查看原文
其他

劳动用工视角下个人信息保护的实务研究(上)

段海燕马晓钰查杰 中伦视界 2022-08-01

作者:段海燕 马晓钰 查杰


随着网络信息技术和数字经济的不断发展,有关个人信息保护的问题持续引发社会的广泛关注和热烈讨论。自2017年6月《网络安全法》实施以来,有关个人信息保护的相关立法及国家标准(含相关征求意见稿和草案)也纷纷出台,对用人单位收集、保存、管理、使用、传输员工个人信息的行为产生了重要影响。在此背景下,本文从劳动用工的角度出发,结合现有相关法律规定及立法趋势,对员工个人信息保护的问题进行初步探讨,以期帮助用人单位明晰相关法律责任、规范对员工个人信息的管理。


一.关于“个人信息”的范围


___

(一)中国现行法下的“个人信息”的范围


我国目前在个人信息保护领域尚无专门的立法。有关“个人信息”具体范围的规定散见于《网络安全法》、《刑法》及其司法解释、工业和信息化部发布的部门规章以及国家市场监督管理总局和中国国家标准化管理委员会联合发布的国家标准《信息安全技术-个人信息安全规范(征求意见稿)》。具体情况如下:


1、依据《网络安全法》(2016年11月7日发布、2017年6月1日生效)第七十六条第(五)款规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于:自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。


2、依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日发布、2017年6月1日生效,以下简称“《司法解释》”)第一条规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括:姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。由此可见,相较于《网络安全法》,前述《司法解释》规定的“个人信息”范围扩大到了“能够反映特定自然人活动情况”的信息,例如:账号密码、财产状况、行踪轨迹。


3、依据《信息安全技术-个人信息安全规范(征求意见稿)》(2019年10月22日发布,以下简称“《安全规范(征求意见稿)》”)第3.1条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。具体包括:姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。同时,该征求意见稿进一步规定,判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。[1]由此可见,《安全规范(征求意见稿)》规定的个人信息范围较为宽泛,不仅包括可以单独或与其他信息结合识别特定自然人身份的信息,也包括因特定自然人的活动而产生的信息。


___

(二)“个人信息”范围的域外规定


根据《欧盟通用数据保护条例》(2018年5月25日起生效,General Data Protection Regulation,以下简称“GDPR”)第4条的规定,个人信息指与可识别的或者已经识别的自然人有关的任何信息。其中,可识别的自然人指可以直接或间接识别的自然人,特别是通过识别标志,比如姓名、识别号码、位置数据、在线身份识别,或者就该自然人的身体、生理、基因、精神、经济、文化或社会身份而言特定的一个或多个因素。[2]笔者认为,GDPR中有关个人信息范围的界定标准与上述我国的《安全规范(征求意见稿)》及《司法解释》的界定标准相对接近,几乎涵盖了“与特定自然人有关的全部信息”。


___

(三)劳动法下用人单位可收集的“个人信息”范围


虽然我国现行劳动法律法规并未直接对“员工个人信息”的具体范围作出明确的规定,但是《劳动合同法》明确规定了“用人单位可收集的员工个人信息”的大致范围。依据该法第八条的规定,用人单位可收集的员工个人信息仅限于“与劳动合同直接相关的基本情况”。结合实践中多数用人单位的操作,前述信息主要包括:姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人(或主要家庭成员)等。


此外,针对婚姻、生育状况等信息是否属于“与劳动合同直接相关的信息”的问题,司法实践中,裁判者一般认为前述信息与劳动合同的履行没有必然关联,属于个人隐私的范畴,不属于“与劳动合同直接相关”的信息。


___

(四)小结


如上所述,在我国现有法律框架下,用人单位可收集、使用的“员工个人信息”仅限于与劳动合同直接相关的信息,该等信息均属于《网络安全法》、《司法解释》及《安全规范(征求意见稿)》规定的“公民个人信息”的范畴。因此,用人单位收集、使用员工个人信息时,也应当遵循《网络安全法》[3]、《安全规范(征求意见稿)》[4]规定的“必要”或“最小必要”原则。


二.关于“侵犯个人信息”的法律责任


基于我国尚无个人信息保护专门立法的现状,对于用人单位侵犯员工个人信息的法律责任也同样散见于《网络安全法》、《民法总则》、《刑法》以及相关的司法解释中。具体情况如下:


___

(一)民事责任


依据《网络安全法》第七十四条规定,违反本法规定,给他人造成损害的,依法承担民事责任。同时,依据《民法总则》(2017年10月1日起生效)第一百一十条及第一百二十条的规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。如违反前述规定并导致自然人的民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。[5]


据此,笔者认为,如用人单位在收集、保存、管理、使用、传输员工信息时未遵循相关法律的要求、存在“侵犯员工个人信息”行为的,可能面临的民事责任主要为侵权责任。在现行法下,承担民事责任的方式主要包括:停止侵害、恢复原状、赔偿损失、消除影响、恢复名誉等。[6]


___

(二)行政责任


根据《网络安全法》第四十条至四十四条的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息;不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息(经过处理无法识别特定个人且不能复原的除外);任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息[7]。鉴于《网络安全法》定义的“网络运营者”包括“网络的所有者、管理者和网络服务提供者”,因此,我们认为,前述《网络安全法》的相关规定对于利用网络(包括内部网络)进行用工管理的用人单位也具有约束力。


如违反上述规定的,根据《网络安全法》的规定[8],用人单位将面临承担行政责任的风险。相关行政责任具体表现为:


(1)由有关主管部门责令改正;

(2)根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款;

(3)对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;

(4)情节严重的,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。


___

(三)刑事责任


2009年出台的《刑法修正案(七)》[9]增设了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等两个罪名,首次将非法获取、出售、向他人提供公民个人信息的行为纳入刑法规制的范畴。根据该规定,国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,违反国家规定,非法获取、出售、向他人提供该单位在履行职责或者提供服务过程中获得的公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。


2015年11月1日实施的《中华人民共和国刑法修正案(九)》将“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”进一步调整为“侵犯公民个人信息罪”[10],并拓宽了相关犯罪的犯罪主体(从特殊主体变为一般主体),加重了相关犯罪的法定最高刑(从三年有期徒刑变为七年有期徒刑),犯罪对象也扩大到一般的个人信息,不再局限于“在履行职责或者提供服务过程中获得的公民个人信息”。可见,对于侵犯公民个人信息的犯罪,刑法的惩处力度趋于严格。


在现行刑法体系下,违反国家规定,实施了非法获取、出售或者提供公民信息,且情节严重或情节特别严重的行为构成侵犯公民个人信息罪。所谓“情节严重”是指:


(1)出售或者提供行踪轨迹信息,被他人用于犯罪的;

(2)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

(3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(4)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(5)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(6)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(7)违法所得五千元以上的;

(8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

(10)其他情节严重的情形。

“情节特别严重”是指:

(1)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(2)造成重大经济损失或者恶劣社会影响的;

(3)数量或者数额达到上述“情节严重”第(3)项至第(8)项规定标准十倍以上的;

(4)其他情节特别严重的情形。

需要注意的是,侵犯公民个人信息罪的犯罪主体为一般主体,且自然人和单位均能成为本罪主体。在单位犯罪的情况下,单位及直接负责的主管人员和其他直接责任人员均将承担相应的刑事责任,具体如下:

1)情节严重的,单位处罚金,直接负责的主管人员和其他直接责任人员处三年以下有期徒刑或者拘役,并处或者单处罚金;

2)情节特别严重的,单位处罚金,直接负责的主管人员和其他直接责任人员处三年以上七年以下有期徒刑,并处罚金。


[注] 

[1] 见《信息安全技术-个人信息安全规范》(2019年10月22日版征求意见稿)附录A。

[2] Article 4 of GDPR:“personal data” means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person. 

[3] 《网络安全法》第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

[4] 《信息安全技术-个人信息安全规范》(2019年10月22日版征求意见稿)。

5.2 收集个人信息的最小必要 对个人信息控制者的要求包括:

a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的业务功能无法实现;

b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;

c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

[5] 《民法总则》第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

第一百二十条 民事权益受到侵害的,被侵权人有权请求侵权人承担侵权责任。

[6] 《民法总则》第一百七十九条 承担民事责任的方式主要有:

(一)停止侵害;

(二)排除妨碍;

(三)消除危险;

(四)返还财产;

(五)恢复原状;

(六)修理、重作、更换;

(七)继续履行;

(八)赔偿损失;

(九)支付违约金;

(十)消除影响、恢复名誉;

(十一)赔礼道歉。

法律规定惩罚性赔偿的,依照其规定。

本条规定的承担民事责任的方式,可以单独适用,也可以合并适用。

[7] 《网络安全法》

第四十条  网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条  网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条  网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

[8] 《网络安全法》

第六十四条  网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

[9] 《刑法修正案(七)》第七条:在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。

“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

[10] 《中华人民共和国刑法修正案(九)》第十七条:将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”


_

The End

_

 作者简介

段海燕  律师


北京办公室  合伙人

业务领域:合劳动法,合规/政府监管

_

马晓钰 律师 


北京办公室  公司部

__

查杰   


北京办公室  公司部

作者往期文章推荐:

《经济下行背景下裁员的合规理念与实践(二)—— 经济性裁员的合规理念》

《经济下行背景下裁员的合规理念与实践(一)| 裁员的基本情况》

《常见的工伤问题,你知道的有多少?》

《竞争关系的实务认定 | 简评一宗竞业限制典型案例》

《关于医疗期的若干实务问题的思考》

《《关于审理劳动争议案件法律适用问题的解答》对企业劳动用工的影响及启示》

《用人单位因劳动者不胜任之单方解除权研究——现实困境与突破建议》

《企业经济性裁员中常见的法律风险与防范》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

__

点击“阅读原文”,可查阅该专业文章官网版。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存