一、《个保法》下企业收集、处理个人信息时需履行的告知义务(一)企业的告知事项(二)企业履行告知义务的时间(三)企业告知义务的要求(四)告知个人信息保存期限:最短时间(五)告知行使权利的方式二、企业收集、处理员工个人信息需取得个人同意义务(一)企业可收集、处理员工个人信息的法定许可情形(二)企业收集、处理法定许可以外的其他非必要个人信息需履行取得员工同意的义务(三)收集、处理个人信息相关情形发生变更的,应当重新取得员工同意的义务三、企业收集、处理个人信息需单独取得员工同意义务的其他情形(一)企业收集、处理敏感个人信息时需“告知并取得个人单独同意”(二)企业向境外提供收集、处理的个人信息需“告知并取得个人单独同意”(三)向第三方提供或共享个人信息时需“告知并取得个人单独同意”(四)企业公开员工个人信息时需“告知并取得个人单独同意”(五)企业使用员工个人图像采集及身份识别信息作公共安全之外的用途时需“告知并取得个人单独同意”四、企业收集、处理员工个人信息前执行“告知-同意”规则的合规建议(一)最小化程度收集员工个人信息并告知员工信息处理的明确、具体、合理目的(二)通过制定个人信息处理规则、劳动规章制度或者依法签订集体合同等多种方式向员工履行告知义务(三)企业向员工告知个人信息处理规则的规章制度、知情同意书应具体、详尽且包含所有应告知内容(四)“个人单独同意”的告知方式· 结语
随着大数据及信息时代到来,个人信息保护逐渐上升为个人和企业关切的重要法律问题之一。
2021年1月1日实施的《民法典》对个人信息处理和保护做出了概括规定。2021年11月1日施行的《个人信息保护法》(以下简称“个保法”)则以立法的形式大幅提升了与个人信息保护相关法律规范的系统性与可操作性,在整个社会唤醒了个人信息权利意识。
伴随着《数据安全法》和《个人信息保护法》的实施,企业因个人信息的收集、使用、处理等需要面临更严格的合规任务,因而对于员工个人信息的收集、使用及处理问题也逐渐被大家所关注。各行各业的公司均意识到即使不以提供互联网商业服务为主营业务,无收集用户个人信息数据等情况,企业依然无可避免地涉及到员工个人信息的收集、使用、处理等。《个人信息保护法》在各个企业这些领域中依然发挥重要规范作用。
当前针对员工个人信息规范问题,我国已经形成以《民法典》《劳动合同法》《个人信息保护法》《网络安全法》《数据安全法》为系统的个人信息保护体系,其中《民法典》通过个人隐私权保护个人信息等权利,《个人信息保护法》作为这一体系的核心和最重要的法律,为个人信息提供具体的保护措施;在员工个人信息出境保护方面,则由《网络安全法》《数据安全法》以及《个人信息保护法》相互配合进行规范。
这些法律规范对企业个人信息数据管理提出了具体而严格的要求。员工的个人信息不当处理可能为企业带来信息和数据合规风险,因而也成为企业合规的重要内容之一。
企业实施员工招聘、考勤管理、绩效考核、薪酬支付、办理社保、关联企业间员工流动、合同管理等必需的人力资源管理时,不可避免地会针对员工个人信息进行收集、存储、使用、共享与提供等数据处理活动。这些活动中企业如何以合法合规为前提满足自身管理需求,履行《个保法》规定的个人信息保护的各项义务,构建适合企业自身情况的个人信息保护制度与合规体系,寻求信息使用与保护之间的平衡,是企业迫切面对的现实问题。
分析《个人信息保护法》八章七十四项条款,该法规覆盖个人信息从产生到删除一个完整生命周期内可能涉及到的所有重要法律问题,包括定义与适用范围、个人信息处理原则与规则、个人信息跨境规则、个人信息处理活动中个人的权利与信息处理者义务、履行个人信息保护职责的部门以及违法行为的法律责任等。其中所有信息收集、处理活动的基础与起点均涉及到信息处理者与个人之间的告知与同意规则,即企业向个人公开、明示的告知义务与个人同意的权利。
“告知-同意”规则既是《个保法》个人信息处理公开透明原则的具体落实与体现,也是企业需实际履行的一项重要义务,更是依据《个保法》处理个人信息活动的核心。由于企业在收集、处理员工个人信息前需履行告知员工并获得员工同意的义务,本文将通过梳理《个保法》下“告知-同意”规则来给予企业在制定内部制度和文件向员工告知个人信息收集与处理具体内容并取得员工同意等问题上的建议。
一、《个保法》下企业收集、处理个人信息时需履行的告知义务
根据《个保法》第七条、第十三条和第十四条的规定,无论基于法律许可还是个人同意的情形,企业都应当遵循公开透明原则,向员工告知企业收集、处理个人信息的目的、方式、范围等内容。《个保法》第十七条更具体地规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:- 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
根据上述条文我们可以概括得知,当企业通过内部文件或协议向员工告知基于履行企业人力资源管理所必须进行的个人信息收集、处理活动时,应当向员工告知的内容通常包括:企业收集、处理个人信息的目的及适用性范围,企业基本信息(名称、地址、联系方式),信息收集范围(信息类型、来源、采集方式、采集时间和地点等),信息使用和处理方式包括信息处理方式及流程、使用目的、方式和范围诸如劳动合同履行、薪酬福利管理、保险福利管理、人员调配及安全措施等,向第三方机构或个人提供或共享员工个人信息等情况,企业信息保护措施包括信息存储、传输、处理、备份、删除与销毁及安全措施等,员工行使个人权利的方式,有效期限及信息保存期限,以及员工同意确认方式等。若企业涉及收集、处理敏感个人信息,还需依据该法第三十条告知员工处理敏感个人信息的必要以及对个人权利的影响。若企业涉及向其他个人信息处理者或者向境外提供员工个人信息,依据该法第二十三条、第三十九条规定需向员工告知接收方名称、联系方式、处理目的、处理方式和个人信息种类以及个人向境外接收方行使权利方式和程序等事项。企业作为用人单位需在员工提供个人信息前向员工履行相应的告知义务。上述条文要求企业以“显著方式、清晰、易懂的语言真实、准确、完整地向个人告知”。《个保法》这项规定与欧盟GDPR 第十二条规定类似,即“控制者应采取适当措施,以简洁、透明、易于理解和容易获得的形式,向数据主体提供第十三条和第十四条中提到的任何与处理相关的信息,以及进行第十五至第二十二条,和第三十四条规定的各项沟通,特别是专门针对儿童的任何信息”。此外企业对个人信息收集、处理承担完整性与准确性要求,告知信息也应保证真实、准确与完整,向员工告知的信息须与实际处理情况一致,一旦内容发生变更时,应及时告知变更并重新获取同意。《个保法》最小程度原则(第六条)从两个方面对企业收集、处理个人信息的程度进行了限制,要求个人信息处理对个人权益影响最小,并且要求企业不得过度收集个人信息,应限于满足处理目的的最小范围,在此严格限定的范围内进行收集与处理。基于该原则延伸,企业存储、使用个人信息的期限也应该限于最小范围。对于绝大多数非互联网及非从事数据处理业务的企业,一旦员工解除或终止劳动合同,企业存储和处理个人信息的目的便逐渐丧失,信息存储与处理的必要性也随之降低,因而企业对于个人信息存储与使用的时间应是有限的,一旦目的达成、期限终止,这些数据也必然涉及到删除与销毁的问题。为保护个人信息与防止数据泄露,企业需要明确个人信息存储时间应为实现信息收集、处理目的的最短时间,并将该期限尽可能明确地告知员工。企业作为用工单位处理员工信息,法律对期限已有相关规定,首先,《劳动合同法》第五十条规定,用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查,《工资支付暂行规定》第六条亦载明,用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查;其次,在没有相关法律规定时,个人信息保存期限越长,越容易出现泄露、遗失的可能,我们也建议企业作为用人单位依照《个保法》第十九条规定,将个人信息保存期限限定为实现目的所必要的“最短时间”,考量企业实际情况明确个人信息保存期限并向员工告知。企业收集、处理员工个人信息前也应告知员工依据《个保法》第四章所享有的“个人在个人信息处理活动中的权利”以及行使权利的有效方式,例如员工如何请求更正、补充个人信息,要求信息删除,撤回同意等。《个保法》下个人信息处理规则的核心是“告知-同意”规则。然而现实中企业掌握、处理员工个人信息常为其实施日常经营及人力资源管理所必须。因而法律在企业获取员工个人信息与企业基于商业业务获取用户个人信息赋予了不尽相同的基础,后者的“同意”规则更为严格,必须出于用户明确、单独同意才能取得。而针对前者,《个保法》新增第十三条第一款第二项,直接赋予用人单位基于人力资源管理所必需处理员工个人信息的权利,即:“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。此外,该条款还规定了无需取得个人同意企业即可处理员工个人信息的另外四种情形:1. 为履行法定职责或者法定义务所必需,如应人民法院、人民检察院、公安机关的要求提供,又如为提起劳动仲裁、诉讼或应诉,向劳动人事争议仲裁委员会、人民法院提供信息等;2. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,如为了防控新冠疫情,向疫情防控指挥办公室等政府部门提供员工信息等;3. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理员工个人信息;4. 依照《个人信息保护法》规定在合理范围内处理个人自行公开或者其他已经合法公开的个人信息。结合上述《个保法》第十三条分析,企业收集、处理员工在应聘、入职及履行劳动合同期间涉及到的具有可识别性的个人基本信息包括但不限于员工姓名、出生日期、电话号码、地址、薪酬、教育背景、工作经验等人力资源管理中通常收集的信息,无需取得员工同意。然而《个保法》为避免用人单位滥用这一规定,任意扩大企业对员工个人信息收集、处理的范围,对实施人力资源管理做出了合理限定,规定用人单位应当通过“制定劳动规章制度或签订集体合同的方式”,确定并告知实施人力资源管理所必需的员工个人信息的范围。(二)企业收集、处理法定许可以外的其他非必要个人信息需履行取得员工同意的义务
其他超出法律许可范围的情形,如收集、处理非实施人力资源管理所必需之个人信息,公司仍需获得员工签署的同意书,并保障员工在明确知晓后果的前提下拥有拒绝提供信息的权利,如婚育状况、宗教信仰、非基础健康信息(如传染性疾病、病史)、家庭情况等,一般不会认定为与劳动合同直接相关或必需的信息,该等信息若须收集,则应当取得应聘者或者员工个人同意,且不得因为对方不同意而拒绝录用或解除劳动合同。此外,公司为员工提供个性化福利,如为员工及家人购买额外商业保险、旅游服务、体检服务或提供住房、用车补贴等需要收集、使用个人及家属身份、健康等信息,或企业计划采用人脸识别的方式进行考勤管理及使用员工肖像照做企业宣传,均由于此种信息非为实施人力资源管理所必需,欠缺足够必要性,仍然需要取得员工同意后方可收集、处理,不得强制要求员工提供。(三)收集、处理个人信息相关情形发生变更的,应当重新取得员工同意的义务
凡出现个人信息处理目的、处理方式和处理个人信息种类发生变更的,依据《个保法》第十四条规定,均需要及时告知员工并重新取得员工同意。企业取得员工同意应遵循员工自由意愿,已取得同意的,根据《个保法》第十五条,也应允许员工享有撤回同意的权利,并提供便捷的撤回方式。三、企业收集、处理个人信息需单独取得员工同意义务的其他情形
虽然《个保法》第十三条通过列举的方式赋予了企业处理个人信息无需取得个人同意的几种情形,但是依据该法第七条、第十三条第一款第一项及第十四条可知,多数情况企业处理个人信息仍以向员工告知并取得员工明确同意为原则和义务。并且个人信息的公开方式,根据该法第十七条第二款,还“应当公开并且便于查阅”。可见对于企业收集、处理个人信息无论出于何种情形,是否必须取得同意,均应以公开告知方式便于员工知情为原则。根据该法其他具体条款,企业若基于以下情形收集、处理员工个人信息,应取得员工单独同意。(一)企业收集、处理敏感个人信息时需“告知并取得个人单独同意”
《个保法》在法律层面对敏感个人信息做出定义并针对个人敏感信息提供具体处理规则,涉及敏感个人信息的处理是个人信息保护相关问题中不可忽视的重点。《个保法》第二十九条规定,“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”;该法第三十条规定,“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,依照本法规定可以不向个人告知的除外”。《个保法》第二十八条定义敏感个人信息为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。实践中,对于无法确定收集到的信息是否应被归类为“敏感个人信息”类别,还可参考GB/T 35273—2020《信息安全技术 个人信息安全规范》(以下简称“《国标GB/T 35273》”)第3.2条及其附录B进行判断。由于敏感个人信息的特殊性,企业在收集、处理此类信息时应保持更高谨慎态度,把充分合理性、必要性作为收集、处理此类信息的首要考量因素,并严格履行事前告知义务,取得员工单独同意后再行收集和处理。(二)企业向境外提供收集、处理的个人信息需“告知并取得个人单独同意”
企业向境外提供个人信息必须经过个人单独同意。《个保法》第三十九条规定,“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意”。当企业数据处理场景涉及跨境传输时,应就该场景涉及信息内容单独告知相关个人并获得明确同意,如果跨境提供的信息包括敏感个人信息,则告知内容还应包括前一部分对敏感个人信息应告知的内容,如处理敏感个人信息的必要性及对个人权益的影响等。对于跨国企业,员工人力资源管理及员工流动常伴随个人信息的跨境传输,如将员工个人信息共享给海外总部(传输、访问)或者海外其他合作伙伴、投资人、第三方、服务提供商、监管机构等,企业需在事前告知员工并取得同意。告知内容不仅包括出境个人信息的范围和境外接收方信息等,还应包含信息处理的方式及保护措施等多方面内容,如信息出境可能为个人信息权益带来的风险,境外接收方能否采取具体措施保障出境个人信息的安全,出境个人信息遭到篡改、破坏、泄露、丢失后个人信息权益的维护通道等。通常向境外传输个人信息,无论我国《个保法》还是欧盟GDPR均要求个人信息处理者需向用户或员工保证为个人信息与数据在境外提供与境内存储、使用、传输等至少同等程度的保护。(三)向第三方提供或共享个人信息时需“告知并取得个人单独同意”
《个保法》第二十三条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意”。针对此情形,《国标GB/T 35273》9.2条也有类似规定:“b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;c)共享、转让个人敏感信息前,除b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;”由上述规定可知,当企业涉及向第三方提供员工个人信息的情况,应就前述告知内容单独告知并获取个人同意,如果以共享的方式向第三方提供信息且内容包含敏感个人信息,则告知内容还应符合敏感个人信息告知内容的要求。实践中存在一种情况,当企业需对求职者开展背景调查,我们建议企业应事先以书面形式明确告知求职者其个人信息将可能提供给企业或第三方背景调查服务方用于入职背景调查,并仅在此项活动中使用,取得对方同意;若未及时取得的,在背调结束后企业也应取得求职者的追认。在音科(深圳)技术有限公司、陈嘉玲劳动合同纠纷一案(案号:【2022】粤0391民初1973号)中,由于原告未经被告同意及授权,即向深圳市较真技术有限公司提供背调材料,其中涉及大量被告个人信息,涉嫌侵权,且该材料的真实性、合理性也因此未获得法院采信。(四)企业公开员工个人信息时需“告知并取得个人单独同意”
《个保法》对公开处理个人信息进行了严格的规定。依据该法第二十五条规定,用人单位公开员工个人信息也需取得员工单独同意,同时根据第二十七条,即便是已经公开的个人信息,员工也可以明确拒绝企业公开,对个人权益有重大影响的,应当取得个人同意。现实中,用人单位因业务开展需要公开员工的职务、履历、照片与视频资料,甚至对员工违纪行为进行公开通报或者在第三方背景调查时公开,则应当充分重视其法律风险,取得员工单独同意。(五)企业使用员工个人图像采集及身份识别信息作公共安全之外的用途时需“告知并取得个人单独同意”
公共场所采集到的个人图像及身份识别信息被《个保法》限制使用于“维护公共安全”的目的内,若企业将此类信息用作其他目的,则需取得员工个人单独同意。四、企业收集、处理员工个人信息前执行“告知-同意”规则的合规建议
(一)最小化程度收集员工个人信息并告知员工信息处理的明确、具体、合理目的
《个保法》第五条确定了该法首要原则即合法、正当、必要和诚信原则,必要才收集构成了个人信息处理者收集、处理信息的前提,同时第六条明确性和相关性原则延伸了第五条所规定原则,要求个人信息处理应有明确、合理的目的,信息处理中如收集范围、处理方式等要素均严格围绕该目的展开,并依据第七条将该目的与处理方式、范围明示给员工。(二)通过制定个人信息处理规则、劳动规章制度或者依法签订集体合同等多种方式向员工履行告知义务
根据《个保法》针对“告知”方式显著且清晰易懂的要求,将企业收集的员工个人信息纳入企业劳动规章制度或集体合同中,是便于向员工集体告知同时又高效实施企业人力资源管理的一种方式。实践中企业若通过工作设备收集个人信息,可以在规章制度中明确告知员工使用的邮箱、电脑、手机等工作相关的电子设备、电子账号为“工作设备”,仅供工作使用,企业出于管理需要可能对此类设备和账户实施统一监控和审查,并同时告知员工收集目的和处理方式等内容。企业劳动规章制度或合同应注意不得与《个保法》及其他相关法律相抵触。同时,通过制定个人信息处理规则或员工知情同意书的方式向员工履行告知义务也是《个保法》建议的一种方式,既方便企业将处理规则公开,又便于查阅和保存,处理规则和同意书一般涵盖用工过程中可能涉及的用人单位对员工个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。此外,多数员工对于个人信息、敏感个人信息、个人隐私保护等问题缺乏完整、准确的了解,企业还可以通过培训、讲座等活动使员工知晓、理解其合理范围和内容,也可以作为一种辅助性告知方式。(三)企业向员工告知个人信息处理规则的规章制度、知情同意书应具体、详尽且包含所有应告知内容
企业通过制定规章制度、知情同意书等方式向员工告知企业收集、处理员工个人信息的,应完整涵盖《个保法》规定的所有应当告知的内容并详细而具体地向员工阐释与罗列各项基本内容,不得一揽子概括告知或遗漏信息及语焉不详。《个保法》实施后,诸多企业制定了“员工个人信息收集处理同意书”等文件,以满足合规要求。但此类同意书多呈现为一段甚至一句话的形式概括陈述企业收集、员工个人信息情况,而无具体内容的告知,含糊其辞并取得员工一揽子同意。这种情况违反了《个保法》第七条所规定的公开透明原则,没有逐一告知员工信息处理目的、方式与范围,员工行使其个人信息权利的方式和程序,用人单位处理员工信息的规则等内容,因未保证员工充分知情,员工签署的“同意”也存在无效的风险;此外,依据最小程度原则,企业仅有权收集、处理满足处理目的的最小范围内的个人信息,概括式告知可能导致企业超越最小范围收集、处理员工个人信息,也可能构成违反《个保法》的情况。《个保法》并未统一规定取得个人单独同意的具体形式。但是通常个人“单独同意”需要保证个人充分而全面“知情”并且自愿、明确表示其“同意”,相比一般意义上的“同意”,“个人单独同意”保证个人具有充分自由地表达其同意或者拒绝的态度。因此,“单独同意”要求更严格,常常需要由个人信息处理者另行、单独向员工告知并取得员工书面同意为宜。《个保法》施行后,部分规定如何落实还有待在实践中探索和通过后续相关实施细则来进一步明确,但是针对《个保法》中已经明确的法律义务,企业应当加以关注并通过内部规章制度及执行来落实。尤其关于企业收集、处理员工个人信息所需承担的告知以及获取同意的义务,关系到企业人力资源管理过程中或基本或纷繁复杂的信息处理场景,我们建议企业及时开展个人信息处理场景梳理并根据实际情况拟定相关文件向员工告知并获得同意,以应对《个保法》的此项合规要求。
作者简介
冯超,资深知识产权律师,泰和泰(北京)律师事务所高级合伙人。
二十年来,冯超律师在知识产权相关的争议性和非争议性案件、与知识产权有关的反垄断案件以及网络安全和个人信息保护方面具有丰富经验。冯律师同时精通英文和日文,曾被权威国际媒体汤森路透旗下《亚洲法律事务》(ALB)杂志评选为中国15佳知识产权律师之一(2015年)。
联系方式:
+86-13910336970
Charlesfeng@tahota.com
Fchao7847@hotmail.com
新媒体合作请联系Sharon内容推广、转载授权、原创投稿、发布招聘...
作者:冯超 陆益凡 薛莲
编辑:Sharon
点击图片查看文章
(www.entertainmentip.cn)
(www.pharmaip.cn)