前言
伴随着《网络安全法》《数据安全法》《个人信息保护法》(以下简称《个保法》)的出台,中国数据安全领域进入了“三驾马车”并驾齐驱的时代。其中,《个保法》从个人信息保护的层面,给各个企业在员工管理与风险管控方面带来了全新的挑战。大数据时代下,企业需要处理员工个人信息的场景有增无减,从入职前的简历筛选、面试阶段、入职阶段、在职阶段再到离职阶段,都会涉及到员工的个人信息及敏感个人信息,因此,探索保护员工个人信息的合规路径成为了各个企业的新课题。
一、强监管时代下
企业员工个人信息保护面临的新要求
(一)个人信息保护立法路径
随着信息化时代的到来,个人信息能够依法得到保护已成为广大人民群众最关心的问题,近年来我国也不断地在立法方面加强了对个人信息的保护力度。
(二)个人信息保护的基本原则和规则
(三)员工个人信息的界定
1.个人信息的界定
企业作为个人信息处理者,首先应当清楚个人信息与敏感个人信息的界定,才能在个人信息处理的过程中按照法定规则履职。《个保法》第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《信息安全技术 个人信息安全规范》(GB/T 35273—2020)对个人信息做出了如下列举:
2.敏感个人信息的界定
《个保法》第二十八条对敏感个人信息的定义进行了规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
敏感个人信息的处理要求:
(1)有特定目的。明确预订目的是进行个人信息处理的前提条件,敏感个人信息处理活动的目的,应当在个人信息处理行为之前予以确定,之后的处理行为应当紧密围绕该目的展开,不允许没有目的而进行个人信息的处理。“特定”是指法定或约定的明确限制,处理敏感个人信息必须出于法律明确规定的履行职责的目的,或者出于合同约定的明确目的。
(2)充分必要性。“充分的必要性”在必要性原则的基础上强调了充分,是对必要性原则的强化,意味着对敏感个人信息的收集应当保持最大的克制。
(3)严格保护措施。严格保护措施则要求个人信息处理者应当采取与一般个人信息处理相比更为充分的保护措施,以保障其所处理的敏感个人信息的安全,包括事前进行个人信息保护影响评估、制定相应内部管理制度和操作规程、提高敏感个人信息处理的操作权限、制定并组织实施敏感个人信息安全事件应急预案,以及对敏感个人信息作去标识化、匿名化处理等。
3.企业可以收集的员工个人信息的范围
在《个保法》出台之前,《劳动合同法》对用人单位可以收集的劳动者基本信息作出了规制,但对于“与劳动合同直接相关的基本情况”的具体内容,并未有相关解释。同时,根据《个保法》第十三条第二款之规定,企业可以依照劳动规章制度和劳动合同实施人力资源管理的需要,无需取得个人同意即可处理个人信息。对于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”之具体范围,目前也并未出台具体解释,笔者认为可以《信息安全技术个人信息安全规范》(GB/T 35273—2020)中对“个人信息”的定义来作为参考适用。
(四)企业保护员工个人信息的新义务
《个保法》第五十一条规定了个人信息处理者(企业)的义务,对企业的合规义务提出了新要求,企业应当按照如下规定处理员工个人信息:
(1)制定内部管理制度和操作规程;
(2)对个人信息实行分类管理;
(3)采取相应加密、去标识化等安全技术措施;
(4)合理确定处理个人信息的操作权限,定期对代表公司处理个人信息的员工进行安全教育和培训;
(5)制定并组织实施个人信息安全事件紧急预案;
(6)法律、行政法规规定的其他措施等。
二、以案说法:企业劳动用工
合规管理中的个人信息保护风险
※典型案例
2017年10月16日,谢某在与甲公司的《劳动合同》履行期间,因病休假,期间谢某向甲公司提交了医院的诊断证明书。甲公司向谢某发送律师函,内容为:谢某提交的病假文件存在缺少部分病历、心理治疗凭证、心理治疗单据、医药费凭据、心理治疗材料、精神分析治疗材料,要求谢某收函后向甲公司出具完整的请病假资料,如无法提供,公司将考虑不得不视谢某的行为为旷工,并依法进行后续处理。
甲公司向谢某发送律师函,内容为:谢某的配偶使用谢某的工作邮箱向甲公司及律师发送邮件,谢某将邮箱密码透露给第三方,将工作邮箱交由第三方使用;谢某未对欠缺的病假证明予以补充提交,视为旷工,谢某严重违纪,故解除与谢某的劳动关系。
※裁审结果
仲裁:驳回违法解除劳动关系赔偿金的请求
一审:甲公司给付谢某违法解除劳动关系赔偿金630542元
二审:驳回上诉,维持原判
※法院说理
对谢某来说,无论是生理疾病或心理疾病,患病的细节应属个人隐私范围,甲公司要求提供的病历、心理证明材料、费用凭据等应以必要为限,能够反映谢某患病就诊事实即可,但不应过分求全,以免侵犯个人隐私,侵害患者权益。
※案件评析
根据《个保法》第六条“明确、合理、必要性原则”之规定,个人信息处理者在处理个人信息时应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
用人单位作为个人信息收集活动的主体,同时在与员工的关系中处于支配地位,容易利用其地位过度收集个人信息,而不考虑到目的正当、手段合理的原则。对于过度采集的定义,目前没有法律法规的相关性规定,一般可按照收集目的进行价值判断,此外,敏感个人信息也应当属于过度采集的范围。
比如在本案中,甲公司在员工的病假管理中,要求员工提供病例、挂号单和病假单尚处于合理范围,提供精神分析治疗记录的要求,则属于过度采集个人信息,违反了“最小化”原则,以此解除劳动合同应属违法解除。
用人单位在收集和处理员工个人信息时,应当注意类似生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等敏感信息,应获得劳动者的单独同意。对一般的个人信息要采取谨慎处理的态度,不可随意要求员工上报。对获得的个人信息也要采取相应的安全保护措施,严防泄露。
三、未履行员工个人信息保护规则
的法律后果
(一)行政责任
(2)依照有关法律、行政法规的规定记入信用档案,并予以公示;
(3)严重时会被处以数百万甚至千万元罚款、停业整顿,吊销营业执照。
此外,监管部门也可以向自然人追责,情节严重的可对主管和其他直接责任人员处以十万元以上一百万元以下罚款,并可限制该类人员担任高管等职务。
(二)民事责任
(2)检察院和消费者组织、网信部门确定的组织可以提起公益诉讼。
(3)企业承担证明无过错的举证责任:个人信息侵权行为适用过错推定原则,即个人信息主体无需证明单位的过错。结合《民法典》第一千一百六十五条,举证责任倒置,个人信息处理者需证明自己无过错才能得以免责。举证责任上体现为,企业需证明已经按照法律规定履行个人信息相关义务,例如已建立完善的内部管理制度和操作规程、已对相关人员进行了培训、建立了个人信息影响评估制度。
(三)刑事责任
(2)构成犯罪的,依法追究刑事责任。
四、企业员工个人信息保护合规路径
2021年我国迈入数据保护元年,个人信息保护也进入了强监管时代,个人信息不受保护、无序收集和处理的现象必然得到转变,企业作为市场经济中的重要主体,员工个人信息合规必将成为维护产业平稳健康发展,保障企业商业利益和正常运营的重要基石。企业在员工招聘、在职、离职的整个用工流程中,面临着收集、处理、使用员工个人信息等各种信息处理活动,需要在满足自身用工需求的同时做到个人信息保护合规,是信息时代对各个企业提出的新要求。企业应按照用工的生命周期对各个环节进行个人信息保护的合规安排:
(一)入职阶段的合规建议
1. 对候选人简历的收集及使用
在招聘阶段,企业一般会采取两种方式收集简历,一是企业自行收集,通过人力资源招聘邮箱收集或招聘现场纸质版;二是第三方平台收集,通过第三方服务机构合作查看获取求职信息/简历(如BOSS直聘、58同城、猎头等平台)提供。
(1)企业收取简历的合规建议
企业在应聘者参加面试、应聘前,应当在招聘公告中设置明确的条款,向候选人公示对其个人信息收集、使用、处理的目的、方式、范围等规则,征求其书面授权同意。
(2)第三方服务机构提供简历的合规建议
①选取资信强的第三方机构,评估第三方机构资质;
②确认第三方机构的隐私保护设置和隐私声明政策;
③建议在与第三方平台签订的协议中,明确第三方平台收集个人信息的合法性义务、以及上传、提供个人信息已经征得个人信息提供者同意等条款,明确第三方平台获得应聘者个人信息收集的同意与传输的同意;
④要求求职者另行单独向用人单位提供纸质简历。
2. 对未成功入职的候选人简历的使用及销毁
①对于已收集未成功入职候选人个人信息,在面试接受后,收集个人信息目的已经达成,处理权限已成就,企业不得再对该类候选人的个人信息进行处理,包括存储、共享、转让及公开披露等(取得书面同意的除外)。
②对未入职个人信息及时进行删除或进行匿名化处理。
③对未入职个人信息确有需要存储的,应明确告知应聘者会继续存储应聘者的个人信息,并征得应聘者书面同意。
企业内部共享或建立人才库需要继续使用应聘者信息的,需遵循以下要点:
①确保企业存储候选人的简历是有必要的,比如确实存在招聘需求;
②明确告知候选人并取得同意;
③要妥善保管和建立相应的保护措施。
3. 调查背景时应注意的隐私保护问题
企业在确定意向招聘人选后,一般会对候选人的学历背景、工作经历进行背景调查,一般采取企业自行调查和委托第三方机构调查的方式。
企业自行调查注意要点:
①在进行背景调查前,需提前明确告知候选人将对其启动背景调查,征得候选人同意后方可进行;
②对于在调查过程中严格遵守“必要性原则”,仅对涉及用工相关的信息进行调查,遇到可能涉个人敏感信息的内容,需谨慎收集(如劳动者宗教信仰、子女信息、性取向等);
③对调查信息妥善保管、严格保密。
委托第三方机构调查注意要点:
①确认已取得对候选人进行背景调查的同意许可;
②事先评估第三方机构的能力和资质;
③在与第三方签订的服务协议中,明确约定免责条款。同时,在权利义务条款中,明确要求第三方在进行背景调查时应当采取合法途径,任何违法行为或者侵犯他人合法权益造成的损害赔偿均由服务方自行承担。
(二)在职阶段的合规建议
在职阶段企业可能侵害员工个人信息权益的情形主要体现在:
情形一:企业能否在办公区域安装摄像头?
①提前告知:企业应在员工入职时应当对公司会在办公区域设置监控的情形告知劳动者;
②区分类别:企业需区分非敏感个人信息和敏感个人信息获得员工明确清晰的“同意收集”的授权,其中收集敏感个人信息的内容应逐项列出;
③设置权限:企业应对负责监控的人员权限进行限制,限定知情人员的范围和知情的内容;
④严禁披露:企业对监控所取得的信息严禁进行传播或者披露。
情形二:企业能否对员工的办公设备的流量使用情况进行监控?
根据《个保法》第 13 条规定,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,可以不需要经过员工的同意。故如果是以保护公司的商业秘密及敏感数据为目的,企业可通过多种监控手段对员工的办公设备的流量使用情况进行监控。
但需要注意的是,企业需要制定相关的规章制度并告知员工,而且在监控过程中不能对员工逛网站、浏览的内容、文件访问记录、员工行踪轨迹等信息进行公布,否则涉嫌侵犯员工的个人隐私权。
情形三:引入基于指纹、声纹、面部数据等生物识别信息或地理位置、行踪轨迹等信息的考勤打卡系统需要注意什么?
人脸、指纹等个人信息属于敏感个人信息,用人单位收集时应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的单独同意。
劳动者拒绝提供上述个人信息的情况下,用人单位应提供其他可替代的考勤方式或说明这一识别方式的不可替代性。
(三)离职阶段的合规建议
(1)《个人信息保护法》第十九条:“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间”。《信息安全技术个人信息安全规范》(GB/T 35273—2020)第3条进一步明确,“超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。”
(2)《劳动合同法》第50条:“用人单位对已经解除或者终止的劳动合同的文本,至少保存两年备查。”
(3)《个人信息保护法》第四十七条:“处理目的已实现、无法实现或者为实现处理目的不再必要,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。”
企业在与员工终止劳动关系后,因保存和处理员工个人信息的必要基础已丧失,除法律法规等另有规定(如保存员工个人档案、工资信息)外,企业应当主动删除该员工个人信息。
小 结
参考文献及法条