2022年4月30日(周六)晚,上海赛博网络安全产业创新研究院联合安永(中国)企业咨询有限公司主办「数安周享会 · Cyber Talk」第二期直播活动。本期以“疫情下的个人信息保护”为主题,依次探讨了“团长”作为个人信息处理者,如何对个人信息处理活动负责?团购企业又是如何看待这些问题的?此外,疫情下还存在哪些典型的个人信息风险场景?
本期特邀嘉宾:
刘境棠:上海赛博网络安全产业创新研究院高级研究员
疫情期间企业在哪些情形下会涉及到个人信息处理?为疫情防控目的处理个人信息需要注意躲避哪些“坑”?违反《个人信息保护法》将要负哪些法律责任?本篇文章将为你一一解答。
01 企业个人信息处理的典型场景
来访登记
企业出于疫情防控目的,会对访客进行来访登记,要求来访人员填写姓名、公司名称、身份证号、联系电话等信息。
员工情况收集
企业会通过OA系统上报、邮件、企业微信群组、问卷调查等方式持续向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等。
信息报送
企业对收集的信息进行统计和监测,在必要时,需要向监管部门报告企业员工的整体情况。
02 为疫情防控目的处理个人信息所涉的法律问题
合法性基础
Q:为疫情防控目的要求来访人员登记是否合法?
A:合法。
【法律依据】国务院应对新型冠状病毒感染肺炎疫情联防联控机制于2020年1月30日印发的《公共场所新型冠状病毒感染的肺炎卫生防护指南》中明确规定,办公楼等场所应当加强对来访人员健康监测和登记等工作。
Q:为疫情防控目的收集员工、访客情况信息是否属于同意原则的例外?
A:属于。
【法律依据】《个人信息保护法》第十三条第一款第二项至第七项规定了不需要取得个人同意处理个人信息的一些情形,包括为履行法定职责或者法定义务所必需,为应对突发公共卫生事件,以及法律、行政法规规定的其他情形。根据特别法优于一般法的原则,为疫情防控目的收集员工、访客情况信息符合以上规定,可以事先不征得个人同意。
2020年1月20日,国家卫健委发布1号公告,将新型冠状病毒感染的肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。
《传染病防治法》第三十一条规定“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告”,由此可推出企业未履行法定报告义务而进行的个人信息处理活动,可以视为授权独立原则的例外。
《突发公共卫生事件应急条例》也有类似规定,“任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报”。
告知
Q:企业收集个人信息需不需要进行告知?
A:需要,一般情况下需告知,并且企业应当以适当的方式告知。例如,在要求员工进行登记时在邮件中写明登记的目的、可能采取的处理行为等,在要求访客进行登记时可在入口处张贴相关通知。
【法律依据】《个人信息保护法》第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知……
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
收集
Q:以来访登记表的形式收集是否合法?
A:不合法。在填写来访登记表时,后登记的人可以看到前登记人的信息,这显然存在信息泄露风险。
【法律依据】《个人信息保护法》第五十一条明确规定,个人信息处理者应当要采取措施防止个人信息的泄漏、篡改、丢失。
中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》规定,任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。
【建议】来访登记使用“场所码”
“场所码”服务是为满足各类企业机构防控核查提供的重要工具。申请通过后可以下载打印张贴在办公地点,出入员工和访客只要扫一扫,即可完成访客信息登记、记录人员健康状态,方便单位做好防控核查工作。企业可在后台查看本单位“场所码”的扫码记录,包括当日次数、码色统计、扫码详情等,做好疫情防控监测和企业的个人信息保护。
Q:为疫情防控目的收集个人信息的范围如何确定?
A:应当遵循最小必要原则。为进行疫情排查,有必要收集相关人员的姓名、身份证号、电话、住址等信息是符合最小必要原则的;但收集民族、职业等就可能超出实现上述目的所需要的范围。
【法律依据】《个人信息保护法》第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
使用
Q:为疫情防控目的可否利用收集的信息进行个人行迹追踪和数据分析?
A:仅特定机构有权为疫情防控目的追踪个人行踪或流调分析。一般企业若未经委托授权进行,可能会超出法定授权使用范围。
【法律依据】《中华人民共和国传染病防治法》第七条 各级疾病预防控制机构承担传染病监测、预测、流行病学调查、疫情报告以及其他预防、控制工作。
第十二条 在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
Q:为疫情防控目的所收集的个人信息如何避免滥用?
A:第一,规定个人信息的使用目的和使用范围:仅限疫情排查。第二,访问权限管理:仅限必要人员。第三,避免对相关人员歧视性对待。
公开披露
Q:为疫情防控目的是否可以披露个人信息?
A;分两种情况。一种是公开披露:仅限国务院及省级人民政府的卫生行政部门,一般企业公开披露缺乏合法依据。另一种是内部披露:需充分重视对相关人员个人信息的保护,避免对相关人员造成歧视或产生其他重大影响,可采用去识别化处理。
【法律依据】《中华人民共和国传染病防治法》第三十八条 国家建立传染病疫情信息公布制度,国务院卫生行政部门及省、自治区、直辖市人民政府卫生行政部门负责向社会公布传染病疫情信息。
中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》 3.为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
信息报送
Q:企业承担哪些与疫情相关的报送义务?
A:企业应及时登记和排查员工、访客等相关信息,向附近的疾病预防控制机构(各地疾控中心)或者医疗机构(医院等)报告。
【法律依据】《中华人民共和国传染病防治法》第三十一条 任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
《突发公共卫生事件应急条例》 任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。
权利响应
Q:为疫情防控目的处理个人信息,是否可以限制个人信息主体部分权利的行使?
A:处理个人信息的合法性基础是基于履行法律法规规定的义务,而不是基于授权同意,因此可以限制或不响应个人信息主体提出的部分权利请求。
【法律依据】《个人信息保护法》第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
第四十五条至第四十八条 规定个人信息主体享有查询权、复制权、转移权、更正权、删除权、撤回同意权等权利。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
安全措施
Q:企业可以采取哪些安全措施?
A:第一,加强信息保护的安全技术措施,如访问控制、加密、物理环境保护等。第二,建立信息安全应急响应机制。第三,疫情防控目的实现后,及时删除或匿名化处理。
【法律依据】《个人信息保护法》第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第五十一条 个人信息处理者应当……采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
疫情下,其他个人信息保护场景
居家办公远程监测数据问题:
Q:居家办公期间企业会要求员工定时汇报、签到打卡、通过视频监控工作状态。但要注意视频监控、系统监测软件、插件的使用,如果操作不当,并且没有事先取得员工的授权同意,可能违反《个人信息保护法》、侵犯员工隐私权。因此,远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
A:首先,查阅企业的员工合同或员工个人信息收集授权书,判断是否满足远程办公监测的要求。如果授权存在瑕疵,建议企业采取邮件告知、回复或授权书电子签章的形式来进行补充授权。
其次,针对不同场景,逐项评估收集员工个人信息的必要性。评估是否有必要通过视频监控的方式来监控员工的工作状态,有没有替代的方案?如果确实有必要,最好还是要进行事前的个人信息保护影响评估。
最后,遵守目的限制原则。没有经过员工的授权,不要将收集的信息用于工作监测以外的其他目的。
在线通讯数据问题:
Q:当会议的主持人开启录制会议的功能的时候,其实他就已经成为了个人信息的处理者。按照《个人信息保护法》要求,主持人收集其他参会个人信息的行为,首先应该征得其他参会者的同意,录制以后也应该要以安全的方式把视频存储到本地或上传到可信的云端服务器。但大多数的用户并没有意识到自己已经成为个人信息处理者,甚至有侵犯他人的合法权益之虞,更不用说会采取符合《个人信息保护法》要求的保护的措施。
那么会议软件又是否尽到了充分的提醒义务?以某会议软件为例,其隐私政策提及被录制会议的参会人会收到录制提醒,如果参会人不同意录制,其声音或画面可以选择退出会议。由于其录制有两种方式,一种是本地录制,一种是云录制,在云录制开启时,屏幕右上角会有短暂两三秒的“会议录制中”、“云录制已结束”的弹窗提醒;本地录制则不会有提醒。在线会议录制过程中,会议软件采用的此种告知同意机制是否合法合理?
A:不够合法合理。
首先,不符合事前告知、授权同意原则。视频录制的隐私政策不存在前述的合法性基础,不属于授权同意原则的例外;已经开始录制以后再告知参会者可以选择退出也为时已晚,不符合事先告知的原则。
其次,短暂两三秒弹窗提醒,不符合显著、明确要求。
再次,本地录制未有提示,缺乏相应的提醒。
最后,人脸、声纹属于敏感个人信息,如要录制需要取得个人信息主体单独同意。
【建议】企业及会议主持人,要提高信息保护意识(尤其是在会议录制过程中)。
提供远程办公产品和服务的企业,除了需要在用户协议中明确划分双方的责任之外,有必要通过技术措施,对用户特别是视频会议的主持人进行管理。可以在主持人点击录制视频的时候,设置主持人-参会者的双向弹窗,重申隐私政策以及用户应承担的法律责任。会议软件应在取得参会者的明示同意后再开始录制,并要对提示和同意的过程进行记录。
03 法律责任
《个人信息保护法》第六十六、六十七、六十九条规定了违反《个人信息保护法》应当承担的法律责任,归纳为以下几方面:
责令改正,给予警告。
没收违法所得。
对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
最高处5000万元或上一年度营业额5%的罚款。
停业整顿、吊销相关业务许可或者吊销营业执照。
对直接负责的主管人员和其他直接责任人员最高处100万元罚款,可禁止从事相关职业。
记入信用档案,并予以公示。
民事损害赔偿:过错推定原则。处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
参考资料:
1.国务院应对新型冠状病毒感染的肺炎疫情联防联控机制:关于印发公共场所新型冠状病毒感染的肺炎卫生防护指南的通知(肺炎机制发〔2020〕15号),http://www.gov.cn/xinwen/2020-01/31/content_5473402.htm
2.中央网信办:关于做好个人信息保护利用大数据支撑联防联控工作的通知,http://www.gov.cn/xinwen/2020-02/09/content_5476472.htm
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。