新型冠状病毒感染的肺炎(以下简称"新冠肺炎")已被纳入《传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。全国31个省、市、自治区已全部启动重大突发公共卫生事件一级响应。企业出于配合国家疫情控制措施和保护员工健康的需要,需全面掌握员工与疫情相关的信息,并由此产生当前形势下一些特殊的个人信息保护法律问题。此类问题除适用《网络安全法》、《信息安全技术-个人信息安全规范》(GB/T 35273-2017)等个人信息保护方面的规定外,还适用《传染病防治法》、《突发事件应对法》、《突发公共卫生事件应急条例》以及相关劳动法律法规及规定。
2020年2月9日,中央网络安全和信息化委员会办公室专门发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称"《通知》"),进一步明确了疫情期间个人信息保护相关事项1。
我们选取了近期客户普遍关注的12个问题,就疫情中收集和使用员工个人信息的一些特殊法律问题予以总结。
- 问:疫情下企业可能需要收集哪些类型的员工个人信息?
答:企业在此特殊时期收集员工个人信息的主要目的是配合国家疫情控制措施和保护全体员工健康的需要,除员工的基本身份信息和通讯信息(例如姓名、性别、地址、电话号码、电子邮箱)外,企业通常还需要收集员工的位置信息(近期旅行记录、所乘交通工具、住宿信息、隔离场所)、个人健康生理信息(是否发热、是否已确诊为新冠肺炎)。此外,对于疑似病例,企业也有可能根据主管部门需要进一步收集疑似患者的密切接触者(例如家人及朋友)的信息。
需要注意的是,《通知》要求个人信息收集应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
- 问:谁有权要求企业收集、提供员工个人信息?
答:卫生行政部门、医疗卫生机构、疾病预防控制机构,以及其他经县级以上人民政府、突发事件应急指挥部认定或授权的机构。
根据《传染病防治法》、《突发事件应对法》、《突发公共卫生事件应急条例》等法律法规,卫生行政主管部门、医疗卫生机构、疫病预防控制机构具有对突发公共卫生事件相关信息的收集和报告职权;人民政府、突发事件应急指挥部可以通过突发事件应急预案、传染病防控方案、应急决定等认定或授权其他机构(如街道、乡镇、居民委员会、村民委员会等)协助收集并报告相关信息。2对企业而言,如果前述主管机构和授权机构要求企业配合收集、提供员工个人信息的,企业应予以配合。
《通知》规定,除国务院卫生健康部门依据《网络安全法》、《传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。因此,上述授权机构以外的任何人或单位均不得强制企业和其员工提供个人信息。例如,如企业所在办公楼物业要求企业或员工提供相关个人信息,但未能证明其已获得上述授权时,企业和员工可以拒绝提供。
- 问:企业配合疾病预防控制机构、医疗机构收集、使用员工个人信息是否需要员工同意 ?
答:当企业根据《通知》及有关法律法规配合疾病预防控制机构、医疗机构有关传染病的预防、控制和治疗工作,从而需收集和使用员工个人信息时,企业无需获得员工同意。
依据前述法律法规,面对传染病疫情,中华人民共和国领域内的一切单位和个人必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况;任何单位和个人对突发公共卫生事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报;国家和地方政府、卫生行政主管部门应当立即组织力量对报告事项调查核实、确证,采取必要的控制措施,并及时报告调查情况。由此可见,在突发公共卫生事件时,根据疾病预防控制机构、医疗机构以及国家和地方政府和主管部门的要求(如有)如实提供相关信息是单位及员工的法定义务,并具有强制性,不以员工是否同意为前提。
- 问:企业自行收集、使用员工个人信息是否需要员工同意?
答:需获得员工的授权同意。
在企业尚未接到疾病预防控制机构、医疗机构以及国家和地方政府和主管部门的要求提供员工与本次疫情有关的信息时,出于了解本单位员工受本次疫情影响情况、并据此采取相应措施的目的,企业也可能需要收集员工的相关信息。配合此类信息收集行为,虽不属于员工的法定义务,但在疫情严重的情况下,企业收集员工信息的目的却与本单位员工生命健康、公共卫生及重大公共利益直接相关,具有一定的合理性和正当性。《通知》虽明确禁止未经授权的任何单位和个人以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息,但并不禁止企业在获得员工同意的情况下收集员工的个人信息。因此,企业在遵循《网络安全法》及《个人信息安全规范》下 "知情同意"原则的基础上,即便没有相关主管部门授权,仍可以收集和使用员工与疫情有关的个人信息。
- 问:企业可以在什么期间收集、使用员工个人信息?
答:企业可以根据实际情况需要随时要求员工提供履行劳动合同必需的个人信息;非履行劳动合同所必需、仅因疫情需要的员工个人信息,其收集、使用等应限于疫情期间。
- 问:企业收集员工个人信息后可用于什么用途?
答:企业收集的因履行劳动合同必需的员工个人信息,原则上只能用于劳动合同履行;确因疫情防控需要的个人信息,仅限于配合疾病预防控制机构、医疗机构有关传染病的预防、控制和治疗工作的范围内(当企业出于履行法律义务而收集员工个人信息时),或仅限于员工个人同意的范围内(当企业自发收集员工信息时)。
- 问:企业收集员工个人信息后如何管理?
答:无论是依据疾病预防控制机构、医疗机构以及国家和地方政府和主管部门的要求收集员工信息,或是企业自发需要收集员工信息,企业均应采取严格的管理和技术防护措施妥善保管收集的员工个人信息,防止信息被窃取或泄露。此外,根据《通知》规定,任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
- 问:员工拒绝向企业提供个人信息如何处理?
答:企业应明确告知员工收集相关信息的依据、使用目的及拒不提供的后果;员工仍然拒绝的,企业可以自行或应要求向主管部门提供掌握的员工个人信息,由主管部门依职权要求员工提供其他个人信息。
企业与员工之间通常为劳动关系,企业对员工并无行政管理权限,如员工拒绝提供其相关信息,企业无法强制员工提供信息。
依据《传染病防治法》、《突发公共卫生事件应急条例》规定,个人未履行报告职责,不配合调查的,可能承担行政处分或者纪律处分;造成传染病传播、流行,给他人人身、财产造成损害依法承担民事责任;构成违反治安管理行为的,由公安机关依法予以处罚;如构成犯罪的,将承担刑事责任。
如员工的行为构成犯罪并被依法追究刑事责任,则企业可依据《劳动合同法》第三十九条的规定单方解除劳动合同;对于员工未构成犯罪并被依法追究刑事责任的情况,相关劳动法律法规并无企业可对员工直接进行处罚的规定,企业是否可以对员工进行处罚,则需依据企业的相关规章制度具体情况具体分析。
基于上述分析,企业可在要求员工提供个人信息的通知中加入相应的提示,内容可包括:
(1)在相关疾病预防控制机构、医疗机构以及国家和地方政府和主管部门已有要求的情况下,员工配合提供受本次疫情影响的相关信息以防控疫情是公民的法定义务,如拒绝提供信息员工将有可能违反《传染病防治法》、《突发公共卫生事件应急条例》等法律法规规定并承担相应的法律责任;
(2)在相关疾病预防控制机构、医疗机构以及国家和地方政府和主管部门尚未有明确要求的情况下,企业可向员工明确说明收集信息的目的、范围及使用方式,以及强化信息收集合理性的其他因素(例如,考虑到政府公布的诊疗方案提到14天病毒的潜伏期,员工提供相关信息有助于主管部门和企业了解情况,有效应对和控制疫情发展。),并明确要求员工签字同意。
企业还可以考虑通过完善规章制度或劳动合同的方式,明确员工应配合企业履行相关法律法规、有权机构关于突发事件等特殊情形的法定义务;因员工拒绝配合企业履行前述义务,给企业造成损害的,应由员工承担责任。
- 问:员工提供不真实个人信息如何处理?
答:企业在收集员工个人信息时,应注意要求员工承诺其提供信息的合法、真实、完整、有效。企业发现员工提供的个人信息存在虚假、编造、不完整等情形时,可以根据规章制度对其进行惩处;员工因此涉嫌违法的,应报告主管部门处理。
根据《劳动合同法》等相关规定,企业可以通过规章制度规定员工违纪行为及其惩处。同时,如前述《突发事件应对法》规定,因员工提供非正常个人信息影响疫情防控工作的,还将面临相应的法律责任。
- 问:自行隔离、延迟复工等期间员工是否有个人信息报告义务?
答:因疫情防控需要,企业可要求员工提供、随时更新相关个人信息,即便员工处于自行隔离、延迟复工期间,也应依法向企业提供相关信息。员工在此期间个人信息的提供,仍适用于本文问题3及问题4所述原则。对于有关机关明确要求的个人信息,经企业充分说明法律后果,员工仍未提供的,企业应及时向主管部门报告。
- 问:企业是否可基于因疫情收集、使用的个人信息而对相关员工采取差别性待遇?
答:相关差别性待遇应仅限于防控和治疗传染病的需要,不得进行就业歧视。
《劳动法》第三条第一款规定:"劳动者享有平等就业和选择职业的权利......"《传染病防治法》第十六条规定:"......任何单位和个人不得歧视传染病病人、病原携带者和疑似传染病病人。"同时,《网络安全法》、《个人信息安全规范》等相关规定明确个人数据应用于特定目的。
企业因疫情需要而收集、使用的个人信息,应严格用于疫情防控目的,不得用于其他目的。疫情结束后,该等个人信息应依法储存、删除或销毁。在疫情期间,企业可根据员工受疫情影响的不同情况,采取合理的传染病防治措施(例如对于近期从湖北返回员工要求相对较长的居家观察期)。但企业需注意,不能将此类个人信息用于歧视员工的目的,否则员工有权要求企业承担法律责任。
- 问:远程办公时企业应注意如何保护个人信息?
答:企业在选取相关远程办公软件平台时,应充分考察其隐私政策及个人信息保护操作是否符合相关法律规定,并在可行时与软件平台提供方签署书面合同对其进行约束。根据实际情况,企业还需考虑是否需要就使用该远程办公软件平台单独取得员工的授权同意。
基于疫情防控需要,各地大力呼吁企业开展在家办公等远程办公形式。企业纷纷利用自有或第三方提供的远程办公软件平台开展工作。这一过程中,企业可能单独或连同第三方收集、使用、共享员工个人信息。根据《网络安全法》、《个人信息安全规范》相关规定,未经被收集者同意,不得向他人提供个人信息。当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。3
1"关于做好个人信息保护利用大数据支撑联防联控工作的通知",网信中国https://mp.weixin.qq.com/s/BfEjgAqfmr1B89zNollw2A。
2 参见《突发公共卫生事件应急条例》第十一条、第二十一条、第三十一条、第三十六条、第四十条,《传染病防治法》第七条、第十二条、第二十条、第五十三条、第五十四条,《突发事件应对法》第二十条、第四十四条、第四十五条、第五十六条。
3参见《网络安全法》第四十一条、第四十二条、《信息安全技术-个人信息安全规范》第8.6条。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
