上的識別精準性以及由此帶來的麻煩和救濟。但對地方政府而言，如何將對這種技術的抽象信任納入實際行動，以及技術的透明性是否能夠幫助地方增強能力降低責任風險，才是實際的問題。

　　在現有行政體制下，即使健康碼完全由中央政府生成分發，也未必能夠改變地方政府的行為邏輯和動因。只有當新冠肺炎病毒帶來的不確定性風險基本消除，由技術支撐的形式法治才可能重新回歸。

　　信息關聯、認證與流動

　　但這并不意味著技術就只能在邊際上進行修補，或者動輒就要退回到低流動狀態或緊急狀態。經過大半年實踐，健康碼在沒有事先精確規劃的情況下不斷解決新問題，逐漸成為數字化的公共衛生基礎設施，在全國范圍內探索回應如何應對不安全的流動性。

　　這意味著健康碼代表的新型權力機制已經進入人們的普通生活，身份認證和識別變得更加無處不在。傳統線下認證（無論是警察查驗公民身份，還是旅館查驗登記旅客身份）很難說構成了一種可見的技術性基礎設施，直到出現了全國性的身份證數據庫和其他各類核心關鍵數據庫，可以實時聯網查詢，才意味著現代國家治理開始大規模依賴對數字基礎設施的建設。

　　而健康碼同樣需要對社會主體行為蹤跡信息的實時處理，并在事后追蹤密切接觸者過程中，將不同種類的信息關聯起來。這不僅涉及對私人信息的強制使用和披露，也涉及通過信息產品的方式對私人信息進行創造性使用。在筆者看來，健康碼作為基礎設施的實踐在如下三個層面對“關聯性”進行了深入探索，實際上也是對如何在風險社會中安全流動這樣的宏觀問題進行制度和技術上的回應。

　　第一個層面是關聯認證信息。健康碼頁面一般由一個帶顏色的二維碼及其他身份信息（如姓名或頭像）構成，二維碼本身可以看成是一種派生性的個人信息，和其他在先的基礎身份標識符聯系在一起構成了獨一無二性，一人一碼。現代可信身份認證越來越成為“一攬子”活動，依托于多元互認的標識符而非單一標識符，這不僅是為了應對賬戶安全風險，也是由于突發事件等不確定因素增多，在不同場景下起作用的標識符難以快速普遍推廣。

　　由此，雖然一直存在從全國范圍內統一基礎數字身份的呼吁和嘗試性實踐，但限于碎片化的技術使用實踐和地方不同部門開發的差異，一直未能有機會實現。目前看來更為穩妥便捷的方式是多元認證，在現有各類標識符基礎上逐漸打通，將不同標識符進行互認。實際上，單一身份標識作為身份認證手段在線下也很少存在，至少需要兩個及以上的標識符相互結合才能確保準確識別個人，例如身份證上就記載了姓名、人臉、身份證號碼和戶籍地址等個人敏感信息。

　　這也是為什么單一身份標識（如人臉）很容易被仿冒和偽造，在涉及人身財產安全場合需要多重因子認證手段。健康碼的生成實際上也需要關聯其他基礎身份信息，從而幫助開啟一個賬戶，實時根據大數據顯示特定的界面。使用手機界面進行顏色功能展示，還可以有選擇性地在界面上隱去其他無關的身份信息如照片和姓名，而在后臺保持實名。

　　健康碼的使用還有助于我們更進一步理解所謂的“個人敏感信息”的本質。健康碼信息是在抗疫活動過程中生成的身份認證信息，其被創設出來的主要目的是顯示社會主體安全身份，確保平穩流動，因此超越了處理一般個人信息的知情同意框架。個人敏感信息（如身份證號碼、人臉、住址）往往被法律和行業規范設置為高安全標準，這不僅因為其能夠直接識別個人，關系個人的人身財產安全，更主要的是此類信息起源于國家認證需求，并隨著技術條件的變化而不斷將新種類信息納入進來，只有在國家認證以外的場合使用個人敏感信息才涉及同意。

　　與在公共場所不斷亮碼出行類似，高度流動性社會處處充滿了認證，認證除了滿足基本的統計需求，更主要的是根據某些特定標準確定資質，達到資質的社會主體才被允許進行流動和動態監控。健康碼的動態使用在本質上深刻反映出這一點，也折射出所謂基礎身份信息不像傳統觀念認識的那樣是固定不變的，而是一個不斷更新、加固、充實的過程。

　　第二個層面是關聯賬戶。老年人或未成年人如果因能力限制無法使用智能手機申請健康碼，可以由其他具有可信身份的家庭成員進行協助申請和認證，這實際上是一種家庭賬戶實踐，不僅能夠幫助解決不少老人因缺乏健康碼無法使用公共服務的問題，也能夠間接地促進家庭關系的親密程度。類似地，為保障特殊群體權益，健康碼也可以和其他身份證件相互關聯，健康碼可以成為身份證明，反過來身份證也可以再次生成健康碼幫助通行。

　　賬戶關聯在本質上是人的聯系，目標是幫助可能被數字鴻溝阻隔無法被納入數字世界的主體享有平等的數字化服務。考慮到中國尚有超過5億人口未能通過智能手機接入互聯網，通過聯合共享賬戶的形式將其納入認證范圍將是推動他們進行更多合法安全流動的重要途徑，也可以借此渠道增加社會中合規與提示的責任承擔者，從而潛在地降低風險和糾紛。

　　第三個層面是關聯更多行為信息/數據。傳統線下的認證是對客觀存在的社會行為進行分類統計主動采集，而在流動社會中的認證不僅是通過展示確認固定不變的資質，更主要的是通過大量數據分析生成動態信息，不斷追蹤，并根據實際情況調整判斷。健康碼可以實時根據后臺大數據生成獨一無二的數據產品，將認證與識別整合在一起，使社會主體的數字身份處于不斷變動的狀態，這也是為什么存在如下擔心：（1）大量個人敏感信息處理不當而泄露；（2）相關數據產品可能會因為算法或數據錯誤而產生誤差。

　　第一個問題更多發生在內部工作人員泄露核酸陽性者信息的場合，而且問題往往出在采集環節，恰好是存在多頭收集、重復索要信息和填表增加了信息泄露的概率。第二個問題實際上折射出當下流動性社會的某種現實，即如何面對不確定風險利用大數據。我們尚未對新冠肺炎病毒本身有透徹的理解，包括此種病毒可能帶來的副作用或變異情況，考慮到其較強的傳染性，實際上相當于將健康認證本身上升為社會成員流動交往的重要資質，特定單一個人信息勢必需要關聯其他類型的行為或健康信息共同發揮作用。

　　通過對越來越多種類的信息/數據進行事先收集，綜合判斷如何使用，對于高度結構化可以生成穩定數字產品的信息/數據，可以通過公共服務方式進行展示提示，引導社會主體行為，輔助流動性提升，從而進入穩定的法治化軌道；而對于有價值的非結構化信息/數據則需留有一定的余地，通過事后追蹤/救濟以及極端情況下限制流動性彌補數據缺失的不足。

　　信息之間的關聯性無法事先預知，往往會通過主體實踐逐漸接受，因此當下需要做好的是：

　　（1）按照相關法律和國家要求，確保信息在傳輸和使用過程中的安全，增強過程監督，確保個人信息不被非法使用或泄露；（2）在聯通其他數據庫的過程中，完善告知程序，需要主體了解何種數據被用于何種功能；（3）依托公共數據開放和使用制度，在特定種類數據實現其功能后，需要進行封存中止使用，如果可能的類似風險再度發生，可以經過法定程序重啟。

　　數字基礎設施的擴展

　　和無線射頻識別技術（Radio Frequency Identification , RFID）支撐的條形碼已經成為物聯網的基礎設施一樣，如前所述，二維碼只有在新冠肺炎疫情期間才真正成為對社會主體認證的數字基礎設施，充實豐富了數字身份的內涵。

　　在疫情根本好轉后，國家的掃碼治理并未暫停，而是逐漸規范二維碼開發行為，使其超越了公共衛生治理范疇，成為一般性的認證基礎設施，即成為聯通訪問特定數據庫、接受公共服務的入口，在后臺打通各類數據庫進一步開發，進而成為電子政務的一部分。通過電子證照、電子印章等服務對企業和個人的資質在不同服務場景中進行快速認證，成為平臺型政府為企業提供公共服務的基本要件。無論后臺數據庫如何變換，通過二維碼或者未來其他標識符都可以實現快速和穩定的認證。

　　這一過程凸顯了數字基礎設施的若干重要特征。首先是信息和技術的物質性。作為一種媒介，二維碼需要依托特定APP和硬件進行展示和讀取，也離不開無處不在的掃碼終端。因此并不是說傳統代表身份的卡證消失后，其物質性就削弱了，新的物質性只不過轉換成其他更加電子化的形式。物質性提醒我們關注媒介傳播的成本和損耗，隨著智能手機的成本不斷降低，將有更多的公民通過能夠聯網的手機在接受公共服務時進行身份認證。但如前所述，目前我們仍面臨著相當大的數字鴻溝問題，除了5G基站這樣的基礎設施外，硬件以及數字化的家庭平臺可能是更有幫助的。

　　其次，數字基礎設施既具有技術層面，也同樣是一套行為制度。這涉及社會主體和使用者調整行為慣習及其認知：學會操作、知曉何種信息被收集、應用，以及理解這一過程的社會價值。單獨依賴個人無法完成，甚至技術本身無法自動獲得使用，需要有外在提示、壓力、協助、甚至強制，才能確保一項基礎設施能夠盡快實現其功能。也是在這一過程中，社會更習慣于某種媒介，調整相應預期，從而做出集體選擇，產生新的需求和應對手段，進而使這類設施能夠進一步擴展應用。

　　此外，健康碼塑造的身份制度也變相改變了圍繞居民身份證法確立的基礎身份制度。居民身份證法只是在線下物理環境中確立了物理載體的合法性，卻無法在數字化環境中代表唯一身份標識，而健康碼、人臉、電話號碼等標識符不斷將流動社會中的數字化媒介與傳統社會中的身份關聯起來。

　　第三，數字基礎設施需要有效互聯互通和公私合作。這里不僅涉及地方政府或區域之間的互認、標準統一，也要求作為健康碼入口的私人平臺之間不能存有阻礙。就區域合作而言，各類數字基礎設施的建設總體上仍然是地方性的，也服務于本地各種活動。在健康碼的例子中，一旦治理信息的處理超越了本地邊界，信任問題就產生了，即需要對基于外地數據的二維碼擁有一種抽象信任與合作意愿。

　　在疫情緩解期間，地方政府為了經濟恢復有動力開展互認，從而推動了流動性，而在冬季疫情加劇的時候，春節返鄉人群的綠碼可信度就沒那么高，不論人們如何出具健康和安全證明。這不完全是地域歧視，而是地方政府基于自身利益最大化考慮而降低可能的政治責任的問題。類似問題在政府數據開放過程中也經常遇到，即數據歸集主體和采集主體不同，因此責任救濟、開發動力也有很大不同。

　　因此，政治治理責任和證明權力的分離是現代社會認證面臨的最大問題，如果外地信息有誤，可能給地方應對突發事件的工作帶來重大影響。目前有效但需要時間的應對方式是逐級統一安全和技術標準，增強大數據利用的可信度，并逐漸改進地方政府精準防控的能力。就公私合作而言，早期的健康碼由企業開發、地方政府推動，后來在全國統一的“防疫健康信息碼”推出后，健康碼則完全變成一項公共服務和公共基礎設施。如果由特定私人平臺承擔此項服務，互聯互通也應當成為法定義務，由地方政府授權運營或監管。

　　健康碼實踐充分展示了在面對突發公共事件時，公私合作是數字基礎設施得以正常運作、共同解決問題的前提。作為回報，實際上該項服務也有利于平臺企業獲得更多新用戶注冊，甚至進入原先無法進入的社區和健康管理領域。

　　結語

　　本文從一個較少關注的角度——基礎設施——討論了圍繞健康碼而出現的諸多理論問題。

　　首先，數字基礎設施的形成，在某種程度上不是統一設計出來的，而是根據社會實際需求不斷演進和迭加的。本文試圖提供一個社會科學角度的解釋，幫我們更好地理解技術如何嵌套和適應現有社會制度結構，又如何試圖超越這個結構，塑造新的基礎設施。

　　其次，對技術的抽象信任在幅員遼闊的地域范圍內難以快速實現，需要輔助相應的制度措施，這可能意味著退回到技術以外的傳統手段（如強制隔離），但它也是技術應用本身的探索和轉化過程，諸如評分、社會信用、擁有更多信息的網格化模式，都是通過技術重新開發的傳統治理手段。

　　最后，技術嵌入制度的過程也是治理常態化和法治化的過程，無論是對人行為慣習的塑造，還是對個人信息使用規則的訴求，都體現出這一趨勢。然而，在面對不可預知的風險時，可能不存在“一攬子”解決方案，特別是需要大量有價值信息/數據的時候，需要根據風險變化不斷測試確定，從而不斷打破常規治理與風險治理的邊界。同時，也需要適時總結降低不確定性、保持社會流動與活力的方案，健康碼實踐通過若干層面試圖加強信息和賬戶的關聯性，為我們創造性地使用信息/數據進行治理提供了新思路。