文:陈文昊, 上海市锦天城律师事务所
电邮: chenwenhao@allbrightlaw.com
微信: ABL-shanghai
新冠冕之情下的个人信息处理及其保护问题,重点与难点在于个人信息上的信息/数据主体利益与社会公共利益之间的冲突与协调。 本文将在当前的当前个人信息保护法律体系下,结合疫情及其防控这一现实因素,从而中国法下有关个人信息处理的原则性规定及疫情防控下的例外可能,并针对未获得授权, 无法适用无需“经被收集者同意”而收集使用个人信息的企业提出一些合规建议。
一,中国法下个人信息处理的原则性规定及其在疫情防控背景下的例外可能
通常,获取个人信息主体“同意”是处理个人信息的合法性基础。但关于例如疫情爆发这一特定事实,全球主流相关立法也做出了例外性规定。例如,GDPR第9条相应的条款就有关个人数据处理“同意”原则的例外并适当提供了相应的依据;在中国法下,个人信息主体的授权同意仍是获取其个人信息的基本原则,但疫情防控需要所涉及的个人信息处理是否可以突破这些原则?某些机构或单位可以豁免?是实践中各类个人信息收集单位面临的亟待解决的问题。
出于传染病发病和突发公共卫生事件应对的需要,依据《传染病预防法》以及《突发公共卫生事件应急条例》等法律法规中有关具体条文的规定,人民政府,卫生行政部门,疾病预防控制机构以及医疗机构可以通过个人信息主体授权而收集有关个人信息,同时人民政府还可以在“突发公共卫生事件应急预案”中将信息收集的职权再次授权给相关部门,机构,组织。根据该分析,此为疫情防控这一特殊背景下个人信息处理的例外情况,但未获授权的其他任何单位或个人则不享有版权豁免。
2020年2月9日,中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求,“除国务院卫生健康部门依据《中华人民共和国网络安全》法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控,疾病预防为由,被收集者同意收集使用个人信息。”对疫情防控条件下个人信息收集的例外以及以及适用范围以及进一步明确。
二,具体合规建议
當前疫情防控工作中,收集與使用個人信息的主體呈現出較為複雜的情況,疫情防控中不同的個人信息收集、使用主體具體適用的規則也有所區別。根據收集、使用個人信息主體的不同,可將疫情防控工作中涉及到的個人信息控制者分為兩大類:一是政府等公共職能部門按照法定職責收集、公佈相關信息,對疫情開展監測;二是未獲授權的單位、個人承擔信息報告義務,並可利用所掌握的數據支持疫情防控。對於後者,尤其是針對未獲法律授權、不享有“知情同意”豁免的各類用人單位,在涉及個人信息收集、使用時,我們建議:
首先,用人單位應當盡快着手建立個人信息管理的內控制度,明確信息採集、保存與披露的工作流程,要求接觸相關信息的人員履行保密義務,不得私自對外披露相關個人信息。同時,明確崗位職責,確保個人信息的收集與處理工作全流程置於內部監管之下。
其次,用人單位應當建立起相應的加密與安全存儲措施,防止所收集的個人信息遭到未經授權的訪問、篡改或盜用。
再次,疫情過後,如果用人單位考慮進一步利用該等個人信息,必須向個人信息主體明示用途,並取得個人信息主體的授權同意,除非企業可以將該等個人信息進行匿名化處理。
最後,用人單位應當向個人信息主體提供訪問與修改被收集的信息的途徑,並在個人信息主體提出要求時,對相關信息予以刪除。
电邮: chenwenhao@allbrightlaw.com
微信: ABL-shanghai