作者:吴茵
2020年4月16日,上海市经济信息化委(“经信委”)发布《上海市工业企业复工复产疫情防控指引(第一版)》(“《指引》”),该文件旨在确保风险可控的前提下,有力有序有效推动企业复工复产,落实企业闭环管理,即在企业内实现工作场所和住宿之“两点一线”管理。
依据该《指引》,企业对外为第一责任主体,对内其需强化员工管理,包括分类登记所有在企员工,做好全体员工的每日健康检测和登记,应然而生的便是企业需要统计到岗员工基本信息以及定期搜集、更新、记录员工信息,其中便涉及到岗员工个人信息的保护。另一方面,因到岗员工生活在企业所在厂区、园区、办公区内,亦可能涉及员工的私人生活环境及个人隐私的保护。
为此,本文将结合《民法典》、《个人信息保护法》等,以Q&A的形式对以上两个问题给出合规性建议。
1、企业是否有权收集员工基本信息?
《个人信息保护法》第十三条规定,企业作为个人信息处理者可以处理个人信息的情形包括:为履行法定职责或者法定义务,或是为应对突发公共卫生事件。《传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时均应及时报告,此则赋予了企业履行法定义务而处理个人信息所必须。另结合《指引》可见,第一批复工复产企业系第一责任主体,上级主管部门明确企业如未能完善疫情防控不可复工复产,此明确了企业处理个人信息系应对突发新冠疫情所必需。
另结合2020年涉新冠疫情应对及审判先例,上海市政府于2020年2月6日发布致全市各企业书,希望各企业切实履行本单位疫情防控责任,全面掌握企业员工假日外出情况,主动配合各区做好来沪员工健康信息登记和管理等工作,督促去过重点地区或家中有外来人员的企业员工主动申报。在(2021)沪01民终752号案(“752号案”)中,上海一中院认为“恒威公司根据要求为复工开展员工健康和返岗前活动轨迹情况排查,要求陈学兵汇报‘返沪日期和回沪后的居住地址’并无不当,陈学兵应当按照要求提供”。
综上我们认为,企业应享有在合理范围内收集到岗员工基本信息的权利,且无需征得员工的同意(除非涉及敏感信息),且员工应按照要求提供;对于符合《传染病防治法》规定需要及时上报的,企业还应履行及时、如实上报之义务。
2、企业可收集的员工信息范围?
依据《个人信息保护法》,信息处理者处理个人信息需要把握合法、正当、必要和诚信原则。该法进一步规定收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息;因本次收集系与疫情防控与保障员工生命安全为基本目的,故企业收集的信息范围以及处理也应与该目的直接相关。
对此我们认为,企业可收集的到岗员工个人信息范围可包括以下内容:
1) 个人基本信息类:到岗人员姓名、身份证信息、联系方式。
2) 地理信息类:到岗人员到岗前所在区、所在小区、是否属于中高风险地区;如系外地归来人员,结合752号案,企业可进一步了解其原所在地区、到沪交通工具、到沪日期、到沪后的居住或隔离场所等。
3) 健康状况类信息:日常体温、抗原检测和核酸检测结果、是否曾属于确认、密接、是否治愈等等。
4) 亲属信息类:紧急联系人的姓名、亲属关系、联系方式等。
如在(2021)沪0112民初10322号案中,闵行区法院认为“用人单位为了用工管理的规范,可要求劳动者在合理范围内提供个人信息,劳动者有适当披露之责。本案原告因疫情原因要求全部员工提供紧急联系人,未超过公司用工管理的合理范畴,属合理使用,该行为未侵害被告的隐私权。被告亦可通过同原告协商等方式消除其对隐私权可能遭受侵害的顾虑。而被告仅以此为由拒绝向原告提供,亦有所不当”。
3、企业在收集的员工信息过程中的注意事项?
企业在收集、存储上述信息过程中,我们建议应注意如下事项:
1) 明确信息收集、汇总、整理的人员,明确该人员的保密义务,并可体现在相应的规章制度中。
2) 收集过程中尽量采用“一对一”对接模式,谨慎使用共享文档等方式,防止信息传播范围过广而导致信息接收人员范围不受控。
3) 保证信息载体的安全性,可以结合企业自身情况采取加密、去标识化等安全技术措施。
4、对于不配合提供信息的员工的处理措施?
我们认为,防疫从政府管理层面,落实为企业责任,相应的从企业管理层面,体现的是企业的自主管理权。员工在企业要求的合理信息范围内应负有配合的义务,其中不配合的表现可包括经多次沟通后拒不提供相关信息、拒不配合健康监测、谎报瞒报基本信息等。如员工存在前述情况,我们建议如下:
1) 基本原则:审慎处理,以协商、引导为主,避免直接采取过激手段,如直接以严重违纪为由解除劳动关系。
2) 因人而异、客观合理:结合员工所在岗位(是否属于人员密集型或接触密集型),客观评价员工拒不提供或隐瞒提供或错误提供行为的严重程度(是否多次、是否经提醒后拒不改正)以及行为后果(是否可能存在危及他人健康的潜在风险),再给出相应的惩戒措施。
如在752号案中,员工属于餐饮行业,直接关乎他人健康安全,多次隐瞒、拒不提供其返岗前活动轨迹,加之员工到岗后存在其他的违纪行为,企业最终决定以严重违反规章制度、劳动纪律而单方解除,并被认定为合法。
3) 制度依托:通过与职代会、员工代表等民主协商的方式征求意见、商议并最终形成统一适用的、明确违纪表现及处罚措施的规章制度。
5、企业对已收集信息的使用限度?
依据《个人信息保护法》,处理个人信息,应当与处理目的直接相关,采取对个人权益影响最小的方式。因此对于上述信息的使用,也应与处理目的直接相关,即应仅围绕防疫所需。同时我们特别提示以下几点:
1) 除非系履行法律规定的上报传染病病人或者疑似传染病病人之义务,任何情况下均不得自行公开员工信息,除非事先明确告知员工公开的目的并且征得其同意(尽量以书面形式)。
2) 对于确诊员工或无症状感染者,我们认为该类信息因直接关乎员工健康,属于敏感个人信息,企业应采取更严格的保护措施。
6、疫情结束后的注意事项?
依据《个人信息保护法》,在处理目的已实现的情况下,个人信息处理者应主动删除个人信息。如前所属,企业收集相关信息系为了防疫所需,因此如疫情防控结束,企业应及时主动删除员工与疫情有关的信息。
最后,目前复工复产闭环管理模式下,员工衣食住行均在企业内,不可避免的会涉及员工的个人生活和私密空间等隐私。考虑到目前社交平台发达,不排除个人会通过拍照、开通直播、共享短视频等方式分享自身生活状态,但可能会因此影响他人的隐私。因此,我们建议企业在保护个人信息的同时,亦不要忽略员工的个人隐私,提示员工注意在分享的同时需要尊重他人的生活空间和因素,如公开的图片、视频中出现他人人像、私密空间等,提前征求他人同意,或可做模糊化处理,并可落实到相应的规章制度中。我们衷心地希望企业平稳度过这个疫情的攻坚时刻,并致敬在这场抗“疫”中默默付出、坚守第一线的人员。