作者:罗艾、汤晓静、张宁
在新型冠状病毒肺炎疫情的严峻形势下,伴随着返程春运,为加强用工管理、为开工做准备等,用人单位纷纷持续地向员工收集各类疫情相关信息,例如健康状况、近期逗留地、近期搭乘的交通工具、近期接触的人员、返程计划等。能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,都是个人信息 。前述疫情相关信息基本属于个人信息。近年来我国个人信息保护连跃新阶,HR在快速行动的同时可能也心存疑虑:收集疫情相关信息会侵犯员工的隐私吗?员工可以拒绝报告吗?收集使用员工疫情相关信息有何"宜忌"?疫情相关个人信息处理不当有何法律责任?在防控疫情的同时,也需防控处理个人信息的合规性风险。下面我们为您逐一解答。
问题一: 用人单位可以收集、使用员工的疫情相关个人信息吗?
在新型肺炎疫情的特殊时期,用人单位可以为疫情防控之目的收集、使用员工的疫情相关个人信息。
基于《劳动合同法》第八条,用人单位有权了解员工"与劳动合同直接相关的基本情况"。在疫情时期,员工的疫情相关信息直接影响到用人单位的生产经营和工作安排的,成为"与劳动合同直接相关"的信息,用人单位有权知悉。
并且,根据《劳动法》第五十四条 ,用人单位需为员工提供安全卫生的工作环境;而员工在工作时间、工作场所因工作原因感染新型肺炎的,构成工伤。在疫情时期,及时掌握员工的疫情相关信息,也是尽保护员工之责。另外,按照《突发事件应对法》第二十二条 、《安全生产法》第三十八条 、《安全生产事故隐患排查治理暂行规定》第二十六条 等,用人单位应当对事故隐患进行排查治理;如发现异常情况,需及时向有关政府部门报告。
问题二: 员工疫情相关个人信息处理不当有何后果?
在疫情时期,用人单位可以收集、使用员工的疫情相关个人信息,但需注意妥善处理该等信息,否则可能给员工个人造成不利影响,并引致法律责任。
在新型肺炎疫情的特殊时期,员工的疫情相关个人信息,一旦被泄露、非法提供或滥用,极易导致个人受到歧视或名誉、身心健康受到损害或其他不利影响。
一旦构成侵犯个人信息,侵权的组织或个人需按过错承担侵权的民事责任,承担责任的形式包括停止侵害、赔偿损失、消除影响、恢复名誉、赔礼道歉等。用人单位在处理该等个人信息的过程中属于网络运营者的,根据《网络安全法》第六十四条,用人单位及/或直接负责人员,将被责令改正,可能被处以警告、罚款等行政处罚 。违法向他人提供个人信息,情节严重的,可能构成侵犯公民个人信息罪而被追究刑事责任 。
问题三: 用人单位应该如何处理员工的疫情相关个人信息呢?
针对员工的疫情相关个人信息,用人单位可能开展收集、传输和保存、访问和操作乃至披露、共享等处理活动。根据《民法总则》 、《网络安全法》 等相关规定,处理个人信息一般需遵循告知和同意、最少必要、安全保密等基本原则。
对于授权同意原则,如问题一项下所分析,在当前情势下,员工的疫情相关个人信息"与劳动合同直接相关",用人单位无需事先另行取得员工的授权同意。
对于最少必要、安全保密等处理原则,在新型肺炎疫情的特殊时期,员工的疫情相关个人信息,一旦被泄露、非法提供或滥用,极易导致个人受到歧视或名誉、身心健康受到损害,换言之,该等个人信息也是《个人信息安全规范》所加强保护的"个人敏感信息" ,建议用人单位参照《个人信息安全规范》的严格标准,贯彻最少必要、安全保密的原则,下面将结合具体的处理活动进一步解释。
问题四: 用人单位应该如何收集员工的疫情相关个人信息?
用人单位在收集员工的疫情相关个人信息时,需遵循的核心原则是"最少够用、合理必要",换言之,原则上不要收集无关信息或过于间接的信息。针对个人信息的收集环节,我们有如下建议:
(1) 在要求员工提供个人信息时,明确告知收集信息的目的和用途等;同时,鉴于所收集的个人信息类型是否"直接相关""合理必要"随着疫情的变化具有不确定性,可以请员工一并确认自愿提供且授权同意。例如,通过问卷收集信息的,可在问卷上载明收集目的、加上"本人授权同意"等表述;在采用电子问卷的场景中,可设定为需员工主动勾选或点击"知悉且同意"字样后提交。
(2) 仅收集疫情防控和用工管理所必需的最少量的个人信息,多用设有选项的封闭式提问、少采开放式提问;对于异常或存疑的个案可作跟进,补充收集其他个人信息。例如:要求提供近14日出行和接触人员的情况,而非更久远的相关信息;只询问有无发热、干咳、气短等与疫情相关的典型症状,而非普查健康状况或病症病史。
(3) 避免同时反复收集已知的个人信息,例如身份证号码、住址、联系方式等,以防万一所汇集的信息泄露,造成更严重的后果。
(4) 选用安全可靠的信息提交和接收方式,以免个人信息在收集过程中泄露、毁损或丢失。
问题五: 用人单位应该如何管理员工的疫情相关个人信息?
对于所收集的员工疫情相关个人信息,用人单位需妥善管理,其中包括传输和保存、访问和操作等活动,管理个人信息需遵循的核心原则是"安全保密"和"最少必要"。针对前述环节,我们的具体建议如下:
(1) 选用安全可靠的信息传输和存储方式,鉴于员工的疫情相关个人信息一般属于个人敏感信息,应采取加密等安全措施,同时作去标识化处理,并将用于重新识别个人身份的信息分开存储。
(2) 仅将个人信息用于疫情防控和用工管理目的,对于员工的疫情相关个人信息的访问和操作,按照最小授权原则,仅授权为履行本职工作需要知悉或使用该等信息的人员,对履职所需的信息,进行履职所需的访问或复制、修改、增删等操作。
问题六: 如发现异常情况,用人单位可以披露员工的疫情相关个人信息吗?
首先,用人单位可以也应当向有关政府部门披露所获悉的疫情以及所涉的个人信息。根据《传染病防治法》第三十一条及第七十七条,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告;否则,导致传染病传播、流行,给他人人身、财产造成损害的,需承担民事责任。
同时,为防控疫情、保护其他员工之目的,权衡个体对于个人信息的保密权益和其他员工对于生命健康的权益,用人单位应可对内披露有关员工的个人信息。在保护员工个人信息和确保职业安全卫生、安全生产之间寻找平衡点,我们建议用人单位尽量将所披露的个人信息和所告知的员工限制在必要的限度和范围内,例如仅告知受影响的员工,不披露无关的个人信息;并提示员工避免对外传播有关个人信息。
问题七: 员工可以拒绝提供疫情相关个人信息吗?员工隐瞒或谎报疫情相关个人信息如何处理?
如问题一项下所分析,在疫情时期,员工的疫情相关个人信息属于《劳动合同法》第八条所规定的"与劳动合同直接相关的基本情况",用人单位有权了解,员工应当如实告知。
员工拒绝提供疫情相关的个人信息的,我们建议:(1)用人单位先向员工说明其有披露相关信息的法定义务,了解其拒绝提供的原因;并可提示,隐瞒、谎报与疫情相关的个人信息违反《传染病防疫法》,甚至可能构成"以危险方法危害公共安全罪" 。(2)员工仍拒不提供的,用人单位可视具体情况判断是否采取安排休假、在家办公等方式进行隔离,并视情况判断是否构成违反内部规章制度。
发现员工隐瞒或谎报其疫情相关的个人信息的,用人单位应当视实际情况采取隔离、上报等紧急措施,并可依据内部规章制度作出纪律处分。
在疫情防控这一特殊时期,各级政府将持续出台相关政策文件,我们建议企业持续关注新规,并相应调整劳动用工安排。鉴于上述问答是我们根据目前的规定为企业准备的阶段性参考,不属于法律意见,如企业遇到具体问题,请随时与金杜劳动法团队联系。我们也会持续关注最新动态,不断更新疫情防控期间劳动用工管理的政策法规,为企业提供支持。让政府、企业、民众携手同心,共克时艰!