编者按:2021年4月29日,全国人大常委会公布《个人信息保护法(草案二次审议稿)》(下称《个人信息保护法草案》),征求社会意见。这意味着我国第一部个人信息保护的专门法律即将问世,公民的个人信息也将得到更加全面和系统化的法律保护。企业在劳动用工管理中不可避免会收集和处理员工个人信息。员工个人信息保护,是企业依法合规管理的必然要求。笔者结合《个人信息保护法草案》的相关规定,从企业劳动用工合规角度,对员工个人信息保护的法律风险进行梳理,提出相关建议。
一
《个人信息保护法草案》明确规定,企业在劳动关系中处理员工的个人信息,应受之后正式颁布施行的个人信息保护法之约束。
个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[1]。根据《信息安全技术 个人信息安全规范》的示例,个人信息可以分为:个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息、其他信息。
具体到企业的劳动用工管理中,企业通常会涉及的员工个人信息主要包括:
注:红色字体标注的信息一般为个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息[2]。
二
《个人信息保护法草案》对于个人信息的处理进行了明确的规定。企业在个人信息保护法尚未正式颁布施行前,可参考本次草案的规定处理员工个人信息。具体如下:
1.企业收集员工个人信息应当符合必要性原则,为订立或履行劳动合同所必需的信息无需取得员工同意,超过前述范围则应取得员工同意[3]。
企业收集员工个人信息时应符合履行劳动合同之目的,并限于实现劳动合同目的所必要的最小范围,不得进行和处理与劳动用工管理无关的个人信息。《劳动合同法》第八条规定:“……用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。” 《个人信息保护法草案》第十三条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:……(二)为订立或者履行个人作为一方当事人的合同所必需……处理个人信息应当取得个人同意,但有前款第(二)项至(七)项规定情形,不需取得个人同意。”依照前述规定,对于订立和履行劳动合同所必需的收集的个人信息,无需取得员工同意,如员工的姓名、出生年月、性别、电话号码等。但笔者仍然建议,企业应将员工同意收集和处理个人信息作为劳动合同的内容。
对于非履行劳动合同所必需的个人信息,企业应当避免过度收集,如与工作无直接关系的婚姻状况、生育状况及健康状况等。企业在特殊情况下需要收集员工信息的,应取得员工同意。且员工有权撤回其同意。对于员工个人敏感信息的处理,企业应当具有特定的目的和充分的必要性,并应履行必要告知义务,取得员工单独同意[4]。
2.企业向第三方提供员工个人信息应取得员工同意[5]。
企业因履行劳动合同向员工采集的个人信息,如需向其他第三方提供,如为员工购买商业保险,应当取得员工同意,并向员工告知接收方的身份、联系方式、处理目的、处理方式、个人信息的种类。
3.企业因合并、分立等原因需要转移员工个人信息的,应当履行必要告知义务[6]。
企业因出现与其他主体合并、分立等情形,致使劳动关系发生转移、劳动合同主体发生变更时而需转移员工个人信息的,应当向员工履行告知义务,告知接收方的身份、联系方式。
4.企业应在员工离职后删除收集保存的员工个人信息[7]。
企业在与员工终止劳动关系后,因保存和处理员工个人信息的必要基础已丧失,除法律法规等另有规定(如保存员工个人档案、工资信息)外,企业应当主动删除该员工个人信息。
员工在任职期间向企业提供的个人照片等信息,员工离职后,企业如需继续使用前述信息,应另行征得员工同意。
5.企业应当制定内部管理制度和操作规程;制定并组织实施个人信息安全事件应急预案;合理确定个人信息处理的操作权限,并定期对个人信息处理从业人员进行安全教育和培训[8]。
企业应当对员工个人信息的采集、存储、处理等制定严格的内部管理制度和操作规程,对员工个人信息管理流程进行必要的合规性审查。具体措施包括但不限于:
(1)企业应当明确个人信息处理的责任部门及相关责任人员,如人事部门负责招聘或员工管理事务的人员;
(2)开展个人信息安全影响评估,包括员工个人信息收集是否遵循目的明确、选择同意、最少够用等原则;个人信息处理是否对员工合法权益造成不良影响;个人信息安全措施的有效性;去标识化处理后,数据重新识别出员工身份的风险;共享、转让、公开披露员工个人信息对员工合法权益可能产生的不利影响;个人信息安全事件对员工可能产生的不利影响等。
(3)具备适当的数据安全能力,落实必要的管理和技术措施;
(4)对员工个人信息控制者进行管理和培训;
(5)进行员工个人信息安全审计,如对相关制度、规程以及安全措施的有效性、个人信息违规使用或滥用等情况进行审计。
6.对个人信息进行分类管理,采取相应的加密、去标识化等安全技术措施[9]。
企业应对收集的员工个人信息进行分类管理,并在存储和处理过程中注意采取保密措施(如设置文件访问密码、操作权限等)及去标识化措施(注:去标识化是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程)。
三
1.企业在员工个人信息侵权中适用过错推定责任原则[10]。
《个人信息保护法草案》第六十八条规定第一款:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”依照前述规定,侵犯个人信息的归责原则为“过错推定”,即企业在员工个人信息权益受到侵害而不能证明自己没有过错的,须承担侵权责任。
2.违反个人信息保护相关法律规定的,企业及其主管人员、直接责任人员将受到相应行政处罚;构成犯罪的,将依法追究刑事责任[11]。
《个人信息保护法草案》规定,违法处理个人信息或未依法采取必要安全保护措施的,将由相关部门责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,并处五千万元以下或者一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
违反个人信息保护法的相关规定,如构成违反治安管理行为的,将依法给予治安管理处罚;构成犯罪的,将依法追究刑事责任。
3.用人单位违法行为将被记入信用档案予以公示[12]。
依照《个人信息保护法草案》第六十六条的规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
参考资料:
[1] 参见《信息安全技术 个人信息安全规范》(GB/T 35273—2017)。
[2] 参见《信息安全技术 个人信息安全规范》(GB/T 35273—2017)。
[3] 参见《个人信息保护法(草案二审稿)》第六条、第十三条。
[4] 参见《个人信息保护法(草案二审稿)》第二十九条、第三十条、第三十一条。
[5] 参见《个人信息保护法(草案二审稿)》第二十四条。
[6] 参见《个人信息保护法(草案二审稿)》第二十三条。
[7] 参见《个人信息保护法(草案二审稿)》第二十条。
[8] 参见《个人信息保护法(草案二审稿)》第五十一条。
[9] 参见《个人信息保护法(草案二审稿)》第五十一条。
[10] 参见《个人信息保护法(草案二审稿)》第六十八条。
[11] 参见《个人信息保护法(草案二审稿)》第六十五条、第七十条。
[12] 参见《个人信息保护法(草案二审稿)》第六十六条。
本文作者
黄吉星 律师
专业领域:
公司合规、并购融资、争议解决
团队简介
本律师团队由锦天城律师事务所高级合伙人彭胜锋律师领衔,专注股权诉讼、投资并购、企业法律顾问领域的法律服务。本律师团队现为欧派家居(603833.SH)、许继电气(000400.SZ)、斯凯奇中国(SKECHERS CHINA)、凯捷咨询(中国)、中船黄埔文冲、广州中远海运、红海人力集团、省广众烁、辽宁省政府广东办事处等单位提供法律服务。
联系我们
联系人:汪律师
联系电话:13922469313
地址 :广州市天河区珠江新城珠江西路5号广州国际金融中心33层02-07单元、35层01-02单元
因近期微信官方调整推送规则,如未经常留言或点击“在看”将影响您接收本公众号消息。为确保我们能更及时准确地向您推送文章,请您将“三知法行”公众号添加“☆”标置顶,并点击下方“赞”和“在看”,谢谢!