疫情防控 | 员工疫情相关个人信息应如何收集使用?
在新型冠状病毒肺炎疫情的严峻形势下,伴随着返程春运,为加强用工管理、为开工做准备等,用人单位纷纷持续地向员工收集各类疫情相关信息,例如健康状况、近期逗留地、近期搭乘的交通工具、近期接触的人员、返程计划等。能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,都是个人信息[1]。前述疫情相关信息基本属于个人信息。近年来我国个人信息保护连跃新阶,HR在快速行动的同时可能也心存疑虑:收集疫情相关信息会侵犯员工的隐私吗?员工可以拒绝报告吗?收集使用员工疫情相关信息有何“宜忌”?疫情相关个人信息处理不当有何法律责任?在防控疫情的同时,也需防控处理个人信息的合规性风险。下面我们为您逐一解答。
问题1
用人单位可以收集、使用员工的疫情相关个人信息吗?
在新型肺炎疫情的特殊时期,用人单位可以为疫情防控之目的收集、使用员工的疫情相关个人信息。
基于《劳动合同法》第八条,用人单位有权了解员工“与劳动合同直接相关的基本情况”。在疫情时期,员工的疫情相关信息直接影响到用人单位的生产经营和工作安排的,成为“与劳动合同直接相关”的信息,用人单位有权知悉。
并且,根据《劳动法》第五十四条[2],用人单位需为员工提供安全卫生的工作环境;而员工在工作时间、工作场所因工作原因感染新型肺炎的,构成工伤。在疫情时期,及时掌握员工的疫情相关信息,也是尽保护员工之责。另外,按照《突发事件应对法》第二十二条[3]、《安全生产法》第三十八条[4]、《安全生产事故隐患排查治理暂行规定》第二十六条[5]等,用人单位应当对事故隐患进行排查治理;如发现异常情况,需及时向有关政府部门报告。
问题2
员工疫情相关个人信息处理不当有何后果?
在疫情时期,用人单位可以收集、使用员工的疫情相关个人信息,但需注意妥善处理该等信息,否则可能给员工个人造成不利影响,并引致法律责任。
在新型肺炎疫情的特殊时期,员工的疫情相关个人信息,一旦被泄露、非法提供或滥用,极易导致个人受到歧视或名誉、身心健康受到损害或其他不利影响。
一旦构成侵犯个人信息,侵权的组织或个人需按过错承担侵权的民事责任,承担责任的形式包括停止侵害、赔偿损失、消除影响、恢复名誉、赔礼道歉等。用人单位在处理该等个人信息的过程中属于网络运营者的,根据《网络安全法》第六十四条,用人单位及/或直接负责人员,将被责令改正,可能被处以警告、罚款等行政处罚[6]。违法向他人提供个人信息,情节严重的,可能构成侵犯公民个人信息罪而被追究刑事责任[7]。
问题3
用人单位应该如何处理员工的疫情相关个人信息呢?
针对员工的疫情相关个人信息,用人单位可能开展收集、传输和保存、访问和操作乃至披露、共享等处理活动。根据《民法总则》[8]、《网络安全法》[9]等相关规定,处理个人信息一般需遵循告知和同意、最少必要、安全保密等基本原则。
对于授权同意原则,如问题一项下所分析,在当前情势下,员工的疫情相关个人信息“与劳动合同直接相关”,用人单位无需事先另行取得员工的授权同意。
对于最少必要、安全保密等处理原则,在新型肺炎疫情的特殊时期,员工的疫情相关个人信息,一旦被泄露、非法提供或滥用,极易导致个人受到歧视或名誉、身心健康受到损害,换言之,该等个人信息也是《个人信息安全规范》所加强保护的“个人敏感信息”[10],建议用人单位参照《个人信息安全规范》的严格标准,贯彻最少必要、安全保密的原则,下面将结合具体的处理活动进一步解释。
问题4
用人单位应该如何收集员工的疫情相关个人信息?
用人单位在收集员工的疫情相关个人信息时,需遵循的核心原则是“最少够用、合理必要”,换言之,原则上不要收集无关信息或过于间接的信息。针对个人信息的收集环节,我们有如下建议:
(1)在要求员工提供个人信息时,明确告知收集信息的目的和用途等;同时,鉴于所收集的个人信息类型是否“直接相关”“合理必要”随着疫情的变化具有不确定性,可以请员工一并确认自愿提供且授权同意。例如,通过问卷收集信息的,可在问卷上载明收集目的、加上“本人授权同意”等表述;在采用电子问卷的场景中,可设定为需员工主动勾选或点击“知悉且同意”字样后提交。
(2)仅收集疫情防控和用工管理所必需的最少量的个人信息,多用设有选项的封闭式提问、少采开放式提问;对于异常或存疑的个案可作跟进,补充收集其他个人信息。例如:要求提供近14日出行和接触人员的情况,而非更久远的相关信息;只询问有无发热、干咳、气短等与疫情相关的典型症状,而非普查健康状况或病症病史。
(3)避免同时反复收集已知的个人信息,例如身份证号码、住址、联系方式等,以防万一所汇集的信息泄露,造成更严重的后果。
(4)选用安全可靠的信息提交和接收方式,以免个人信息在收集过程中泄露、毁损或丢失。
问题5
用人单位应该如何管理员工的疫情相关个人信息?
对于所收集的员工疫情相关个人信息,用人单位需妥善管理,其中包括传输和保存、访问和操作等活动,管理个人信息需遵循的核心原则是“安全保密”和“最少必要”。针对前述环节,我们的具体建议如下:
(1)选用安全可靠的信息传输和存储方式,鉴于员工的疫情相关个人信息一般属于个人敏感信息,应采取加密等安全措施,同时作去标识化处理,并将用于重新识别个人身份的信息分开存储。
(2)仅将个人信息用于疫情防控和用工管理目的,对于员工的疫情相关个人信息的访问和操作,按照最小授权原则,仅授权为履行本职工作需要知悉或使用该等信息的人员,对履职所需的信息,进行履职所需的访问或复制、修改、增删等操作。
问题6
如发现异常情况,用人单位可以披露员工的疫情相关个人信息吗?
首先,用人单位可以也应当向有关政府部门披露所获悉的疫情以及所涉的个人信息。根据《传染病防治法》第三十一条及第七十七条,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告;否则,导致传染病传播、流行,给他人人身、财产造成损害的,需承担民事责任。
同时,为防控疫情、保护其他员工之目的,权衡个体对于个人信息的保密权益和其他员工对于生命健康的权益,用人单位应可对内披露有关员工的个人信息。在保护员工个人信息和确保职业安全卫生、安全生产之间寻找平衡点,我们建议用人单位尽量将所披露的个人信息和所告知的员工限制在必要的限度和范围内,例如仅告知受影响的员工,不披露无关的个人信息;并提示员工避免对外传播有关个人信息。
问题7
员工可以拒绝提供疫情相关个人信息吗?员工隐瞒或谎报疫情相关个人信息如何处理?
如问题一项下所分析,在疫情时期,员工的疫情相关个人信息属于《劳动合同法》第八条所规定的“与劳动合同直接相关的基本情况”,用人单位有权了解,员工应当如实告知。
员工拒绝提供疫情相关的个人信息的,我们建议:(1)用人单位先向员工说明其有披露相关信息的法定义务,了解其拒绝提供的原因;并可提示,隐瞒、谎报与疫情相关的个人信息违反《传染病防疫法》,甚至可能构成“以危险方法危害公共安全罪” [11]。(2)员工仍拒不提供的,用人单位可视具体情况判断是否采取安排休假、在家办公等方式进行隔离,并视情况判断是否构成违反内部规章制度。
发现员工隐瞒或谎报其疫情相关的个人信息的,用人单位应当视实际情况采取隔离、上报等紧急措施,并可依据内部规章制度作出纪律处分。
在疫情防控这一特殊时期,各级政府将持续出台相关政策文件,我们建议企业持续关注新规,并相应调整劳动用工安排。鉴于上述问答是我们根据目前的规定为企业准备的阶段性参考,不属于法律意见,如企业遇到具体问题,请随时与金杜劳动法团队联系。我们也会持续关注最新动态,不断更新疫情防控期间劳动用工管理的政策法规,为企业提供支持。让政府、企业、民众携手同心,共克时艰!
[1] 《个人信息安全规范》第3.1条:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”
[2] 《劳动法》第五十四条:“用人单位必须为劳动者提供符合国家规定的劳动安全卫生条件和必要的劳动防护用品,对从事有职业危害作业的劳动者应当定期进行健康检查。”
[3] 《突发事件应对法》第二十二条:“所有单位应当建立健全安全管理制度,定期检查本单位各项安全防范措施的落实情况,及时消除事故隐患;掌握并及时处理本单位存在的可能引发社会安全事件的问题,防止矛盾激化和事态扩大;对本单位可能发生的突发事件和采取安全防范措施的情况,应当按照规定及时向所在地人民政府或者人民政府有关部门报告。”
[4] 《安全生产法》第三十八条第一款:“生产经营单位应当建立健全生产安全事故隐患排查治理制度,采取技术、管理措施,及时发现并消除事故隐患。事故隐患排查治理情况应当如实记录,并向从业人员通报。”
[5] 《安全生产事故隐患排查治理暂行规定》第二十六条:“生产经营单位违反本规定,有下列行为之一的,由安全监管监察部门给予警告,并处三万元以下的罚款:(一)未建立安全生产事故隐患排查治理等各项制度的;(二)未按规定上报事故隐患排查治理统计分析表的;(三)未制定事故隐患治理方案的;(四)重大事故隐患不报或者未及时报告的;(五)未对事故隐患进行排查治理擅自生产经营的;(六)整改不合格或者未经安全监管监察部门审查同意擅自恢复生产经营的。”
[6] 《网络安全法》第六十四条:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”
[7] 《刑法》第二百五十三条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
[8] 《民法总则》第一百一十一条:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
[9] 《网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
[10] 《个人信息安全规范》第3.2条:“个人敏感信息 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”
[11] 《刑法》第一百一十四条:“放火、决水、爆炸以及投放毒害性、放射性、传染病病原体等物质或者以其他危险方法危害公共安全,尚未造成严重后果的,处三年以上十年以下有期徒刑。”第一百一十五条:“放火、决水、爆炸以及投放毒害性、放射性、传染病病原体等物质或者以其他危险方法致人重伤、死亡或者使公私财产遭受重大损失的,处十年以上有期徒刑、无期徒刑或者死刑。过失犯前款罪的,处三年以上七年以下有期徒刑;情节较轻的,处三年以下有期徒刑或者拘役。”
金杜研究院
相关文章链接
Links of Related Articles
——— 本文作者 ———
罗艾
合伙人
合规业务部
luoai@cn.kwm.com
罗艾律师的主要执业领域为劳动与社会保障法、劳动争议和集体谈判。罗艾律师曾向众多跨国公司、国有企业、上市公司提供劳动法和人力资源管理的法律服务,包括劳动法的日常合规性问题咨询、起草和修改劳动合同、员工手册以及企业劳动用工的年度合规性审查等,同时为企业在并购、重组、解散过程中涉及的员工转移、员工安置、裁员等设计实施办法和提供解决方案。此外,罗艾律师还代表企业处理各种类型的劳动争议仲裁和诉讼工作,涉及的争议内容有劳动合同解除、竞业限制义务的履行、加班费的支付、工伤赔偿、社会保险缴纳等。
汤晓静
律师
合规业务部
张宁
律师助理
合规业务部
感谢关注金杜研究院