2022年4月30日（周六）晚，上海賽博網絡安全產業創新研究院聯合安永(中國)企業咨詢有限公司主辦「數安周享會 · Cyber Talk」第二期直播活動。本期以“疫情下的個人信息保護”為主題，依次探討了“團長”作為個人信息處理者，如何對個人信息處理活動負責？團購企業又是如何看待這些問題的？此外，疫情下還存在哪些典型的個人信息風險場景？

本期特邀嘉賓：

劉境棠：上海賽博網絡安全產業創新研究院高級研究員

疫情期間企業在哪些情形下會涉及到個人信息處理？為疫情防控目的處理個人信息需要注意躲避哪些“坑”？違反《個人信息保護法》將要負哪些法律責任？本篇文章將為你一一解答。

01 企業個人信息處理的典型場景

來訪登記
企業出于疫情防控目的，會對訪客進行來訪登記，要求來訪人員填寫姓名、公司名稱、身份證號、聯系電話等信息。

員工情況收集
企業會通過OA系統上報、郵件、企業微信群組、問卷調查等方式持續向員工收集各類疫情相關的信息，包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等。

信息報送
企業對收集的信息進行統計和監測，在必要時，需要向監管部門報告企業員工的整體情況。

02 為疫情防控目的處理個人信息所涉的法律問題

合法性基礎
Q：為疫情防控目的要求來訪人員登記是否合法？
A：合法。
【法律依據】國務院應對新型冠狀病毒感染肺炎疫情聯防聯控機制于2020年1月30日印發的《公共場所新型冠狀病毒感染的肺炎衛生防護指南》中明確規定，辦公樓等場所應當加強對來訪人員健康監測和登記等工作。

Q：為疫情防控目的收集員工、訪客情況信息是否屬于同意原則的例外？
A：屬于。
【法律依據】《個人信息保護法》第十三條第一款第二項至第七項規定了不需要取得個人同意處理個人信息的一些情形，包括為履行法定職責或者法定義務所必需，為應對突發公共衛生事件，以及法律、行政法規規定的其他情形。根據特別法優于一般法的原則，為疫情防控目的收集員工、訪客情況信息符合以上規定，可以事先不征得個人同意。
2020年1月20日，國家衛健委發布1號公告，將新型冠狀病毒感染的肺炎納入《中華人民共和國傳染病防治法》規定的乙類傳染病，并采取甲類傳染病的預防、控制措施。
《傳染病防治法》第三十一條規定“任何單位和個人發現傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫療機構報告”，由此可推出企業未履行法定報告義務而進行的個人信息處理活動，可以視為授權獨立原則的例外。
《突發公共衛生事件應急條例》也有類似規定，“任何單位和個人對突發事件，不得隱瞞、緩報、謊報或者授意他人隱瞞、緩報、謊報”。

告知
Q：企業收集個人信息需不需要進行告知？
A：需要，一般情況下需告知，并且企業應當以適當的方式告知。例如，在要求員工進行登記時在郵件中寫明登記的目的、可能采取的處理行為等，在要求訪客進行登記時可在入口處張貼相關通知。
【法律依據】《個人信息保護法》第十七條 個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知……
第十八條 個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知。

收集
Q：以來訪登記表的形式收集是否合法？
A：不合法。在填寫來訪登記表時，后登記的人可以看到前登記人的信息，這顯然存在信息泄露風險。
【法律依據】《個人信息保護法》第五十一條明確規定，個人信息處理者應當要采取措施防止個人信息的泄漏、篡改、丟失。
中央網信辦《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》規定，任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息。
【建議】來訪登記使用“場所碼”
“場所碼”服務是為滿足各類企業機構防控核查提供的重要工具。申請通過后可以下載打印張貼在辦公地點，出入員工和訪客只要掃一掃，即可完成訪客信息登記、記錄人員健康狀態，方便單位做好防控核查工作。企業可在后臺查看本單位“場所碼”的掃碼記錄，包括當日次數、碼色統計、掃碼詳情等，做好疫情防控監測和企業的個人信息保護。

Q：為疫情防控目的收集個人信息的范圍如何確定？
A：應當遵循最小必要原則。為進行疫情排查，有必要收集相關人員的姓名、身份證號、電話、住址等信息是符合最小必要原則的；但收集民族、職業等就可能超出實現上述目的所需要的范圍。
【法律依據】《個人信息保護法》第六條 處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。
收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。

使用
Q：為疫情防控目的可否利用收集的信息進行個人行跡追蹤和數據分析？
A：僅特定機構有權為疫情防控目的追蹤個人行蹤或流調分析。一般企業若未經委托授權進行，可能會超出法定授權使用范圍。
【法律依據】《中華人民共和國傳染病防治法》第七條 各級疾病預防控制機構承擔傳染病監測、預測、流行病學調查、疫情報告以及其他預防、控制工作。
第十二條 在中華人民共和國領域內的一切單位和個人，必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、采集樣本、隔離治療等預防、控制措施，如實提供有關情況。疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。

Q：為疫情防控目的所收集的個人信息如何避免濫用？
A：第一，規定個人信息的使用目的和使用范圍：僅限疫情排查。第二，訪問權限管理：僅限必要人員。第三，避免對相關人員歧視性對待。

公開披露
Q：為疫情防控目的是否可以披露個人信息？
A；分兩種情況。一種是公開披露：僅限國務院及省級人民政府的衛生行政部門，一般企業公開披露缺乏合法依據。另一種是內部披露：需充分重視對相關人員個人信息的保護，避免對相關人員造成歧視或產生其他重大影響，可采用去識別化處理。
【法律依據】《中華人民共和國傳染病防治法》第三十八條 國家建立傳染病疫情信息公布制度，國務院衛生行政部門及省、自治區、直轄市人民政府衛生行政部門負責向社會公布傳染病疫情信息。
中央網信辦《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》 3.為疫情防控、疾病防治收集的個人信息，不得用于其他用途。任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，因聯防聯控工作需要，且經過脫敏處理的除外。

信息報送
Q：企業承擔哪些與疫情相關的報送義務？
A：企業應及時登記和排查員工、訪客等相關信息，向附近的疾病預防控制機構（各地疾控中心）或者醫療機構（醫院等）報告。
【法律依據】《中華人民共和國傳染病防治法》第三十一條 任何單位和個人發現傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫療機構報告。
《突發公共衛生事件應急條例》 任何單位和個人對突發事件，不得隱瞞、緩報、謊報或者授意他人隱瞞、緩報、謊報。

權利響應
Q：為疫情防控目的處理個人信息，是否可以限制個人信息主體部分權利的行使？
A：處理個人信息的合法性基礎是基于履行法律法規規定的義務，而不是基于授權同意，因此可以限制或不響應個人信息主體提出的部分權利請求。
【法律依據】《個人信息保護法》第四十四條 個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。
第四十五條至第四十八條 規定個人信息主體享有查詢權、復制權、轉移權、更正權、刪除權、撤回同意權等權利。
第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的，應當說明理由。

安全措施
Q：企業可以采取哪些安全措施？
A：第一，加強信息保護的安全技術措施，如訪問控制、加密、物理環境保護等。第二，建立信息安全應急響應機制。第三，疫情防控目的實現后，及時刪除或匿名化處理。
【法律依據】《個人信息保護法》第九條 個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。
第五十一條 個人信息處理者應當……采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：
（一）制定內部管理制度和操作規程；
（二）對個人信息實行分類管理；
（三）采取相應的加密、去標識化等安全技術措施；
（四）合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；
（五）制定并組織實施個人信息安全事件應急預案；
（六）法律、行政法規規定的其他措施。

疫情下，其他個人信息保護場景

    居家辦公遠程監測數據問題：

Q:居家辦公期間企業會要求員工定時匯報、簽到打卡、通過視頻監控工作狀態。但要注意視頻監控、系統監測軟件、插件的使用，如果操作不當，并且沒有事先取得員工的授權同意，可能違反《個人信息保護法》、侵犯員工隱私權。因此，遠程辦公期間，為有效監督和管理員工，企業希望對員工進行適當的監測，如何才能做到合法合規？
A：首先，查閱企業的員工合同或員工個人信息收集授權書，判斷是否滿足遠程辦公監測的要求。如果授權存在瑕疵，建議企業采取郵件告知、回復或授權書電子簽章的形式來進行補充授權。
其次，針對不同場景，逐項評估收集員工個人信息的必要性。評估是否有必要通過視頻監控的方式來監控員工的工作狀態，有沒有替代的方案？如果確實有必要，最好還是要進行事前的個人信息保護影響評估。
最后，遵守目的限制原則。沒有經過員工的授權，不要將收集的信息用于工作監測以外的其他目的。

    在線通訊數據問題：
Q:當會議的主持人開啟錄制會議的功能的時候，其實他就已經成為了個人信息的處理者。按照《個人信息保護法》要求，主持人收集其他參會個人信息的行為，首先應該征得其他參會者的同意，錄制以后也應該要以安全的方式把視頻存儲到本地或上傳到可信的云端服務器。但大多數的用戶并沒有意識到自己已經成為個人信息處理者，甚至有侵犯他人的合法權益之虞，更不用說會采取符合《個人信息保護法》要求的保護的措施。

那么會議軟件又是否盡到了充分的提醒義務？以某會議軟件為例，其隱私政策提及被錄制會議的參會人會收到錄制提醒，如果參會人不同意錄制，其聲音或畫面可以選擇退出會議。由于其錄制有兩種方式，一種是本地錄制，一種是云錄制，在云錄制開啟時，屏幕右上角會有短暫兩三秒的“會議錄制中”、“云錄制已結束”的彈窗提醒；本地錄制則不會有提醒。在線會議錄制過程中，會議軟件采用的此種告知同意機制是否合法合理？

A：不夠合法合理。
首先，不符合事前告知、授權同意原則。視頻錄制的隱私政策不存在前述的合法性基礎，不屬于授權同意原則的例外；已經開始錄制以后再告知參會者可以選擇退出也為時已晚，不符合事先告知的原則。
其次，短暫兩三秒彈窗提醒，不符合顯著、明確要求。
再次，本地錄制未有提示，缺乏相應的提醒。
最后，人臉、聲紋屬于敏感個人信息，如要錄制需要取得個人信息主體單獨同意。

【建議】企業及會議主持人，要提高信息保護意識（尤其是在會議錄制過程中）。
提供遠程辦公產品和服務的企業，除了需要在用戶協議中明確劃分雙方的責任之外，有必要通過技術措施，對用戶特別是視頻會議的主持人進行管理。可以在主持人點擊錄制視頻的時候，設置主持人-參會者的雙向彈窗，重申隱私政策以及用戶應承擔的法律責任。會議軟件應在取得參會者的明示同意后再開始錄制，并要對提示和同意的過程進行記錄。

03 法律責任

《個人信息保護法》第六十六、六十七、六十九條規定了違反《個人信息保護法》應當承擔的法律責任，歸納為以下幾方面：
責令改正，給予警告。
沒收違法所得。
對違法處理個人信息的應用程序，責令暫停或者終止提供服務。
最高處5000萬元或上一年度營業額5%的罰款。
停業整頓、吊銷相關業務許可或者吊銷營業執照。
對直接負責的主管人員和其他直接責任人員最高處100萬元罰款，可禁止從事相關職業。
記入信用檔案，并予以公示。

民事損害賠償：過錯推定原則。處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。

參考資料：
1.國務院應對新型冠狀病毒感染的肺炎疫情聯防聯控機制：關于印發公共場所新型冠狀病毒感染的肺炎衛生防護指南的通知（肺炎機制發〔2020〕15號），http://www.gov.cn/xinwen/2020-01/31/content_5473402.htm
2.中央網信辦：關于做好個人信息保護利用大數據支撐聯防聯控工作的通知，http://www.gov.cn/xinwen/2020-02/09/content_5476472.htm

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:賽博研究院

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明