汇业评论 | 员工个人信息合规要点
近年来,笔者在执业中发现,企业针对客户信息以及开展业务中涉及到的个人信息保护问题比较重视,但是对员工信息的合规与保护问题较少关注。基于员工与企业的劳动雇佣关系,在职期间,员工对企业收集、使用其个人信息的行为较少提出异议。但是,倘若员工与企业发生争议或者员工离职之后,对企业使用员工信息的行为持有异议的,则有可能会选择向有关部门举报、投诉等,而且由于任职的原因,举报、投诉的精准性较高,证据也会相对充分。在前述场景之下,企业将会处于不利位置,甚至会遭受行政处罚或者经济损失。因此,企业应当重视对员工信息的合规与保护。汇业李天航律师团队基于开展业务中发现的问题,以员工信息的全生命流程为主线,将相关要点总结如下:
一、 录用前及录用中的员工信息
1. 接收简历
简历属于员工个人信息,通常包括应聘者姓名、性别、年龄、联系方式、教育经历、实习经历以及工作经历,有的还包含身份证号码、照片等,内容较为丰富,并含有敏感信息。企业一般通过以下三种方式获取求职者简历:
(1) 主动从相关网站下载或者网站主动推送简历,如51job等;
(2) 接收猎头公司推送的简历;
(3) 接收求职者主动递送的简历。
前述第一种情况下获取简历的,根据网站的隐私政策以及与求职者的约定或者求职者主动上传简历的行为可以视为获得求职者同意。第二种情况下,应核验猎头公司获取简历的来源,以确保猎头公司有权向企业推送求职者简历。第三种情况下,一般双方并无约定,但是求职者主动递送简历的行为应当视为其同意公司收集该等信息。
对于简历的使用,应当根据下载简历的网站上的隐私政策、网站与求职者的约定、猎头公司与求职者的约定等进行操作。如果约定不明的,除了用于公司的招聘之外不应当用作其他用途。如求职者不能进入后续面试阶段的,应当销毁简历;如需纳入公司人才储备库的,应当征得求职者同意。对于从网站、猎头公司等第三方处获取简历的,建议与其签署相关合同,明确简历来源的合法性以及公司对简历的用途和处理方式等。
2. 面试
在面试阶段,公司通常已经获得求职者简历,如果求职者再次提供简历的,应当比对简历的差异,如果有新增或者变动信息的,应当与求职者核对新增部分。同时,此阶段是与求职者就其简历信息的使用、处理、存储等进行约定的较好时机,如需将其纳入企业人才储备库或者作其他用途的,可以与求职者进行约定,如有可能,由求职者签署书面文件予以确认。
3.办理入职手续
(1) 体检报告
在面试通过后办理入职手续时,公司通常会要求入职者进行体检并提交体检报告。体检报告内容通常含有个人生物信息等敏感信息。敏感信息一旦遭到泄露或者被他人利用,将对个人信息主体造成不良影响。对于体检报告,我们建议:
第一, 建议由员工主动提供相关报告并与其签署书面授权同意,公司尽量不要越过员工直接向第三方获取;
第二, 建议公司对于个人生物识别信息仅收集和使用摘要信息,尽量不收集其原始信息;
第三,做好相关信息的保密措施,包括但不限于技术手段和管理措施。
(2) 录用入职阶段
体检通过后,公司将要求员工填写员工信息登记表等相关表格、签署劳动合同、保密协议等文件,以及办理员工卡、印制名片等。在前述场景下,还存在员工向公司提供第三方个人信息的情况,如紧急联系人信息等。对此,我们建议:
第一, 在劳动合同中对个人信息收集的范围、目的、使用方式等进行明确,或者采用单独签署员工隐私政策等文本的方式,对公司收集员工信息的规则进行明示的告知。
第二, 在收集信息要素时应当符合最小化原则,尽可能不收集与工作内容或者劳动合同不相关的信息。
第三, 对于员工向公司提供的第三方个人信息,应当告知员工须获得其同意,并签署书面告知声明。
二、 工作场景中的个人信息
1. 考勤与门禁
采取指纹、虹膜、面部识别等方式考勤和门禁的公司越来越多,前述个人信息属于敏感信息。对此,我们建议:
第一, 对于此类信息的收集,应当获得员工的明示同意(以书面形式为最佳)。
第二, 对于此类信息应当加强技术保护,对相关数据进行加密存储、分级管理。
第三, 如委托第三方存储、处理的,应当签署合同明确要求对方采取加密存储、分级管理,并对合同执行情况进行审计,委托关系解除后,应当销毁此类信息。
2. 服务外采
公司经营中,通常会向第三方采购服务,如代理预定机票、酒店、火车票,印制名片等。前述服务均需向服务提供方提供员工姓名、身份证号码、联系方式等敏感的个人信息。对前述场景我们建议:
第一, 获得员工的明示同意(如在劳动合同中约定或者签署单独书面同意文件);
第二, 与相关供应商签署的合同中应当对于前述个人信息的使用方式,保密要求等作出约定。尤其是在为员工印制名片时,需要向供应商提供大量员工信息,特别需要与供应商签署的合同文本中作出明确的要求。
3. 内部调查
当员工涉嫌违法违规、违反公司规章制度或者被举报时,公司会对员工进行相关调查,调查中可能会涉及到对员工邮箱、公司配发电脑、手机等物品的检索以及公共资源中相关个人信息的匹配。前述物品和信息中可能会涉及员工个人信息,为了使调查更加合规合法,需要与员工签署相关文件,对前述信息收集、使用予以明确。为此,我们建议:
第一, 与员工签署文件,明确公司有权对前述物品和信息进行检索和收集,员工同意并配合公司调查中对前述信息的收集和检索,且对公司免除法律责任。
第二, 对于聘请外部机构(如律师事务所、会计师事务所或者其他调查机构)协助调查的,应当与外部机构及其参与人员签署保密协议,并要求在结束调查后销毁或者返还收集到的信息,确保信息的安全。
4. 特殊行业或业务中对员工行动轨迹的监控
在一些特殊行业,例如外卖、快递行业,通常会对员工的行动轨迹进行监控,该监控是基于工作方式和内容的需要,具有一定的必要性。对此,我们建议:
第一, 该等信息的收集应当满足最小化、必要性原则,告知并获得员工书面同意。
第二, 该信息的收集应当仅限于工作时间和工作场所。
5. 企业控制权变化
当企业发生分立、合并或者重组等情形时,对员工个人信息的控制主体也会发生相应变化。对于新主体,应当在分立、合并、重组时充分考虑对员工信息的处理,如需改变原有主体与员工约定的,应当重新告知员工,并获得员工同意。
6. 员工形象代言
使用员工肖像等个人信息为企业代言并进行宣传的情况比较常见,例如金融、航空公司等。企业在前述情况下,也应当获得员工的同意,如劳动合同、员工隐私政策中不能够涵盖前述情况的,应当与该员工签署书面授权文件。
7.个人信息出境
当前,绝大多数跨国企业因为网络构架的问题,对于员工信息的存储通常会选择在中国以外的场所,此种情形下构成个人信息出境。虽然员工数据出境与客户数据出境在出境原因、目的和用途等方面存在差异,但也应当遵循个人信息出境的相关规定,告知员工并获得同意,进行安全评估,要求数据存储方采取保障数据安全的措施等。
三、 工作场景之外的员工个人信息
企业对员工个人信息的收集,除了是满足工作的需要之外,可能还会有工作场景之外的信息收集、使用行为。例如,企业组织旅游活动,通常会收集员工信息处理票务、预定酒店或者向旅行社提供信息签署旅游合同、办理签证等等,有时还会涉及到收集员工家属、亲友信息的情况。在此场景之下,建议企业在收集之前向被收集信息的员工发布告知文件,说明收集的内容、范围、用途等,并要求进行书面签署。对于收集的员工家属、亲友信息,也应当获取其明确的授权,如有可能,也应当要求个人信息主体签字确认。
四、 与员工解除劳动关系后的个人信息处理
员工离职之后,建议企业在一段合理时间内继续保留其个人信息,并通过劳动合同、员工隐私政策、规章制度或者与员工签署单独文件予以约定。在实践中,通常会遇到员工离职后,还需要对该员工进行调查,或者为员工继续办理相关手续等情形,此时仍需使用该员工个人信息。
本文要点系本团队根据业务实践经验总结,疏漏之处再说难免,请各位读者批评指正。