华商原创 ▎新冠肺炎疫情下，企业对个人信息数据的合规管理

（一）个人信息数据的定义

对个人信息数据进行合规管理，首先要明确的 “个人信息”的含义。《网络安全法》对个人信息的定义是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《关于依法惩处侵害公民个人信息犯罪活动的通知》，将公民个人信息定义为“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则提出，公民个人信息应包括“反映特定自然人活动情况的各种信息”。

可以看出，我国立法并未以列举方式定义何为个人信息，而是将“可识别性”作为个人信息核心的、本质的特征，并以此为定义思路。

国家标准GBT 35273-2017《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）提出了“个人敏感信息”的概念，即“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”从定义上来看，对个人信息的保护，也包含对个人敏感信息的保护，并因其特性，通常被赋予更高的保护要求。

（二）个人信息保护的规定

我国尚未制定专门的个人信息保护法律，《个人信息保护法》在2019年3月被纳入十三届全国人大常委会的立法规划，但尚未颁行实施。我国现有的对个人信息的保护规定，来自多部法律法规：

《民法总则》第一百一十一条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《刑法》第二百五十三条规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

《网络安全法》第四十四条规定，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

《传染病防治法》第六十九条规定，医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的，由县级以上人民政府卫生行政部门责令改正，通报批评，给予警告；造成传染病传播、流行或者其他严重后果的，对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书；构成犯罪的，依法追究刑事责任。

除此以外，《中华人民共和国消费者权益保护法》、《中华人民共和国电子商务法》、《互联网信息服务管理办法》、《中华人民共和国电信条例》等也都涉及对公民个人信息的保护。

针对疫情期间屡屡出现的与个人信息相关的问题，2月3日，国家卫生健康委员会已公开发布《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》，并提出加强网络信息安全、切实保护个人隐私安全的要求。2月9日，中央网络安全和信息化委员会办公室（以下简称“网信办”）公开发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称“网信办通知”），再次强调了此次疫情联防联控工作中的个人信息保护、大数据支撑等事项，重申了疫情紧急时需关注和遵循的个人信息保护底线，并进一步规定疫情防控时期个人信息收集使用应当遵守最小必要原则、目的限制原则、确保安全原则。

疫情防控期间，谁有权收集公民个人数据信息，法律法规有明确的规定。

《传染病防治法》第二十条第一条第二款规定：“县级以上地方人民政府应当制定传染病预防、控制预案，报上一级人民政府备案。传染病预防、控制预案应当包括以下主要内容：……（二）传染病的监测、信息收集、分析、报告、通报制度；……。”

另外，《传染病防治法》第十八条第一款规定：“各级疾病预防控制机构在传染病预防控制中履行下列职责：……（二）收集、分析和报告传染病监测信息，预测传染病的发生、流行趋势；……。”据此，各级疾病预防控制机构享有信息收集权。

《突发事件应对法》第三十七条第二款规定：“县级以上地方各级人民政府应当建立统一的突发事件信息系统……”；第三十八条第一款规定：“县级以上人民政府及其有关部门应当通过多种途径收集突发事件信息。”这两款明确了县级以上人民政府及其有关部门在疫情防控过程中建立信息系统并收集信息的职责。其中，“信息”我们认为应当包含个人信息。

《突发公共卫生事件应急条例》第四十条规定：“传染病暴发、流行时，街道、乡镇以及居民委员会、村民委员会应当组织力量，团结协作，群防群治，协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作，向居民、村民宣传传染病防治的相关知识。”

综合上述规定，县级以上人民政府及其有关部门、各级疾病防控机构、医疗卫生机构享有信息收集权，而街道、乡镇以及居民委员会、村民委员会有权协助有关部门采集信息。显然，企业不属于上述的任何一种主体。

《中华人民共和国传染病防治法》第三十一条规定，任何单位和个人发现传染病病人或者疑似传染病病人时，应当及时向附近的疾病预防控制机构或者医疗机构报告；《突发公共卫生事件应急条例》中同样规定，任何单位和个人对突发事件，不得隐瞒、缓报、谎报授意他人隐瞒、缓报、谎报。

国务院应对新型冠状病毒感染的肺炎疫情联防联控机制发布的《公共场所新型冠状病毒感染的肺炎卫生防护指南》中，要求对来访人员进行管理，新型冠状病毒感染的肺炎流行期间，办公楼等场所应当加强对来访人员健康监测和登记等工作。

此外，针对一些特殊行业，相关主管部门也出台了通知，要求行业内企业配合收集提交疫情相关个人信息。如文化和旅游部办公厅发布的《关于做好新型冠状病毒感染的肺炎疫情防控工作的通知》，要求“各地要做好旅游团队跟踪监测，完善旅游团队人员和行程资料信息，指导督促旅行社等市场主体，对旅游团队人员进行排查，及时将当地卫生健康部门确诊的或疑似团队游客病例报告我部”；以及交通运输部《关于严格防治通过交通工具传播新型冠状病毒感染的肺炎的通知》（肺炎机制发〔2020〕2号）“督促客运、出租车、网约车等相关交通运输企业配合卫生健康部门，做好同一交通工具内与病例密切接触人员的信息报送工作”。

由此可见，疫情形势下，企业负有一定的收集排查员工、来访人员疫情相关信息并及时将此类信息向主管机关进行报告的义务。

没有法律赋予个人信息收集权，但确实在当前疫情形势下负有收集报告义务的企业，如何合法合规地收集、管理个人信息？根据我国《网络安全法》及相关配套措施的规定，在收集使用个人信息前，应当取得个人信息主体的授权同意。如果被采集对象同意企业对其收集个人信息，这样的行为是不违法的。

《网络安全法》没有规定同意的例外情形。《个人信息安全规范》中规定了征得授权同意的例外：“以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意：a) 与国家安全、国防安全直接相关的；b) 与公共安全、公共卫生、重大公共利益直接相关的……”很显然，新冠病毒疫情属于与公共安全、公共卫生、重大公共利益直接相关的情形。

网信办通知中明确“除国务院卫生健康部门依据《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。法律、行政法规另有规定的，按其规定执行”。

由此，除《传染病防治法》、《突发公共卫生事件应急条例》所赋予信息收集权限的县级以上人民政府及其有关部门、各级疾病防控机构、医疗卫生机构外，有权突破同意原则进行信息收集的主体仅限于国务院卫生健康部门授权机构。除此之外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。企业在未取得明确授权的情形下收集个人信息，仍需向被收集方说明个人信息的范围、使用目的、上报机构等，并经被收集方同意。

结合网信办通知中的要求，我们可以将企业合规管理个人信息的要点总结如下：

（一）限制使用目的

作为原则，企业为疫情防控、疾病防治收集的个人信息，不得用于其他用途。

企业收集员工个人信息，应有相应的指引及规则，向被收集方说明收集主体权限的合法性、需要被收集的信息范围、收集的方式、信息的用途、员工拒绝提供或提供虚假个人信息的后果。

（二）及时真实披露

企业除了对部分个人信息负有收集的义务，同时也有向特定主体披露的义务。企业排查员工时如发现疫情，应当及时向附近的疾病预防控制机构或者医疗机构报告，不得隐瞒、缓报、谎报。根据抗疫防疫要求确需在内部披露疫情情况时，应当首先处理将披露信息去“可识别性”，使被披露的信息不再属于个人信息范畴，在合法使用信息的同时防止对相关人员的二次伤害。

（三）坚持最小范围原则

根据网信办通知及相关法律法规及规范性文件的规定，坚持最小范围原则，可从被收集人群、被收集信息、收集手段及频率等以下几个方面入手：

首先，收集对象原则上应限于确诊者、疑似者、密切接触者等重点人群；其次，企业应避免过度收集个人信息，被收集的信息应是与确定员工是否是或可能是重点人群直接相关的，例如，体温与近期旅行史，而不应是如个人资产、家族病史等不相关内容；最后，企业收集信息的手段应是合法合理的，不得暴力、强制或采取其他违法手段采集员工信息，同时降低信息采集频率，避免造成骚扰。

（四）加强安全保障

企业在使用个人信息过程中，应注意采取相应安全措施防止信息泄露。

收集信息时，企业应坚持最小范围原则，降低企业需要保护的信息数量与范围。对于收集到的信息，企业应按照保密信息的标准进行存储和内部管理，传输时采取技术手段保密加工，并严格限制可访问该类信息的人员人数并告知其保密义务。在被收集信息目的实现后，企业应及时删除相关信息或做匿名化处理。

（五）完善应急管理制度

疫情期间的个人信息管理，应为企业安全应急管理的一部分。企业应制定或完善应急管理体系，设置应急管理组织或人员并确定疫情期间个人信息管理为其职责，在制定应急预案、发布员应急决策、执行应急措施等环节纳入对个人信息的处理，按应急管理规范做好信息备份与记录。

随着近年来互联网和信息技术的高速发展，越来越多各类信息数据高频交流交换，规范此类行为的专门立法必然形成趋势。个人信息数据管理，是企业合规管理的重要组成部分。

企业应高度重视数据信息保护，做好事先预防工作，完善相应制度及操作规范，保障企业在大数据时代行稳致远。

 本文作者：刘露   华商合规法律服务中心

刘露

华商律师事务所

华商合规法律服务中心 秘书长

主要执业领域为企业合规、国际贸易、跨境投资及外汇管制