新冠冕之情下的个人信息处理及其保护问题,重点与难点在于个人信息上的信息/数据主体利益与社会公共利益之间的冲突与协调。 本文将在当前的当前个人信息保护法律体系下,结合疫情及其防控这一现实因素,从而中国法下有关个人信息处理的原则性规定及疫情防控下的例外可能,并针对未获得授权, 无法适用无需“经被收集者同意”而收集使用个人信息的企业提出一些合规建议。
通常,获取个人信息主体“同意”是处理个人信息的合法性基础。但关于例如疫情爆发这一特定事实,全球主流相关立法也做出了例外性规定。例如,GDPR第9条相应的条款就有关个人数据处理“同意”原则的例外并适当提供了相应的依据;在中国法下,个人信息主体的授权同意仍是获取其个人信息的基本原则,但疫情防控需要所涉及的个人信息处理是否可以突破这些原则?某些机构或单位可以豁免?是实践中各类个人信息收集单位面临的亟待解决的问题。
出于传染病发病和突发公共卫生事件应对的需要,依据《传染病预防法》以及《突发公共卫生事件应急条例》等法律法规中有关具体条文的规定,人民政府,卫生行政部门,疾病预防控制机构以及医疗机构可以通过个人信息主体授权而收集有关个人信息,同时人民政府还可以在“突发公共卫生事件应急预案”中将信息收集的职权再次授权给相关部门,机构,组织。根据该分析,此为疫情防控这一特殊背景下个人信息处理的例外情况,但未获授权的其他任何单位或个人则不享有版权豁免。
2020年2月9日,中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求,“除国务院卫生健康部门依据《中华人民共和国网络安全》法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控,疾病预防为由,被收集者同意收集使用个人信息。”对疫情防控条件下个人信息收集的例外以及以及适用范围以及进一步明确。
当前疫情防控工作中,收集与使用个人信息的主体呈现出较为复杂的情况,疫情防控中不同的个人信息收集、使用主体具体适用的规则也有所区别。根据收集、使用个人信息主体的不同,可将疫情防控工作中涉及到的个人信息控制者分为两大类:一是政府等公共职能部门按照法定职责收集、公布相关信息,对疫情开展监测;二是未获授权的单位、个人承担信息报告义务,并可利用所掌握的数据支持疫情防控。对于后者,尤其是针对未获法律授权、不享有“知情同意”豁免的各类用人单位,在涉及个人信息收集、使用时,我们建议:
首先,用人单位应当尽快着手建立个人信息管理的内控制度,明确信息采集、保存与披露的工作流程,要求接触相关信息的人员履行保密义务,不得私自对外披露相关个人信息。同时,明确岗位职责,确保个人信息的收集与处理工作全流程置于内部监管之下。
其次,用人单位应当建立起相应的加密与安全存储措施,防止所收集的个人信息遭到未经授权的访问、篡改或盗用。
再次,疫情过后,如果用人单位考虑进一步利用该等个人信息,必须向个人信息主体明示用途,并取得个人信息主体的授权同意,除非企业可以将该等个人信息进行匿名化处理。
最后,用人单位应当向个人信息主体提供访问与修改被收集的信息的途径,并在个人信息主体提出要求时,对相关信息予以删除。
Weiwen Wang