《个人信息保护法》背景下,企业应如何处理员工个人信息?(上)
//
2021年8月20日《个人信息保护法》(下称“《个保法》”)正式通过,并将于2021年11日1日正式生效。《个保法》生效后,对于我国个人信息保护具有划时代的意义。企业作为个人信息处理者之一,在人力资源管理工作的过程中会大量接触和掌握员工的个人信息。因此,在《个保法》背景下,笔者就企业在人力资源管理工作中的不同场景的合规风险分别进行探讨,以期帮助企业能够更加合法合规地收集和处理员工的个人信息。
一
如何识别和处理员工个人信息以及敏感
个人信息
1、为何需要准确识别?
笔者认为,这不仅是因为《个保法》第四条及第二十八条对个人信息和敏感个人信息作出了定义,更是因为《个保法》对于个人信息处理者处理敏感个人信息时有更严格的规定,要求在处理这部分信息时应当履行充分的告知义务、采取更有效的技术或其他措施以保护个人信息的安全。
所以企业在制定及执行合规措施前,首先应审查企业在不同场景下处理的员工个人信息,准确定位在不同场景下,可能会处理的员工个人信息及员工敏感个人信息。
2、如何识别员工敏感个人信息?
企业可参考国家市场监督管理总局及国家标准化管理委员会发布的《信息技术安全 个人信息安全规范》(GB/T 35273-2020)对上述场景处理的员工个人信息进行识别,如下图:
目前律师及法务需要结合个人信息的信息主体、信息处理者、信息性质、使用目的、危害后果等维度,以及需要对个案或个别企业的情况及场景进行综合考虑来判断相关信息是否应属于敏感个人信息,可以从以下五个方面进行考虑:
信息主体 | 数据主体的年龄、身份、性别、未成年人犯罪记录、性别、个人种族、政治观点、性取向、病历、个人病历等敏感个人信息。 其中,未成年人个人信息以及特定身份信息已经为《个人信息保护法》第28条第1款所列举。上述信息一旦泄露或者非法使用,会使个人遭受歧视或受到不公正的对待,社会评价降低,侵害人格尊严。 |
信息处理者 | 首先,信息处理者的规模影响信息敏感性,规模越大月可能将信息从不敏感变为敏感;其次是信息处理者的技术影响信息敏感性,信息处理者的掌握的技术可以将信息从非敏感转变为敏感。 最后,第三方经常会收到敏感的个人信息,与信息处理者或信息主体的关系可能会影响信息的敏感性。但是,在某些情况下,例如收集信息,不存在第三方。 |
信息性质 | 虽然必须认识到信息共享可能与数据主体的个人尊严以及人身和财产安全更密切相关,但应尽可能限制需要特别注意的信息类型和信息的性质。 |
使用目的 | 对于具体的个人信息,还应当依据使用场景的不同,使用目的的不同,来对其是否属于敏感个人信息进行判断。例如,在金融机构办理相关业务时,提供个人的身份信息、金融账户信息,由于这些信息与个人的财产安全紧密相关,基于处理目的的敏感性,上述信息属于敏感个人信息。使用打车软件时,所提供的个人位置信息、个人电话号码,上述信息与个人的人身自由与安全密切相关,同样属于敏感个人信息。 |
危害后果 | 与人格尊严、人身财产权益相关的个人信息一旦被信息处理者利用来谋取利益,那对个人可能会造成危险将难以预测和控制。例如掌握自然人的基因、指纹、声纹、掌纹、脸部特征等生物识别信息,就可以永久识别特定自然人。若个人的上述身份识别信息被他人窃取并滥用,则极容易导致个人金融账户被远程盗取、个人的行踪信息被定位追踪、个人的肖像被替换滥用,对个人的人身、财产、人格尊严造成巨大的危害。 |
3、企业应如何处理员工个人敏感信息?
(1)严格限制处理敏感信息的范围和处理方式
根据《个保法》第二十八条第二款:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”企业在处理员工敏感个人信息前,需要注意两个基本原则:
a.目的是否特定?
个人信息处理者在处理敏感个人信息时的目的应当具有特定的指向性。如企业基于与员工缔结劳动合同的目的而需收集员工的身份证等敏感个人信息,则该等信息仅能用于缔结劳动合同。企业不得将此等敏感个人信息用于其他目的。
b.是否必要?
所谓必要,是指处理敏感个人信息应当符合必要性原则的要求,在有可替代性方案的情况下,应当避免收集和处理敏感个人信息。例如,用人单位要求员工提供银行卡账号用以发放工资可认定为具有充分必要性,而用人单位采集员工人脸信息用于考勤打卡是否具有必要性则有待进一步商榷。
(2)充分履行告知义务
依据《个保法》第十七条的规定,企业在处理员工个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序。
而企业如果需要处理员工敏感个人信息的,除了上述事项外,企业还应向员工明确、充分告知处理敏感个人信息的必要性以及对个人权益的影响。
(3)取得员工的单独同意
《个保法》第二十九条规定:“处理敏感个人信息应当取得个人的单独同意”。现行法律及相关规定并未就员工的单独同意如何落实进行规定或给出明确的指引。
那企业是否可以《个保法》第十三条第二项的规定,即“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为由豁免取得员工单独同意?
笔者认为,在现阶段法律规定尚不明确的情况下,企业在判断哪些属于“订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”?首先,企业可参考《中华人民共和国劳动合同法》第八条及第十七条规定的,用人单位有权了解劳动者与劳动合同直接相关的基本情况;而在劳动合同的必备条款中,劳动者姓名、住址和居民身份证或者有效身份证证件号码,劳动者是需要主动提供给用人单位的;第二,如果企业想通过规章制度和集体合同的方式处理员工敏感个人信息的,需要注意《个保法》第十三条第二项规定重点是在于“是否为实施人力资源管理所必需”,而非依法制定的劳动规章制度及集体合同,即使规章制度和集体合同均已经合法程序制定或签订,但是企业仍需从必要性角度出发,结合处理的场景、目的、方式和范围,来综合判定某一信息处理行为是否具有必要性,以及是否满足最小范围原则。
因此,在目前缺乏相关指引的情况下,笔者建议企业在人力资源管理中,如需处理员工敏感个人信息的,可让员工签订“同意书”的方式来取得员工的单独同意,如下图:
4、个人信息保护影响评估
根据《个保法》第五十五条规定可知,企业如需处理敏感个人信息的,应当事前进行个人信息保护影响评估。该项义务属于强制性要求,企业在开展相应活动前应当严格遵守。
根据《信息安全技术 个人信息保护影响评估》(GB/T 39335-2020)3.4条规定,个人信息保护影响评估是针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
而个人信息保护影响评估流程可以分为四个环节进行:数据映射分析、个人权益影响分析、安全保护措施有效性分析、确定风险级别。
(1)数据映射分析
简而言之,企业需要结合在人力资源管理过程处理员工敏感个人信息的具体场景,对个人信息处理的各个环节所涉及的个人信息类型、处理目的、具体实现方式以及是否涉及第三方共享的的情况进行分析。
企业可以参考下表对管理过程中处理的员工敏感个人信息的场景进行梳理。
(2)个人权益影响分析
数据映射分析完成后,企业需根据调研结果进行个人权益影响分析,即分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响,以及可能产生何种影响。具体来讲,企业可从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力” “人身财产受损”等四个维度进行分析,并最终得出严重、高、中、低四个级别。
如处理员工敏感个人信息时,企业并未取得员工的单独同意,亦未提供保障个人信息权益的有效救济路径,则在限制个人自主决定权的维度上,其处理活动将对个人权益有较为“严重”的影响。
(3)安全措施有效性分析
安全措施有效性主要侧重于分析个人信息安全事件发生的可能性,识别可能存在的个人信息安全危险源,并评估现有安全措施是否已足够应对可能产生的安全事件。因此其评估维度主要为网络环境和技术措施、参与人员与第三方、个人信息处理流程、业务特点和规模及安全态势,集中在技术手段、内部职权划分、商业发展等方面。
(4)确定风险级别
结合个人权益影响级别及安全事件的可能性等级,参考如下风险等级判定表,可得出风险等级,完成个人信息保护影响的综合评估。
END
团队介绍/
高云律师团队主要从事企业法律顾问、数据合规管理、合同管理、不良资产、并购重组等业务,先后服务过多个政府部门、金融机构、资产公司、上市公司、集团企业等客户,以反应迅速、专业严谨和思维贴合客户商业需求的特点,受到客户的一致好评。
本团队自2012年开始为众多客户提供数据合规服务,服务内容包括企业数据合规尽调、个人信息和敏感个人信息采集流程指引、App安全合规管理体系建立、数据储存和安全管理办法制定、数据合规培训、数据商业化使用合规审查、数据跨境传输合规审查、数据影响评估等。
↓点击“阅读原文”
马上获取《企业数据合规风险速检清单》