网上投稿
新型冠状病毒肺炎疫情牵动人心。在疫情防控期间,中央与各地政府、疫情防控工作领导小组陆续发布与疫情防控有关的行政决定、命令、强制措施等,要求企业承担起疫情防控工作的主体责任,配合政府共同做好防控工作。近日,中央网络安全和信息化委员会办公室(“网信办”)发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(“通知”)。大数据在疫情联防联控中起到了越发重要的作用。我们关注到企业在收集、报送员工与疫情有关的个人信息时所面临的种种问题,结合近期频发的个人信息泄露事件,分析企业泄露员工个人信息的法律后果,针对企业应当如何收集、处理、报送员工与疫情有关的个人信息提出建议,以期为企业在疫情期间相关信息处理提供合规指引。
1. 疫情期间企业应当承担与疫情相关的信息收集和报送义务
自2003年非典疫情爆发之后,我国已逐步建立起以《中华人民共和国突发事件应对法》(“《突发事件应对法》”)《中华人民共和国传染病防治法》(“《传染病防治法》”) 《突发公共卫生事件应急条例》(“《应急条例》”)等法律法规为制度保障的突发公共事件应对机制。在疫情防控期间,上述法律法规一方面赋予了有关单位和组织收集与疫情有关的个人信息的权利,另一方面,也对掌握疫情的单位和个人施加了信息报告的义务。
《突发事件应对法》第二十二条规定:“ 所有单位应当建立健全安全管理制度,定期检查本单位各项安全防范措施的落实情况,及时消除事故隐患;掌握并及时处理本单位存在的可能引发社会安全事件的问题,防止矛盾激化和事态扩大;对本单位可能发生的突发事件和采取安全防范措施的情况,应当按照规定及时向所在地人民政府或者人民政府有关部门报告。”
《传染病防治法》第十二条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。” 此外,该法第三十一条还规定:“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。”
《应急条例》第二十一条规定:“任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。”
同时,在疫情防控期间,各地政府、疫情防控工作领导小组亦要求企业承担起疫情防控工作的主体责任,配合政府共同做好防控工作。1月24日,北京市人民政府发布的《关于进一步明确责任加强新型冠状病毒感染的肺炎预防控制工作的通知》要求,企业要建立健全防控工作责任制和管理制度,落实卫生健康部门和行业主管部门提出的各项防控措施,加强对本单位人员的健康监测,发现异常情况要及时报告,按照要求采取相应防控措施;1月30日,广东省疫情防控指挥部办公室发布的针对企业年后返工人员的《公众预防新型冠状病毒感染的肺炎疫情指南》中明确,企业返工前要收集员工近期健康状况、疫情发生地居住史或旅行史和员工动向,落实企业主体责任;2月4日,《上海市新型冠状病毒感染的肺炎疫情防控工作领导小组办公室通告》中提出,企业应切实做好单位内部疫情防控各项工作,做好本单位员工每日健康状况主动申报和体温检测工作;此外,江苏省、浙江省等全国各省市也纷纷要求企业对本企业疫情防控负主体责任,落实信息报送机制。
由此可见,在此次疫情期间,企业应根据相关法律法规和各地政府关于疫情防控的具体要求,全面落实企业主体责任,承担起与疫情相关的信息收集和报送义务。
2. 企业收集使用员工与疫情有关的个人信息需征得员工本人同意的情形
疫情当前,对于企业而言,员工与疫情有关的个人信息与企业的生产、经营直接相关,与社会公共卫生密切关联。如果企业未能及时掌握员工与疫情相关信息,一旦企业内发生疫情,极有可能发生聚集性感染,或其他影响安全生产、经营的事故隐患,进而影响社会整体疫情联防联控工作,危害社会公共安全。对于员工而言,应当积极配合及协助企业收集和报送与疫情相关的信息。
在我国目前以《中华人民共和国网络安全法》(“《网安法》”)和国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》(“《个人信息安全规范》”)等法律、规范为基本框架的信息保护体系下,对于个人信息的收集、保存、使用、共享、转让、公开披露等个人信息处理活动原则上需要征得个人信息主体的授权同意。
网信办通知中,进一步明确了“除国务院卫生健康部门依据《网安法》《传染病防治法》《应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。”企业并不属于上述法规的授权机构,因此,企业如果要在前述法定的信息收集和报送义务的目的和范围之外,收集或使用员工的个人信息,企业应事先取得员工的知情同意。任何企业不得在未获得疫情防控机关授权的情况下,以疫情防控、疾病防治为由,未经员工同意,擅自收集、使用其个人信息。
3. 员工故意隐瞒其与疫情有关的个人信息,面临刑事责任风险
根据《最高人民法院、最高人民检察院关于办理妨害预防、控制突发传染病疫情等灾害的刑事案件具体应用法律若干问题的解释》第一条的规定,“故意传播突发传染病病原体,危害公共安全的,依照刑法第一百一十四条、第一百一十五条第一款的规定,按照以危险方法危害公共安全罪定罪处罚。患有突发传染病或者疑似突发传染病而拒绝接受检疫、强制隔离或者治疗,过失造成传染病传播,情节严重,危害公共安全的,依照刑法第一百一十五条第二款的规定,按照过失以危险方法危害公共安全罪定罪处罚。”因此,如果员工故意隐瞒与疫情有关的个人信息,拒绝接受检疫、强制隔离或者治疗,不回避反而主动与周边人群接触,可能造成疫情传播,危害公共安全的,可能涉嫌以危险方法危害公共安全罪或过失以危险方法危害公共安全罪,轻则处以3年以下有期徒刑、拘役,重则处以十年以上有期徒刑、无期徒刑或死刑。
综上,对于企业收集员工与疫情相关的个人信息,如果在法律法规规定的信息收集和报送义务的目的和范围之外的,企业仍然应当以征得员工同意为前提。任何企业在未获得相关机关授权的情况下,不得以疫情防控、疾病防治为由,未经员工同意收集使用其个人信息;而对于疫情防控机关所要求的信息,企业负有主动收集并报送的义务,但若员工拒绝提供的,企业宜采取沟通的方式,向员工说明企业收集和上报员工与疫情相关信息的法律依据和必要性,提示瞒报行为可能面临的法律风险,请员工积极予以配合;同时,鉴于企业负有与疫情相关的信息收集和报送义务,在员工拒绝配合的情况下,建议企业及时将有关情况上报至地方政府或卫生行政部门、公安部门,做好预防工作,并等待进一步指示。
4. 与疫情有关的员工个人信息发生泄漏,企业需承担相应法律责任
在此次疫情防控期间,由于部分信息收集者、发布者保护个人信息的法律意识淡薄等原因,造成了大量与疫情有关的个人信息在各种亲友、同事微信群等互联网平台中肆意流传,大量个人敏感信息泄露事件频发,给相关个人正常生活带来极大的困扰。这些泄露的信息中不仅涉及到个人的姓名、年龄、行动轨迹等,也包括身份证号、家庭住址、电话等重要的个人隐私,根据《个人信息安全规范》,身份证件号码、行踪轨迹、住宿信息、健康生理信息等属于个人敏感信息,个人敏感信息一旦泄露、非法提供或滥用,可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。
2020年1月25日,江苏省海州居民吴某利用工作便利,将单位工作群中一份涉及新型冠状病毒肺炎疫情人员登记表下载发至其家庭微信群中,后其父亲将该表发布在其所在单位的工作群中,随后引起大量网友的截屏和转发,严重干扰到当事人的正常生活。当晚11时许,海州公安分局新南派出所成功将其抓获。根据《治安管理处罚法》第四十二条第六款之规定,吴某因散布他人隐私被依法行政拘留十日并处罚款。
无独有偶,2020年1月30日,湖南省益阳市政府新闻办官方公众号“益阳发布”通报称,2020年1月28日,益阳市巴黎馨苑、梓山苑、广电家园等居民住宅小区的业主微信群内出现“关于益阳市第四人民医院报告一例新型冠状病毒肺炎病例的调查报告”电子版内容及截图,内容涉及市民章某某及其亲属等11人的个人隐私信息,引起大量转发和议论,并引发部分市民恐慌,对疫情防控工作带来负面影响。经查,益阳市赫山区卫生健康局党组成员、副局长舒庆国等人将属于内部工作文件且涉及多人隐私的调查报告,转发给无关人员进而传播至微信群,违反疫情防控工作纪律并侵害他人隐私,造成严重社会影响。事发后,舒庆国等四人主动接受调查,认错态度较好。经市纪委市监委同意,赫山区纪委监委决定对舒庆国予以党纪立案调查,对段君飞、邓伟给予诫勉谈话;由相关部门对徐燕给予通报批评。
由于此前处于春节假期,大部分企业还未复工,因此与疫情有关的个人信息的收集、报送工作基本是由有关政府部门、街道、乡镇以及居民委员会、村民委员会等负责,信息泄露事件也大多与这些单位、组织有关。一旦企业复工后,企业将面临承担疫情防控工作的主体责任。企业在收集、处理、报送员工与疫情有关的个人信息过程中,不得泄露涉及个人隐私的有关信息、资料,否则应承担相应的法律责任。
首先,个人信息受《网安法》保护,根据其相关规定,任何个人和组织窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。一旦个人信息泄露事件构成侵犯隐私权的,被侵权人可根据《中华人民共和国侵权行为法》主张侵权主体按照过错程度承担侵权责任。同时,根据《治安管理处罚法》第四十二条的相关规定,散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。最后,如果违法向他人出售、提供公民个人信息,情节严重的,还可能涉嫌构成《中华人民共和国刑法》第二百五十三条之一规定的“侵犯公民个人信息罪”而被追究刑事责任。
5. 企业依法规范收集、处理、报送员工的疫情相关信息的要点总结
企业在收集、处理、报送员工疫情相关信息时,应当处理好公共利益与个人合法权益平衡的问题。企业应当在保护公共利益的前提之下,对涉及疫情信息报告的相关员工个人信息进行有效保护。
一方面,企业应当意识到,全方位做好新型冠状病毒肺炎疫情防控和应对准备工作,提高应对突发疫情能力,有效预防、控制和消除疫情及其危害,是维护公共利益和社会秩序的必要措施,也是所有企业应当承担起的社会责任。作为企业,在涉及疫情防控信息方面,需要保证信息传递通道自上而下的及时和畅通:
(1) 对内,及时向本企业员工传达党中央、国务院的指示精神,并根据各级政府相关指导意见做好内部工作部署。根据《传染病防治法》等相关法律规定,组织开展企业内部疫情排查工作,了解员工必要的行程和动态并进行信息登记。做好与员工的充分沟通,提示教育每名员工要秉着对公众健康安全负责任的态度,不瞒报、谎报行程信息,不隐瞒与发热伴呼吸道症状患者(含疑似患者)的密切接触历史信息。同时做好内部宣传工作,向所有员工充分告知刻意拒绝提供相关信息或隐瞒、缓报或者谎报信息将可能承担的不利法律责任。
(2) 对外,根据《传染病防治法》等相关法律规定,企业应与地方政府卫生行政部门(疾病防控机构/医疗机构)以及上级监管机构等各方建立信息报送机制,发现问题要做到信息的及时准确上报。
另一方面,企业也应当意识到,所有员工,包括与疫情有关的相关员工,其个人信息等合法权益也应得到充分的保护。无论企业是作为这些个人信息的控制者还是处理者,在进行信息登记、报送与披露时,应注意如下方面:
(1) 根据《个人信息安全规范》的相关规定,企业应谨遵个人信息报告必要性原则,报告疫情防控所必须的员工个人信息(包括但不限于姓名、联系方式、地址、位置信息、行踪轨迹、健康信息、与特定人员接触情况、医疗机构就诊情况等)以满足保护公共利益所必须为前提。网信办通知亦明确指出,“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。”因此,企业收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,在报告的同时,请求相关信息接收方在因公共利益保护需要进行个人信息公开披露时,同样遵守必要性原则,将对员工的个人影响降到最低。
(2) 依据此次收集员工信息敏感程度的特点,结合《个人信息安全规范》的相关规定,企业在处理员工信息时,应采取严格加密方式,严格收集权限,严格落实专人进行加密传输与处理,且采取严格的存储、分级保护机制对该信息进行分级分类管理。鉴于此次疫情的特殊性,企业应仅在必要时,在严格控制人员最小必要数量及权限审批的前提下进行调用查阅,将潜在的风险降到最低。
(3) 根据网信办通知的相关规定,“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。”另外根据《传染病防治法》第三十八条的相关规定,国家建立传染病疫情信息公布制度,国务院卫生行政部门及省、自治区、直辖市人民政府卫生行政部门负责向社会公布传染病疫情信息。据此,仅国务院及省级人民政府的卫生行政部门有权向社会公开披露相关信息,一般企业若在网络上公开披露相关信息,缺乏合法依据,同时将严重损害个人信息主体的基本权利。除因保护公共利益需要报告的必要信息外,企业应对收集的员工个人信息,采取必要的保密措施,不得随意对任意第三方进行披露。在必须向地方政府卫生行政部门(疾病防控机构/医疗机构)以及上级监管机构披露时,请求相关信息接收方予以同样的保护。
(4) 此外,网信办通知鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。因此,具有大数据收集、处理、分析等能力和便利条件的企业应践行社会责任,积极利用大数据,针对人员流动情况,形成具有参考价值的动态分析报告等,为联防联控工作提供大数据支持。
(5) 最后,网信办通知还提出,“收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露”。由于此次疫情特殊,一旦相关信息泄露,将对员工及其家庭造成极大的影响。因此所有收集、处理、报送员工相关个人信息的企业,还应做好员工个人信息泄露的应急预案。
沪公网安备 31010402007129号
