处理员工疫情相关信息，企业法务如何坚守合规防线？

 企业是否具有收集处理疫情相关信息的义务？《传染病防治法》和《突发公共卫生事件应急条例》（2003年）赋予人民政府、卫生行政部门、以及疾病预防控制机构、医疗机构信息收集的权利。前述机构可以在符合法律要求的前提下，授权给相关单位和个人进行信息收集。

《传染病防治法》第三十一条规定，任何单位和个人发现传染病病人或者疑似传染病病人时，应当及时向附近的疾病预防控制机构或者医疗机构报告。以上海为例，上海人大常委会《关于全力做好当前新型冠状病毒感染肺炎疫情防控工作的决定》（上海市人民代表大会常务委员会公告第30号）第三条要求“本市行政区域内，任何单位和个人都应当遵守关于疫情防控的规定，服从本地区人民政府的统一指挥和管理，及时报告新型冠状病毒感染的肺炎患者、与患者密切接触者以及其他需要开展医学观察、隔离治疗人员的情况。”

国务院应对新型冠状病毒感染的肺炎疫情联防联控机制发布的《公共场所新型冠状病毒感染的肺炎卫生防护指南》中，要求对来访人员进行管理，新型冠状病毒感染的肺炎流行期间，办公楼等场所应当加强对来访人员健康监测和登记等工作。

由上可知，有权收集疫情相关的个人信息的主管机构可以授权部分企业协助收集个人信息，未经授权的企业同样负有一定的收集排查员工、来访人员疫情相关信息并及时对感染情况向主管机构进行报告的义务。

对于一些特殊行业，相关主管部门也出台了通知，要求行业内企业配合收集提交疫情相关个人信息。如文化和旅游部办公厅发布的《关于做好新型冠状病毒感染的肺炎疫情防控工作的通知》，要求“各地要做好旅游团队跟踪监测，完善旅游团队人员和行程资料信息，指导督促旅行社等市场主体，对旅游团队人员进行排查，及时将当地卫生健康部门确诊的或疑似团队游客病例报告我部”；以及交通运输部《关于统筹做好疫情防控和交通运输保障工作的紧急通知》要求“各地交通运输部门要认真落实《关于严格防治通过交通工具传播新型冠状病毒感染的肺炎的通知》（肺炎机制发〔2020〕2号）要求，督促客运、出租车、网约车等相关交通运输企业配合卫生健康部门，做好同一交通工具内与病例密切接触人员的信息报送工作”。

那么，企业可以收集哪些信息呢？根据《个人信息安全规范》中的最小够用原则，企业在收集信息的过程中，应将收集信息控制在实现疫情防控目的所需的最小必要范围内。《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也再次强调“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》，坚持最小范围原则，收集对象原则上限于确诊者、疑似者、密切接触者等重点人群，一般不针对特定地区的所有人群，防止形成对特定地域人群的事实上歧视”。

我们建议，如针对未感染疫情人员，企业宜收集姓名、联系方式、紧急联系人、居住小区、具体健康状况等信息系与疫情排查具有密切关联；对于具有疑似症状人员，宜收集其具体居住地址、身份证信息、联系方式、行动轨迹、接触人员名单等信息，有助于进行疫情防控。但若同时收集其宗教信仰、籍贯、职业、财产信息、无接触史亲属信息或进行接触人员追踪等，则明显超出了前述范围，存在一定的违法违规风险，企业需对此采取慎重态度。

根据《网络安全法》第四十一条的要求，收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。因此，原则上，信息收集者在收集个人信息时应将收集规则、使用目的告知被收集主体，并获得信息主体的授权同意。

但是，《个人信息安全规范》5.4条规定了征得授权同意的例外：以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:

a) 与国家安全、国防安全直接相关的;

b) 与公共安全、公共卫生、重大公共利益直接相关的;

c) 与犯罪侦查、起诉、审判和判决执行等直接相关的;

……

根据《传染病防治法》第四条：对乙类传染病中传染性非典型肺炎、炭疽中的肺炭疽和人感染高致病性禽流感，采取本法所称甲类传染病的预防、控制措施；以及第二条关于公共卫生事件的定义，新冠病毒疫情显然属于与公共安全、公共卫生、重大公共利益直接相关的征得授权同意的例外情形。

由此，《传染病防治法》、《突发公共卫生事件应急条例》所赋予疫情收集权限的人民政府、卫生行政部门、疾病预防控制机构和医疗机构，以及该等主体授权的机构在进行疫情防控所需的个人信息收集时，可被视为信息主体授权同意原则的例外情形，意即，无需取得个人信息主体的同意即可收集。

中央网络安全和信息化委员会办公室也在《关于做好个人信息保护利用大数据支撑联防联控工作的通知》强调了“除国务院卫生健康部门依据《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。法律、行政法规另有规定的，按其规定执行”。

一般企业在未取得主管机构明确授权的情形下，我们建议，企业在实际工作中可通过邮件、微信、或采集表格书面告知方式向员工及来访人员说明收集个人信息的范围、使用目的、上报机构等，并以信息主体自主填写个人信息为主，该类主动填写个人信息的行为可被视为信息主体的授权同意。对于个别拒绝提供信息的个人，可向其说明拒绝提供信息的相关法律后果，并将该情况进行记录备查。

如企业仅仅收集体温信息、行踪信息等而不与具体个人信息主体进行对应，则该类信息不属于个人信息，也无须征得个人信息主体的授权同意。

根据《个人信息安全规范》7.3 个人信息的使用限制：对个人信息控制者的要求包括：a) 除目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人；c) 使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。以及《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求的“为疫情防控、疾病防治收集的个人信息，不得用于其他用途”。

意即，企业应按照合法、正当、必要、明确的处理目的使用个人信息，不应超出为疫情防控需要而收集使用的目的，不得将该等个人疫情信息未经授权转发、公布。如企业收集个人疫情信息系应行政部门的要求提供协助义务，则个人疫情信息仅可用于向行政部门提交或上报。

同时，企业应注意对信息主体进行信息传输、使用和共享情况的告知。为履行该类信息报送义务，企业在传输该类信息的过程中，还应注意采取相应安全措施防止信息泄露。例如在企业内部进行信息通报时，仅涉及统计数量，若涉及到具体自然人信息汇总或报告文件，控制可访问该类信息的人员人数并告知其保密要求，或对此采取去标识化处理手段等。

除此之外，个人信息主体的权利行使也会受到一定程度的限制。根据《网络安全法》第四十三条，作为自然人的信息主体权利受法律保护，享有更正权、删除权等；此外，《个人信息安全规范》还赋予信息主体享有访问权、撤回同意、获取个人信息副本等权利，原则上，信息收集使用者需获取信息主体同意并应当保障信息主体权利的实现，但在不同场景下该类权利的行使也受到一定规制。

比如，为了疫情防控需要，个人信息主体无法行使撤回同意、删除等权利；如果是线下收集个人信息，个人信息主体也无法行使访问权以及获取个人信息副本权利。而且，个人信息主体还应积极履行更正义务，及时更新其健康状况、行踪轨迹等疫情所需信息。

因此我们建议企业在个人信息收集过程中，需要说明信息收集使用规则、用途，并明确个人信息主体的访问、删除、更正等权利行使规则，以便信息主体明晰权利限制以及正确的行使方式；同时还应告知员工拒绝提供或提供虚假个人信息的后果，并应及时更正、更新其疫情相关的个人信息。

根据《个人信息安全规范》6.3a)的要求，个人信息控制者应采取加密措施传输和存储个人敏感信息。我们建议企业应采取一定的技术安全防护手段，比如，在收集疫情相关的个人信息后即通过技术手段对该类信息进行脱敏或去标识化处理后再将识别信息与前述处理后信息分开存储，同时限制可访问该等信息的人数和访问权限，明确保密工作机制及各负责人相应的保密职责。

中央网信办在《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也强调，收集或掌握个人信息的机构要对个人信息的安全保护负责，采取严格的管理和技术防护措施，防止被窃取、被泄露。

根据《个人信息安全规范》6.1：个人信息保存期限应为实现目的所必需的最短时间，超出个人信息保存期限后，应对个人信息进行删除或匿名化处理。我们建议企业在疫情结束后，除按照主管机构授权而采集的个人疫情信息应提交或上报主管机构保管外，企业应将疫情期间所收集的个人信息进行删除或匿名化处理。

鉴于近期发生了多起由于私自传播相关人员信息表等泄露个人信息导致的违法违规案例。我们建议企业在收集汇总信息的过程中应加强个人信息安全保障。此外，公共卫生事件相关信息的通报主体及接受主体，如各类行政管理部门、疾病防控机构以及各级政府等，更应对此方面内容重点关注，依法进行相关个人信息传输、处理及公开。

《传染病防治法》已经明确，疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料，否则将对负有责任的主管人员和其他直接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书。

因此，我们建议企业以及前述各类主体，应及时对数据及个人信息安全制度进行查漏补缺，积极制定完善安全应急预案，并紧急向员工及相关责任人员进行告知并推进落地事项。不仅需要通过技术手段对个人信息安全提供保障，同时还需要控制接触该类信息人员数量及权限。对应急预案响应时效及速度应主动进行评估，确保企业在发生该类风险时能有序积极应对，并及时保留合规痕迹。

信息时代，应对大规模突发事件的一项重要手段是保证公众获取信息的及时准确。但如何积极有效收集处理疫情信息，同时依法保障信息主体的个人权利，需要企业在追求时效性的同时，亦应重视工作的合规性。切不可追求防控效果而违反法定的程序和内容，不仅极易触及红线，而且在非常时期会为信息主体带来难以预测的风险。因此企业在收集、使用及管理相关个人信息的过程中，做到及时、准确、有序、合规，不仅是尽到了义务，更是在这场突发的考验中交出了一份漂亮的答卷。防疫关键时期，更不能忘记个人信息安全和隐私保护。