2020年爆發(fā)的新型冠狀肺炎對(duì)中國經(jīng)濟(jì)造成較大沖擊,特別地,由于新型冠狀肺炎被確認(rèn)具有人傳人的現(xiàn)象,該情形嚴(yán)重影響勞動(dòng)密集型企業(yè)的經(jīng)營發(fā)展。諸多餐飲、家政企業(yè)為緩解消費(fèi)者擔(dān)憂,推出員工每日測(cè)溫上崗,實(shí)時(shí)追蹤員工健康狀況,生成員工健康檔案等措施。鑒此,筆者對(duì)企業(yè)能否采集員工“體溫”數(shù)據(jù)進(jìn)行研究,撰寫本篇短文,僅供參考。
一、“體溫”是否屬于個(gè)人信息?
2012年全國人民代表大會(huì)常務(wù)委員會(huì)發(fā)布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,其中規(guī)定“國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”,該《決定》在法律位階上確定了個(gè)人信息“直接識(shí)別”的判斷標(biāo)準(zhǔn)。
2016年全國人民代表大會(huì)常務(wù)委員會(huì)發(fā)布的《網(wǎng)絡(luò)安全法》規(guī)定個(gè)人信息是指“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”,將判定標(biāo)準(zhǔn)拓寬為“直接識(shí)別+間接識(shí)別”,使得個(gè)人信息的界定范圍擴(kuò)大。
2017年最高院、最高檢發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》規(guī)定公民個(gè)人信息是指“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。”《信息安全技術(shù) 個(gè)人安全規(guī)范》進(jìn)一步解釋,判定某項(xiàng)信息是否屬于個(gè)人信息,應(yīng)考慮兩個(gè)路徑:一是識(shí)別,即從信息到個(gè)人;二是關(guān)聯(lián),即從個(gè)人到信息。從而將個(gè)人信息識(shí)別機(jī)制確定為“識(shí)別+關(guān)聯(lián)”的判斷標(biāo)準(zhǔn)。
因此,某信息如果能識(shí)別到具體個(gè)人,則該信息屬于個(gè)人信息(“識(shí)別”的判斷標(biāo)準(zhǔn))。例如,采集員工的“姓名+體溫”,因?yàn)?ldquo;體溫”信息結(jié)合“姓名”信息,能識(shí)別到具體個(gè)人,所以“體溫”信息屬于個(gè)人信息;而如果采集的是“蔣某某+體溫”,由于“姓名”信息被做了去標(biāo)識(shí)化處理,“體溫”信息結(jié)合“蔣某某”無法對(duì)應(yīng)到具體個(gè)人,所以“體溫”信息不屬于個(gè)人信息。而實(shí)際中采集員工的“體溫”信息,勢(shì)必要對(duì)應(yīng)到現(xiàn)實(shí)生活中的個(gè)人,因此,“體溫”信息屬于個(gè)人信息。
二、“體溫”是否屬于個(gè)人敏感信息?
從上分析可知,“體溫”數(shù)據(jù)屬于個(gè)人信息,但是否屬于個(gè)人敏感信息呢?根據(jù)《信息安全技術(shù) 個(gè)人安全規(guī)范》的規(guī)定,個(gè)人敏感信息是指“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。”舉例如“身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童的個(gè)人信息等”皆屬于個(gè)人敏感信息。
根據(jù)《信息安全技術(shù) 個(gè)人安全規(guī)范》的規(guī)定,“個(gè)人生物識(shí)別信息”屬于個(gè)人敏感信息。而“體溫”是否屬于“個(gè)人生物識(shí)別信息”呢?據(jù)悉,生物識(shí)別信息是指:通過計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段密切結(jié)合,利用人體固有的生理特性,(如指紋、臉象、虹膜等)和行為特征(如筆跡、聲音、步態(tài)等)能鑒定個(gè)人身份的信息。例如指紋、人臉和DNA,根據(jù)生物技術(shù)手段,可以識(shí)別到具體個(gè)人,而單純的“體溫”數(shù)據(jù),例如37°、39°等并無法識(shí)別到具體個(gè)人。因此,單純的“體溫”并不屬于“個(gè)人生物識(shí)別信息”。
根據(jù)《信息安全技術(shù) 個(gè)人安全規(guī)范》的規(guī)定,“健康生理信息”屬于個(gè)人敏感信息。而“體溫”是否屬于“健康生理信息”呢?根據(jù)世界衛(wèi)生組織公布的10條生理健康標(biāo)準(zhǔn),其中標(biāo)準(zhǔn)之一為“能夠抵抗一般性感冒和傳染病”;一般的體檢檢查項(xiàng)目也包括“測(cè)體溫”、“量血壓”等,因此可以初步判斷,“體溫”屬于“健康生理信息”,應(yīng)為個(gè)人敏感信息。
實(shí)際上,從《信息安全技術(shù) 個(gè)人安全規(guī)范》對(duì)個(gè)人敏感信息的場(chǎng)景式定義也可看出,在新型冠型肺炎爆發(fā)的當(dāng)下,眾人談“體溫”色變,一旦某員工的“體溫”數(shù)據(jù)遭到泄露,極易導(dǎo)致員工的個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇,從該場(chǎng)景也可以看出,“體溫”數(shù)據(jù)屬于個(gè)人敏感信息。
三、企業(yè)正常采集員工“體溫”數(shù)據(jù)的方式
既然員工的“體溫”數(shù)據(jù)屬于個(gè)人敏感信息,那么企業(yè)應(yīng)如何合規(guī)采集員工“體溫”數(shù)據(jù)呢?
2016年人大常委會(huì)發(fā)布的《網(wǎng)絡(luò)安全法》規(guī)定“網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。”因此,我國對(duì)于個(gè)人信息的采集一直以執(zhí)行“告知+用戶同意”為判斷標(biāo)準(zhǔn)。
根據(jù)《信息安全技術(shù) 個(gè)人安全規(guī)范》的規(guī)定,“用戶同意”包括用戶“授權(quán)同意”和“明示同意”。所謂的“授權(quán)同意”類似于默示同意,對(duì)于一般的個(gè)人信息,只要用戶不反對(duì),即視為其默示同意;所謂的“明示同意”是指“個(gè)人信息主體通過書面聲明或主動(dòng)做出肯定性動(dòng)作,對(duì)其個(gè)人信息進(jìn)行特定處理做 出明確授權(quán)的行為。”個(gè)人敏感信息,則需要經(jīng)過用戶的明示同意。
因此,由于“體溫”屬于員工的個(gè)人敏感信息,通常情況下,企業(yè)在采集員工的“體溫”時(shí),原則上應(yīng)明確告知員工收集、使用其“體溫”數(shù)據(jù)的目的、方式和范圍,并應(yīng)經(jīng)過員工的主動(dòng)性同意,例如讓員工簽署書面同意協(xié)議,或者留存員工同意的錄音、錄像記錄。
四、突發(fā)事件下,企業(yè)采集員工“體溫”數(shù)據(jù)的方式
一般情形下,企業(yè)在采集員工“體溫”數(shù)據(jù)時(shí)應(yīng)遵循“告知+用戶同意”的判斷標(biāo)準(zhǔn)。但是在此次突發(fā)重大衛(wèi)生事件中,企業(yè)收集員工“體溫”信息是否還需嚴(yán)格遵照《網(wǎng)絡(luò)安全法》等法律及規(guī)范性文件的要求呢?
根據(jù)《突發(fā)公共衛(wèi)生事件應(yīng)急條例》第10條、第11條規(guī)定,國務(wù)院衛(wèi)生行政主管部門制定全國突發(fā)事件應(yīng)急預(yù)案,省、自治區(qū)、直轄市人民政府根據(jù)全國突發(fā)事件應(yīng)急預(yù)案,結(jié)合本地實(shí)際情況,制定本行政區(qū)域的突發(fā)事件應(yīng)急預(yù)案。其中,突發(fā)事件應(yīng)急預(yù)案應(yīng)包括“突發(fā)事件的監(jiān)測(cè)與預(yù)警”“突發(fā)事件信息的收集、分析、報(bào)告、通報(bào)制度”。此外,《突發(fā)公共衛(wèi)生事件應(yīng)急條例》還規(guī)定“任何單位和個(gè)人對(duì)突發(fā)事件,不得隱瞞、緩報(bào)、謊報(bào)或者授意他人隱瞞、緩報(bào)、謊報(bào)。”
根據(jù)《突發(fā)公共衛(wèi)生事件應(yīng)急條例》的上述規(guī)定,在面臨突發(fā)公共衛(wèi)生事件時(shí),人民政府在突發(fā)事件應(yīng)急預(yù)案中,可以將政府部門、機(jī)構(gòu)、組織、個(gè)人全部納入,并賦予其信息收集、分析的任務(wù)。例如《廣東省突發(fā)公共衛(wèi)生事件應(yīng)急辦法》第17條規(guī)定:“各級(jí)人民政府及其有關(guān)部門、企業(yè)事業(yè)單位應(yīng)當(dāng)依照法律、法規(guī)和規(guī)章的規(guī)定,做好傳染病、食物中毒、職業(yè)中毒,以及其他嚴(yán)重影響公眾健康事件的預(yù)防工作。”
綜上可知,在此次突發(fā)重大衛(wèi)生事件中,如企業(yè)是為協(xié)助政府做好傳染病的預(yù)防工作,在收集員工“體溫”信息可突破“告知+用戶同意”的判斷標(biāo)準(zhǔn),此時(shí)員工“不得隱瞞、緩報(bào)、謊報(bào)”個(gè)人信息數(shù)據(jù)。因此,企業(yè)在此次疫情中如果需要采集員工“體溫”數(shù)據(jù),在履行告知義務(wù)后,最好經(jīng)過員工同意,如果員工拒不配合,可以直接突破“用戶同意”的判斷標(biāo)準(zhǔn),直接采集員工的“體溫”數(shù)據(jù)。
