最近,上海人们持续热议着关于他们通过支付宝或微信获得的“绿码”。“绿码”,是指一张通过各种方式收集个人信息后形成的二维码,这张二维码可以表明该个人应当是“安全”的未受COVID-19(新型冠状病毒肺炎)感染的,因此允许该个人进入特定楼宇或乘坐公共交通。
这一热议同时带来了一个有趣的问题,也是我们律所近期收到越来越多咨询的问题:在实施COVID-19防控措施的期间,私营企业可以收集哪些个人信息,可以出于什么目的收集个人信息,以及可以向哪些主体披露此类信息?
例如其中一个问题:
一家大型跨国公司最近咨询我们,其是否应该通过一个内部应用程序来记录员工的体温并追踪他们的实时位置?显然,这一功能已被作为某种与疫情相关的噱头功能推广到该公司。
我们认为:
事实上,作为政府实施的紧急措施的一部分,私营企业可能有义务按照有关当局或行政部门(例如疾控中心、卫生健康委、网络安全部门等)的要求,按相关法律法规的规定,为防控COVID-19之目的,协助收集、报告和共享相关个人数据。
然而,在收集此类个人数据时,企业仍必须遵循基本的数据收集规则,例如必须事先征得个人同意,以及仅可收集最小范围/最小数量的个人数据(即原则上,仅可收集有关确诊、疑似和密切接触信息的数据)。此外,公司必须制定充分的技术和管理制度以保护其收集的个人数据,使个人数据脱敏,并在达到目的后删除个人数据。
除非企业获得相关部门的明确授权,否则超出基本数据法规范围的数据收集行为是非法的,即使该等数据的收集是紧急措施的一部分。事实上,中央网络安全和信息化委员会办公室已于2020年2月4日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(“《通知》”)中确认并强调了这一点。
如上所述,一些企业确实有可能(甚至极大可能)试图滥用当前的紧急情况,为其非法目的收集个人信息。鉴于此,《通知》重申,任何违规违法收集、使用、公开个人信息的行为,均应向网信和公安部门举报。
我们认为,对体温和实时位置/移动的持续追踪不属于政府和相关法律法规规制的范围。因此,如果您被要求收集或提供超出此范围的数据,则必须有上述机构的明确授权。
那么你可能会问,至于那些“绿码”呢? 说实话我们仍在研究,但在这一问题上我们必须假设有极大可能是特定级别的部门对一些企业的特殊授权,允许他们从现有的政府数据库中整理足够的个人数据并生成“绿码”应用程序,使他们能够为每个人提供即时的健康检查。有趣的是,这些公司是否会遵守这些规则,并限制自己将任何此类数据用于任何其他目的呢?了解到更多信息后,我们将及时向您发布相关情况。