中文

疫情法律问题解答—企业采集个人信息合规篇

2020-02-18

企业合规疫情法律问题解答—企业采集个人信息合规篇

作者纪晓 ,杨琼芬

作者：纪晓 ,杨琼芬

导言

2020年1月20日，国家卫健委发布1号公告，将新型冠状病毒感染的肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病，并采取甲类传染病的预防、控制措施。此外，全国多地结合疫情防控形势启动了重大突发公共卫生事件一级响应，此次疫情明确属于突发公共卫生事件。

在此背景下，企业应该按照《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》等相关法律法规的规定积极采取措施。其中，企业可能需要应疫情防控要求采集和提供有关个人信息。对此，相关企业需要了解和注意以下事项：

Q：疫情期间企业承担何种与疫情相关的信息收集和报送义务？违反义务有何法律后果？

A：《中华人民共和国传染病防治法》第三十一条规定，任何单位和个人发现传染病病人或者疑似传染病病人时，应当及时向附近的疾病预防控制机构或者医疗机构报告。在《突发公共卫生事件应急条例》中同样规定，任何单位和个人对突发事件，不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。

因此，疫情期间企业应当做到：

1、配合疾病预防控制机构进行与疫情相关的个人信息的收集、排查。即在企业管理的范围内履行主体责任，及时登记和排查员工、访客、客户、供应商等相关信息。

2、一旦发现感染情况即向附近的疾病预防控制机构（各地疾控中心）或者医疗机构（医院等）报告相关情况。

对隐瞒、缓报、谎报或授意他人隐瞒、缓报、谎报的，公安机关可按“拒不执行人民政府在紧急状态情况下依法发布的决定、命令”，依据《中华人民共和国治安管理处罚法》第五十条第一款规定，予以相应行政处罚。如因隐瞒、缓报、谎报，导致传染病传播、流行，给他人人身、财产造成损害的，依据《中华人民共和国传染病防治法》第七十七条等法律规定还需依法承担民事责任。

Q：企业为疫情防控目的采集个人信息的对象和方式有哪些？

A：企业可以向以下对象采集个人信息：

1、对员工个人信息进行采集；

2、对出入企业生产经营场的人员进行登记排查；

3、对客户的个人信息进行采集，如交通运输企业对乘客个人信息的采集，旅游经营者对游客个人信息的采集、网络运营者对用户个人信息的采集等等。

企业可以通过以下方式采集获取个人信息：

1、由个人信息主体通过填写表格、陈述等方式提供信息，如填写员工信息采集表、场所出入登记等；

2、通过技术手段获取个人信息主体的相关信息，如网络运营企业通过网络技术获取个人信息主体的位置信息、通讯记录等。

Q：企业为疫情防控目的可以采集哪些个人信息？

A：个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。其中，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等个人信息属于个人敏感信息。

对个人信息的采集，应当严格遵循目的明确、最小够用等原则，将对个人信息的处理控制在实现目的所需要的最小必要范围内。

在疫情背景下，为进行疫情排查及后续关注，有必要采集相关人员的姓名、性别、家庭关系、住址、电话号码等基本信息，采集身份证号等身份信息，还可能需要采集部分个人敏感信息，如病史、身体状况信息等个人健康生理信息，行踪轨迹、精准定位信息、住宿信息等个人位置信息。

除此之外，与疫情控制目的无直接关系的信息，企业不应当超范围采集。企业在制作登记表、组织相关人员进行登记以及向疾病预防控制机构或医疗机构进行报告时，均需注意限制个人信息的范围。对于后续的数据存储和内部管理，也应遵循最小必要原则进行访问限制控制、以及在目的实现后尽快对个人信息进行删除或匿名化处理。

Q：企业为疫情防控目的收集个人信息是否需征得个人同意？

A：在我国以《中华人民共和国网络安全法》为主要法律，辅以《信息安全技术个人信息安全规范》等国家标准的个人信息保护规则体系下，对个人信息的收集、使用和共享需依据于个人信息主体的授权同意。

但在《信息安全技术个人信息安全规范》“5.4征得授权同意的例外”部分明确列出“与公共安全、公共卫生、重大公共利益直接相关的”“法律法规规定的其他情形”等情形下，收集、使用个人信息无需征得个人信息主体的授权同意。

疫情背景下企业配合疾病预防控制机构进行与疫情相关的个人信息的收集、排查和报送，属于履行法定义务，且符合上述征得授权同意的例外情形。因此，在采集信息控制在必要范围的前提下，采集相关个人信息不必征得被采集个人的同意，个人应当予以配合。

Q：企业是否可以共享、转让为疫情防控目的采集的个人信息？共享、转让是否需要征得个人信息主体的同意？

A：个人信息原则上不能共享、转让。个人信息控制者确需共享、转让个人信息的，需事先征得个人信息主体的授权同意（或经去标识化处理确保数据接收方无法重新识别个人信息主体）。

但作为例外情形，在“与公共安全、公共卫生、重大公共利益直接相关”等情形下，共享、转让个人信息无需事先征得个人信息主体的授权同意。同时，疫情背景下企业向政府有关部门、疾病预防机构提交所采集的有关个人信息，也是法定义务。

因此，企业为疫情防控目的所采集的个人信息，可在目的范围内，应有关要求进行共享、转让，向政府及其有关部门、疾病预防控制机构及其指定的医疗机构提交相关个人信息，而不必经由个人信息主体授权同意。

对政府及其有关部门、疾病预防控制机构及其指定的医疗机构以外的第三方，企业在共享信息前应确保该第三方已取得前述主体的明确授权。若企业本身属于大数据分析类企业，具备数据分析能力，可以根据已有数据进行分析。但分析结果应当保密，在接受政府要求报告或共享的行政命令后，方可依据命令内容共享使用。

Q：企业是否可以披露为疫情防控目的采集的个人信息？

A：公开披露指的是向社会或不特定人群发布信息的行为。个人信息原则上不得公开披露。尤其是不得公开披露个人生物识别信息。

对企业而言，披露不是其向个人采集相关信息的目的。企业不是披露任何疫情信息的法定主体，也不存在为公共安全、公共卫生、重大公共利益而由其披露个人信息的必要。因此企业不能披露其为疫情防控目的采集的个人信息。

Q：企业如何保障所采集的个人信息的安全？

A：企业应采取相关技术手段和管理措施，保障所采集的个人信息安全不泄露。

1、遵循个人信息保存时间最小化原则：将个人信息保存期限控制在为实现目的所必需的最短时间内；超出上述个人信息保存期限后，应及时对个人信息进行删除或匿名化处理。

2、对个人信息进行去标识化处理：收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

3、在对个人敏感信息进行传输和存储时，应采用加密等安全措施。存储个人生物识别信息（如指纹、面部特征等）时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

4、企业应利用内部控制活动及内部监督机制，全面、及时地监控员工信息的保管情况。另外，企业也应确立信息泄露追责制度，以防止为疫情防控目的采集的个人信息被有意或无意地泄露。

Q：企业何时应该删除所采集的个人信息？

A：信息的采集和使用应当遵循最少够用原则，除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。

企业在疫情背景下，为疫情防控目的所采集的个人信息，其使用范围及目的十分明确，即提供或预备提供给政府相关部门、机构，为疫情防控目的而使用。在达到收集信息时使用目的后，如疫情受到有效控制，相关部门已确认不需要此类信息等情况发生后，应及时删除，如需继续使用应征得个人信息主体明确同意。

Q：企业不当采集或泄露个人信息会有哪些法律责任？

A：企业为疫情防控目的采集个人信息若采集或使用不当，可能会承担以下法律责任：

1、民事责任。《中华人民共和国民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”对因违反信息保护相关法律规定，造成他人损害的，要承担民事责任。

2、行政责任。如《中华人民共和国网络安全法》为“网络信息安全”专设一章，对网络运营商收集、使用个人信息的行为进行规范，并在法律责任中设立了相应的行政处罚规定。

3、刑事责任。《中华人民共和国刑法》第二百五十三条对侵犯公民个人信息罪作出了严厉规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

律师对企业的其他建议：审慎、审慎、审慎！

尽管疫情背景下，对个人信息保护的一些基本要求服从让位于公共安全、公共卫生、重大公共利益需要，但在采集、使用个人信息时，仍应当尽可能地谨慎。

1、与疫情关联不大的信息不要超范围采集，需要采集敏感信息的，尽可能尽到说明目的等告知义务，能取得明确授权的尽量取得。一方面可以体现企业良好素质、对个体的尊重，另一方面也是最大限度规避企业自身风险。

2、企业要重视信息的保管，尽可能制度化，责任到人。在信息收集后、使用中必须加强安全防范，采取必要的技术上及物理上的保护措施，避免泄露遭受损失。可以删除信息时及时删除。

3、按政府要求报告有关信息要快速无拖延。如果按政府要求共享、转让相关个人信息，应先取得文件通知，但紧急情况下政府及其工作人员以电话、口头等方式通知时，仍应当积极予以配合，并保存通知记录。无论是提交、报送信息，还是共享、转让信息，应当注意做好保障措施和交接记录。

我们祝祷所有人能顺利、平安度过这段疫期。

2020年《个人信息保护法》亦将出台，届时我们将再推出更为详尽的法律法规解读以及风险防控建议，相信届时，我们不再讲“疫情背景下”。

附：