作者:兰台律师事务所合伙人程阳、实习律师鞠海艳
前 言
自全民防疫以来,政府部门、社区街道、用人单位等基于防疫需要搜集和获取个人信息,包括但不限于个人的姓名、身份证号、住址、乘坐的交通工具及时间、身体状况、接触人群等。在个人信息被收集与使用于疫情防控的同时,也发生了一些通过微信群等途径向不特定多数群体公开、泄露个人信息的现象。为此,本文旨在探讨疫情防控期间,用人单位因防疫的需要收集与使用个人信息与个人信息保护之间的平衡。
一 个人信息的含义
《信息安全技术个人信息安全规范》(“《个人信息安全规范》”)3.1规定,个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动的各种信息”,用人单位在疫情期间因防疫需要而收集与使用的姓名、出生日期、身份证号码、住址、联系方式、住宿信息、健康情况(健康生理信息)、所乘坐的交通工具(行踪轨迹)等均属于个人信息。
二 疫情期间,用人单位对员工个人信息收集与使用的法律依据以及权限
基于疫情防控需要用人单位所获得的个人信息区别于日常用工管理过程中所获得的信息。对于日常用工管理,根据《劳动合同法》第8条规定,“用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明”。对于非与履行劳动合同相关的,比如所乘坐交通轨迹等,在日常管理中,用人单位并无权获得。疫情期间,用人单位收集和使用个人信息除依据《劳动合同法》第8条规定外,还与《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等密切相关。
▇(一)用人单位基于疾病预防控制机构、医疗机构等有关机构的授权,可收集员工与疫情相关的个人信息
根据《传染病防治法》第12条[1]的规定,疾病预防控制机构、医疗机构有权基于传染病的调查、检验、采集样本、隔离治疗等预防、控制措施等收集个人信息,疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
中央网络安全和信息化委员会办公室关于《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中规定,“除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集与使用个人信息。”
根据上述规定,疾病预防控制机构、医疗机构等法律授权的机构有权依法收集员工有关疫情的个人信息。有关机构通过要求用人单位上报来收集员工个人信息的,用人单位可基于有关机构的授权向员工收集疫情相关的个人信息。
▇(二)用人单位可基于安全管理义务收集与使用疫情相关的个人信息
《突发事件应对法》第22条规定,“所有单位应当建立健全安全管理制度,定期检查本单位各项安全防范措施的落实情况,及时消除事故隐患;掌握并及时处理本单位存在的可能引发社会安全事件的问题,防止矛盾激化和事态扩大;对本单位可能发生的突发事件和采取安全防范措施的情况,应当按照规定及时向所在地人民政府或者人民政府有关部门报告。”因此,用人单位是防疫责任的主体单位之一,基于本次疫情传染隐藏性等特殊性,用人单位搜集个人行动轨迹、身体情况等信息是基于安全管理义务的需要。为此,即使无相关机构授权,为落实安全责任,用人单位也可收集与使用疫情相关的个人信息,以防止安全事件的发生。
综上,用人单位在相关机构授权的情况下可依法收集员工与疫情有关的个人信息;在用人单位未获授权的情况下,根据《突发事件应对法》,用人单位基于安全管理需要有权要求劳动者提供相关个人信息,获取非与履行劳动合同相关的个人信息,是基于疫情防控和落实安全责任的需要,劳动者应当予以配合。但尽管用人单位有权要求劳动者提供相关个人信息,基于个人信息的重要性,我们仍然建议用人单位在获取上述信息时,与员工签订相关法律文件。
三 疫情期间用人单位对员工个人信息收集与使用的原则
▇(一)个人信息保护的一般性原则
《个人信息安全规范》第4条规定了个人信息安全的基本原则,笔者认为其中主要原则包括:
1.目的明确原则,即“具有合法、正当、必要、明确的个人信息处理目的”;
2.选择同意原则,即“向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意”;
3.最少够用原则,即“除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息”;
4.公开透明原则,即“以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督”;
5.确保安全原则,即“具备与所面临的安全风险向匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性”。
▇(二)疫情期间个人信息保护原则
中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,其中规定:
1.收集与使用个人信息必须坚持最小范围原则,原则上限于确诊者、疑似者、密切接触者等重点人群;
2.不得用于其他用途、不得未经被收集者同意而公开;
3.对个人信息安全负责,采取严格的管理和技术防护措施。
综上,疫情期间用人单位对员工个人信息收集与使用的原则如下:
1. 必要性原则
用人单位基于防疫需要收集与使用员工个人信息的,应当基于收集与使用目的坚持必要性原则,非必要信息不予收集与使用;用人单位对员工个人信息的收集与使用人员应当限制在必要范围之内,非必要人员不得接触员工个人信息。
2. 不得用于他途的原则
即只用于疫情防控需要以及安全责任的落实,不得用于其他目的。
3. 安全性原则
用人单位基于防疫需要收集与使用员工个人信息的,应当采取安全保密措施,严禁员工个人信息外泄。
4. 及时删除原则
对于因防疫需要收集与使用的员工个人信息,使用完毕后应当及时删除,避免员工个人信息泄露或被不当使用。
四 用人单位违反个人信息保护义务的法律风险
▇(一)用人单位违反个人信息保护义务,构成侵权的可能承担侵权责任
《侵权责任法》第6条规定,“行为人因过错侵害他人民事权益,应当承担侵权责任”。用人单位不当收集与使用个人信息,如果侵害员工的合法权益,则可能承担停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等侵权责任。
▇(二)用人单位违反个人信息保护义务,构成犯罪的可能承担刑事责
根据《刑法》第253条之一[2]的规定,用人单位违反个人信息保护义务,非法出售或提供个人信息,构成犯罪的,可能对直接负责的主管人员和其他直接责任人员判处拘役或有期徒刑,并对用人单位判处罚金。
虽然法律规定了相关责任,但民事责任的落实需要劳动者举证证明用人单位侵权,而刑事责任的追究更需要国家强有力的执行力。对于大部分劳动者而言,更仰赖于政府和用人单位合规使用个人信息。
疫情防控重要,个人信息保护亦不可偏废。疫情期间,用人单位在做好安全保障义务的同时,应当采取措施保护员工的个人信息,避免员工的合法权益遭到侵害,亦避免自身承担相应的法律责任。
同时,对于个人信息保护而言,不止用人单位,相关政府机构亦应落实个人信息保护,让公民在让渡个人隐私协助疫情防控时,仍享有安全、安静的生活和工作环境,避免不受骚扰,避免利益受损。
注释
[1]《中华人民共和国传染病防治法》第12条 在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
[2]《刑法》第253条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
(声明:本文系作者授权新浪转载,文章仅代表作者观点,不代表新浪网立场。)
