2020年爆发的新型冠状肺炎对中国经济造成较大冲击,特别地,由于新型冠状肺炎被确认具有人传人的现象,该情形严重影响劳动密集型企业的经营发展。诸多餐饮、家政企业为缓解消费者担忧,推出员工每日测温上岗,实时追踪员工健康状况,生成员工健康档案等措施。鉴此,笔者对企业能否采集员工“体温”数据进行研究,撰写本篇短文,仅供参考。
一、“体温”是否属于个人信息?
2012年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》,其中规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,该《决定》在法律位阶上确定了个人信息“直接识别”的判断标准。
2016年全国人民代表大会常务委员会发布的《网络安全法》规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”,将判定标准拓宽为“直接识别+间接识别”,使得个人信息的界定范围扩大。
2017年最高院、最高检发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”《信息安全技术 个人安全规范》进一步解释,判定某项信息是否属于个人信息,应考虑两个路径:一是识别,即从信息到个人;二是关联,即从个人到信息。从而将个人信息识别机制确定为“识别+关联”的判断标准。
因此,某信息如果能识别到具体个人,则该信息属于个人信息(“识别”的判断标准)。例如,采集员工的“姓名+体温”,因为“体温”信息结合“姓名”信息,能识别到具体个人,所以“体温”信息属于个人信息;而如果采集的是“蒋某某+体温”,由于“姓名”信息被做了去标识化处理,“体温”信息结合“蒋某某”无法对应到具体个人,所以“体温”信息不属于个人信息。而实际中采集员工的“体温”信息,势必要对应到现实生活中的个人,因此,“体温”信息属于个人信息。
二、“体温”是否属于个人敏感信息?
从上分析可知,“体温”数据属于个人信息,但是否属于个人敏感信息呢?根据《信息安全技术 个人安全规范》的规定,个人敏感信息是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”举例如“身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等”皆属于个人敏感信息。
根据《信息安全技术 个人安全规范》的规定,“个人生物识别信息”属于个人敏感信息。而“体温”是否属于“个人生物识别信息”呢?据悉,生物识别信息是指:通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性,(如指纹、脸象、虹膜等)和行为特征(如笔迹、声音、步态等)能鉴定个人身份的信息。例如指纹、人脸和DNA,根据生物技术手段,可以识别到具体个人,而单纯的“体温”数据,例如37°、39°等并无法识别到具体个人。因此,单纯的“体温”并不属于“个人生物识别信息”。
根据《信息安全技术 个人安全规范》的规定,“健康生理信息”属于个人敏感信息。而“体温”是否属于“健康生理信息”呢?根据世界卫生组织公布的10条生理健康标准,其中标准之一为“能够抵抗一般性感冒和传染病”;一般的体检检查项目也包括“测体温”、“量血压”等,因此可以初步判断,“体温”属于“健康生理信息”,应为个人敏感信息。
实际上,从《信息安全技术 个人安全规范》对个人敏感信息的场景式定义也可看出,在新型冠型肺炎爆发的当下,众人谈“体温”色变,一旦某员工的“体温”数据遭到泄露,极易导致员工的个人名誉、身心健康受到损害或歧视性待遇,从该场景也可以看出,“体温”数据属于个人敏感信息。
三、企业正常采集员工“体温”数据的方式
既然员工的“体温”数据属于个人敏感信息,那么企业应如何合规采集员工“体温”数据呢?
2016年人大常委会发布的《网络安全法》规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”因此,我国对于个人信息的采集一直以执行“告知+用户同意”为判断标准。
根据《信息安全技术 个人安全规范》的规定,“用户同意”包括用户“授权同意”和“明示同意”。所谓的“授权同意”类似于默示同意,对于一般的个人信息,只要用户不反对,即视为其默示同意;所谓的“明示同意”是指“个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做 出明确授权的行为。”个人敏感信息,则需要经过用户的明示同意。
因此,由于“体温”属于员工的个人敏感信息,通常情况下,企业在采集员工的“体温”时,原则上应明确告知员工收集、使用其“体温”数据的目的、方式和范围,并应经过员工的主动性同意,例如让员工签署书面同意协议,或者留存员工同意的录音、录像记录。
四、突发事件下,企业采集员工“体温”数据的方式
一般情形下,企业在采集员工“体温”数据时应遵循“告知+用户同意”的判断标准。但是在此次突发重大卫生事件中,企业收集员工“体温”信息是否还需严格遵照《网络安全法》等法律及规范性文件的要求呢?
根据《突发公共卫生事件应急条例》第10条、第11条规定,国务院卫生行政主管部门制定全国突发事件应急预案,省、自治区、直辖市人民政府根据全国突发事件应急预案,结合本地实际情况,制定本行政区域的突发事件应急预案。其中,突发事件应急预案应包括“突发事件的监测与预警”“突发事件信息的收集、分析、报告、通报制度”。此外,《突发公共卫生事件应急条例》还规定“任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。”
根据《突发公共卫生事件应急条例》的上述规定,在面临突发公共卫生事件时,人民政府在突发事件应急预案中,可以将政府部门、机构、组织、个人全部纳入,并赋予其信息收集、分析的任务。例如《广东省突发公共卫生事件应急办法》第17条规定:“各级人民政府及其有关部门、企业事业单位应当依照法律、法规和规章的规定,做好传染病、食物中毒、职业中毒,以及其他严重影响公众健康事件的预防工作。”
综上可知,在此次突发重大卫生事件中,如企业是为协助政府做好传染病的预防工作,在收集员工“体温”信息可突破“告知+用户同意”的判断标准,此时员工“不得隐瞒、缓报、谎报”个人信息数据。因此,企业在此次疫情中如果需要采集员工“体温”数据,在履行告知义务后,最好经过员工同意,如果员工拒不配合,可以直接突破“用户同意”的判断标准,直接采集员工的“体温”数据。
