青岛商务咨询服务公司-
一、问题的提出
在国内外对于个人信息保护的监管日益加强、宣传力度加大以及用户纠纷逐渐增多的整体大环境下,部分企业尤其是互联网企业已经开始重视用户个人信息保护,完善隐私政策和用户数据的管理流程、机制。然而,相较于客户范围内的个人信息保护,企业内部的员工个人信息保护却未给予同等的重视。2020年10月1号,瑞典快销零售业巨头H&M因违规收集员工信息及内部数据泄露事件,被德国汉堡的数据保护机构“数据保护及信息自由委员会”处以3526万欧元,折合约4156万美元的巨额罚款。罚款原因在于该公司严重侵犯了员工个人信息权利,包括对工作人员私人生活的记录、病情诊断情况、家庭情况以及宗教信仰情况。此次H&M事件给予了企业充分警示:员工信息同样存在被泄漏的可能,企业被投诉或举报后同样需要承担相应责任。因此,企业应当如何合法合规处理个人信息,并将其纳入企业网络安全和数据合规体系建设,从而全面规范个人信息的收集、使用和提供等行为,即成为本文需要探讨的话题。
二、个人信息保护的内涵及立法现状
关于“个人信息的保护”,事实上我国当前法律体系中还并制定一部专门的《个人信息保护法》用于个人信息保护的规制。但2021年1月1日生效的《中华人民共和国民法典》首次从法典层面上初步确立了个人信息的保护制度,将其界定为人格权益。
根据《民法典》第1034条第2款的规定,个人信息的内涵包括以下几点:1)承载形式:电子或者其他方式记录的信息;2)识别方式:单独识别或者与其他信息结合进行识别;3)识别结果:特定自然人;从上述个人信息的内涵可知,法律实践中,“可识别性”是个人信息最核心及本质的特征。
在列举情形中,为相响应个人信息保护的实践需求,《民法典》将司法实践过程中热度较高、争议较大的几类信息均纳入了个人信息保护范畴,包括:生物识别信息,实践中如企业要求员工通过人脸识别、指纹等形式进行考勤打卡;行踪信息,如员工出差时的定位、运动轨迹等;健康信息,企业为核实员工病假的真实情况要求提供病假记录等等。
然而,相较于《个人信息保护法》当中对于“一般个人信息”“个人敏感信息”的区分和界定,《民法典》对于个人信息的定义任处于一刀切的概念,也就是说《民法典》事实上并未从个人信息的隐私或保密程度对其进行划分,实践中仍然需要《个人信息保护法》等个人信息具体配套制度的充盈。
三、企业合规体系建设中个人信息保护的风险点
(一)合规风险点识别
企业合规体系建设本质上是一个以数据为中心的收集、存储和成果输出的传输链条,要理解和判断其中的法律风险点,必须理解数据从流入到输出的全部情况,才能精准地予以风险防范和漏洞填补。对应于个人信息保护合规建设,企业应当首先对员工信息在企业流转过程做全面梳理,但值得注意的是,该流转过程不仅仅是于员工人事流转的简单对应。
如果我们对这两大过程的环节做简要描述,则:
员工个人信息流转环节:
员工人事流转环节:
从上述两表中,我们发现,信息的流转不仅仅局限于人事招聘环节,还贯穿了从入职、管理、离职等各个阶段,例如在“在职”管理阶段,企业可能为了管理、监管需要收集员工的其他信息,又如在疫情防护期间,员工的健康状况以及轨迹动态都需要向企业进行登记;离职后的竞业限制阶段,企业需要跟踪员工离职后的就业动态。由此可见,企业对员工个人信息的收集处于不断更新流转的状态,合规风险点体现在企业用工的全部环节中。
(二)合规风险点具体分析
1、招聘入职风险
我国《劳动合同法》第8条明确规定,企业拥有对与劳动合同直接相关的基本情况的知情权。然而,企业知情权与员工个人信息保护在企业日常用工管理实践中的冲突和碰撞不在少数。例如用人单位担心员工存在某些隐藏疾病要求员工入职前提交体检报告,为方便企业用工管理要求员工提供实际住址信息、家庭成员信息,为减少用工成本,询问女职工是否怀孕等等。但事实上,上述信息与劳动者履行劳动合同是否直接相关,无论在立法及理论届都未能有统一定论,一旦“过度”收集。即有侵犯员工个人隐私权、个人信息保护的风险。例如在李某于与中国邮储银行某分行侵权纠纷案中,李某配合邮储某分行完成三次入职体检后,因第一次的统一体检时被检测出“乙肝小三阳”。被取消实习与录用资格。后法院判决该分行违反法律规定,构成用工歧视并要求银行赔礼道歉。该案中企业即存在侵犯员工个人信息的情形。
2、背景调查风险
在用人单位招聘及日常管理中,背景调查是常见途径,劳动者是否诚实信用、能否胜任工作岗位、用人单位能够避免用工及经营风险,均要求对劳动者基本信息的真实性、岗位适配性、职业道德的可靠性、工作经历的可分割性等进行审查。具体到劳动者个人社会关系信息的调查,如:劳动者与亲属是否同时担任关键、敏感部门职务;劳动者与亲属是否任职于同一部门;劳动者与亲属存在领导与被领导关系的等等。京东曾于2019年3月向所有员工下发通知要求梳理亲属及社会关系,其理由为提升管理效率及建设更为透明、公平的职场环境。然而,本次通知并未对普通员工及高管进行区分,对普通员工而言,并不需要向企业告知这部分具有隐私性的社会关系信息内容,对企业高管而言,要求进行关系信息收集则在必要及合理的范围之内。因此,京东的行为无法比避免侵隐私的嫌疑。
3、日常人力资源管理风险
企业日常人力资源管理阶段最易发生员工个人信息的泄漏,其中社会争议较大的问题是考勤打卡以及病假管理过程中涉及的员工个人信息安全问题。
从考勤管理角度,相较以往,企业一般不再采用手工打卡方式对员工事实考勤,取而代之的是用指纹、人脸识别等方式,而通过此种方式进行考勤打卡,一旦因企业管理不善则极易发生员工敏感信息的泄漏。
从病假管理角度,由于我国新出台的几部法律法规中均明确了病例资料属于员工的个人隐私,同时法典对医疗机构保管患者病历资料提出了更高的要求,这意味着,医疗机构也将会加强对患者病历资料保密和管理的重视程度,这无疑增加了企业病假管理过程中合法取证的难度。
(1)考勤管理
用人单位在入职、考勤、签到等环节运用人脸识别技术的关键目的在于对员工身份的识别与核对。而对于人脸信息的采集、储存、传输和使用不可避免的会受到我国《网络安全法》、《信息安全技术个人信息安全规范》等法规的规制。同时,由于人脸信息还同时涉及自然人的生物特征和肖像,人脸识别信息在“人格权”领域也落入我国最新通过的《民法典》规定的范畴。
(2)病假管理
员工病假管理中,除提供病假证明外,用人单位为了避免员工“泡病假”往往会要求员工其他用以证明病情的相关凭证以核实病假的真实性。但根据《中华人民共和国基本医疗卫生与健康促进法》和国家卫计委印发的《人口健康信息管理办法(试行)》的相关规定,员工的个人病历应属于个人健康信息。这就意味着用人单位将有可能遇到员工提出病历资料属于个人信息的“健康信息”范畴,应当征得其本人的同意,同样员工以此为由拒绝提供病历资料。
4、员工设备调查风险
传统的纸质化、书面化的办公方式逐渐被各类虚拟办公软件所取代,常见的例如网络邮件、OA办公系统、钉钉微信工作群、会议群等等,员工会将自己的办公信息记录在此类平台中。部分企业为管理及经营需要,会通过技术手段检查员工电脑端、电话端、电子邮件端的使用情况,由此成为企业侵犯员工个人信息的高风险点。例如,在佛山市中级人民法院审结的王某某与广东某电子有限公司一案中,法院认为公民享受通讯自由的权利,未经法定程序不得被随意剥夺,企业本身没有执法或司法权限,在未告知王某某的前提下,企业私自对提供给王某某使用的电子邮箱内的电子邮件进行检查侵犯了王某某的权利。
5、第三方外包风险
在用人单位使用人力资源公司的外包服务(如工资发放、个税申报等)场景下,用人单位需要将员工个人信息提供给人力资源外包服务提供方。在此过程中存在第三方信息对于员工信息泄漏的风险,近期网络安全公司Palo Alto Networks便遭遇了员工信息数据泄漏事件,现雇员及前雇员个人信息均流出,原因就在于其合作的第三方供应商无意将信息泄露于网络。
6、不当保管与披露员工个人信息的风险
根据《劳动合同法》的规定,企业对离职员工的劳动合同文本要保存备案,以往由于法律法规的缺乏,导致企业对离职员工的个人信息不够重视,在缺乏管控的情况下,不排除有关人员将离职员工的个人信息打包卖给猎头公司、非法调查公司等。
7、竞业限制调查风险
对于竞业限制案件,如何获取员工在第三方就业的证据一直都是此类案件的难点。实践中,用人单位获取相关证据途径一般包括收集员工的宣传信息,翻阅员工微信微博中的照片、个人简介,给员工发快递留样、打电话给第三方公司询问并录音、员工的电子工牌、查阅打卡记录、社保、公积金等等。其中,公开的宣传资料、电话录音较难获得,社保公积金由第三方公司缴纳,快递由前台牵手无法固定姓名,电子工牌、上下班打卡记录掌握在新用人单位手中,面临无权调取或不能调取。在此情形下,有些单位则想到利用某些机构掌握个人信息的优势,利用其影响力去调取,正如前段时间全网关注的中信银行泄漏客户账户信息事件即属于侵犯个人隐私权的典型案件。
四、企业个人信息保护合规处置方案
(一)员工个人信息收集环节
1、建立“告知—同意”知情同意规则
基于《民法典》及《个人信息保护法》中的相关规定,个人信息的收集应当遵循“告知员工—员工同意”的一般性规则。此处的告知不仅仅局限于信息内容,还包含信息的用途、收集的目的、保存期限等等情况。在充分了解这信息后,员工的回复才可作为企业合法收集使用此类信息的前提。在前文提及的“HM”泄漏员工信息被处罚一案,公司在员工休假结束回到岗位上班会进行休假谈话,谈话过程中涉及的个人私生活信息便是企业在员工一概不知的情况下进行收集,故其行为最终收到德国监管机构依据GDPR作出的侵犯员工个人隐私权进行的处罚。因此企业在建立员工个人信息保护体系时,首先应当落实“告知——同意”这一基本规则。
2、对于“敏感个人信息”单独书面同意
“敏感个人信息”的含义在《个人信息保护法(草案)》中被首次作出了明确的界定,区别于一般个人信息,敏感个人信息一旦泄漏或非法使用,其不利后果涉及歧视、严重财产损害等多角度多方面。实践中,企业在征求员工采集使用个人信息时会将一般个人信息与敏感信息一揽子均列名在同意书中,但事实上,此类操作具有较大法律风险,因此对于敏感个人信息,企业在合规建设中应当注意取得员工对于此类信息的单独书面同意。
3、明确企业可收集的雇员个人信息范围
仅限于与订立、履行劳动合同直接相关的信息。例如身份信息、通讯信息、教育及从业资质信息、工作经历信息等。其中容易引发争议的有:公司对女性雇员婚育信息、雇员家庭成员信息、健康信息等的收集行为,以及公司对雇员进行非常规的背景调查。具体可收集范围需依照岗位性质个案分析,比如对于食品岗位人员来讲,则了解相关健康信息则是必须的,而对于其他岗位来讲,收集健康信息则可能涉嫌过度收集,主要的原则在于对收集的信息,企业需要能够说明收集的必要性及合理性。
4、规避简历中的个人信息泄漏风险
首先,企业需要审查与招聘平台或者猎头之间的合作协议,看其中是否约定对方已经事先取得应聘者相关同意或授权,即应聘者同意由企业方浏览、获得简历中包含的个人信息。其次,为进一步规避风险,在与应聘者有后续接洽的情况下,可以要求应聘者直接发送一份简历给企业或要求应聘者通过公司网站填写应聘信息,同时通过附件声明、隐私政策等方式告知应聘者企业收集其个人信息的目的、范围、方式、保存期限、是否披露给其他第三方等,以及告知应聘者如其发送简历则视为同意授权。
5、合法在工作场所进行搜查
首先,禁止对雇员的人身进行搜查,因为这属于国家特定机关的权利;其次,若可能涉及在工作场所对雇员财物或者雇员管理、控制的财物进行搜查的情况,需要辅助完整的制度和流程,避免企业在调查雇员的时候自身违法甚至犯罪。如企业的实际经营中基于正当利益确实有上述需求,需要由完整的制度和流程来配合,例如在订立劳动合同前明确告知雇员,并在合同中写明在特定条件下允许公司对其进行某种程度调查的条款,又或者在雇员领取办公电脑或者入驻个人办公室之前签署相关的同意书。必要时还可以直接向公安部门需求帮助。
(二)员工个人信息存储环节
1、确定员工个人信息及材料的保存期限
《网络安全法》四十一条确立了个人信息保护的“必要原则”,也叫“最小化原则”,在此基础上,《信息安全技术个人信息安全规范》第6.1条又进一步将存储期限的“必要原则”细化提出“时间最小化”的要求,包括个人信息储存时间应为实现授权的最短时间,使用完成后应删除及匿名处理。因此,企业人力资源部门需对收集的应聘者个人信息或雇员个人信息进行定期排查,对过期个人信息进行删除或匿名化处理。此外,需要注意的是,相关法律法规也对特定雇员个人信息的保存时限作了特殊规定,如送餐人员个人信息和网约车驾驶员的个人信息需要保存一定时间。因此关于特殊岗位的雇员个人信息的存储时限,需要结合特殊规定以及岗位和行业来设定最小存储期限。
2、对员工个人信息进行分级分类处理
根据《信息安全技术个人信息安全规范》GB/T 35273—2020,个人信息可以分为一般个人信息和个人敏感信息。个人信息的具体列举可看下表(未标黄部分为一般个人信息,标黄部分为个人敏感信息):
除以上标黄部分外,个人敏感信息还包含雇员的通话记录和内容、通讯录、好友列表、群组列表等。在收集上述雇员个人信息前,若存在或包含个人敏感内容,则需要在公司内部建立雇员个人信息分级分类处理机制。
值得我们注意的是,随着未来《个人信息保护法草案》的出台,雇员个人信息分级分类处理机制将会愈发复杂。故实践中,应当根据个人信息来设置管理级别。例如,第一部分可为供企业内部或外部任何人使用的信息,如网站公开信息;第二部分为仅向特定人员公开的信息,如客户信用信息、员工绩效评估等;第三部分为只能在企业内部分发的文件,例如业务合作伙伴的名片等。
(四)员工个人信息披露环节
1、确定员工个人信息及材料的保存期限
例如在并购项目中,出于尽职调查等需要,目标公司可能需要向收购方披露雇员的个人信息(如雇员社会保险信息等)。另外,在重组项目中,为内部整合的需要,雇员的个人信息可能需要在各关联企业之间共享。企业应尽量确保雇员充分知晓其个人信息将在并购重组项目过程被披露和使用。
2、对第三方的数据合规能力进行核实
例如在企业使用人力资源公司的外包服务(如工资发放、个税申报等)场景下,企业需要将雇员个人信息提供给人力资源外包服务提供方。企业需要核实合作伙伴的数据合规能力(技术安全措施及数据保护合规制度),业务合作合同中需要明确双方关于雇员个人信息保护的权利义务和责任,业务合作完成或提前解除情况下或者雇员离职情况下,雇员的个人信息保存期限以及期限届满如何处理雇员的个人信息(是否去标识化或匿名化)。根据《个保法草案》规定,个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任,这点需要引起重视。
五、结语
在这个万物万联的大数据时代,人工智能、网络科技迅猛发展,个人信息泄漏风险也随之增加。民法典在关于个人信息权利的行使与保护上单独以人格权独立承章,体现了时代中国特色,在充分保障公民人格权利的同时,兼顾数字科技的发展与个人信息安全的保护。在劳动人事用工领域,如何判断不同场景下对个人信息数据的“收集、储存、传输、使用的合规性”,仍然需要企业结合自身情况以及相应法律法规进行分析,探索出属于适合自己的一套用工合规体系。
