2022年4月30日（周六）晚，上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院聯(lián)合安永(中國(guó))企業(yè)咨詢有限公司主辦「數(shù)安周享會(huì) · Cyber Talk」第二期直播活動(dòng)。本期以“疫情下的個(gè)人信息保護(hù)”為主題，依次探討了“團(tuán)長(zhǎng)”作為個(gè)人信息處理者，如何對(duì)個(gè)人信息處理活動(dòng)負(fù)責(zé)？團(tuán)購(gòu)企業(yè)又是如何看待這些問(wèn)題的？此外，疫情下還存在哪些典型的個(gè)人信息風(fēng)險(xiǎn)場(chǎng)景？

本期特邀嘉賓：

劉境棠：上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院高級(jí)研究員

疫情期間企業(yè)在哪些情形下會(huì)涉及到個(gè)人信息處理？為疫情防控目的處理個(gè)人信息需要注意躲避哪些“坑”？違反《個(gè)人信息保護(hù)法》將要負(fù)哪些法律責(zé)任？本篇文章將為你一一解答。

01 企業(yè)個(gè)人信息處理的典型場(chǎng)景

來(lái)訪登記
企業(yè)出于疫情防控目的，會(huì)對(duì)訪客進(jìn)行來(lái)訪登記，要求來(lái)訪人員填寫(xiě)姓名、公司名稱、身份證號(hào)、聯(lián)系電話等信息。

員工情況收集
企業(yè)會(huì)通過(guò)OA系統(tǒng)上報(bào)、郵件、企業(yè)微信群組、問(wèn)卷調(diào)查等方式持續(xù)向員工收集各類疫情相關(guān)的信息，包括個(gè)人及家庭成員的健康狀況、近期所在地區(qū)、當(dāng)前住址、所乘航班或火車班次等。

信息報(bào)送
企業(yè)對(duì)收集的信息進(jìn)行統(tǒng)計(jì)和監(jiān)測(cè)，在必要時(shí)，需要向監(jiān)管部門報(bào)告企業(yè)員工的整體情況。

02 為疫情防控目的處理個(gè)人信息所涉的法律問(wèn)題

合法性基礎(chǔ)
Q：為疫情防控目的要求來(lái)訪人員登記是否合法？
A：合法。
【法律依據(jù)】國(guó)務(wù)院應(yīng)對(duì)新型冠狀病毒感染肺炎疫情聯(lián)防聯(lián)控機(jī)制于2020年1月30日印發(fā)的《公共場(chǎng)所新型冠狀病毒感染的肺炎衛(wèi)生防護(hù)指南》中明確規(guī)定，辦公樓等場(chǎng)所應(yīng)當(dāng)加強(qiáng)對(duì)來(lái)訪人員健康監(jiān)測(cè)和登記等工作。

Q：為疫情防控目的收集員工、訪客情況信息是否屬于同意原則的例外？
A：屬于。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第十三條第一款第二項(xiàng)至第七項(xiàng)規(guī)定了不需要取得個(gè)人同意處理個(gè)人信息的一些情形，包括為履行法定職責(zé)或者法定義務(wù)所必需，為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，以及法律、行政法規(guī)規(guī)定的其他情形。根據(jù)特別法優(yōu)于一般法的原則，為疫情防控目的收集員工、訪客情況信息符合以上規(guī)定，可以事先不征得個(gè)人同意。
2020年1月20日，國(guó)家衛(wèi)健委發(fā)布1號(hào)公告，將新型冠狀病毒感染的肺炎納入《中華人民共和國(guó)傳染病防治法》規(guī)定的乙類傳染病，并采取甲類傳染病的預(yù)防、控制措施。
《傳染病防治法》第三十一條規(guī)定“任何單位和個(gè)人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時(shí)，應(yīng)當(dāng)及時(shí)向附近的疾病預(yù)防控制機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)報(bào)告”，由此可推出企業(yè)未履行法定報(bào)告義務(wù)而進(jìn)行的個(gè)人信息處理活動(dòng)，可以視為授權(quán)獨(dú)立原則的例外。
《突發(fā)公共衛(wèi)生事件應(yīng)急條例》也有類似規(guī)定，“任何單位和個(gè)人對(duì)突發(fā)事件，不得隱瞞、緩報(bào)、謊報(bào)或者授意他人隱瞞、緩報(bào)、謊報(bào)”。

告知
Q：企業(yè)收集個(gè)人信息需不需要進(jìn)行告知？
A：需要，一般情況下需告知，并且企業(yè)應(yīng)當(dāng)以適當(dāng)?shù)姆绞礁嬷?。例如，在要求員工進(jìn)行登記時(shí)在郵件中寫(xiě)明登記的目的、可能采取的處理行為等，在要求訪客進(jìn)行登記時(shí)可在入口處張貼相關(guān)通知。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第十七條 個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知……
第十八條 個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。
緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

收集
Q：以來(lái)訪登記表的形式收集是否合法？
A：不合法。在填寫(xiě)來(lái)訪登記表時(shí)，后登記的人可以看到前登記人的信息，這顯然存在信息泄露風(fēng)險(xiǎn)。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第五十一條明確規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)要采取措施防止個(gè)人信息的泄漏、篡改、丟失。
中央網(wǎng)信辦《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》規(guī)定，任何單位和個(gè)人未經(jīng)被收集者同意，不得公開(kāi)姓名、年齡、身份證號(hào)碼、電話號(hào)碼、家庭住址等個(gè)人信息。
【建議】來(lái)訪登記使用“場(chǎng)所碼”
“場(chǎng)所碼”服務(wù)是為滿足各類企業(yè)機(jī)構(gòu)防控核查提供的重要工具。申請(qǐng)通過(guò)后可以下載打印張貼在辦公地點(diǎn)，出入員工和訪客只要掃一掃，即可完成訪客信息登記、記錄人員健康狀態(tài)，方便單位做好防控核查工作。企業(yè)可在后臺(tái)查看本單位“場(chǎng)所碼”的掃碼記錄，包括當(dāng)日次數(shù)、碼色統(tǒng)計(jì)、掃碼詳情等，做好疫情防控監(jiān)測(cè)和企業(yè)的個(gè)人信息保護(hù)。

Q：為疫情防控目的收集個(gè)人信息的范圍如何確定？
A：應(yīng)當(dāng)遵循最小必要原則。為進(jìn)行疫情排查，有必要收集相關(guān)人員的姓名、身份證號(hào)、電話、住址等信息是符合最小必要原則的；但收集民族、職業(yè)等就可能超出實(shí)現(xiàn)上述目的所需要的范圍。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第六條 處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。
收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。

使用
Q：為疫情防控目的可否利用收集的信息進(jìn)行個(gè)人行跡追蹤和數(shù)據(jù)分析？
A：僅特定機(jī)構(gòu)有權(quán)為疫情防控目的追蹤個(gè)人行蹤或流調(diào)分析。一般企業(yè)若未經(jīng)委托授權(quán)進(jìn)行，可能會(huì)超出法定授權(quán)使用范圍。
【法律依據(jù)】《中華人民共和國(guó)傳染病防治法》第七條 各級(jí)疾病預(yù)防控制機(jī)構(gòu)承擔(dān)傳染病監(jiān)測(cè)、預(yù)測(cè)、流行病學(xué)調(diào)查、疫情報(bào)告以及其他預(yù)防、控制工作。
第十二條 在中華人民共和國(guó)領(lǐng)域內(nèi)的一切單位和個(gè)人，必須接受疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)有關(guān)傳染病的調(diào)查、檢驗(yàn)、采集樣本、隔離治療等預(yù)防、控制措施，如實(shí)提供有關(guān)情況。疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)不得泄露涉及個(gè)人隱私的有關(guān)信息、資料。

Q：為疫情防控目的所收集的個(gè)人信息如何避免濫用？
A：第一，規(guī)定個(gè)人信息的使用目的和使用范圍：僅限疫情排查。第二，訪問(wèn)權(quán)限管理：僅限必要人員。第三，避免對(duì)相關(guān)人員歧視性對(duì)待。

公開(kāi)披露
Q：為疫情防控目的是否可以披露個(gè)人信息？
A；分兩種情況。一種是公開(kāi)披露：僅限國(guó)務(wù)院及省級(jí)人民政府的衛(wèi)生行政部門，一般企業(yè)公開(kāi)披露缺乏合法依據(jù)。另一種是內(nèi)部披露：需充分重視對(duì)相關(guān)人員個(gè)人信息的保護(hù)，避免對(duì)相關(guān)人員造成歧視或產(chǎn)生其他重大影響，可采用去識(shí)別化處理。
【法律依據(jù)】《中華人民共和國(guó)傳染病防治法》第三十八條 國(guó)家建立傳染病疫情信息公布制度，國(guó)務(wù)院衛(wèi)生行政部門及省、自治區(qū)、直轄市人民政府衛(wèi)生行政部門負(fù)責(zé)向社會(huì)公布傳染病疫情信息。
中央網(wǎng)信辦《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》 3.為疫情防控、疾病防治收集的個(gè)人信息，不得用于其他用途。任何單位和個(gè)人未經(jīng)被收集者同意，不得公開(kāi)姓名、年齡、身份證號(hào)碼、電話號(hào)碼、家庭住址等個(gè)人信息，因聯(lián)防聯(lián)控工作需要，且經(jīng)過(guò)脫敏處理的除外。

信息報(bào)送
Q：企業(yè)承擔(dān)哪些與疫情相關(guān)的報(bào)送義務(wù)？
A：企業(yè)應(yīng)及時(shí)登記和排查員工、訪客等相關(guān)信息，向附近的疾病預(yù)防控制機(jī)構(gòu)（各地疾控中心）或者醫(yī)療機(jī)構(gòu)（醫(yī)院等）報(bào)告。
【法律依據(jù)】《中華人民共和國(guó)傳染病防治法》第三十一條 任何單位和個(gè)人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時(shí)，應(yīng)當(dāng)及時(shí)向附近的疾病預(yù)防控制機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)報(bào)告。
《突發(fā)公共衛(wèi)生事件應(yīng)急條例》 任何單位和個(gè)人對(duì)突發(fā)事件，不得隱瞞、緩報(bào)、謊報(bào)或者授意他人隱瞞、緩報(bào)、謊報(bào)。

權(quán)利響應(yīng)
Q：為疫情防控目的處理個(gè)人信息，是否可以限制個(gè)人信息主體部分權(quán)利的行使？
A：處理個(gè)人信息的合法性基礎(chǔ)是基于履行法律法規(guī)規(guī)定的義務(wù)，而不是基于授權(quán)同意，因此可以限制或不響應(yīng)個(gè)人信息主體提出的部分權(quán)利請(qǐng)求。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第四十四條 個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外。
第四十五條至第四十八條 規(guī)定個(gè)人信息主體享有查詢權(quán)、復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正權(quán)、刪除權(quán)、撤回同意權(quán)等權(quán)利。
第五十條 個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說(shuō)明理由。

安全措施
Q：企業(yè)可以采取哪些安全措施？
A：第一，加強(qiáng)信息保護(hù)的安全技術(shù)措施，如訪問(wèn)控制、加密、物理環(huán)境保護(hù)等。第二，建立信息安全應(yīng)急響應(yīng)機(jī)制。第三，疫情防控目的實(shí)現(xiàn)后，及時(shí)刪除或匿名化處理。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第九條 個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。
第五十一條 個(gè)人信息處理者應(yīng)當(dāng)……采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失：
（一）制定內(nèi)部管理制度和操作規(guī)程；
（二）對(duì)個(gè)人信息實(shí)行分類管理；
（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；
（四）合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；
（五）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；
（六）法律、行政法規(guī)規(guī)定的其他措施。

疫情下，其他個(gè)人信息保護(hù)場(chǎng)景

    居家辦公遠(yuǎn)程監(jiān)測(cè)數(shù)據(jù)問(wèn)題：

Q:居家辦公期間企業(yè)會(huì)要求員工定時(shí)匯報(bào)、簽到打卡、通過(guò)視頻監(jiān)控工作狀態(tài)。但要注意視頻監(jiān)控、系統(tǒng)監(jiān)測(cè)軟件、插件的使用，如果操作不當(dāng)，并且沒(méi)有事先取得員工的授權(quán)同意，可能違反《個(gè)人信息保護(hù)法》、侵犯員工隱私權(quán)。因此，遠(yuǎn)程辦公期間，為有效監(jiān)督和管理員工，企業(yè)希望對(duì)員工進(jìn)行適當(dāng)?shù)谋O(jiān)測(cè)，如何才能做到合法合規(guī)？
A：首先，查閱企業(yè)的員工合同或員工個(gè)人信息收集授權(quán)書(shū)，判斷是否滿足遠(yuǎn)程辦公監(jiān)測(cè)的要求。如果授權(quán)存在瑕疵，建議企業(yè)采取郵件告知、回復(fù)或授權(quán)書(shū)電子簽章的形式來(lái)進(jìn)行補(bǔ)充授權(quán)。
其次，針對(duì)不同場(chǎng)景，逐項(xiàng)評(píng)估收集員工個(gè)人信息的必要性。評(píng)估是否有必要通過(guò)視頻監(jiān)控的方式來(lái)監(jiān)控員工的工作狀態(tài)，有沒(méi)有替代的方案？如果確實(shí)有必要，最好還是要進(jìn)行事前的個(gè)人信息保護(hù)影響評(píng)估。
最后，遵守目的限制原則。沒(méi)有經(jīng)過(guò)員工的授權(quán)，不要將收集的信息用于工作監(jiān)測(cè)以外的其他目的。

    在線通訊數(shù)據(jù)問(wèn)題：
Q:當(dāng)會(huì)議的主持人開(kāi)啟錄制會(huì)議的功能的時(shí)候，其實(shí)他就已經(jīng)成為了個(gè)人信息的處理者。按照《個(gè)人信息保護(hù)法》要求，主持人收集其他參會(huì)個(gè)人信息的行為，首先應(yīng)該征得其他參會(huì)者的同意，錄制以后也應(yīng)該要以安全的方式把視頻存儲(chǔ)到本地或上傳到可信的云端服務(wù)器。但大多數(shù)的用戶并沒(méi)有意識(shí)到自己已經(jīng)成為個(gè)人信息處理者，甚至有侵犯他人的合法權(quán)益之虞，更不用說(shuō)會(huì)采取符合《個(gè)人信息保護(hù)法》要求的保護(hù)的措施。

那么會(huì)議軟件又是否盡到了充分的提醒義務(wù)？以某會(huì)議軟件為例，其隱私政策提及被錄制會(huì)議的參會(huì)人會(huì)收到錄制提醒，如果參會(huì)人不同意錄制，其聲音或畫(huà)面可以選擇退出會(huì)議。由于其錄制有兩種方式，一種是本地錄制，一種是云錄制，在云錄制開(kāi)啟時(shí)，屏幕右上角會(huì)有短暫兩三秒的“會(huì)議錄制中”、“云錄制已結(jié)束”的彈窗提醒；本地錄制則不會(huì)有提醒。在線會(huì)議錄制過(guò)程中，會(huì)議軟件采用的此種告知同意機(jī)制是否合法合理？

A：不夠合法合理。
首先，不符合事前告知、授權(quán)同意原則。視頻錄制的隱私政策不存在前述的合法性基礎(chǔ)，不屬于授權(quán)同意原則的例外；已經(jīng)開(kāi)始錄制以后再告知參會(huì)者可以選擇退出也為時(shí)已晚，不符合事先告知的原則。
其次，短暫兩三秒彈窗提醒，不符合顯著、明確要求。
再次，本地錄制未有提示，缺乏相應(yīng)的提醒。
最后，人臉、聲紋屬于敏感個(gè)人信息，如要錄制需要取得個(gè)人信息主體單獨(dú)同意。

【建議】企業(yè)及會(huì)議主持人，要提高信息保護(hù)意識(shí)（尤其是在會(huì)議錄制過(guò)程中）。
提供遠(yuǎn)程辦公產(chǎn)品和服務(wù)的企業(yè)，除了需要在用戶協(xié)議中明確劃分雙方的責(zé)任之外，有必要通過(guò)技術(shù)措施，對(duì)用戶特別是視頻會(huì)議的主持人進(jìn)行管理?？梢栽谥鞒秩它c(diǎn)擊錄制視頻的時(shí)候，設(shè)置主持人-參會(huì)者的雙向彈窗，重申隱私政策以及用戶應(yīng)承擔(dān)的法律責(zé)任。會(huì)議軟件應(yīng)在取得參會(huì)者的明示同意后再開(kāi)始錄制，并要對(duì)提示和同意的過(guò)程進(jìn)行記錄。

03 法律責(zé)任

《個(gè)人信息保護(hù)法》第六十六、六十七、六十九條規(guī)定了違反《個(gè)人信息保護(hù)法》應(yīng)當(dāng)承擔(dān)的法律責(zé)任，歸納為以下幾方面：
責(zé)令改正，給予警告。
沒(méi)收違法所得。
對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)。
最高處5000萬(wàn)元或上一年度營(yíng)業(yè)額5%的罰款。
停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照。
對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員最高處100萬(wàn)元罰款，可禁止從事相關(guān)職業(yè)。
記入信用檔案，并予以公示。

民事?lián)p害賠償：過(guò)錯(cuò)推定原則。處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

參考資料：
1.國(guó)務(wù)院應(yīng)對(duì)新型冠狀病毒感染的肺炎疫情聯(lián)防聯(lián)控機(jī)制：關(guān)于印發(fā)公共場(chǎng)所新型冠狀病毒感染的肺炎衛(wèi)生防護(hù)指南的通知（肺炎機(jī)制發(fā)〔2020〕15號(hào)），http://www.gov.cn/xinwen/2020-01/31/content_5473402.htm
2.中央網(wǎng)信辦：關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知，http://www.gov.cn/xinwen/2020-02/09/content_5476472.htm

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:賽博研究院

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明