复工复产后企业防疫技术措施个人信息保护合规初探
文 | 江卫 阮超 高级合伙人律师
虽然2022年3月起的这一波新冠奥密克戎变异株引发的疫情仍在持续,但随着上海市经济和信息化委员会于2022年4月16日制作并发布《上海市工业企业复工复产疫情防控指引(第一版)》,业已停工停产近一个月的本市企业也需要开始着眼于复工复产后的经营、生产安排。前述指引第11条明确了复工复产企业需严格管控外来人员,如必需进入企业则须持有48小时内核酸检测阴性证明并需现场抗原检测阴性。可能大家已经习惯了本轮疫情之前各类公共场所要求出示健康码、行程码等常态化防疫措施,而结合指引整体的要求来看,本轮疫情复工复产后的防疫措施无疑进一步升级。
可以预见,“场地码”、“健康核验一体机(数字哨兵)”等通过技术手段更高效核验健康码、核酸检测记录甚至体温、新冠疫苗接种记录的硬件设备有望与自动测温仪、消毒液等“上一代”防疫设备、物资一起,成为复工复产后以及将来相当长的一段时间内企业的必要配置。根据“上海发布”2022年5月3日发布的信息,目前全市累计29.43万家单位申请“场所码”46.67万个,布设“数字哨兵”6656台。随着疫情防控形势向好,“场所码”申请量、每日扫码次数均有一定幅度提升,“数字哨兵”设备安装也在稳步推进。但这也将给运用前述硬件设备的企业带来新的个人信息保护的问题,尤其对于一些业务本身并不涉及个人信息处理的企业而言无疑将是新的课题。本文拟以“健康核验一体机(数字哨兵)”为例,简要介绍企业因此所需面临的个人信息保护问题。
一、“健康核验一体机(数字哨兵)”的工作原理及其对个人信息的处理
从笔者了解到的目前市面上“健康核验一体机”的工作原理及功能来看,此类设备一般都需要通过扫码读取扫码者的身份信息、健康码,有些设备会增加读取核酸检测记录、新冠疫苗接种记录等模块,也有另行添加测温设备,并据此关联场所进出的门禁、闸栏等,从而实现在疫情防控措施要求下的场所进出管理,同时将读取的业已脱敏的扫码者数据存储至企业端或云端,企业可自行获取和处理,并结合自己对进出己方场所的扫码者做台账管理,实现配合流调溯源等功能。
《个人信息保护法》第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。有别于“场地码”在扫码之后企业一般仅对扫码读取的信息结果判断是否符合场地管理要求而不会记录、存储信息,而根据现有健康核验一体机(数字哨兵)的功能,此类设备将至少收集扫码者的特定身份、医疗健康、行踪轨迹等属于《个人信息保护法》第二十八条规定的敏感个人信息,并对信息进行存储和传输。
二、企业应用“健康核验一体机(数字哨兵)”进行出入场所管理应当适用《个人信息保护法》
1. 应用“健康核验一体机(数字哨兵)”的企业属于《个人信息保护法》规定的个人信息处理者
《个人信息保护法》第七十三条规定,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。虽然企业基于防疫要求进行个人信息处理,在处理目的的自主决定性上与一般商事活动中处理个人信息有所差异,但如前所述,此类设备系为提高核验效率、加强场所出入管理之目的,并非满足防疫要求的唯一路径,因此可以认为企业系自主决定通过使用此类设备对场所出入进行管理并可以根据自身对场所出入管理的需要(如核酸检测要求、疫苗接种要求等)自行选择决定设备的功能模块,且从此类设备的工作原理来看,所收集的个人信息存储在企业端或云端,企业可以自行获取、处理所收集的个人信息并决定对收集的个人信息实际应用的商业用途,例如商场可以通过此类设备获得进入商场的客群信息和进出时间并据此调整安排商场内活动、店铺柜台的业态安排等,符合上述条款中规定的“自主决定处理目的、处理方式”,应属《个人信息保护法》规定的“个人信息处理者”。
可能存在争议的是,如果企业应防疫要求通过此类设备非“自主”地收集并存储了个人信息,但并不作任何商业用途,只在疾控中心等部门要求配合流调溯源等工作时提供个人信息,企业还是否属于《个人信息保护法》规定的“个人信息处理者”?笔者认为,考虑到此类企业客观上收集、存储了个人信息,且随时可将这些个人信息作商业用途,此类企业仍然应当被认定属于《个人信息保护法》规定的“个人信息处理者”,应当以“个人信息处理者”的身份承担保护个人信息的义务,否则《个人信息保护法》中对于如个人信息处理者在处理个人信息前的一些前置要求和监管都会落空,这无疑与《个人信息保护法》的立法目的相悖。
2. 应用“健康核验一体机(数字哨兵)”属于《个人信息保护法》规定的可以收集个人信息的情形
《个人信息保护法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,无需取得个人同意。无论是根据扫码者的默示同意(扫码行为)、企业对于出入与考勤等进行管理的规章制度还是基于防疫责任或义务,均符合《个人信息保护法》第十三条规定的可以收集个人信息的情形。
三、使用“健康核验一体机(数字哨兵)”的企业应注意的个人信息保护问题
1. 企业对于个人信息处理的告知义务
即使只考虑个人信息收集环节,企业也应当对于“健康核验一体机”的扫码者负有告知义务。此类告知义务可以在目前公共场所出入口设置的扫码或提示出示健康码、行程码的指示牌上予以明示。而在《个人信息保护法》第十七条规定的各项应当告知的内容中,对个人信息的存储期限以及个人行使本法规定权利的方式和程序,往往是此前在相关指示牌上无法了解到的。而就敏感个人信息而言,《个人信息保护法》第三十条还要求向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
目前,对个人信息的存储期限尚无明确的法律强制性规定,在此相关规定出台之前,笔者认为,企业因执行防疫措施而处理的个人信息,可以参考防疫措施中相关隔离、观察的期限进行合理设置,如设定为21天(14+7)。
2. 企业应当采取的个人信息保护措施
《个人信息保护法》第五十一条规定的企业应当采取的个人信息保护措施包括:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施;(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(5)制定并组织实施个人信息安全事件应急预案;(6)法律、行政法规规定的其他措施。
如前所述,企业通过“健康核验一体机”收集的信息包括敏感个人信息,根据《个人信息保护法》第五十四条的规定,应当定期对其处理个人信息遵守法律、行政法规的情况进行事前个人信息保护影响评估与合规审计,作为评估、审计的必要项目,前述个人信息保护措施对于企业来说仍然必要,否则可能承担相应法律责任。
3. 企业应当对个人信息处理情况进行记录
无论是作为敏感个人信息的处理者角色,还是可能的委托他人进行个人信息处理,根据《个人信息保护法》第五十五条的规定都应当对个人信息处理情况进行记录。“健康核验一体机”本身的功能在收集和存储环节进行记录当无问题,但如果涉及配合流调溯源等工作向相关部门传输个人信息的,企业也应当予以记录,并妥善保存。
四、企业违反个人信息保护规定的法律后果
1. 行政责任与刑事责任
《个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
《个人信息保护法》第七十一条规定,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
由上可知,违反个人信息保护规定的行政责任绝对不轻,且对企业及直接责任人员均可课以罚款,对违法行为情节严重的企业还可以责令停业整顿、吊销行政许可或营业执照,甚至可能追究刑事责任。因此,对于个人信息保护的合规应当引起企业的足够重视。
2. 民事责任
《个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
由上可见,违反个人信息保护规定导致个人损失的,其赔偿责任参考了知识产权领域的侵权赔偿规则,只是未设定法定赔偿数额上限。还需注意的是,处理个人信息侵害个人信息权益造成损害的,适用过错推定,企业作为个人信息处理者需要证明自己没有过错方能免责。
3. 其他
《个人信息保护法》第六十七条规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
由上可知,违反个人信息保护规定的违法行为将被记入企业信用档案,从而对可能将信用档案作为必要材料或条件的招投标、银行贷款等企业经营行为产生负面影响。
五、企业使用“健康核验一体机”的个人信息合规应对及笔者的思考
原有的防疫常态化模式下,商场、办公楼等公共场所已经为扫码等出入管理工作付出了相较以往更多的人力资源。本轮疫情目前复工复产的要求对于企业来说,若不采用“健康核验一体机”等设备提高核验效率的话,可能将造成出入堵塞,不仅容易形成聚集,增加疫情传播风险,也会对企业的正常生产、经营秩序产生负面影响。
由于使用此类设备确实涉及处理敏感个人信息,且至少行踪轨迹信息等亦可能具有一定的商业价值,或一旦被滥用或泄露将对个人产生损害,笔者认为使用此类设备的企业应当被纳入《个人信息保护法》的规范范围,但是否存在将其此类个人信息处理与一般个人信息处理相区别对待的可能值得探讨。毕竟对于本身业务与个人信息、数据、网络高度关联的企业,经过网络安全、数据安全合规的洗礼,适应因此产生的个人信息保护合规要求并不困难,但使用此类设备对于日常工作、经营内容与个人信息、数据、网络关联不大的企业来说,《个人信息保护法》中的要求也将成为不小的负担。设备的技术升级节省下的人力资源将转为个人信息保护所需要的人力或智力资源。委托第三方进行个人信息处理对于此类企业或许是性价比较高的选择,但企业仍应勤勉履行对受托第三方的监督职责,而现有设备制造商若能顺势转型为“设备+服务”提供商亦不失为节省社会资源、高效防疫的积极举措。
笔者撰写本文并无为此类设备站台、“带货”之意。对于亲历本轮疫情对于正常生产、经营、生活的破坏的笔者而言,任何有利于防止类似破坏再现的手段都值得尝试。对于伴随技术进步而来的对技术的合规要求,是防止技术滥用、侵犯他人合法权益的必要手段,也是技术真正为社会造福所需要付出的必要成本。
作者简介
江卫 律师
高级合伙人
公司与商事专委会主任
擅长领域:公司法律事务、商事法律事务、行政法律事务、争议解决
阮超 律师
高级合伙人
并购与商业事务专委会委员
擅长领域:公司和商业法律事务、知识产权法律事务、并购法律事务、破产重组法律事务、民商事争端解决法律事务等
更多精彩
联系我们
微博:普世万联律频道
电话:021-52988666
传真:021-62317688
官网:www.pushiwanlian.com
邮箱:pushi@pushiwanlian.com
地址:中国上海市云岭东路89号长风国际大厦4层
邮编:200062