问:疫情期间, 为了公共利益, 企业收集员工疫情相关信息, 是否需要取得员工授权
答:根据《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第十三条第六项的规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,个人信息处理者可以处理个人信息。同时,根据《个人信息保护法》第十三条第二款的规定,该种情形下收集个人信息的,不需取得个人同意。
新冠疫情作为突发公共卫生事件,相关个人信息处理可以作为上述适用情形。因此,企业如为开展疫情应对,或者为落实有关疫情防控要求,可以收集本企业员工相关个人信息,且不需取得员工的个人同意。
问:如果企业可以收集员工信息,企业应当如何保障所收集的员工信息安全?
答:根据《个人信息保护法》第六条规定,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
中央网络安全和信息化委员会办公室2020年2月4日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称中央网信办《通知》)规定:“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。”
从上述规定可以看出,企业在依法收集员工个人信息时,应将可接触员工个人信息的人员限制在必要范围之内,并采取相应的安全保密措施,确保员工个人信息安全。同时,对于收集到的员工个人信息,不得用于与疫情防控无关的其他用途;使用完毕后应当及时删除,避免员工个人信息被窃取、被泄露。
问:疫情结束之后, 企业应当如何处理收集的员工个人信息?
答:根据《个人信息保护法》第四十七条第一款第一项的规定,个人信息的处理目的已实现、无法实现或者为实现处理目的不再必要的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。中央网信办《通知》规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。企业应采取严格的管理和技术防护措施,防止个人信息被窃取、被泄露。国家标准《信息安全技术个人信息安全规范》规定了最小必要原则,即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,目的达成后,应及时删除个人信息。
因此,疫情结束之后,企业应当及时主动删除收集的员工个人信息。
本文来源于“上海市司法局”公众号:《个人信息保护、捐赠扣税、电子合同……这份防疫法律指引请收好!》(2022年3月31日)。
提示:由于个案事实纷繁芜杂,本指引不构成具有拘束力的法律适用和法律效果评价,仅具有参考意义。当前疫情防控处于最关键的阶段,建议广大市民严格遵守法律法规规定,主动配合政府及其相关部门采取的疫情防控措施,众志成城,共克时艰。如有相关法律问题,可以通过12348公共法律服务热线以及“上海法网”咨询,有专业人员24小时在线提供法律咨询建议。
