今年5月28日是《民法典》颁布五周年,今年五月也是我国第五个“民法典宣传月”。在《民法典》实施的近五年期间,随着数据信息化的快速发展,个人信息的价值日益凸显,同时也面临着前所未有的安全威胁。近期北京市海淀区人民检察院办理的“开盒挂人”案中两名被告人在境外社交群组公布三千多组公民个人信息,造成恶劣影响,也再次引发了公众对个人信息安全的高度关注。为进一步打击此类乱象,5月27日,中央网信办明确将从阻断“开盒”信息传播、完善预警机制、加大惩治力度、优化保护措施等方面开展整治工作,全力保障公民个人信息安全。
面对个人信息保护领域不断出现的新问题和新挑战,各企业应当以《民法典》为指引,持续加强对相关法律法规的学习研究,提高企业个人信息保护合规管理意识,强化企业内部管理,保障员工个人信息安全,共同“典”亮美好职场。本文将围绕构建个人信息保护法律体系、规范信息处理活动、保障个人信息权益等方面,浅谈《民法典》人格权编对个人信息保护的重要作用和合规建议。
一.
明确个人信息的定义和范围
《民法典》第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
《民法典》人格权编清晰界定了个人信息的内涵和外延,《个人信息保护法》在此基础上又进一步明确了个人信息及敏感个人信息定义。《个人信息保护法》第二十八条第一款规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
这为企业准确认定个人信息及敏感个人信息提供了明确的标准,使得对个人信息的保护有了清晰的边界。
二.
确立个人信息权益的
民事权利属性
《民法典》第一百七十九条 承担民事责任的方式主要有:
(一)停止侵害;(二)排除妨碍;(三)消除危险;(四)返还财产;(五)恢复原状;(六)修理、重作、更换;(七)继续履行;(八)赔偿损失;(九)支付违约金;(十)消除影响、恢复名誉;(十一)赔礼道歉。
法律规定惩罚性赔偿的,依照其规定。
本条规定的承担民事责任的方式,可以单独适用,也可以合并适用。
《民法典》人格权编将个人信息权益作为一种独立的民事权利进行保护,赋予了个人对其信息的控制和支配权。这意味着当个人信息受到侵害时,权利人可以依据《民法典》主张权利,要求侵权人承担相应的民事责任,如停止侵害、赔偿损失等。
除了民事责任外,《个人信息保护法》还规定了行政部门有权对违规处理个人信息的行为进行监管和处罚,《刑法》及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也为司法机关依法惩治侵犯公民个人信息罪提供了有力的法律依据。
三.
规定处理个人信息的
基本原则及信息处理者的义务
《民法典》第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
《民法典》人格权编规定了信息处理者在处理个人信息时应当遵守的处理原则、条件并明确了处理方式。
例如,企业在招聘和录用环节收集招聘者或入职者的个人信息时,根据《劳动合同法》相关规定,只能收集与劳动合同直接相关的必要信息,当企业的收集行为超过这一限度(例如与工作无直接关系的婚育及健康状况等),则可能属于“过度”收集个人信息。
同时,企业在用工管理过程中可能高频使用、转移甚至公开员工个人信息,如为员工印制名片工卡、办理社保公积金、开展绩效评估、组织体检或培训、管理考勤、发放员工福利等,结合《个人信息保护法》等相关规定,企业在这一过程中应遵循合法、正当、最小必要、公开透明、安全保障等原则,明确信息处理的合法性基础,履行必要的告知、保密等义务,特别关注涉及第三方参与信息使用情形下的合规性。
四.
赋予个人信息主体的一系列权利
《民法典》第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
《民法典》人格权编赋予个人对其信息的查阅、复制、更正、删除等权利。这使得员工在个人信息保护方面有了更多的主动权,能够更好地维护自己的信息权益。同时,企业应制定并不断完善员工个人信息管理制度以及隐私政策文本,通过制度或隐私政策对员工个人信息收集、存储、使用、传输、公开、删除等处理行为的原则、方式和范围作出明确规定。
五.
规定信息处理者应充分履行
个人信息安全保障义务
《民法典》第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
《民法典》人格权编要求信息处理者应采取技术、管理等必要措施确保信息安全,发生泄露等情况时要及时告知并采取补救措施,强化了对个人信息的保护。《就业服务与就业管理规定》第十三条也明确规定了用人单位应当对劳动者的个人资料予以保密。
虽然民法典未直接列举信息处理者为个人信息安全应采取的具体措施,但结合《网络安全法》《数据安全法》《个人信息保护法》《个人信息保护合规审计管理办法》等相关规定以及企业实际情况,建议各企业采取去标识化处理、加密处理、访问控制、建立完善与个人信息安全保障有关的管理制度、制定应急预案、形成报告工作机制、开展个人信息保护合规审计等措施来防范员工个人信息泄露、篡改、丢失风险。
如涉及到个人信息数据出境的,企业还应遵守《数据出境安全评估办法》《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》有关规定。符合数据出境安全评估适用情形的,按照《数据出境安全评估申报指南》申报;通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的,按照《个人信息出境标准合同备案指南》向所在地省级网信部门进行备案,或者向有关机构申请办理个人信息保护认证。
在我国个人信息保护立法体系不断完善、监管力度持续加强的大环境下,企业应当严格依照法律法规和监管要求,持续推进个人信息保护合规管理各项工作。同时,企业要在员工关系管理中融入平等尊重的企业文化理念,将个人信息保护合规转化为企业发展的动力,共同营造一个安全合规、和谐美好的职场环境。
被⭐️星标的公众号
才会第一时间收到推送提醒哦
两步完成⭐️星标指南
