2020年爆發的新型冠狀肺炎對中國經濟造成較大沖擊��,特別地����,由于新型冠狀肺炎被確認具有人傳人的現象���,該情形嚴重影響勞動密集型企業的經營發展�����。諸多餐飲�、家政企業為緩解消費者擔憂�,推出員工每日測溫上崗,實時追蹤員工健康狀況,生成員工健康檔案等措施。鑒此,筆者對企業能否采集員工“體溫”數據進行研究�,撰寫本篇短文�����,僅供參考。
一、“體溫”是否屬于個人信息?
2012年全國人民代表大會常務委員會發布《關于加強網絡信息保護的決定》����,其中規定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”�����,該《決定》在法律位階上確定了個人信息“直接識別”的判斷標準。
2016年全國人民代表大會常務委員會發布的《網絡安全法》規定個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息����,包括但不限于自然人的姓名��、出生日期、身份證件號碼����、個人生物識別信息�����、住址、電話號碼等”,將判定標準拓寬為“直接識別+間接識別”���,使得個人信息的界定范圍擴大。
2017年最高院、最高檢發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定公民個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息��。”《信息安全技術 個人安全規范》進一步解釋��,判定某項信息是否屬于個人信息��,應考慮兩個路徑:一是識別,即從信息到個人���;二是關聯,即從個人到信息����。從而將個人信息識別機制確定為“識別+關聯”的判斷標準�。
因此���,某信息如果能識別到具體個人���,則該信息屬于個人信息(“識別”的判斷標準)����。例如���,采集員工的“姓名+體溫”���,因為“體溫”信息結合“姓名”信息����,能識別到具體個人,所以“體溫”信息屬于個人信息���;而如果采集的是“蔣某某+體溫”,由于“姓名”信息被做了去標識化處理���,“體溫”信息結合“蔣某某”無法對應到具體個人,所以“體溫”信息不屬于個人信息�。而實際中采集員工的“體溫”信息�����,勢必要對應到現實生活中的個人,因此��,“體溫”信息屬于個人信息�����。
二、“體溫”是否屬于個人敏感信息?
從上分析可知��,“體溫”數據屬于個人信息���,但是否屬于個人敏感信息呢���?根據《信息安全技術 個人安全規范》的規定���,個人敏感信息是指“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽��、身心健康受到損害或歧視性待遇等的個人信息��。”舉例如“身份證件號碼��、個人生物識別信息、銀行賬號��、通信記錄和內容����、財產信息、征信信息��、行蹤軌跡���、住宿信息�����、健康生理信息�、交易信息���、14 歲以下(含)兒童的個人信息等”皆屬于個人敏感信息��。
根據《信息安全技術 個人安全規范》的規定,“個人生物識別信息”屬于個人敏感信息���。而“體溫”是否屬于“個人生物識別信息”呢?據悉�,生物識別信息是指:通過計算機與光學����、聲學����、生物傳感器和生物統計學原理等高科技手段密切結合,利用人體固有的生理特性,(如指紋�����、臉象���、虹膜等)和行為特征(如筆跡�����、聲音��、步態等)能鑒定個人身份的信息。例如指紋�����、人臉和DNA�����,根據生物技術手段����,可以識別到具體個人��,而單純的“體溫”數據,例如37°��、39°等并無法識別到具體個人����。因此,單純的“體溫”并不屬于“個人生物識別信息”��。
根據《信息安全技術 個人安全規范》的規定�����,“健康生理信息”屬于個人敏感信息���。而“體溫”是否屬于“健康生理信息”呢��?根據世界衛生組織公布的10條生理健康標準��,其中標準之一為“能夠抵抗一般性感冒和傳染病”;一般的體檢檢查項目也包括“測體溫”�、“量血壓”等�����,因此可以初步判斷,“體溫”屬于“健康生理信息”����,應為個人敏感信息�。
實際上�����,從《信息安全技術 個人安全規范》對個人敏感信息的場景式定義也可看出,在新型冠型肺炎爆發的當下����,眾人談“體溫”色變���,一旦某員工的“體溫”數據遭到泄露����,極易導致員工的個人名譽����、身心健康受到損害或歧視性待遇,從該場景也可以看出�����,“體溫”數據屬于個人敏感信息�。
三、企業正常采集員工“體溫”數據的方式
既然員工的“體溫”數據屬于個人敏感信息�����,那么企業應如何合規采集員工“體溫”數據呢�?
2016年人大常委會發布的《網絡安全法》規定“網絡運營者收集、使用個人信息�,應當遵循合法�、正當���、必要的原則���,公開收集��、使用規則����,明示收集���、使用信息的目的�����、方式和范圍,并經被收集者同意。”因此�,我國對于個人信息的采集一直以執行“告知+用戶同意”為判斷標準���。
根據《信息安全技術 個人安全規范》的規定����,“用戶同意”包括用戶“授權同意”和“明示同意”。所謂的“授權同意”類似于默示同意,對于一般的個人信息,只要用戶不反對�����,即視為其默示同意;所謂的“明示同意”是指“個人信息主體通過書面聲明或主動做出肯定性動作,對其個人信息進行特定處理做 出明確授權的行為。”個人敏感信息����,則需要經過用戶的明示同意��。
因此,由于“體溫”屬于員工的個人敏感信息,通常情況下�����,企業在采集員工的“體溫”時�����,原則上應明確告知員工收集、使用其“體溫”數據的目的、方式和范圍,并應經過員工的主動性同意���,例如讓員工簽署書面同意協議,或者留存員工同意的錄音、錄像記錄�。
四����、突發事件下,企業采集員工“體溫”數據的方式
一般情形下���,企業在采集員工“體溫”數據時應遵循“告知+用戶同意”的判斷標準�����。但是在此次突發重大衛生事件中��,企業收集員工“體溫”信息是否還需嚴格遵照《網絡安全法》等法律及規范性文件的要求呢��?
根據《突發公共衛生事件應急條例》第10條���、第11條規定�,國務院衛生行政主管部門制定全國突發事件應急預案,省、自治區���、直轄市人民政府根據全國突發事件應急預案,結合本地實際情況,制定本行政區域的突發事件應急預案。其中���,突發事件應急預案應包括“突發事件的監測與預警”“突發事件信息的收集、分析、報告�����、通報制度”����。此外����,《突發公共衛生事件應急條例》還規定“任何單位和個人對突發事件,不得隱瞞���、緩報、謊報或者授意他人隱瞞�、緩報�、謊報�。”
根據《突發公共衛生事件應急條例》的上述規定,在面臨突發公共衛生事件時�,人民政府在突發事件應急預案中���,可以將政府部門�、機構、組織����、個人全部納入��,并賦予其信息收集、分析的任務���。例如《廣東省突發公共衛生事件應急辦法》第17條規定:“各級人民政府及其有關部門����、企業事業單位應當依照法律��、法規和規章的規定����,做好傳染病�、食物中毒�、職業中毒,以及其他嚴重影響公眾健康事件的預防工作�����。”
綜上可知���,在此次突發重大衛生事件中����,如企業是為協助政府做好傳染病的預防工作,在收集員工“體溫”信息可突破“告知+用戶同意”的判斷標準,此時員工“不得隱瞞、緩報�����、謊報”個人信息數據��。因此���,企業在此次疫情中如果需要采集員工“體溫”數據�����,在履行告知義務后,最好經過員工同意���,如果員工拒不配合,可以直接突破“用戶同意”的判斷標準�,直接采集員工的“體溫”數據�����。
