疫情相关的信息保护和网络问题研究系列之一——返程复工员工个人信息收集与保护重点问答
前言
时至今日,疫情发展超乎最早的想象。下一阶段将会迎来返程复工的高潮。目前我们也注意到为了保证疫情控制和市民的安全,不同的机构和途径,都会采用各种方式收集个人信息并进行处理和分析。在这个过程之中,对于如何能够合法合规的收集信息、最小程度的影响被收集的信息主体的权利,并且能够有效地实现疫情防控是一个非常大的挑战,也是在以往的信息收集和处理的法律问题上没有遇到的艰难的课题。另一方面,企业在积极防范疫情的过程之中,如何应对远程办公所带来的网络和信息保护的挑战,也是另外一个相关的问题。
我们在此后会通过几篇相对比较简短的文章,用我们在相关法律领域的知识和经验,对这些涉及的问题做一些思考和解答,供大家参考。
本篇之中,我们将从企业的角度出发,结合我国现行法律法规对个人信息保护的具体要求,以问答的方式,简要解答企业在员工返程复工后有关复工员工个人信息收集与保护的实操问题。由于篇幅所限,我们没有展开详尽的法律分析或理论探讨,力求在有限篇幅内提供给公司整体的思路和原则。
一、 企业收集员工信息的法律依据是什么
《传染病防治法》第12条规定,在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。《突发公共卫生事件应急条例》第21条规定,任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。
可见,疫情之下,企业和个人都具有参与防控、如实提供相关信息的法律义务。因此,若有权主管机关要求,企业需要收集员工的有关信息,及时向疾控部门和相关部门汇报。
二、 收集复工员工的个人信息是否需要员工同意
根据《网络安全法》的规定,个人信息的收集目的、方式和范围都应明确告知被收集者,且须经被收集者同意后方可收集 。此外,根据中央网络安全和信息化委员会办公室于2020年2月4日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称“《通知》”)的规定 ,未经复工员工的同意,企业不得以疫情防控和疾病防治为由擅自收集其个人信息。
综上,我们建议,企业出于疫情防控和保障全体员工健康的目的,需要收集复工员工与疫情相关的个人信息时,应遵循知情同意原则,在明确告知员工收集其个人信息的目的、方式和范围并取得其同意后,方可收集。
三、 收集个人信息的范围
根据《网络安全法》的规定,个人信息的收集应遵循合法、正当、必要的原则 。此外,《通知》也再次强调了疫情期间个人信息的收集应坚持“最小范围原则”。因此,即使当前疫情防控形势仍然严峻,我们建议企业仍应当注意评估收集方式和范围的必要性,坚持在与做好疫情防控、保障复工员工的健康和企业有序生产经营密切相关的最小范围内,收集复工员工的个人信息。
例如,考虑到相关专家认为本次新冠肺炎的潜伏期为3-14天,收集员工过往14天去过的城市,可能是疫情防控所必要的信息,但要求员工提供过往30天的详细行踪记录,则有待商榷。又例如,要求员工提供近期的健康状况,是否有发热、咳嗽等情况,在疫情防控的前提下是有必要的,但要求员工提供既往慢性病史则没有直接的关联,不建议收集。
此外,为方便企业,我们根据国务院应对新型冠状病毒感染肺炎疫情联防联控机制发布的《企事业单位复工复产疫情防控措施指南》(以下简称“《复工措施指南》”)的具体要求 ,简要总结了一般企业做好内部疫情防控所需收集的员工个人信息种类,供大家参考:
员工的身份信息,如姓名、身份证号;
员工的联系方式,如手机号码;
员工近期的健康生理信息,如近期内是否出现过发热、咳嗽、呼吸困难等新冠肺炎疑似症状或确诊病史等;
员工近期内的行程信息,例如员工返程复工途中搭乘的交通工具班次、近期内在疫情发生地区的居住史或旅行史等。
综上,企业收集复工员工的个人信息,既要满足疫情防控和保护全体员工健康的需要,掌握员工健康状况和近期动态;收集的过程中也要注意拟收集的复工员工个人信息与疫情防控的关联性及必要性,避免笼统地大量收集员工个人信息,给企业带来不必要的合规风险。
四、 企业收集员工与疫情相关个人信息后如何报告和披露
根据《传染病防治法》 以及《复工措施指南》 的要求,企业需要向疾病预防控制机构以及医疗机构如实报送与疫情防控相关的情况。因此,企业在收集复工员工与疫情相关的个人信息后,需要按照各地的疾病预防控制机构或医疗机构的具体要求,及时报送相关信息。
除履行上述法律、法规规定的报送义务外,企业如需要向第三方提供或公开其所收集的复工员工与疫情相关的个人信息的,则需要另行征得员工的同意。《通知》强调,即使在疫情防控的特殊时期,任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等其个人信息,因联防联控工作确有需要并且需公开的个人信息并且经过脱敏处理的除外 。我们建议,如企业确有需要向其他第三方提供或公开该等个人信息的,应首先与员工做好沟通,征得其同意;如员工不愿公开,而企业因疫情防控确有必要进行公开的,应在公开前做好个人信息的脱敏工作。
五、 企业收集的复工员工与疫情相关的个人信息可以存储多久
根据《信安规范》的要求,个人信息的保存应当满足最小化的要求,个人信息的保存时限应当是实现个人信息收集、处理目的的最短时间,在超过保存时限后,应当及时对个人信息进行删除或进行匿名化处理。
因此,我们认为,企业在员工返程复工后收集的员工与疫情相关的个人信息,应当在满足疫情防控目的最短时限内进行保存。一般而言,在国家及各地方政府尚未宣布疫情防控工作结束前,企业仍有必要妥善保存该等个人信息。在疫情防控工作结束后,除部分企业确有必要延长保存时限且已取得相关员工同意的,应及时删除或进行匿名化处理。
六、 对于与工作场所有关的第三方信息收集是否应配合
企业在参与防疫工作时,除本地政府可能要求企业提交员工的相关个人信息外,企业还可能面临第三方要求提交相关信息的情况,例如,企业所在
写字楼物业。我们建议企业考虑以下几点来处理这类情况:
如第三方要求的信息不属于个人信息时,我们建议企业予以配合。例如,要求员工进入物业前测量体温,但无需提供姓名等个人信息的。
如第三方要求提供个人信息的,企业应当考虑该等第三方是否为《传染病防治法》、《突发公共卫生事件应急条例》项下规定的授权机构,如属于授权机构、并且要求的个人信息类型确属防疫必需的,企业应当配合提供。
如第三方不是以上授权机构,企业可要求该等第三方提供其获得授权的文件。第三方无法提供授权文件的,企业不应向其提供员工个人信息。
如第三方要求提供的个人信息明显与疫情防控无关的,企业应拒绝向其提供相关个人信息。
注:
1.《网络安全法》第四十一条,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
2.关于做好个人信息保护利用大数据支撑联防联控工作的通知》
第一条,各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
3.《网络安全法》第四十一条,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
4.《企事业单位复工复产疫情防控措施指南》
(一) 做好员工健康管理。……各单位要切实掌握员工流动情况……
(二) 实行健康状况报告。……要每天汇总员工健康状况……
5.《传染病防治法》第十二条,在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
6.《企事业单位复工复产疫情防控措施指南》
(各单位)要每天汇总员工健康状况,向当地疾控部门报告,发现异常情况及时报告并采取相应的防控措施。
7.《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第三条,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
