?

?

2020年1月20日，國家衛(wèi)健委發(fā)布1號(hào)公告，將新型冠狀病毒感染的肺炎納入《中華人民共和國傳染病防治法》規(guī)定的乙類傳染病，并采取甲類傳染病的預(yù)防、控制措施[2]。此外，全國多地結(jié)合疫情防控形勢啟動(dòng)了重大突發(fā)公共衛(wèi)生事件一級(jí)響應(yīng)，此次疫情明確屬于突發(fā)公共衛(wèi)生事件。相應(yīng)地，企業(yè)應(yīng)該按照《中華人民共和國傳染病防治法》、《突發(fā)公共衛(wèi)生事件應(yīng)急條例》等相關(guān)法律法規(guī)的規(guī)定積極采取措施。

?

《中華人民共和國傳染病防治法》第三十一條規(guī)定，任何單位和個(gè)人發(fā)現(xiàn)傳染病病人或者疑似傳染病病人時(shí)，應(yīng)當(dāng)及時(shí)向附近的疾病預(yù)防控制機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)報(bào)告。在《突發(fā)公共衛(wèi)生事件應(yīng)急條例》中同樣規(guī)定，任何單位和個(gè)人對(duì)突發(fā)事件，不得隱瞞、緩報(bào)、謊報(bào)授意他人隱瞞、緩報(bào)、謊報(bào)。因此，在此次疫情期間，企業(yè)應(yīng)當(dāng)在企業(yè)管理的范圍內(nèi)履行主體責(zé)任，及時(shí)登記和排查員工、訪客、客戶、供應(yīng)商等相關(guān)信息，一旦發(fā)現(xiàn)感染情況即向附近的疾病預(yù)防控制機(jī)構(gòu)（各地疾控中心）或者醫(yī)療機(jī)構(gòu)（醫(yī)院等）報(bào)告相關(guān)情況。

?

在我國以《中華人民共和國網(wǎng)絡(luò)安全法》為主要法律，輔以《個(gè)人信息安全規(guī)范》等國家標(biāo)準(zhǔn)的個(gè)人信息保護(hù)規(guī)則體系下，對(duì)個(gè)人信息的收集、使用和共享需依據(jù)于個(gè)人信息主體的授權(quán)同意。在此次疫情的特殊情形下，個(gè)人信息收集和處理活動(dòng)不可避免，企業(yè)一方面要積極配合國家及時(shí)報(bào)送相關(guān)信息，另一方面要加強(qiáng)企業(yè)內(nèi)部管理。

?

如問題1所述，企業(yè)需配合疾控機(jī)構(gòu)進(jìn)行與疫情相關(guān)的個(gè)人信息的收集、排查和報(bào)送。針對(duì)此類個(gè)人信息處理活動(dòng)是否仍要征得授權(quán)同意，存在一定的爭議。我們理解，根據(jù)特別法優(yōu)于一般法的原則，企業(yè)為履行法定報(bào)告義務(wù)而進(jìn)行的個(gè)人信息處理活動(dòng)可以視為授權(quán)同意原則適用的例外，無需征得授權(quán)同意。此情形亦符合《個(gè)人信息安全規(guī)范》"征得授權(quán)同意的例外"之"與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)"或 "法律法規(guī)規(guī)定的其他情形"。

?

針對(duì)企業(yè)為進(jìn)行內(nèi)部管理、及時(shí)疏導(dǎo)員工心理而進(jìn)行的個(gè)人信息收集和排查行為，如果具有現(xiàn)實(shí)上的必要性，我們理解此類個(gè)人信息處理活動(dòng)亦可以適用以上的例外。

?

對(duì)于疫情期間為疫情防控目的所收集的個(gè)人信息，企業(yè)應(yīng)當(dāng)嚴(yán)格限制信息的使用目的，加強(qiáng)安全保障與披露管理，避免對(duì)個(gè)人信息進(jìn)行濫用而導(dǎo)致對(duì)相關(guān)人員歧視性對(duì)待。

?

具體來說，首先，企業(yè)應(yīng)當(dāng)規(guī)定所收集信息的使用目的和使用范圍，明確僅可將相關(guān)個(gè)人信息用于進(jìn)行疫情排查，僅確實(shí)必要的人員可訪問并使用；其次，企業(yè)在處理相關(guān)信息時(shí)，應(yīng)當(dāng)避免對(duì)相關(guān)人員歧視性對(duì)待（例如僅向湖北籍員工發(fā)送疫情信息等）；最后，企業(yè)確需在內(nèi)部披露疫情情況時(shí)，應(yīng)當(dāng)先進(jìn)行去標(biāo)識(shí)化處理等技術(shù)措施，避免披露相關(guān)人員的個(gè)人信息，防止因此對(duì)相關(guān)人員造成的二次傷害。

?

基于疫情防控的目的，為定位到特定人員（主要是指確診、疑似感染人員及密切接觸人員等），需利用火車票/機(jī)票/汽車票等行程信息、交易/支付信息、住宿信息等聯(lián)動(dòng)對(duì)相關(guān)人員的個(gè)人行蹤或人群關(guān)系進(jìn)行追蹤，在此過程中往往需要使用多種來源的信息進(jìn)行綜合分析。

?

根據(jù)《中華人民共和國傳染病防治法》第七條，各級(jí)疾病預(yù)防控制機(jī)構(gòu)承擔(dān)傳染病監(jiān)測、預(yù)測、流行病學(xué)調(diào)查、疫情報(bào)告以及其他預(yù)防、控制工作。我們理解，僅特定機(jī)構(gòu)（主要是指各級(jí)疾病預(yù)防控制機(jī)構(gòu)）有權(quán)為疫情防控目的追蹤個(gè)人行蹤或人群關(guān)系。對(duì)于一般企業(yè)而言，若未經(jīng)委托授權(quán)，通過自有數(shù)據(jù)源或者共享數(shù)據(jù)的方式，進(jìn)行特定個(gè)人的行蹤或人群關(guān)系分析，可能會(huì)超出法定授權(quán)或信息主體所授權(quán)同意的范圍。

?

在為疫情防控目的追蹤個(gè)人行蹤或人群關(guān)系的過程中，一般企業(yè)所承擔(dān)的義務(wù)主要是向有權(quán)機(jī)構(gòu)共享必要的相關(guān)信息，此共享行為屬于《個(gè)人信息安全規(guī)范》所規(guī)定的征得授權(quán)同意的例外中"與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)"的情形，具備相應(yīng)的法律依據(jù)，在共享過程中，企業(yè)仍需遵守最小必要原則并充分保障個(gè)人信息安全。

?

與問題4不同，企業(yè)為疫情防控目的將掌握的個(gè)人數(shù)據(jù)用于大數(shù)據(jù)分析主要是為了支撐服務(wù)疫情態(tài)勢研判、疫情防控部署以及對(duì)流動(dòng)人員的疫情監(jiān)測、精準(zhǔn)施策，而非精準(zhǔn)追蹤特定個(gè)人。

?

疫情期間，部分企業(yè)已經(jīng)利用所掌握的信息進(jìn)行大數(shù)據(jù)分析進(jìn)而為疫情防控工作提供支持。以百度地圖為例，開放百度地圖遷徙大數(shù)據(jù)用于觀察各城市的人口流動(dòng)情況，尤其是重點(diǎn)疫區(qū)的人口流出方向；此外三大運(yùn)營商在工信部及各地通信管理局的組織下運(yùn)用大數(shù)據(jù)分析以加強(qiáng)對(duì)流動(dòng)人員的疫情監(jiān)測。以百度地圖為例，《百度地圖隱私政策》中明確說明"在不泄露您個(gè)人信息的前提下，百度有權(quán)對(duì)匿名化處理后的用戶數(shù)據(jù)庫進(jìn)行挖掘、分析和利用（包括商業(yè)性使用）"，百度對(duì)于聚合數(shù)據(jù)（aggregated data）的使用屬于上述用戶的授權(quán)范圍，具有法律依據(jù)。對(duì)于其他無類似授權(quán)安排的企業(yè)，若能實(shí)現(xiàn)大數(shù)據(jù)分析的匿名化，且嚴(yán)格限制于協(xié)助疫情防控的目的，分析結(jié)果不會(huì)追蹤或指向特定人員，仍可以視為合法使用。

?

在進(jìn)行人員信息收集和處理的過程中，企業(yè)需要嚴(yán)格遵守?cái)?shù)據(jù)最小化原則的要求，將對(duì)個(gè)人信息的處理控制在實(shí)現(xiàn)目的所需要的最小必要范圍內(nèi)。

?

以信息收集為例，為進(jìn)行疫情排查及后續(xù)關(guān)注，有必要收集相關(guān)人員的姓名、身份證號(hào)、電話、住址以及緊急聯(lián)系人及聯(lián)系方式等信息，但收集其職業(yè)、民族等則可能會(huì)超出實(shí)現(xiàn)上述目的所需要的范圍。因此，企業(yè)在制作登記表、組織相關(guān)人員進(jìn)行登記以及向疾病預(yù)防控制機(jī)構(gòu)或醫(yī)療機(jī)構(gòu)進(jìn)行報(bào)告時(shí)，均需注意限制個(gè)人信息的范圍。對(duì)于后續(xù)的數(shù)據(jù)存儲(chǔ)和內(nèi)部管理，也應(yīng)遵循最小必要原則進(jìn)行訪問限制控制、以及在目的實(shí)現(xiàn)后盡快對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。

?

根據(jù)《中華人民共和國傳染病防治法》第三十八條，國家建立傳染病疫情信息公布制度，國務(wù)院衛(wèi)生行政部門及省、自治區(qū)、直轄市人民政府衛(wèi)生行政部門負(fù)責(zé)向社會(huì)公布傳染病疫情信息。據(jù)此，僅國務(wù)院及省級(jí)人民政府的衛(wèi)生行政部門有權(quán)向社會(huì)公開披露相關(guān)信息，一般企業(yè)若在網(wǎng)絡(luò)上公開披露相關(guān)信息，缺乏合法依據(jù)，同時(shí)將嚴(yán)重?fù)p害個(gè)人信息主體的基本權(quán)利。

?

若確需在企業(yè)內(nèi)部披露相關(guān)信息的，需充分重視對(duì)相關(guān)人員個(gè)人信息的保護(hù)，避免對(duì)相關(guān)人員造成歧視或產(chǎn)生其他重大影響，例如僅披露統(tǒng)計(jì)數(shù)量，如必要披露個(gè)體信息，也應(yīng)采取事先的去標(biāo)識(shí)化處理等措施降低對(duì)個(gè)體的影響。

?

保障個(gè)人信息安全，即是要避免對(duì)個(gè)人信息進(jìn)行未經(jīng)授權(quán)的訪問、使用、泄露、修改或破壞。在微信群、微博等社交媒體中流傳的"武漢返鄉(xiāng)人員個(gè)人信息表"即屬于對(duì)個(gè)人信息的泄露，不僅會(huì)導(dǎo)致對(duì)其中人員的歧視性對(duì)待（例如收到惡意辱罵電話），還可能會(huì)引發(fā)對(duì)該類個(gè)人信息的非法使用。

?

對(duì)企業(yè)而言，為充分保障所收集個(gè)人信息的安全，一方面要加強(qiáng)信息保護(hù)的安全技術(shù)措施，通過訪問控制、加密、物理環(huán)境保護(hù)等避免個(gè)人信息安全事件的發(fā)生，例如僅必要人員可接觸相關(guān)填報(bào)信息以防止傳播；另一方面要建立起信息安全應(yīng)急響應(yīng)機(jī)制，確保企業(yè)信息系統(tǒng)的安全平穩(wěn)運(yùn)行及發(fā)生個(gè)人信息安全事件時(shí)的快速有效響應(yīng)。

?

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第四十一條，收集、使用個(gè)人信息，應(yīng)當(dāng)公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。即使是在疫情的特殊情形下，企業(yè)同樣應(yīng)當(dāng)以適當(dāng)?shù)姆绞奖Ｕ蟼€(gè)人信息主體知情權(quán)的實(shí)現(xiàn)，例如在要求員工進(jìn)行登記時(shí)在郵件中寫明登記的目的、可能采取的處理行為等，在要求訪客進(jìn)行登記時(shí)可在入口處張貼相關(guān)通知等，充分告知個(gè)人信息主體其個(gè)人信息被處理的相關(guān)情況，既是對(duì)法律法規(guī)的遵守，也有助于減輕個(gè)人信息主體的疑慮與恐慌。

?

在我國的個(gè)人信息保護(hù)規(guī)則體系下，一般來說，個(gè)人信息主體享有訪問權(quán)、更正權(quán)、刪除權(quán)、撤回同意、獲取個(gè)人信息副本等權(quán)利。如同在例外情形下無需獲得個(gè)人信息主體的授權(quán)同意，在履行法律法規(guī)規(guī)定的義務(wù)以及與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的情形下，可以限制或不響應(yīng)個(gè)人信息主體提出的上述權(quán)利請(qǐng)求。

?

因此，企業(yè)在疫情期間為防控疫情所進(jìn)行的合法個(gè)人信息處理活動(dòng)，可限制個(gè)人信息主體行使以上權(quán)利請(qǐng)求，但亦需按照最小必要原則對(duì)于相關(guān)信息進(jìn)行存儲(chǔ)和管理，在相關(guān)疫情管理的配合工作結(jié)束時(shí)對(duì)于相關(guān)個(gè)人信息進(jìn)行刪除或者匿名化處理。

[1]?衛(wèi)生健康委：關(guān)于印發(fā)公共場所新型冠狀病毒感染的肺炎衛(wèi)生防護(hù)指南的通知，http://www.gov.cn/zhengce/zhengceku/2020-01/31/content_5473402.htm?，訪問時(shí)間：2020年1月30日。

[2]?疾病預(yù)防控制局：中華人民共和國國家衛(wèi)生健康委員會(huì)公告2020年第1號(hào)，http://www.nhc.gov.cn/jkj/s7916/202001/44a3b8245e8049d2837a4f27529cd386.shtml， 訪問時(shí)間：2020年1月30日。