2022年4月30日(周六)晚,上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院聯(lián)合安永(中國(guó))企業(yè)咨詢有限公司主辦「數(shù)安周享會(huì) · Cyber Talk」第二期直播活動(dòng)。本期以“疫情下的個(gè)人信息保護(hù)”為主題,依次探討了“團(tuán)長(zhǎng)”作為個(gè)人信息處理者,如何對(duì)個(gè)人信息處理活動(dòng)負(fù)責(zé)?團(tuán)購(gòu)企業(yè)又是如何看待這些問(wèn)題的?此外,疫情下還存在哪些典型的個(gè)人信息風(fēng)險(xiǎn)場(chǎng)景?
本期特邀嘉賓:
劉境棠:上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院高級(jí)研究員
疫情期間企業(yè)在哪些情形下會(huì)涉及到個(gè)人信息處理?為疫情防控目的處理個(gè)人信息需要注意躲避哪些“坑”?違反《個(gè)人信息保護(hù)法》將要負(fù)哪些法律責(zé)任?本篇文章將為你一一解答。
01 企業(yè)個(gè)人信息處理的典型場(chǎng)景
來(lái)訪登記
企業(yè)出于疫情防控目的,會(huì)對(duì)訪客進(jìn)行來(lái)訪登記,要求來(lái)訪人員填寫(xiě)姓名、公司名稱、身份證號(hào)、聯(lián)系電話等信息。
員工情況收集
企業(yè)會(huì)通過(guò)OA系統(tǒng)上報(bào)、郵件、企業(yè)微信群組、問(wèn)卷調(diào)查等方式持續(xù)向員工收集各類疫情相關(guān)的信息,包括個(gè)人及家庭成員的健康狀況、近期所在地區(qū)、當(dāng)前住址、所乘航班或火車班次等。
信息報(bào)送
企業(yè)對(duì)收集的信息進(jìn)行統(tǒng)計(jì)和監(jiān)測(cè),在必要時(shí),需要向監(jiān)管部門報(bào)告企業(yè)員工的整體情況。
02 為疫情防控目的處理個(gè)人信息所涉的法律問(wèn)題
合法性基礎(chǔ)
Q:為疫情防控目的要求來(lái)訪人員登記是否合法?
A:合法。
【法律依據(jù)】國(guó)務(wù)院應(yīng)對(duì)新型冠狀病毒感染肺炎疫情聯(lián)防聯(lián)控機(jī)制于2020年1月30日印發(fā)的《公共場(chǎng)所新型冠狀病毒感染的肺炎衛(wèi)生防護(hù)指南》中明確規(guī)定,辦公樓等場(chǎng)所應(yīng)當(dāng)加強(qiáng)對(duì)來(lái)訪人員健康監(jiān)測(cè)和登記等工作。
Q:為疫情防控目的收集員工、訪客情況信息是否屬于同意原則的例外?
A:屬于。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第十三條第一款第二項(xiàng)至第七項(xiàng)規(guī)定了不需要取得個(gè)人同意處理個(gè)人信息的一些情形,包括為履行法定職責(zé)或者法定義務(wù)所必需,為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件,以及法律、行政法規(guī)規(guī)定的其他情形。根據(jù)特別法優(yōu)于一般法的原則,為疫情防控目的收集員工、訪客情況信息符合以上規(guī)定,可以事先不征得個(gè)人同意。
2020年1月20日,國(guó)家衛(wèi)健委發(fā)布1號(hào)公告,將新型冠狀病毒感染的肺炎納入《中華人民共和國(guó)傳染病防治法》規(guī)定的乙類傳染病,并采取甲類傳染病的預(yù)防、控制措施。
《傳染病防治法》第三十一條規(guī)定“任何單位和個(gè)人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時(shí),應(yīng)當(dāng)及時(shí)向附近的疾病預(yù)防控制機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)報(bào)告”,由此可推出企業(yè)未履行法定報(bào)告義務(wù)而進(jìn)行的個(gè)人信息處理活動(dòng),可以視為授權(quán)獨(dú)立原則的例外。
《突發(fā)公共衛(wèi)生事件應(yīng)急條例》也有類似規(guī)定,“任何單位和個(gè)人對(duì)突發(fā)事件,不得隱瞞、緩報(bào)、謊報(bào)或者授意他人隱瞞、緩報(bào)、謊報(bào)”。
告知
Q:企業(yè)收集個(gè)人信息需不需要進(jìn)行告知?
A:需要,一般情況下需告知,并且企業(yè)應(yīng)當(dāng)以適當(dāng)?shù)姆绞礁嬷?。例如,在要求員工進(jìn)行登記時(shí)在郵件中寫(xiě)明登記的目的、可能采取的處理行為等,在要求訪客進(jìn)行登記時(shí)可在入口處張貼相關(guān)通知。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第十七條 個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知……
第十八條 個(gè)人信息處理者處理個(gè)人信息,有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。
緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的,個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。
收集
Q:以來(lái)訪登記表的形式收集是否合法?
A:不合法。在填寫(xiě)來(lái)訪登記表時(shí),后登記的人可以看到前登記人的信息,這顯然存在信息泄露風(fēng)險(xiǎn)。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第五十一條明確規(guī)定,個(gè)人信息處理者應(yīng)當(dāng)要采取措施防止個(gè)人信息的泄漏、篡改、丟失。
中央網(wǎng)信辦《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》規(guī)定,任何單位和個(gè)人未經(jīng)被收集者同意,不得公開(kāi)姓名、年齡、身份證號(hào)碼、電話號(hào)碼、家庭住址等個(gè)人信息。
【建議】來(lái)訪登記使用“場(chǎng)所碼”
“場(chǎng)所碼”服務(wù)是為滿足各類企業(yè)機(jī)構(gòu)防控核查提供的重要工具。申請(qǐng)通過(guò)后可以下載打印張貼在辦公地點(diǎn),出入員工和訪客只要掃一掃,即可完成訪客信息登記、記錄人員健康狀態(tài),方便單位做好防控核查工作。企業(yè)可在后臺(tái)查看本單位“場(chǎng)所碼”的掃碼記錄,包括當(dāng)日次數(shù)、碼色統(tǒng)計(jì)、掃碼詳情等,做好疫情防控監(jiān)測(cè)和企業(yè)的個(gè)人信息保護(hù)。
Q:為疫情防控目的收集個(gè)人信息的范圍如何確定?
A:應(yīng)當(dāng)遵循最小必要原則。為進(jìn)行疫情排查,有必要收集相關(guān)人員的姓名、身份證號(hào)、電話、住址等信息是符合最小必要原則的;但收集民族、職業(yè)等就可能超出實(shí)現(xiàn)上述目的所需要的范圍。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第六條 處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對(duì)個(gè)人權(quán)益影響最小的方式。
收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過(guò)度收集個(gè)人信息。
使用
Q:為疫情防控目的可否利用收集的信息進(jìn)行個(gè)人行跡追蹤和數(shù)據(jù)分析?
A:僅特定機(jī)構(gòu)有權(quán)為疫情防控目的追蹤個(gè)人行蹤或流調(diào)分析。一般企業(yè)若未經(jīng)委托授權(quán)進(jìn)行,可能會(huì)超出法定授權(quán)使用范圍。
【法律依據(jù)】《中華人民共和國(guó)傳染病防治法》第七條 各級(jí)疾病預(yù)防控制機(jī)構(gòu)承擔(dān)傳染病監(jiān)測(cè)、預(yù)測(cè)、流行病學(xué)調(diào)查、疫情報(bào)告以及其他預(yù)防、控制工作。
第十二條 在中華人民共和國(guó)領(lǐng)域內(nèi)的一切單位和個(gè)人,必須接受疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)有關(guān)傳染病的調(diào)查、檢驗(yàn)、采集樣本、隔離治療等預(yù)防、控制措施,如實(shí)提供有關(guān)情況。疾病預(yù)防控制機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)不得泄露涉及個(gè)人隱私的有關(guān)信息、資料。
Q:為疫情防控目的所收集的個(gè)人信息如何避免濫用?
A:第一,規(guī)定個(gè)人信息的使用目的和使用范圍:僅限疫情排查。第二,訪問(wèn)權(quán)限管理:僅限必要人員。第三,避免對(duì)相關(guān)人員歧視性對(duì)待。
公開(kāi)披露
Q:為疫情防控目的是否可以披露個(gè)人信息?
A;分兩種情況。一種是公開(kāi)披露:僅限國(guó)務(wù)院及省級(jí)人民政府的衛(wèi)生行政部門,一般企業(yè)公開(kāi)披露缺乏合法依據(jù)。另一種是內(nèi)部披露:需充分重視對(duì)相關(guān)人員個(gè)人信息的保護(hù),避免對(duì)相關(guān)人員造成歧視或產(chǎn)生其他重大影響,可采用去識(shí)別化處理。
【法律依據(jù)】《中華人民共和國(guó)傳染病防治法》第三十八條 國(guó)家建立傳染病疫情信息公布制度,國(guó)務(wù)院衛(wèi)生行政部門及省、自治區(qū)、直轄市人民政府衛(wèi)生行政部門負(fù)責(zé)向社會(huì)公布傳染病疫情信息。
中央網(wǎng)信辦《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》 3.為疫情防控、疾病防治收集的個(gè)人信息,不得用于其他用途。任何單位和個(gè)人未經(jīng)被收集者同意,不得公開(kāi)姓名、年齡、身份證號(hào)碼、電話號(hào)碼、家庭住址等個(gè)人信息,因聯(lián)防聯(lián)控工作需要,且經(jīng)過(guò)脫敏處理的除外。
信息報(bào)送
Q:企業(yè)承擔(dān)哪些與疫情相關(guān)的報(bào)送義務(wù)?
A:企業(yè)應(yīng)及時(shí)登記和排查員工、訪客等相關(guān)信息,向附近的疾病預(yù)防控制機(jī)構(gòu)(各地疾控中心)或者醫(yī)療機(jī)構(gòu)(醫(yī)院等)報(bào)告。
【法律依據(jù)】《中華人民共和國(guó)傳染病防治法》第三十一條 任何單位和個(gè)人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時(shí),應(yīng)當(dāng)及時(shí)向附近的疾病預(yù)防控制機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)報(bào)告。
《突發(fā)公共衛(wèi)生事件應(yīng)急條例》 任何單位和個(gè)人對(duì)突發(fā)事件,不得隱瞞、緩報(bào)、謊報(bào)或者授意他人隱瞞、緩報(bào)、謊報(bào)。
權(quán)利響應(yīng)
Q:為疫情防控目的處理個(gè)人信息,是否可以限制個(gè)人信息主體部分權(quán)利的行使?
A:處理個(gè)人信息的合法性基礎(chǔ)是基于履行法律法規(guī)規(guī)定的義務(wù),而不是基于授權(quán)同意,因此可以限制或不響應(yīng)個(gè)人信息主體提出的部分權(quán)利請(qǐng)求。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第四十四條 個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理;法律、行政法規(guī)另有規(guī)定的除外。
第四十五條至第四十八條 規(guī)定個(gè)人信息主體享有查詢權(quán)、復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正權(quán)、刪除權(quán)、撤回同意權(quán)等權(quán)利。
第五十條 個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的,應(yīng)當(dāng)說(shuō)明理由。
安全措施
Q:企業(yè)可以采取哪些安全措施?
A:第一,加強(qiáng)信息保護(hù)的安全技術(shù)措施,如訪問(wèn)控制、加密、物理環(huán)境保護(hù)等。第二,建立信息安全應(yīng)急響應(yīng)機(jī)制。第三,疫情防控目的實(shí)現(xiàn)后,及時(shí)刪除或匿名化處理。
【法律依據(jù)】《個(gè)人信息保護(hù)法》第九條 個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé),并采取必要措施保障所處理的個(gè)人信息的安全。
第五十一條 個(gè)人信息處理者應(yīng)當(dāng)……采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定,并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失:
(一)制定內(nèi)部管理制度和操作規(guī)程;
(二)對(duì)個(gè)人信息實(shí)行分類管理;
(三)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施;
(四)合理確定個(gè)人信息處理的操作權(quán)限,并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn);
(五)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案;
(六)法律、行政法規(guī)規(guī)定的其他措施。
疫情下,其他個(gè)人信息保護(hù)場(chǎng)景
居家辦公遠(yuǎn)程監(jiān)測(cè)數(shù)據(jù)問(wèn)題:
Q:居家辦公期間企業(yè)會(huì)要求員工定時(shí)匯報(bào)、簽到打卡、通過(guò)視頻監(jiān)控工作狀態(tài)。但要注意視頻監(jiān)控、系統(tǒng)監(jiān)測(cè)軟件、插件的使用,如果操作不當(dāng),并且沒(méi)有事先取得員工的授權(quán)同意,可能違反《個(gè)人信息保護(hù)法》、侵犯員工隱私權(quán)。因此,遠(yuǎn)程辦公期間,為有效監(jiān)督和管理員工,企業(yè)希望對(duì)員工進(jìn)行適當(dāng)?shù)谋O(jiān)測(cè),如何才能做到合法合規(guī)?
A:首先,查閱企業(yè)的員工合同或員工個(gè)人信息收集授權(quán)書(shū),判斷是否滿足遠(yuǎn)程辦公監(jiān)測(cè)的要求。如果授權(quán)存在瑕疵,建議企業(yè)采取郵件告知、回復(fù)或授權(quán)書(shū)電子簽章的形式來(lái)進(jìn)行補(bǔ)充授權(quán)。
其次,針對(duì)不同場(chǎng)景,逐項(xiàng)評(píng)估收集員工個(gè)人信息的必要性。評(píng)估是否有必要通過(guò)視頻監(jiān)控的方式來(lái)監(jiān)控員工的工作狀態(tài),有沒(méi)有替代的方案?如果確實(shí)有必要,最好還是要進(jìn)行事前的個(gè)人信息保護(hù)影響評(píng)估。
最后,遵守目的限制原則。沒(méi)有經(jīng)過(guò)員工的授權(quán),不要將收集的信息用于工作監(jiān)測(cè)以外的其他目的。
在線通訊數(shù)據(jù)問(wèn)題:
Q:當(dāng)會(huì)議的主持人開(kāi)啟錄制會(huì)議的功能的時(shí)候,其實(shí)他就已經(jīng)成為了個(gè)人信息的處理者。按照《個(gè)人信息保護(hù)法》要求,主持人收集其他參會(huì)個(gè)人信息的行為,首先應(yīng)該征得其他參會(huì)者的同意,錄制以后也應(yīng)該要以安全的方式把視頻存儲(chǔ)到本地或上傳到可信的云端服務(wù)器。但大多數(shù)的用戶并沒(méi)有意識(shí)到自己已經(jīng)成為個(gè)人信息處理者,甚至有侵犯他人的合法權(quán)益之虞,更不用說(shuō)會(huì)采取符合《個(gè)人信息保護(hù)法》要求的保護(hù)的措施。
那么會(huì)議軟件又是否盡到了充分的提醒義務(wù)?以某會(huì)議軟件為例,其隱私政策提及被錄制會(huì)議的參會(huì)人會(huì)收到錄制提醒,如果參會(huì)人不同意錄制,其聲音或畫(huà)面可以選擇退出會(huì)議。由于其錄制有兩種方式,一種是本地錄制,一種是云錄制,在云錄制開(kāi)啟時(shí),屏幕右上角會(huì)有短暫兩三秒的“會(huì)議錄制中”、“云錄制已結(jié)束”的彈窗提醒;本地錄制則不會(huì)有提醒。在線會(huì)議錄制過(guò)程中,會(huì)議軟件采用的此種告知同意機(jī)制是否合法合理?
A:不夠合法合理。
首先,不符合事前告知、授權(quán)同意原則。視頻錄制的隱私政策不存在前述的合法性基礎(chǔ),不屬于授權(quán)同意原則的例外;已經(jīng)開(kāi)始錄制以后再告知參會(huì)者可以選擇退出也為時(shí)已晚,不符合事先告知的原則。
其次,短暫兩三秒彈窗提醒,不符合顯著、明確要求。
再次,本地錄制未有提示,缺乏相應(yīng)的提醒。
最后,人臉、聲紋屬于敏感個(gè)人信息,如要錄制需要取得個(gè)人信息主體單獨(dú)同意。
【建議】企業(yè)及會(huì)議主持人,要提高信息保護(hù)意識(shí)(尤其是在會(huì)議錄制過(guò)程中)。
提供遠(yuǎn)程辦公產(chǎn)品和服務(wù)的企業(yè),除了需要在用戶協(xié)議中明確劃分雙方的責(zé)任之外,有必要通過(guò)技術(shù)措施,對(duì)用戶特別是視頻會(huì)議的主持人進(jìn)行管理??梢栽谥鞒秩它c(diǎn)擊錄制視頻的時(shí)候,設(shè)置主持人-參會(huì)者的雙向彈窗,重申隱私政策以及用戶應(yīng)承擔(dān)的法律責(zé)任。會(huì)議軟件應(yīng)在取得參會(huì)者的明示同意后再開(kāi)始錄制,并要對(duì)提示和同意的過(guò)程進(jìn)行記錄。
03 法律責(zé)任
《個(gè)人信息保護(hù)法》第六十六、六十七、六十九條規(guī)定了違反《個(gè)人信息保護(hù)法》應(yīng)當(dāng)承擔(dān)的法律責(zé)任,歸納為以下幾方面:
責(zé)令改正,給予警告。
沒(méi)收違法所得。
對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù)。
最高處5000萬(wàn)元或上一年度營(yíng)業(yè)額5%的罰款。
停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照。
對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員最高處100萬(wàn)元罰款,可禁止從事相關(guān)職業(yè)。
記入信用檔案,并予以公示。
民事?lián)p害賠償:過(guò)錯(cuò)推定原則。處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害,個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
參考資料:
1.國(guó)務(wù)院應(yīng)對(duì)新型冠狀病毒感染的肺炎疫情聯(lián)防聯(lián)控機(jī)制:關(guān)于印發(fā)公共場(chǎng)所新型冠狀病毒感染的肺炎衛(wèi)生防護(hù)指南的通知(肺炎機(jī)制發(fā)〔2020〕15號(hào)),http://www.gov.cn/xinwen/2020-01/31/content_5473402.htm
2.中央網(wǎng)信辦:關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知,http://www.gov.cn/xinwen/2020-02/09/content_5476472.htm
及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用
本文來(lái)源:賽博研究院
如涉及侵權(quán),請(qǐng)及時(shí)與我們聯(lián)系,我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明