汇业评论 | 企业招录及员工个人信息保护合规要点
个人信息保护历来是“3·15”晚会关注的重点。在今年的“3·15”晚会上更是爆出了平台大量简历流向黑市,求职人员简历被低价成批售卖的事件。
近年来,笔者在执业中发现,企业针对客户信息以及开展业务中涉及到的个人信息保护问题较为重视,但是对员工信息的合规与保护问题却关注甚少。员工信息保护是一个企业容易忽视的隐秘角落,但是法律对个人信息保护并未区分员工与客户,此前国际上已有企业因对员工个人信息保护不力而被重罚的先例。《个人信息保护法》已经在立法进程推进中,一旦该法正式公布施行,相信对员工个人信息全方位、重点保护一事将从幕后被推向前台。
基于求职者、应聘者的求职意愿,以及员工与企业的劳动雇佣关系,求职时以及在职期间,求职者及员工对企业收集、使用其简历信息、个人信息的行为较少提出异议。但是,一旦发生上述简历信息泄漏事件,企业面临的将是严重的经济和信誉损失、行政处罚甚至是刑事法律责任风险。此外,倘若员工与企业发生争议或者员工离职之后,对企业使用员工信息的行为有异议的,则有可能会选择向有关部门举报、投诉等,且由于工作的原因,举报、投诉的精准性较高,证据也相对充分。在前述场景之下,企业将会处于不利地位,甚至会遭受行政处罚或者经济损失。因此,企业应当重视对求职者信息、员工信息的合规与保护。汇业李天航律师团队基于开展业务中发现的问题,以员工信息的全生命流程为主线,将相关要点总结如下:
一、录用前及录用中的员工信息
1. 接收简历
简历属于员工个人信息,通常包括应聘者姓名、性别、年龄、联系方式、教育经历、实习经历以及工作经历,有的还包含身份证号码、照片等,内容较为丰富,并可能含有个人敏感信息。企业一般通过以下三种方式获取求职者简历:
(1)通过购买相关人力资源服务,主动从相关网络平台下载或者接受、下载网络平台主动推送的简历,如通过51job、猎聘等途径;
(2)接收猎头公司推送的简历;
(3)接收求职者主动递送的简历。
前述第一种情况下获取简历的,一般情况下,根据网络平台的隐私政策以及网络平台与求职者的约定或者求职者主动上传简历的行为可以视为获得求职者同意。第二种情况下,应核验猎头公司获取简历的来源,以确保猎头公司有权向企业推送求职者简历。第三种情况下,一般双方并无约定,但是求职者主动递送简历的行为也可以视为其同意公司收集该等信息。
对于简历的使用,应当根据下载简历的网络平台上的隐私政策、网络平台与求职者的约定、猎头公司与求职者的约定等在授权范围内使用。如果约定不明的,除了用于公司的招聘之外不应当用作其他用途。如求职者不能进入后续面试阶段的,应当销毁简历;如需纳入公司人才储备库的,应当征得求职者同意。对于从网络平台、猎头公司等第三方处获取简历的,建议确认简历来源的合法性,并与其签署相关协议,明确对简历的用途和处理方式、双方在个人信息保护方面的权利义务等。
2. 面试
二、工作场景中的个人信息
1. 考勤与门禁
采取指纹、虹膜、面部识别等方式考勤和门禁的公司越来越多,前述个人信息属于个人敏感信息。对此,我们建议:(1)对于此类信息的收集,应当获得员工的明示同意(以书面形式为最佳)。(2)对于收集的个人生物识别信息原则上不应存储,确需存储的,建议只存储生物摘要信息,在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后及时删除相关信息。(3)对于收集、存储的此类信息应当加强技术保护,对相关数据进行加密存储、分级分类管理。(4)如委托第三方存储、处理的,应当签署合同明确要求对方采取加密存储、分级管理等措施,并对合同执行情况进行审计,委托关系解除后,应当销毁或者按照合同约定返还此类信息。
三、工作场景之外的员工个人信息
四、与员工解除劳动关系后的个人信息处理
员工离职之后,建议企业在一段合理时间内继续保留其个人信息,并通过劳动合同、员工隐私政策、规章制度或者与员工签署单独文件中予以约定。在实践中,通常会遇到员工离职后,还需要对该员工进行反舞弊调查,或者为员工继续办理相关手续等情形,此时仍需使用该员工个人信息。
作者介绍
往期文章推荐: