2022年4月30日（周六）晚，上海賽博網(wǎng)絡安全產(chǎn)業(yè)創(chuàng)新研究院聯(lián)合安永(中國)企業(yè)咨詢有限公司主辦「數(shù)安周享會 · Cyber Talk」第二期直播活動。本期以“疫情下的個人信息保護”為主題，依次探討了“團長”作為個人信息處理者，如何對個人信息處理活動負責？團購企業(yè)又是如何看待這些問題的？此外，疫情下還存在哪些典型的個人信息風險場景？

本期特邀嘉賓：

劉境棠：上海賽博網(wǎng)絡安全產(chǎn)業(yè)創(chuàng)新研究院高級研究員

疫情期間企業(yè)在哪些情形下會涉及到個人信息處理？為疫情防控目的處理個人信息需要注意躲避哪些“坑”？違反《個人信息保護法》將要負哪些法律責任？本篇文章將為你一一解答。

01 企業(yè)個人信息處理的典型場景

來訪登記
企業(yè)出于疫情防控目的，會對訪客進行來訪登記，要求來訪人員填寫姓名、公司名稱、身份證號、聯(lián)系電話等信息。

員工情況收集
企業(yè)會通過OA系統(tǒng)上報、郵件、企業(yè)微信群組、問卷調(diào)查等方式持續(xù)向員工收集各類疫情相關的信息，包括個人及家庭成員的健康狀況、近期所在地區(qū)、當前住址、所乘航班或火車班次等。

信息報送
企業(yè)對收集的信息進行統(tǒng)計和監(jiān)測，在必要時，需要向監(jiān)管部門報告企業(yè)員工的整體情況。

02 為疫情防控目的處理個人信息所涉的法律問題

合法性基礎
Q：為疫情防控目的要求來訪人員登記是否合法？
A：合法。
【法律依據(jù)】國務院應對新型冠狀病毒感染肺炎疫情聯(lián)防聯(lián)控機制于2020年1月30日印發(fā)的《公共場所新型冠狀病毒感染的肺炎衛(wèi)生防護指南》中明確規(guī)定，辦公樓等場所應當加強對來訪人員健康監(jiān)測和登記等工作。

Q：為疫情防控目的收集員工、訪客情況信息是否屬于同意原則的例外？
A：屬于。
【法律依據(jù)】《個人信息保護法》第十三條第一款第二項至第七項規(guī)定了不需要取得個人同意處理個人信息的一些情形，包括為履行法定職責或者法定義務所必需，為應對突發(fā)公共衛(wèi)生事件，以及法律、行政法規(guī)規(guī)定的其他情形。根據(jù)特別法優(yōu)于一般法的原則，為疫情防控目的收集員工、訪客情況信息符合以上規(guī)定，可以事先不征得個人同意。
2020年1月20日，國家衛(wèi)健委發(fā)布1號公告，將新型冠狀病毒感染的肺炎納入《中華人民共和國傳染病防治法》規(guī)定的乙類傳染病，并采取甲類傳染病的預防、控制措施。
《傳染病防治法》第三十一條規(guī)定“任何單位和個人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫(yī)療機構報告”，由此可推出企業(yè)未履行法定報告義務而進行的個人信息處理活動，可以視為授權獨立原則的例外。
《突發(fā)公共衛(wèi)生事件應急條例》也有類似規(guī)定，“任何單位和個人對突發(fā)事件，不得隱瞞、緩報、謊報或者授意他人隱瞞、緩報、謊報”。

告知
Q：企業(yè)收集個人信息需不需要進行告知？
A：需要，一般情況下需告知，并且企業(yè)應當以適當?shù)姆绞礁嬷＠纾谝髥T工進行登記時在郵件中寫明登記的目的、可能采取的處理行為等，在要求訪客進行登記時可在入口處張貼相關通知。
【法律依據(jù)】《個人信息保護法》第十七條 個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知……
第十八條 個人信息處理者處理個人信息，有法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規(guī)定的事項。
緊急情況下為保護自然人的生命健康和財產(chǎn)安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知。

收集
Q：以來訪登記表的形式收集是否合法？
A：不合法。在填寫來訪登記表時，后登記的人可以看到前登記人的信息，這顯然存在信息泄露風險。
【法律依據(jù)】《個人信息保護法》第五十一條明確規(guī)定，個人信息處理者應當要采取措施防止個人信息的泄漏、篡改、丟失。
中央網(wǎng)信辦《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》規(guī)定，任何單位和個人未經(jīng)被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息。
【建議】來訪登記使用“場所碼”
“場所碼”服務是為滿足各類企業(yè)機構防控核查提供的重要工具。申請通過后可以下載打印張貼在辦公地點，出入員工和訪客只要掃一掃，即可完成訪客信息登記、記錄人員健康狀態(tài)，方便單位做好防控核查工作。企業(yè)可在后臺查看本單位“場所碼”的掃碼記錄，包括當日次數(shù)、碼色統(tǒng)計、掃碼詳情等，做好疫情防控監(jiān)測和企業(yè)的個人信息保護。

Q：為疫情防控目的收集個人信息的范圍如何確定？
A：應當遵循最小必要原則。為進行疫情排查，有必要收集相關人員的姓名、身份證號、電話、住址等信息是符合最小必要原則的；但收集民族、職業(yè)等就可能超出實現(xiàn)上述目的所需要的范圍。
【法律依據(jù)】《個人信息保護法》第六條 處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。
收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

使用
Q：為疫情防控目的可否利用收集的信息進行個人行跡追蹤和數(shù)據(jù)分析？
A：僅特定機構有權為疫情防控目的追蹤個人行蹤或流調(diào)分析。一般企業(yè)若未經(jīng)委托授權進行，可能會超出法定授權使用范圍。
【法律依據(jù)】《中華人民共和國傳染病防治法》第七條 各級疾病預防控制機構承擔傳染病監(jiān)測、預測、流行病學調(diào)查、疫情報告以及其他預防、控制工作。
第十二條 在中華人民共和國領域內(nèi)的一切單位和個人，必須接受疾病預防控制機構、醫(yī)療機構有關傳染病的調(diào)查、檢驗、采集樣本、隔離治療等預防、控制措施，如實提供有關情況。疾病預防控制機構、醫(yī)療機構不得泄露涉及個人隱私的有關信息、資料。

Q：為疫情防控目的所收集的個人信息如何避免濫用？
A：第一，規(guī)定個人信息的使用目的和使用范圍：僅限疫情排查。第二，訪問權限管理：僅限必要人員。第三，避免對相關人員歧視性對待。

公開披露
Q：為疫情防控目的是否可以披露個人信息？
A；分兩種情況。一種是公開披露：僅限國務院及省級人民政府的衛(wèi)生行政部門，一般企業(yè)公開披露缺乏合法依據(jù)。另一種是內(nèi)部披露：需充分重視對相關人員個人信息的保護，避免對相關人員造成歧視或產(chǎn)生其他重大影響，可采用去識別化處理。
【法律依據(jù)】《中華人民共和國傳染病防治法》第三十八條 國家建立傳染病疫情信息公布制度，國務院衛(wèi)生行政部門及省、自治區(qū)、直轄市人民政府衛(wèi)生行政部門負責向社會公布傳染病疫情信息。
中央網(wǎng)信辦《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》 3.為疫情防控、疾病防治收集的個人信息，不得用于其他用途。任何單位和個人未經(jīng)被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，因聯(lián)防聯(lián)控工作需要，且經(jīng)過脫敏處理的除外。

信息報送
Q：企業(yè)承擔哪些與疫情相關的報送義務？
A：企業(yè)應及時登記和排查員工、訪客等相關信息，向附近的疾病預防控制機構（各地疾控中心）或者醫(yī)療機構（醫(yī)院等）報告。
【法律依據(jù)】《中華人民共和國傳染病防治法》第三十一條 任何單位和個人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫(yī)療機構報告。
《突發(fā)公共衛(wèi)生事件應急條例》 任何單位和個人對突發(fā)事件，不得隱瞞、緩報、謊報或者授意他人隱瞞、緩報、謊報。

權利響應
Q：為疫情防控目的處理個人信息，是否可以限制個人信息主體部分權利的行使？
A：處理個人信息的合法性基礎是基于履行法律法規(guī)規(guī)定的義務，而不是基于授權同意，因此可以限制或不響應個人信息主體提出的部分權利請求。
【法律依據(jù)】《個人信息保護法》第四十四條 個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規(guī)另有規(guī)定的除外。
第四十五條至第四十八條 規(guī)定個人信息主體享有查詢權、復制權、轉(zhuǎn)移權、更正權、刪除權、撤回同意權等權利。
第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。

安全措施
Q：企業(yè)可以采取哪些安全措施？
A：第一，加強信息保護的安全技術措施，如訪問控制、加密、物理環(huán)境保護等。第二，建立信息安全應急響應機制。第三，疫情防控目的實現(xiàn)后，及時刪除或匿名化處理。
【法律依據(jù)】《個人信息保護法》第九條 個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。
第五十一條 個人信息處理者應當……采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權的訪問以及個人信息泄露、篡改、丟失：
（一）制定內(nèi)部管理制度和操作規(guī)程；
（二）對個人信息實行分類管理；
（三）采取相應的加密、去標識化等安全技術措施；
（四）合理確定個人信息處理的操作權限，并定期對從業(yè)人員進行安全教育和培訓；
（五）制定并組織實施個人信息安全事件應急預案；
（六）法律、行政法規(guī)規(guī)定的其他措施。

疫情下，其他個人信息保護場景

    居家辦公遠程監(jiān)測數(shù)據(jù)問題：

Q:居家辦公期間企業(yè)會要求員工定時匯報、簽到打卡、通過視頻監(jiān)控工作狀態(tài)。但要注意視頻監(jiān)控、系統(tǒng)監(jiān)測軟件、插件的使用，如果操作不當，并且沒有事先取得員工的授權同意，可能違反《個人信息保護法》、侵犯員工隱私權。因此，遠程辦公期間，為有效監(jiān)督和管理員工，企業(yè)希望對員工進行適當?shù)谋O(jiān)測，如何才能做到合法合規(guī)？
A：首先，查閱企業(yè)的員工合同或員工個人信息收集授權書，判斷是否滿足遠程辦公監(jiān)測的要求。如果授權存在瑕疵，建議企業(yè)采取郵件告知、回復或授權書電子簽章的形式來進行補充授權。
其次，針對不同場景，逐項評估收集員工個人信息的必要性。評估是否有必要通過視頻監(jiān)控的方式來監(jiān)控員工的工作狀態(tài)，有沒有替代的方案？如果確實有必要，最好還是要進行事前的個人信息保護影響評估。
最后，遵守目的限制原則。沒有經(jīng)過員工的授權，不要將收集的信息用于工作監(jiān)測以外的其他目的。

    在線通訊數(shù)據(jù)問題：
Q:當會議的主持人開啟錄制會議的功能的時候，其實他就已經(jīng)成為了個人信息的處理者。按照《個人信息保護法》要求，主持人收集其他參會個人信息的行為，首先應該征得其他參會者的同意，錄制以后也應該要以安全的方式把視頻存儲到本地或上傳到可信的云端服務器。但大多數(shù)的用戶并沒有意識到自己已經(jīng)成為個人信息處理者，甚至有侵犯他人的合法權益之虞，更不用說會采取符合《個人信息保護法》要求的保護的措施。

那么會議軟件又是否盡到了充分的提醒義務？以某會議軟件為例，其隱私政策提及被錄制會議的參會人會收到錄制提醒，如果參會人不同意錄制，其聲音或畫面可以選擇退出會議。由于其錄制有兩種方式，一種是本地錄制，一種是云錄制，在云錄制開啟時，屏幕右上角會有短暫兩三秒的“會議錄制中”、“云錄制已結(jié)束”的彈窗提醒；本地錄制則不會有提醒。在線會議錄制過程中，會議軟件采用的此種告知同意機制是否合法合理？

A：不夠合法合理。
首先，不符合事前告知、授權同意原則。視頻錄制的隱私政策不存在前述的合法性基礎，不屬于授權同意原則的例外；已經(jīng)開始錄制以后再告知參會者可以選擇退出也為時已晚，不符合事先告知的原則。
其次，短暫兩三秒彈窗提醒，不符合顯著、明確要求。
再次，本地錄制未有提示，缺乏相應的提醒。
最后，人臉、聲紋屬于敏感個人信息，如要錄制需要取得個人信息主體單獨同意。

【建議】企業(yè)及會議主持人，要提高信息保護意識（尤其是在會議錄制過程中）。
提供遠程辦公產(chǎn)品和服務的企業(yè)，除了需要在用戶協(xié)議中明確劃分雙方的責任之外，有必要通過技術措施，對用戶特別是視頻會議的主持人進行管理。可以在主持人點擊錄制視頻的時候，設置主持人-參會者的雙向彈窗，重申隱私政策以及用戶應承擔的法律責任。會議軟件應在取得參會者的明示同意后再開始錄制，并要對提示和同意的過程進行記錄。

03 法律責任

《個人信息保護法》第六十六、六十七、六十九條規(guī)定了違反《個人信息保護法》應當承擔的法律責任，歸納為以下幾方面：
責令改正，給予警告。
沒收違法所得。
對違法處理個人信息的應用程序，責令暫停或者終止提供服務。
最高處5000萬元或上一年度營業(yè)額5%的罰款。
停業(yè)整頓、吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照。
對直接負責的主管人員和其他直接責任人員最高處100萬元罰款，可禁止從事相關職業(yè)。
記入信用檔案，并予以公示。

民事?lián)p害賠償：過錯推定原則。處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?br/>
參考資料：
1.國務院應對新型冠狀病毒感染的肺炎疫情聯(lián)防聯(lián)控機制：關于印發(fā)公共場所新型冠狀病毒感染的肺炎衛(wèi)生防護指南的通知（肺炎機制發(fā)〔2020〕15號），http://www.gov.cn/xinwen/2020-01/31/content_5473402.htm
2.中央網(wǎng)信辦：關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知，http://www.gov.cn/xinwen/2020-02/09/content_5476472.htm

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:賽博研究院

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明