天达共和数据合规资讯月报(No.02)2020
资讯
观点
案例
律途
荐读
摘要
天达共和律师事务所数据合规团队现推出第二期月报,包括三个部分内容:(1)“立法动态”,介绍境内外数据保护立法动态;(2)“执法聚焦”,介绍境内外部分典型执法案例;(3)“热点评述”,分享热点分析文章《疫情之下,用人单位采集疫情信息之合规问题》——就疫情期间用人单位收集个人信息是否需要员工知情同意、收集范围、披露及安全保密等问题作简要论述。
1. 立法动态
境内立法
国家卫健委于2020年2月3日发布《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,要求强化数据采集分析应用,利用大数据技术对疫情发展提供数据支撑;加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。
2020年2月4日,《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》实施。该通知主要内容包括《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》授权机构之外的任何主体不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息;收集个人信息的范围参照《个人信息安全规范》,坚持最小范围原则;未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要且已脱敏处理的除外。
2020年2月6日,《教育部应对新型冠状病毒感染肺炎疫情工作领导小组办公室关于疫情防控期间以信息化支持教育教学工作的通知》发布。该通知要求各地各校要落实网络安全等级保护制度,重点加强个人信息保护,选用第三方平台和服务的应明确个人信息使用规则,不得借机超范围采集个人信息。
2020年2月6日起,最高人民法院、最高人民检察院、公安部、司法部联合印发的《关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》实施。根据该意见,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使虚假疫情信息或者其他违法信息大量传播的,依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
2020年2月12日,商务部就《电子商务信息公示管理办法(征求意见稿)》公开征求意见。该征求意见稿细化了《电子商务法》规定的公示义务,包括界定“专门区域”、规定保管公示信息期限等,并且电子商务经营者应于从事经营活动期间内,在专门区域或个人信息基本页面持续公示用户信息查询、更正、删除、注销的方式、程序,电子商务经营者在用户删除、注销账号后对相关信息的处理应当遵守相关法律规定。[1]
交通运输部发布的《邮政业寄递安全监督管理办法》于2020年2月15日施行。该管理办法要求寄递企业建立数据管理制度,定期销毁使用过的寄递详情单,并规定披露用户相关信息须获得法律明确授权或经用户书面同意。
中国人民银行于2020年2月13日发布实施《个人金融信息保护技术规范》(JR/T 0171-2020),就金融业机构从安全技术和安全管理两个方面保护全生命周期的个人金融信息作出规范。根据该规范,个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,其中C3和C2类别信息不应委托或授权无金融业相关资质的机构收集,C3和C2类别中的用户鉴别辅助信息[2]不应委托第三方机构进行处理;对委托处理的信息应采用去标识化等方式进行脱敏处理,对第三方机构等受委托方进行监督;中国境内提供金融产品/服务过程中收集的个人金融信息,应在境内存储、处理和分析,因业务需要确需向境外机构提供的,应符合有关规定,包括按规定进行安全评估。
2020年2月20日,市场监管总局就其与国家密码管理局联合起草的《关于开展商用密码检测认证工作的实施意见(征求意见稿)》公开征求意见。该征求意见稿规定,商用密码认证目录由市场监管总局、国家密码管理局共同发布,商用密码认证规则由市场监管总局发布,商用密码认证机构应经市场监管总局征求国家密码管理局意见后批准取得资质,商用密码认证机构应委托依法取得商用密码检测相关资质的检测机构开展与认证相关的检测活动,商用密码检测、认证机构应建立可追溯工作机制对检测认证全过程完整记录并归档留存。
境外立法
欧盟
2020年1月31日,英国正式脱欧。根据英国脱欧协议,欧盟《通用数据保护条例》(GDPR)将在2020年1月31日至2020年12月31日过渡期继续适用。过渡期内,隐私盾计划参与者若继续依隐私盾计划从英国获取个人信息,需采取更新面向公众的隐私政策、维持现有隐私盾认证等措施。[3]
2020年2月7日,欧洲数据保护委员会(EDPB)就有关在联网车辆和移动相关应用中处理个人数据的指南(1/2020)征求意见。该指引适用于与数据主体在非营业领域内使用联网车辆时相关个人(例如司机、乘客、车主、租车人)的数据。[4]
美国
2020年2月10日,加州总法务官办公室发布了《消费者隐私保护法》(CCPA)的拟议《实施条例》文本的修订通知,同时公布修改后实施条例的修订版和清洁版,征求意见。该修订系针对2019年10月10日正式发布的第一版CCPA《实施细则》。[5]
2020年2月13日,美国财政部颁布的有关实施《2018外国投资风险评估现代化法》(FIRRMA)的规定将正式生效。新规扩大了美国外国投资委员会(CFIUS)的管辖权,覆盖了涉及关键技术、关键基础设施或敏感个人数据的美国企业的非控制性投资。[6]
2020年2月13日,美国纽约州参议员Kristen Gillibrand公布《数据保护法》(Data Protection Act)的新提案,旨在赋予消费者新的数据权利,要求建立全新的独立联邦机构数据保护局(Data Protection Agency)。[7]
日本
2020年2月12日,日本个人信息保护委员会公布了《个人信息保护法3年修正制度改订大纲》(以下简称“修改大纲”)征求意见期间收到的公众意见。共有279家经济团体、企业、律所以及个人提出了总计887条意见,内容涉及个人信息的停止使用、信息泄露等报告制度、设备标识信息等的处理、假名化信息处理方式的设立、选择退出制度(“Opt-Out”制度)等多项修订内容。2015年发布、2017年正式实施的日本《个人信息保护法》修正案中明确规定每3年对制度进行修正。根据修订大纲的说明,个人信息保护委员会将在本次征集意见的基础上,起草完成《个人信息保护法》修正案并力争在今年提交日本国会审议。
2. 执法聚焦
境内执法
山西省临汾市公安局网络警察支队于2020年2月1日晚发布消息称,当地一男子在微信群中传播“35名密切接触者名单”文件(名单内容涉及姓名、身份证号、家庭住址等公民个人信息),该男子被依法行政拘留。[8]
2020年2月4日,鄂尔多斯市某社区卫生服务中心主任王某某、建设街道居民党员王某,将疫情排查相关人员信息发送至微信群,造成涉密信息在该市东胜区范围内微信群大面积转发,致使公民个人信息泄露。王某某因工作失职失责受到政务警告处分;王某因散布个人信息,被负责公安分局行政拘留10日。[9]
广州市公安局新闻办公室于2020年2月6日通报:2月4日上午,郑某将多名曾乘坐某邮轮的游客名单(含个人信息)发送给朋友叶某,后者其后又将上述游客个人信息转发至其所在小区的业主微信群内。广州海珠警方根据《治安管理处罚法》之规定,依法对违法人员郑某、叶某分别处以罚款500元的处罚。[10]
江苏淮安警方破获全省首例利用疫情侵犯公民个人信息的案件,抓获犯嫌人薛某某。薛某某制作“口罩预约”网站链接并发布到微信朋友圈,要求参加预约的网民提供个人基本信息,骗取了公民的姓名、电话、身份证号、家庭住址等个人信息五千多条。警方以涉嫌侵犯公民个人信息罪对嫌疑人薛某某采取刑事强制措施。[11]
境外执法
欧盟
2020年1月15日,意大利数据保护机构Garante对电信运营商TIM处以27,800,000欧元的罚款。其违法行为包括未经数据主体同意或经数据主体明确拒绝,仍发送未经请求的商业信息,等等。[12]
2020年2月,西班牙数据保护机构AEPD对电信运营商沃达丰西班牙公司(Vodafone España, S.A.U.)进行多次处罚,罚款共计30.2万欧元,处罚原因包括未采取技术和组织措施确保信息安全、不符合数据处理原则。[13]
美国
FTC于2020年1月28日通过官网发布消息称,美国一家安全和调查服务公司T&M Protection Resources,LLC同意就FTC指控其在欧盟-美国隐私盾框架(“隐私盾”)下的认证过期后,误导性陈述其参加并符合隐私盾合规要求,与FTC达成和解。[14]同月,FTC与另四家公司就虚假宣称或误导性陈述参与前述隐私盾框架指控的和解内容最终确定(finalize)。
FTC于2020年1月30日在其官网发布消息称警告19家语音通话技术(VoIP)服务提供商“协助和促进”非法电话推销或自动拨打电话系违法。FTC提示,传送虚假或欺骗性来电显示号码、卖家未获得书面允许情形下启动预先录入电话推销、向录入National Do Not Call Registry的电话号码拨打营销电话等可能构成违反《电话推销销售规则》。
3. 热点评述
疫情之下,用人单位采集疫情信息之合规问题
随着2019年12月底新型冠状病毒导致肺炎的疫情逐步引起患病病例的增加,各地防控疫情的措施逐步升级,有关直辖市、省份先后启动重大突发公共卫生事件一级响应机制。疫情防控过程中,用人单位按照有关规定及/或有关部门的要求,需要收集、提供单位员工与疫情相关的个人信息。在逐步趋严的个人信息保护执法态势下,面对疫情,用人单位如何确保收集、使用员工个人信息时候做到合规,降低合规风险呢?
一、用人单位是否有权收集、是否必须经员工同意收集与疫情相关的信息
《劳动合同法》明确规定了用人单位有权了解员工“与劳动合同直接相关的基本情况”,用人单位据此有权直接收集该相关信息。[15]处于防控疫情的特殊时期,为履行相关报告义务,用人单位收集员工与疫情相关的个人信息,与日常履行劳动合同需要收集和使用的个人信息性质上不同,应作“特殊对待”。
疫情之下,根据《传染病防治法》,疾病预防控制机构、医疗机构有权收集、分析、调查、核实传染病疫情信息的权力,相关单位和个人有义务配合、如实提供有关情况。传染病暴发、流行情形下,《突发公共卫生事件应急条例》也赋予街道、乡镇以及居民委员会、村民委员会协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告。前述规定赋予了相关单位和个人的配合义务,但不涉及相关单位可否不经知情同意收集员工信息后再行提供给疾控机构和医疗机构的明确规定。
随着疫情防控过程中个人信息泄漏事件的发生,2020年2月4日实施了《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》(《个人信息保护联防联控通知》)规定,除国务院卫生健康部门依据《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。根据该通知,除非其他法律或行政法规另行规定,用人单位收集疫情信息仍需取得员工同意。建议用人单位在收集疫情防控个人信息时,按照《网络安全法》的规定,告知收集个人信息的目的、范围和方式,告知需要将员工信息披露的第三方主体,取得员工的明确同意。
二、用人单位收集员工个人信息的范围
《传染病防治法》和《突发公共卫生事件应急条例》均未就采集疫情信息的范畴作出进一步详细的圈定。
从《个人信息保护联防联控通知》可看出,为联防联控目的收集个人信息面向的主体需要坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。《个人信息保护联防联控通知》规定,向收集对象采集的信息包括姓名、年龄、身份证号码、电话号码、家庭住址等,涉及个人敏感信息。
但是,不少地区实际上要求:春节过后返回工作地的人员(不限于此次疫情的重点地区),一律需要申报返回工作地的相关信息和健康信息,包括个人姓名、身份证号、手机号、住址、有无重点地区旅行史,返程乘坐的航班号或火车车次、返程出发日期、返程出发地点、返程到达日期、身体是否出现某些症状(是否健康)、是否有与患者或疑似患者的接触史等。比如上海2020年2月10日实施的《上海市人民政府关于进一步严格落实各项疫情防控措施的通告》规定,返沪人员除自行申报信息外,用人单位也申报返沪人员健康信息。
用人单位需要注意的是,应秉承最小必要原则收集相关信息,避免在主管机关要求的范围之外收集与疫情无关的信息。
三、用人单位可否在向有权机关报告之外,披露或公开所收集的员工疫情相关信息
按照《传染病防治法》,有关单位和个人有义务配合向疾控机构和医疗机构报告疫情相关信息。为防控疫情,经地方性规范设定向有关机关报告疫情相关信息义务的,用人单位按照规定执行。地方性规范没有规定报告义务,但是主管部门为防控疫情要求用人单位提供的,在取得员工知情同意的情况下,提供给有关主管部门。除此之外,用人单位应避免未经员工事先同意,将其个人信息提供给其他主体,否则容易导致个人信息泄漏,根据情节轻重等具体情况,有关人员可能轻则因违反《治安管理处罚法》受到十日以下行政拘留或罚款,重则用人单位及有关人员有可能触及刑事责任风险,构成侵犯公民个人信息罪。
关于公开披露,我国有关法律法规关于特定情形(如基于公共利益等)下公开个人信息的具体规定(公开主体、公开对象、公开范围等)尚处于不完善状态,因此包括用人单位在内的有关主体应当特别慎重对待员工信息提供和公布问题。疫情特殊时期,《个人信息保护联防联控通知》适时发布,规定任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,经过脱敏处理的除外。我国数据合规行政监管机构目前执法中作为参考的《信息安全技术 个人信息安全规范》规定个人信息原则上不得公开披露。因此,用人单位应避免未经员工事先同意将个人信息公开披露,除非经过脱敏(确保不能识别到个人)。
用人单位拟将收集的个人信息用于其他目的和用途的,应重新履行告知义务,取得明确同意。
四、用人单位应建立、完善内部制度,确保所收集员工疫情相关信息的安全和保密
《网络安全法》第四十二条第二款规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。因此,用人单位有必要对收集的信息采取技术保护措施,如进行加密,单独存储,设置访问权限,防止未经授权的访问、泄漏或篡改。
根据《网络安全法》第四十条,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。因此,用人单位如果内部规章制度中尚未包含用户信息保护制度的,建议对内部规章制度进行修订,或制定单独的个人信息保护制度,就各个类型的个人信息(包括内部员工的个人信息)安全和保密确立内部规范。具体而言,内部制度中有必要限定接触所收集相关个人信息(包括疫情相关信息)的人员范围,明确相应数据保护职责和数据保管、流转的防护措施,避免因内部管理不善导致信息泄漏——毕竟,根据实践经验,数据泄漏要么基于外部的攻击、渗透,要么来源于内部因素,如基于内部人员管理不善、缺乏制度制约带来网络和数据安全方面的隐患,给用人单位带来法律风险。
注释:
[1] 详情参见商务部网站:http://tfs.mofcom.gov.cn/article/as/202002/20200202935276.shtml。
[2] 用户鉴别辅助信息包括动态口令、短信验证码、密码提示问题答案、动态声纹密码、用于用户鉴别的个人生物识别信息。
[3] 详情参见美国隐私盾计划官方网站https://www.privacyshield.gov/article?id=Privacy-Shield-and-the-UK-FAQs。
[4] 详情参见欧洲数据保护委员会网站:https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-12020-processing-personal-data-context_en。
[5] 详情参见加州总法务官网站https://www.oag.ca.gov/privacy/ccpa。
[6] 详情参见美国财政部网站https://home.treasury.gov/system/files/206/Final-FIRRMA-Regulations-FACT-SHEET.pdf。
[7] 详情参见美国国会官网:https://www.congress.gov/bill/116th-congress/senate-bill/3300?s=1&r=1。
[8] 详情参见中国新闻网百家号,“泄漏涉疫情人员个人隐私 山西一人被拘留多人被行政处罚”,网址:https://baijiahao.baidu.com/s?id=1657423336315228890&wfr=spider&for=pc。
[9] 详情参见新华网,“泄露疫情防控信息 鄂尔多斯东胜区两名干部被处分”,网址:http://www.nmg.xinhuanet.com/xwzx/2020-02/06/c_1125535156.htm。
[10] 详情参见广州日报大洋网,“泄露涉疫情人员个人信息!广州海珠警方依法处罚两嫌疑人”,网址:http://news.dayoo.com/gzrbrmt/202002/06/158562_53087655.htm。
[11] 详情参见淮安公安局官网:http://gaj.huaian.gov.cn/col/9065_651712/art/202002/1581395903934A5LVMKw6.html。
[12] 由于受语言所限,本文所列欧盟执法案例部分来源于CMS律师事务所对案例的英文描述,详情参见https://www.enforcementtracker.com/。
[13] 同上。
[14] 详情参见FTC官网:https://www.ftc.gov/news-events/press-releases/2020/01/background-check-services-provider-agrees-settle-ftc-allegations。
[15] 我们认为,与日常履行劳动合同相关,但有关法律如《劳动合同法》并未直接规定的信息,用人单位应按照《民法总则》《网络安全法》等规定,在员工知情同意情形下收集和使用。
天达共和数据合规团队
天达共和数据合规团队由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和一体化管理的综合力优势,加之具有与数据合规相关的民事、刑事、公司并购/重组、反垄断/反不正当竞争、知识产权等法律专业服务能力及项目经验,我们可以为客户提供的业务涵盖数据系统安全运营以及数据生命周期全过程和各个应用场景下数据应用处理的法律业务,涉及的业务内容包括数据合规审查综合项目、数据合规风控体系的建立与完善、数据合规专项服务、行政检查应对、争议解决、合规培训等。建立在对中国国内外,包括欧洲、美国、日本等重点国家和地区,数据领域法律法规深度研究和持续关注的基础上,并结合多年公司合规业务领域的经验,数据合规团队为包括国家机关、大中型企事业单位、跨国企业集团、外资企业和民营企业的大量客户提供了各项数据合规相关的法律服务。数据已经成为战略性资源,企业的运营和发展离不开数据的有效利用和保护。天达共和数据合规团队秉承“成功,始于助人成功”以及专业至精、尽心竭力的服务理念,力求助力客户,为客户提供高效、优质、专业的服务。
申晓雨
天达共和合伙人
李丽霞
天达共和合伙人
叶 鹏
天达共和合伙人
张 劢
天达共和律师
吴雅涵
天达共和实习律师
康雅斯
天达共和法务人员
往期推荐