处理员工个人信息的合法性基础和重要原则
作者:
蔡荣伟 陈坤
《个人信息保护法》(“《个保法》”)是目前为止我国个人信息保护领域最为重要的立法。《个保法》的很多规定将为人力资源管理中的员工个人信息处理模式带来一场变革。本文旨在帮助企业理解《个保法》的突破性规定和重要原则,在人力资源管理过程中应对《个保法》带来的挑战。
一.
员工个人信息的范围
根据《个保法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从该定义出发进行理解,员工个人信息的范围非常广泛:
1、在形式上,不仅包括电子记录,如工作系统对员工基本信息的记录,还包括非电子的记录,如员工提供的学历、学位证书复印件。
2、在内容上,与员工本人相关的各种信息都属于个人信息范畴,比如员工的教育经历、工作经历、所获得的资格证书等等。
此外,个人信息不包括匿名化处理后的信息。但根据《个保法》的规定,匿名化处理的要求较高。经过匿名化处理的个人信息必须无法被用于识别特定自然人,且不能被复原。对于人力资源管理来说,匿名化处理后的员工信息一般不能再被用于员工管理,利用价值较低。
二.
处理员工个人信息的场景
企业用工的过程存在不同阶段,企业的用工管理需求也多种多样。在企业日常经营中,许多场景都涉及到对员工个人信息的处理。例如:
1、招聘阶段通过猎头公司、招聘网站等各种渠道获取的求职人员简历中的各项信息,如姓名、手机号,邮箱地址,学历学位,工作经历。
2、背景调查过程中,自行或委托第三方对求职人员的工作经历、资格、资历等信息进行收集和核实。
3、在建立劳动关系阶段,用人单位可能会要求员工提交体检报告,或通过信息表的形式收集员工的身份证号、住址、紧急联系人、民族、婚姻状况等信息,以及为了发放工资的需要,还会收集员工的银行账号。
4、在对员工进行管理过程中:
a. 对员工的打卡考勤过程中可能涉及人脸、指纹、虹膜等个人生物识别信息及实时定位信息的收集使用。
b. 对员工进行内部调查时,可能调取员工在用人单位提供的IT系统、提供的办公设备中留存的个人信息。
c. 跨国企业向境外母公司提供员工个人信息。
d. 将员工的联系信息提供给供应商或客户。
e. 企业委托第三方发放员工工资、对员工进行培训、管理人事档案、扣缴税款、进行内部违规事项调查等过程中涉及对外提供员工个人信息。
三.
处理员工个人信息的合法性基础
(一)豁免信息处理者取得个人同意义务的五种合法事由
《个保法》第13条规定了处理个人信息的合法性基础。值得关注的是,除取得个人同意以外,个人信息处理者还可基于其他五种事由处理个人信息。
以“履行个人作为一方当事人的合同所必需”为例,如果企业在劳动合同中约定为员工办理补充商业保险,则企业可以依据该约定将员工相应的个人信息用于办理商业保险,无需取得员工的同意。
《个人信息保护法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; (六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; (七)法律、行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
(二)“单独同意”能否适用豁免信息处理者取得个人同意的五种合法事由
除规定了豁免信息处理者取得个人同意的五种合法事由以外,《个保法》还规定了五种需要取得个人“单独同意”的情形。下表中我们对这五种情形做了场景化举例:
需要取得个人单独同意的情形 | 场景举例 |
向他人提供个人信息[1] |
|
公开其处理的个人信息[2] |
|
将公共场所安装的图像采集、个人身份识别设备所收集的个人图像、身份识别信息用于维护公共安全以外的其他目的[3] |
|
处理敏感个人信息[4] |
|
向境外提供个人信息[5] |
|
虽然《个保法》并未明确规定取得个人单独同意的具体形式。但一方面,“单独同意”至少需要达到取得同意的基本标准,也即,应基于“个人的充分知情”,并由“个人自愿和明确作出”;另一方面,根据立法原意,“单独同意”是为了让个人对个人信息处理更具有发言权,充分感知到个人信息在特定情形下将被如何处理,并充分地参与到同意、限制或拒绝的决策当中。因此,“单独同意”应当在《个保法》第13条“取得个人的同意”规定的基础上,由个人信息处理者另行、单独地向个人进行征求。
另参照《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,取得单独同意不得:(i)以与其他授权捆绑等方式要求自然人同意,以及(ii)以其他方式强迫或变相强迫同意。因此,企业在需要取得员工单独同意的情况下,应避免相应方式构成“捆绑授权”和“强迫授权”,比如通过《员工隐私声明》“一揽子”取得对员工个人信息处理的全部授权,或者员工不同意的就辞退员工。
《个保法》与相关司法解释对“单独同意”的严格要求势必会增加企业的合规成本,而人力资源管理过程中对于企业员工个人信息的处理也会变得更为复杂。这样就自然产生了一个问题:要求取得个人单独同意的场景能否适用豁免取得个人同意的五种合法事由?
对于该问题,目前行业内主要由三种观点:
第一,主流观点认为“单独同意”属于“同意”的一种。处理者已根据其他五种合法性事由豁免取得个人同意的,就无需再取得个人单独同意。这也是笔者较为认同的观点。在此我们仍然以为员工购买商业保险为例:如果企业在劳动合同中约定为员工办理补充商业保险,则企业可以依据该约定将员工相应的个人信息用于办理商业保险,包括将员工的个人信息提供给保险公司——这属于向其他个人信息处理者提供个人信息,但无需再取得员工的单独同意。
第二,另一观点认为“单独同意”是一种更高标准的“同意”。处理者根据其他五种合法性事由豁免取得个人同意的,并不能豁免取得个人单独同意的要求。这种观点关注了“单独同意”的立法原意——为了让个人对个人信息处理更具有发言权。如果“单独同意”被豁免,个人就无法充分地参与到其个人信息被处理的决策当中。
第三,认为是否需要取得“单独同意”需要根据相关情形是集中于个体利益还是公共利益作具体判断。具体来说,对于仅涉及私人利益的情形,如“订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,此种情况主要为集中在个人或企业利益,仍然需要取得个人单独同意。而对于涉及公共利益的,如“为应对突发公共卫生事件”,则可以豁免取得个人单独同意。
上述三种观点各有合理的解释空间,但也为处理个人信息带来了一定的不确定性。具体应采用哪种观点有待立法或相关执法、司法实践的进一步澄清。
四.
处理员工个人信息的重要原则
企业需要明确的是,即使具备处理员工个人信息的合法性基础,企业仍然需要遵守《个保法》的其他规定,比如其中较为重要的 “最小必要原则”和“公开透明原则”。
(一)最小必要原则
根据《个保法》第6条及第28条的规定,遵守最小必要原则意味着企业不论是在取得员工个人同意后处理个人信息、还是基于其他合法性事由(如履行劳动合同所必需)处理员工的个人信息,都需要逐项审视:
a. 对员工个人信息的处理是否具有明确、合理的目的;
b. 处理行为是否与处理目的直接相关;
c. 是否采取对员工个人权益影响最小的方式;
d. 是否过度收集员工个人信息;以及
e. 对于员工敏感的个人信息,还需评估是否具有特定的目的和充分必要性,以及能否采取严格的保护措施。
以招聘阶段用人单位可处理的员工个人信息为例,下表中的相关文件提供了一些法律依据:
《劳动合同法》第8条 | 用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。 |
《劳动合同法》第17条 | 劳动合同应当具备以下条款: …… (二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码; |
《上海市劳动合同条例》第8条 | 用人单位在招用劳动者时,有权了解劳动者健康状况、知识技能和工作经历等情况,劳动者应当如实说明。 |
《江苏省劳动合同条例(2013修订)》第11条 | 劳动者应当按照用人单位的要求,如实说明与劳动合同直接相关的就业现状、健康状况、竞业限制等情况,如实提供自己的居民身份、学历、工作经历、职业技能等证明。 |
《山东省劳动合同条例(2013)》第10条 | 用人单位有权了解劳动者与劳动合同直接相关的健康状况、工作经历、知识技能等基本情况,核对劳动者的居民身份证、居住证等相关证件,劳动者应当如实说明或者提供。 劳动者与原用人单位有竞业限制约定的,应当向用人单位如实说明。 |
地方劳动合同规章更为具体地规定了哪些信息属于《劳动合同法》的“劳动者与劳动合同直接相关的基本情况”。各个地方文件略有差异,但一般包括员工身份基本信息(姓名、住址、有效证件号码)、健康状况、知识技能、工作经历、竞业限制情况。
企业需要注意把握“劳动者与劳动合同直接相关的基本情况”的范围。比如,在企业收集“健康状况”时,应审查相关信息是否拟招聘的岗位职责履行有关。例如,企业无正当理由收集女性的生育状况信息就可能会违反最小必要原则。今年6月网友爆料某知名文化产品公司在招聘中要求女性求职人员填写“生育计划”,此举被质疑用工性别歧视和个人信息的过度收集。
此外,企业应避免招聘过程中收集、处理相关信息的行为构成用工歧视。我国的《劳动法》、《就业促进法》及《就业服务与就业管理规定》均禁止依据应聘人员的性别、民族、种族、宗教信仰、残疾情况、携带传染病情况、是否为农村劳动者进行用工歧视。例如,《就业促进法》第30条要求,除非是招聘的是传染病易扩散的岗位员工,否则不得拒绝录音传染病携带者。也即,对于一般的企业的普通岗位,并无充分理由收集员工的乙肝、艾滋病等传染病信息,否则不仅可能涉及过度收集员工个人信息,还可能涉嫌就业歧视而受到行政处罚。
(二)公开透明原则
《个保法》第7条规定了“公开透明原则”,要求个人信息处理者公开个人信息处理规则,明示处理的目的、方式和范围。遵守“公开透明原则”,具体到行为就是处理者应履行“告知义务”。对于用人单位来说,不论对员工信息处理是基于同意还是基于其他五种合法性事由,除有例外情况,都有义务在处理之前向员工告知处理规则。告知义务的履行需要注意两个方面,分别为告知的内容和告知的形式:
第一, 在告知的内容上,企业处理员工个人信息需要向员工告知下列事项:
a. 处理员工个人信息的用人单位的名称和联系方式;
b. 对员工个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
c. 员工行使关于其个人信息相关权利(如查阅、复制、更正、补充其个人信息,请求删除个人信息,撤回授权同意)的方式和程序;
d. 此外,根据《个保法》的规定,在如下情形中还需要告知特定事项:
1) 涉及对员工个人敏感信息处理的,还需要告知处理敏感个人信息的必要性以及对个人权益的影响;
2) 涉及向他人提供员工个人信息的,需要告知员工接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
3) 因企业的合并、分立、解散、被宣告破产等原因需要转移员工个人信息的,应当向员工告知接收方的名称或者姓名和联系方式;以及
4) 涉及向境外提供个人信息的,需要告知员工境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及员工向境外接收方行使个人信息相关权利的方式和程序等。
第二, 在告知的形式要求上,告知需要满足如下要求:
a. 原则上应在处理员工个人信息前进行告知。在紧急情况下为保护员工的生命健康和财产安全无法及时告知的,应在紧急情况消除后及时告知;
b. 告知应当是显著的。不易为员工所察觉的告知方式可能不被视为有效的告知;
c. 告知应当是清晰易懂的。跨国公司针对不同国家和地区的员工,应当使用相应国家和地区的语言进行告知;
d. 告知应该是真实、准确和完整的。企业实际上对员工信息的处理情况不得与告知的事项不一致;
e. 告知事项发生变更的,应及时向员工告知变更的内容。这要求企业在内部建立良好的联动机制,及时识别与告知内容不一致的事项,并及时向员工履行变更告知义务;以及
f. 通过制定个人信息处理规则的告知的,该规则应当公开,并且便于查阅和保存。
同时,《个保法》也规定了豁免告知的情形:
a. 国家机关为履行法定职责处理个人信息,告知将妨碍国家机关履行法定职责的,无需告知;以及
b. 法律、行政法规规定应当保密或者不需要告知的情形的,无需告知。
《个保法》的部分规定如何实践,还有待相关实施细则做进一步明确,但对于《个保法》中已经明确的法律义务和相应的法律责任仍然应当引起企业的必要关注。对于人力资源管理过程中纷繁复杂的员工个人信息处理场景,我们建议企业尽早进行场景梳理并评估合规风险,及时采取相关措施应对《个保法》的合规要求。
[注]
[1] 《个保法》第二十三条
[2]《个保法》第二十五条
[3]《个保法》第二十六条
[4] 《个保法》第二十九条
[5] 《个保法》第三十九条
The End
作者简介
蔡荣伟 律师
上海办公室 高级顾问
业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁
特色行业类别:能源与自然资源, 通讯与技术
陈坤 律师
上海办公室 公司业务部
作者往期文章推荐
《算法合规——解读<互联网信息服务算法推荐管理规定(征求意见稿)>》
《医疗领域网络安全相关问题简析》
《医疗数据出境法律风险解读》
《<健康医疗数据安全指南>亮点解读》
《开发区投资应注意的若干法律问题》
《<网络安全法>相关法规及标准总结(2020年—2021年2月)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。
The End
作者简介
蔡荣伟 律师
上海办公室 高级顾问
业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁
特色行业类别:能源与自然资源, 通讯与技术
陈坤 律师
上海办公室 公司业务部
作者往期文章推荐
《人工智能技术出口管制问题》
《算法合规——解读<互联网信息服务算法推荐管理规定(征求意见稿)>》
《医疗领域网络安全相关问题简析》
《医疗数据出境法律风险解读》
《<健康医疗数据安全指南>亮点解读》
《开发区投资应注意的若干法律问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。