疫情期间企业个人信息保护十问十答
作者:陈际红 吴佳蔚 杨润
全国同心抗击新冠肺炎期间,为做好疫情的防控工作,各地方政府、单位、企业等均展开了相关人员(尤其是外来人员)的信息收集和排查工作。国务院应对新型冠状病毒感染肺炎疫情联防联控机制于2020年1月30日印发的《公共场所新型冠状病毒感染的肺炎卫生防护指南》中同样明确规定,办公楼等场所应当加强对来访人员健康监测和登记等工作[1]。
在信息收集和排查过程中,由于未充分重视个人信息保护问题,个人信息在网络公开传播或引发歧视的现象时有发生,引发公众和媒体的质疑。对于一般企业而言,在疫情期间面临哪些典型问题?需采取哪些措施积极应对?本文选取了企业所需关注的十个个人信息保护重点问题,为疫情期间企业的个人信息保护工作提供基本指引。
”
1
疫情期间企业承担何种与疫情相关的信息收集和报送义务?
2020年1月20日,国家卫健委发布1号公告,将新型冠状病毒感染的肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施[2]。此外,全国多地结合疫情防控形势启动了重大突发公共卫生事件一级响应,此次疫情明确属于突发公共卫生事件。相应地,企业应该按照《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》等相关法律法规的规定积极采取措施。
《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。在《突发公共卫生事件应急条例》中同样规定,任何单位和个人对突发事件,不得隐瞒、缓报、谎报授意他人隐瞒、缓报、谎报。因此,在此次疫情期间,企业应当在企业管理的范围内履行主体责任,及时登记和排查员工、访客、客户、供应商等相关信息,一旦发现感染情况即向附近的疾病预防控制机构(各地疾控中心)或者医疗机构(医院等)报告相关情况。
2
企业为疫情防控目的收集个人信息是否属于授权同意原则的例外?
在我国以《中华人民共和国网络安全法》为主要法律,辅以《个人信息安全规范》等国家标准的个人信息保护规则体系下,对个人信息的收集、使用和共享需依据于个人信息主体的授权同意。在此次疫情的特殊情形下,个人信息收集和处理活动不可避免,企业一方面要积极配合国家及时报送相关信息,另一方面要加强企业内部管理。
如问题1所述,企业需配合疾控机构进行与疫情相关的个人信息的收集、排查和报送。针对此类个人信息处理活动是否仍要征得授权同意,存在一定的争议。我们理解,根据特别法优于一般法的原则,企业为履行法定报告义务而进行的个人信息处理活动可以视为授权同意原则适用的例外,无需征得授权同意。此情形亦符合《个人信息安全规范》“征得授权同意的例外”之“与公共安全、公共卫生、重大公共利益直接相关”或 “法律法规规定的其他情形”。
针对企业为进行内部管理、及时疏导员工心理而进行的个人信息收集和排查行为,如果具有现实上的必要性,我们理解此类个人信息处理活动亦可以适用以上的例外。
3
疫情期间企业如何避免对个人信息的滥用?
对于疫情期间为疫情防控目的所收集的个人信息,企业应当严格限制信息的使用目的,加强安全保障与披露管理,避免对个人信息进行滥用而导致对相关人员歧视性对待。
具体来说,首先,企业应当规定所收集信息的使用目的和使用范围,明确仅可将相关个人信息用于进行疫情排查,仅确实必要的人员可访问并使用;其次,企业在处理相关信息时,应当避免对相关人员歧视性对待(例如仅向湖北籍员工发送疫情信息等);最后,企业确需在内部披露疫情情况时,应当先进行去标识化处理等技术措施,避免披露相关人员的个人信息,防止因此对相关人员造成的二次伤害。
4
为疫情防控目的追踪个人行踪或人群关系是否有法律依据?
基于疫情防控的目的,为定位到特定人员(主要是指确诊、疑似感染人员及密切接触人员等),需利用火车票/机票/汽车票等行程信息、交易/支付信息、住宿信息等联动对相关人员的个人行踪或人群关系进行追踪,在此过程中往往需要使用多种来源的信息进行综合分析。
根据《中华人民共和国传染病防治法》第七条,各级疾病预防控制机构承担传染病监测、预测、流行病学调查、疫情报告以及其他预防、控制工作。我们理解,仅特定机构(主要是指各级疾病预防控制机构)有权为疫情防控目的追踪个人行踪或人群关系。对于一般企业而言,若未经委托授权,通过自有数据源或者共享数据的方式,进行特定个人的行踪或人群关系分析,可能会超出法定授权或信息主体所授权同意的范围。
在为疫情防控目的追踪个人行踪或人群关系的过程中,一般企业所承担的义务主要是向有权机构共享必要的相关信息,此共享行为属于《个人信息安全规范》所规定的征得授权同意的例外中“与公共安全、公共卫生、重大公共利益直接相关”的情形,具备相应的法律依据,在共享过程中,企业仍需遵守最小必要原则并充分保障个人信息安全。
5
企业为疫情防控目的将掌握的个人信息用于大数据分析是否有法律依据?
与问题4不同,企业为疫情防控目的将掌握的个人数据用于大数据分析主要是为了支撑服务疫情态势研判、疫情防控部署以及对流动人员的疫情监测、精准施策,而非精准追踪特定个人。
疫情期间,部分企业已经利用所掌握的信息进行大数据分析进而为疫情防控工作提供支持。以百度地图为例,开放百度地图迁徙大数据用于观察各城市的人口流动情况,尤其是重点疫区的人口流出方向;此外三大运营商在工信部及各地通信管理局的组织下运用大数据分析以加强对流动人员的疫情监测。以百度地图为例,《百度地图隐私政策》中明确说明“在不泄露您个人信息的前提下,百度有权对匿名化处理后的用户数据库进行挖掘、分析和利用(包括商业性使用)”,百度对于聚合数据(aggregated data)的使用属于上述用户的授权范围,具有法律依据。对于其他无类似授权安排的企业,若能实现大数据分析的匿名化,且严格限制于协助疫情防控的目的,分析结果不会追踪或指向特定人员,仍可以视为合法使用。
6
企业为疫情防控目的收集和处理个人信息如何遵循数据最小化原则?
在进行人员信息收集和处理的过程中,企业需要严格遵守数据最小化原则的要求,将对个人信息的处理控制在实现目的所需要的最小必要范围内。
以信息收集为例,为进行疫情排查及后续关注,有必要收集相关人员的姓名、身份证号、电话、住址以及紧急联系人及联系方式等信息,但收集其职业、民族等则可能会超出实现上述目的所需要的范围。因此,企业在制作登记表、组织相关人员进行登记以及向疾病预防控制机构或医疗机构进行报告时,均需注意限制个人信息的范围。对于后续的数据存储和内部管理,也应遵循最小必要原则进行访问限制控制、以及在目的实现后尽快对个人信息进行删除或匿名化处理。
7
疫情期间企业是否可以披露个人信息?需遵循何种原则进行披露?
根据《中华人民共和国传染病防治法》第三十八条,国家建立传染病疫情信息公布制度,国务院卫生行政部门及省、自治区、直辖市人民政府卫生行政部门负责向社会公布传染病疫情信息。据此,仅国务院及省级人民政府的卫生行政部门有权向社会公开披露相关信息,一般企业若在网络上公开披露相关信息,缺乏合法依据,同时将严重损害个人信息主体的基本权利。
若确需在企业内部披露相关信息的,需充分重视对相关人员个人信息的保护,避免对相关人员造成歧视或产生其他重大影响,例如仅披露统计数量,如必要披露个体信息,也应采取事先的去标识化处理等措施降低对个体的影响。
8
疫情期间推荐企业采取何种安全措施?
保障个人信息安全,即是要避免对个人信息进行未经授权的访问、使用、泄露、修改或破坏。在微信群、微博等社交媒体中流传的“武汉返乡人员个人信息表”即属于对个人信息的泄露,不仅会导致对其中人员的歧视性对待(例如收到恶意辱骂电话),还可能会引发对该类个人信息的非法使用。
对企业而言,为充分保障所收集个人信息的安全,一方面要加强信息保护的安全技术措施,通过访问控制、加密、物理环境保护等避免个人信息安全事件的发生,例如仅必要人员可接触相关填报信息以防止传播;另一方面要建立起信息安全应急响应机制,确保企业信息系统的安全平稳运行及发生个人信息安全事件时的快速有效响应。
9
疫情期间企业如何保障个人信息主体的知情权利?
根据《中华人民共和国网络安全法》第四十一条,收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围。即使是在疫情的特殊情形下,企业同样应当以适当的方式保障个人信息主体知情权的实现,例如在要求员工进行登记时在邮件中写明登记的目的、可能采取的处理行为等,在要求访客进行登记时可在入口处张贴相关通知等,充分告知个人信息主体其个人信息被处理的相关情况,既是对法律法规的遵守,也有助于减轻个人信息主体的疑虑与恐慌。
10
针对企业为疫情防控目的而进行的个人信息处理活动,个人信息主体的权利行使是否会受到限制?
在我国的个人信息保护规则体系下,一般来说,个人信息主体享有访问权、更正权、删除权、撤回同意、获取个人信息副本等权利。如同在例外情形下无需获得个人信息主体的授权同意,在履行法律法规规定的义务以及与公共安全、公共卫生、重大公共利益直接相关的情形下,可以限制或不响应个人信息主体提出的上述权利请求。
因此,企业在疫情期间为防控疫情所进行的合法个人信息处理活动,可限制个人信息主体行使以上权利请求,但亦需按照最小必要原则对于相关信息进行存储和管理,在相关疫情管理的配合工作结束时对于相关个人信息进行删除或者匿名化处理。
[注]
[1] 卫生健康委:关于印发公共场所新型冠状病毒感染的肺炎卫生防护指南的通知,http://www.gov.cn/zhengce/zhengceku/2020-01/31/content_5473402.htm ,访问时间:2020年1月30日。
[2] 疾病预防控制局:中华人民共和国国家卫生健康委员会公告2020年第1号,http://www.nhc.gov.cn/jkj/s7916/202001/44a3b8245e8049d2837a4f27529cd386.shtml, 访问时间:2020年1月30日。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
吴佳蔚
北京办公室 知识产权部
杨润
北京办公室 知识产权部
作者往期文章推荐:
《App数据收集划定红线:《App违法违规收集使用个人信息行为认定方法》解析》
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)》
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。