作者:通力律师事务所 潘永建 | 邓梓珊 | 胡鑫超
新型冠状病毒感染肺炎爆发后, 全国各地政府部门、企事业单位都在积极展开疫情信息的收集工作, 以求在保障各单位员工健康安全的同时, 维持正常生产秩序和经济秩序。2月4日, 中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(“《通知》”), 该《通知》旨在于督促各地方各部门以及任何单位依法收集、汇报与疫情联防联控相关的个人信息, 保障个人信息安全, 确保个人隐私不受侵犯。在这一特殊时期, 企业既要有条不紊地做好疫情期间用工安排、做好信息报送工作, 又要兼顾员工的个人信息与隐私保护的要求。本文旨在阐明疫情防控时期下收集、报送员工个人信息的法律依据, 在此基础上, 针对如何妥善应对政府部门报送信息请求、保障员工个人信息安全和隐私安全为企业提供一些合规建议。1. 企业为了做好用工安排、尽快恢复正常生产经营, 有权利了解员工相关信息。根据《劳动合同法》第八条规定, 企业“有权了解劳动者与劳动合同直接相关的基本情况”。在疫情防控的关键时期, 如果有员工已经感染或者可能感染新型冠状病毒, 可能会威胁企业其他员工的健康安全; 对于需要密切接触人群的服务行业而言, 更可能威胁广大人民群众的健康安全, 进而对企业的生产经营甚至是商誉造成严重影响。基于此, 企业有权了解员工的出行记录、密切接触人群如家人的出行记录、身体健康状况等信息(具体可收集的信息范围请见后文分析), 因为该类个人信息构成“与劳动合同直接相关的”信息。2. 根据《传染病防治法》第十二条、第三十一条, 以及《突发公共卫生事件应急条例》(“《应急条例》”)第二十一条, 任何机构和个人有义务配合国家有关机关防控疫情有关的工作; 在发现传染病病人或者疑似传染病病人时, 应及时向疾病预防控制机构或医疗机构报告, 不得对任何疫情相关信息进行隐瞒、缓报、谎报。前述规定对企业及员工个人提出了配合政府有关部门如实汇报疫情信息的法定要求。另一方面, 根据《应急条例》第十条、第十一条及第三十一条规定, 省、自治区、直辖市人民政府根据国务院制定的全国突发事件应急预案, 结合本地实际情况, 制定本行政区域的突发事件应急预案; 预案中应包括突发事件信息的收集、分析、报告、通报制度; 当地人民政府有关部门应按照预案规定的职责要求采取有关措施, 即包括履行疫情相关信息的收集、通报职责。此处的规定授予了突发疫情时期, 相关政府部门收集、分析、报告、通报疫情信息的权力和职责。基于这些疫情防控规定, 北京、广东、上海、江苏、浙江等地已发布通知、指南、通告, 要求企业承担起疫情防控工作的主体责任, 配合政府防控工作, 包括加强对本单位人员的健康监测; 企业返工前要收集员工近期健康状况、疫情发生地居住史或旅行史和员工动向; 发现异常情况要及时报告等要求。综上所述, 疫情信息的收集主体是疾病预防控制机构、医疗机构或有关政府部门, 企业有义务配合前述政府机关的疫情防控工作进行员工信息的收集与报送。由此可见, 企业应根据当地政府关于疫情防控、信息收集工作的具体要求, 落实企业的法律义务并承担起社会责任。
关于个人信息收集使用的原则, 在《网络安全法》中已有明确要求, 即“遵循合法、正当、必要的原则, 公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意”。《劳动合同法》第八条赋予了企业为生产经营安排而收集、使用相关员工信息的法律基础、明确了允许收集的信息范围, 但并未豁免企业的上述“告知”义务和获取“被收集者同意”的义务。网信办的《通知》中也明确, “除国务院卫生健康部门依据《网安法》《传染病防治法》《应急条例》授权的机构外, 其他任何单位和个人不得以疫情防控、疾病防治为由, 未经被收集者同意收集使用个人信息”。这意味着, 企业如果要在前述法定的信息收集和报送义务的目的和范围之外, 收集或使用员工的个人信息, 企业应事先取得员工的知情同意。由于企业出于恢复用工目的所需掌握的员工信息可能超出“授权机关”所需疫情防控信息的范围,又考虑到近期疫情肆虐的同时, 个人信息泄露及侵犯公民隐私等网络暴力行为频发, 建议企业以妥善方式向员工告知收集信息的范围和目的并获取同意。2. 遵循“最小必要”原则。“最小必要原则”的落实应始于“收集”, 贯以“使用”“披露”而终于“存储和/或销毁”环节。收集: 对于员工个人信息收集的范围, 企业应符合《传染病防疫法》《应急条例》等法律法规规定的联防联控之目的, 遵循《网络安全法》合法、正当、必要的原则, 不得收集与疫情防控无关的个人信息。具体而言, 企业应当“坚持最小范围原则, 收集对象原则上应限于确诊者、疑似者、密切接触者等重点人群” [1], 收集信息也应限定在“疫情相关的”必要范围内, 例如联系方式、14天内旅行史、14天内接触史、当前身体状况、密切接触者等。对于一般员工的个人信息收集范围应当进一步限缩, 遵守必要原则, 例如仅收集返程前所在地、返程时间、重疫区旅行史等, 避免收集无关的旅行及交通信息、家庭关系、体检报告等信息。此外, 收集方式上建议采用“消极收集法”, 即尽可能用“是否”方式选择, 而不宜要求员工自行“列举”填空, 以尽量减少员工的抵触或消极情绪。使用: 《通知》规定, “为疫情防控、疾病防治收集的个人信息, 不得用于其他用途”。因此, 企业需做到个人信息专采专用, 明确并严格限制于疫情防控或进行用工管理和复工安排的目的, 不得超过法定或信息主体同意的范围使用, 不得挪作他用, 更不得借机与其他渠道收集的个人信息混用。但值得注意的是, 《通知》提及“鼓励有能力的企业在有关部门的指导下, 积极利用大数据, 分析预测确诊者、疑似者、密切接触者等重点人群的流动情况, 为联防联控工作提供大数据支持”, 此处的信息处理和使用应以匿名化的、反映群体状况(无法准确到个人)的信息为主。披露: 根据《网络安全法》第四十二条, 企业不得在未经同意的情况下向第三人提供其收集的个人信息; 《传染病防治法》第十二条、第六十八条也规定, 不得故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息。根据上述规定, 《通知》要求任何单位和个人未经被收集者同意, 不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息, 因联防联控工作需要, 且经过脱敏处理的除外。因此, 企业应确保仅向疫情防控工作相关政府机构提供收集的员工个人信息; 或按照当地政府应急预案的要求依法向社会公布脱敏后的相关信息。存储和/或销毁: 疫情结束后, 企业应及时删除(或作匿名化处理)无需再继续保存的相关个人信息, 除非法律法规另有要求。3. 保障个人信息安全。目前针对大量返乡人员和确诊人员个人信息频频泄露的情况, 各地公安机关已经打击多起个人信息泄露行为, 内蒙古、山西、江苏等地公安机关已对信息泄露者做出了行政拘留处罚[2]。该类事件当中, 个人信息泄露大多是因相关负责人利用工作便利随手截图转发; 或是企业管理不当将员工个人信息在内部公开引起。由于报送员工信息的过程涉及到收集、统计汇总、披露等多个环节, 因此, 企业应当特别注意个人信息安全问题, 在每个环节中均应做好个人信息保护工作, 采取严格的管理和技术防护措施, 确保收集的个人信息安全, 以防出现信息泄露、丢失、滥用等情形。具体可采取的措施如下: (1) 安排特定的工作人员集中处理防疫相关的员工信息, 明确要求其必须对处理信息过程中知悉的个人信息严格保密, 不得泄露、出售或非法向他人提供。(2) 尽量限缩特定工作人员的范围, 明确告知并切实落实责任制度。对于涉及“密切接触传染源”的重点员工, 需与其直接取得联系的, 也应指定专人负责, 保证其联系方式不被扩大传播, 相关人员也应进一步将其知晓的信息限制在最小范围。(3) 将收集的个人信息保存在特定终端(最好限制在公司内网), 进行加密存储, 并采用严密的访问限制、数据审计等安全保障措施。(4) 严格按照《传染病防治法》《应急条例》以及当地政府应急预案的规定, 仅将相关信息报送给有权收集的政府机构。必要时可以要求该机构的联络人员出具书面凭证, 如内部沟通记录、盖有公章的规范性文件等。(5) 对报送给政府机构的信息进行记录和存档, 载明接收信息的机构名称、报送时间等信息。在报送信息的同时, 请求信息接收方予以同等程度的保护并留有书面记录。疫情动向牵动着所有人的心, 期盼疫情尽快结束、恢复社会生活正常运转是政府、企业、广大员工的共同心愿。企业在收集、使用和报送与疫情防控相关的员工个人信息时, 宜处理好社会公共利益、企业形象、政府关系与员工个人合法权益之间的平衡。【注释】
[1] 《关于做好个人信息保护利用大数据支撑联防联控工作的通知》: 收集联防联控所必需的个人信息应……坚持最小范围原则, 收集对象原则上限于确诊者、疑似者、密切接触者等重点人群, 一般不针对特定地区的所有人群, 防止形成对特定地域人群的事实上歧视。
[2] 《海量涉疫情个人信息泄露 两地公安做出行政拘留处罚》https://baijiahao.baidu.com/s?id=1657662679824821690&wfr=spider&for=pc
作者:
| 潘永建 律师 | 合伙人
+86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com |
| |
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!