一、《个保法》第4条:员工“个人信息”定义与员工信息处理各阶段情形
1.法条原文
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
2.法条解读
(1)以“员工”为个人信息主体
个人信息权指向“自然人”,也就是员工个人的信息。如果员工设立公司而产生的其公司相关信息,不属于《个人信息保护法》保护范围。
(2)“处理”员工个人信息的8种情形
《个保法》第四条将个人信息处理列举了8类情形,分别是收集、存储、使用、加工、传输、提供、公开、删除。
收集:指用人单位取得员工(含应聘候选人)个人信息的行为。其中包括员工主动提供与应用人单位要求提供的个人信息。例如,应聘者主动其个人简历、教育与工作背景;员工主动提供病假单,要求享受医疗期。此外,用人单位为进行人事管理,会要求员工提供入职材料、主动披露其身份信息、家庭信息、医疗信息。
《个保法》第6条规定:“收集个人信息,应当限于实现处理目的最小范围,不得过度收集个人信息。”因此,用人单位应当以“最小必要”为原则,不作过度收集。
存储:用人单位对收集的员工个人信息进行存储,多以书面、电子形式存储,再进行后续信息处理。首先,存储时间最短化。根据《个人信息保护法》第19条,除法律行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。因此,用人单位应当遵循实现信息处理目的的最短时间要求。其次,劳动合同解除或终止后,建议告知离职员工,对存储的员工个人信息进行删除或匿名化处理,但法律另有规定的除外(请见下文“删除”)。
使用:用人单位对员工个人信息进行分析和利用。首先,对员工个人信息控制者设置内部使用审批流程,以最小与必要为原则限制访问人员与访问内容;其次,根据员工个人信息使用目的限制使用范围。员工提供个人信息一般与签订履行劳动合同,或与用人单位人事管理相关。除员工同意外,不应将员工个人信息用作其他用途。
加工:指个人信息处理者对所收集、存储的个人信息进行筛选、分类、排序、加密、标注、去标识化等活动。
传输与提供:首先,按劳务派遣、劳务外包、薪酬外包、背景调查外包以及集团公司要求,往往需要将员工个人信息传输给第三方进行共享、委托处理,这就需要根据《个保法》规定处理。其次,《个保法》第38条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一……”此处法律明确规定“确需”向境外传输,故用人单位应当考虑是否达到“确需”将员工个人信息保存于境外服务器的要求。如果确需向境外提供的,则应当遵守国家相关规定与要求。
公开:《个保法》第25条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”因此,法律对公开处理个人信息进行了严格的规定。用人单位因业务开展需要公开员工的职务、履历、照片与视频资料,这种情形下一般员工不会持异议,但是如果对员工违纪行为进行公开通报或者在第三方背景调查时公开,则应当充分重视其法律风险。
删除:《个保法》第47条明确规定了应当删除个人信息的5种情形。对此,首先,《劳动合同法》第50条规定,用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。《工资支付暂行规定》第6条:用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查。用人单位在支付工资时应向劳动者提供一份其个人的工资清单。其次,在没有相关法律规定保存期限的情况下,个人信息保存期限越长,容易出现泄露、遗失的可能性,因此我们仍建议用人单位按照《个保法》第19条规定,的“最短时间”原则保存个人信息。
二、《个保法》第13条:员工“个人信息”处理的合法性根据
1.法条原文
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
2.法条解读
本条法律是个人信息处理的合法性依据,即:1.取得个人同意;2.法定情形下,无须个人同意即可处理个人信息。
(1)取得个人同意
“告知-同意”是普遍同一认可处理个人信息基本原则。实践中,很多用人单位让应聘人员与员工签署个人信息授权同意书,但该同意书应当如何拟定?“告知-同意”是基本原则。根据《个保法》第17条规定,取得员工授权同意时,还需告知员工相关权利与权利行使方式,即“告知”是“同意”的前提条件与义务,对此下文将进行具体阐述。
(2)法定无须个人同意的情形
A.《个保法》第13条第2款
根据《个保法》第13条第2款,“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”时,处理个人信息无需征得信息主体同意。
所谓订立履行与人力资源管理所必需,可以参考《劳动合同法》第8条即“用人单位有权了解劳工与劳动合同直接相关的基本情况”。但至于何谓与劳动合同直接相关的基本情况,未见有进一步法定解释。我们认为,从狭义解释,姓名、住址、身份证、健康状况、知识技能和工作经历等可以是与劳动合同直接相关的基本情况,可以参照《劳动合同法》第17条、《上海市劳动合同条例》第8条、《江苏省劳动合同条例》第11条、《山东省劳动合同条例》第10条。从广义解释,用人单位可以根据通过制定规章制度与订立集体合同,来向员工明确人力资源管理所必需的员工个人信息。
需要说明的是,用人单位的规章制度必须审慎规定哪些是“人力资源管理所必需”的员工个人信息,不得任意扩大化规定。对此可以参考《劳动合同法》第39条之规定:员工严重违反用人单位规章制度的,用人单位可以解除劳动合同并不支付经济补偿。此处“严重违反”用人单位规章制度,并非用人单位单方面规定的“严重违反”行为即可以作解雇处理,而是需要符合一般公众认识的“严重”标准与劳动争议案件司法实践标准。例如:《员工手册》规定迟到1次即属于“严重违反”用人单位规章制度,这明显是无效规定,即使《员工手册》经过民主程序并向员工公示,用人单位以此为由解雇也将被认定为违法解除劳动合同。此外,法律为限制用人单位的权利,同时规定“依法制定”规章制度与“依法签订”集体合同,用人单位需要根据《劳动合同法》第四条及按法定程序制订规章制度与集体合同后,才能将其有效适用于员工,以及为处理员工信息奠定合法性基础。
B.《个保法》第13条第3-7款
根据《个人信息保护法》第13条第3-7款,“(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形”时,处理个人信息无需征得信息主体同意。
需要说明的是,用人单位在上述情形处理个人信息时,要充分注意信息采集方的“权利外观”,即用人单位要采取必要措施确认信息采集方的身份及身份的真实性,以防信息采集方用虚假身份非法采集个人信息的情况,避免泄露个人信息的法律风险问题。
三、《个保法》第17条:用人单位告知的内容与方式
1.法条原文
个人信息处理者在处理个人信息前,应当以显著方式、清晰、易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
2.法条解读
处理个人信息的基本原则是“告知-同意”。建议公司可以考虑单独设计有关数据收集的同意书,在员工充分了解公司可能发生的数据收集范围或内容、使用目的、方式及处理规则的基础上,作出同意的确认,以确保员工的知情权。
例如,对于招聘员工与员工管理中涉及的员工个人信息,建议要求员工单独签署“个人信息处理同意书”,这就要确保员工充分知情的情况下自愿做出同意。根据《个保法》第17条规定,对征求员工同意的要求如下:
(1)告知时间
用人单位要求员工提供个人信息前就应当根据第17条的规定,向员工履行告知义务。
(2)告知方式
即“显著方式、清晰、易懂的语言真实、准确、完整地向个人告知”,即控制者应采取适当措施,以简洁、透明、易于理解和容易获得的形式,向数据主体提供第13条和第14条中提到的任何与处理相关的信息,以及进行第15至第22条,和第34条规定的各项沟通,特别是专门针对儿童的任何信息。
(3)告知事项
阶段 | 信息内容 | 处理目的 | 处理方式 | 信息种类 |
选聘候选人 | 照片、姓名、联系方式、年龄、教育背景、资格证书、工作经历等 | 入职选聘 | 在日常管理中,公司需要对人力资源部门或其他保存信息的部门及人员进行严格管控,可以通过设置查阅规则和访问权限等形式,比如明确公司哪些部门、哪些人员可以查看员工的个人信息,哪些情况可以查看或复制,查阅的记录是否留痕。 未能正式入职的候选人可能会向公司提出要求删除其个人信息的请求,而公司也较难找到比较充分的必要性基础,在这种情况下,可能需要尊重其作为个人信息主体的权利,采取相应的措施删除其个人信息。若从技术上难以实现删除的,根据《个信法》第四十七条的规定,“应当停止除存储和采取必要的安全保护措施之外的处理。” | 建议明确写明信息种类,尤其对用人单位非人力资源管理所必需的个人信息收集以及敏感个人信息。例如:钉钉打卡,建议写明工作时间行踪轨迹考勤,而非考勤记录。 |
招工入职 | 身份证号、家庭地址、家庭信息、社保信息、入职体检、紧急联系人、银行帐号、刑事犯罪记录等 | 签订劳动合同、办理招工与入职 | ||
劳动合同履行 | 指纹人脸识别考勤、薪酬信息、行踪轨迹、病假证明、子女信息、申请各类假期而使用的信息(婚假、女员工“三期”等)、费用报销提交的报销凭证等 | 人力资源管理 | ||
职务履行 | 姓名、职位、联系方式、照片与宣传视频、工作通话记录、软件聊天记录、互联网浏览、电子邮件记录等 | 工作业务 | ||
第三方共同处理或委托第三方处理 | 姓名、工资信息、教育与工作经历等 | 人力资源外包,例如:薪酬外包、招退工处理外包 |
(4)告知保存期限:最短时间
首先,《劳动合同法》第50条规定,用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。《工资支付暂行规定》第6条亦载明,用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查。其次,在没有相关法律规定的情况,个人信息保存期限越长,容易出现泄露、遗失的可能性,我们建议用人单位按照《个保法》第19条规定,除法律行政法规另有规定外,对于个人信息保存的期限应遵循为实现目的所必要的“最短时间”。
(5)告知保存地点
目前中国国内的跨国企业员工个人信息存储主要有两种模式:一种是中国境内设置IT服务器,将中国个人信息相关数据存储于位于中国境内的IT服务器上;另一种模式是IT服务器设在境外的母公司或总部所在地,中国的子公司使用统一的人力资源管理系统,在国内收集到的拟入职员工的个人信息也将存储于位于境外的服务器上。《个保法》第三章对对上述情况作了具体规定。
A.基本条件
根据《个保法》第38条,“企业因业务等需要,确需向境外提供个人信息的,应当具备四个条件之一:(一) 依照本法第40条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”
B.额外告知义务及获取单独同意的义务
根据《个保法》第39条规定,在拟入职员工的个人信息出境前,企业还应向拟入职员工告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及拟入职员工向境外接收方行使《个保法》规定权利的方式和程序等事项。并且,还应取得拟入职员工个人的单独同意。
C.设立专门机构或者指定代表,负责处理个人信息保护事务的义务
根据《个保法》第五十三条,若境外的个人信息处理者为分析、评估境内自然人的行为而进行个人信息处理活动,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
D.个人信息保护影响评估的义务
根据《个保法》第55条第4项,向境外提供个人信息的企业应当事前进行个人信息保护影响评估,并对处理情况进行记录。
(6)处理前的影响评估和处理后的记录程序
根据《个保法》第55条,处理下列个人信息时应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。
用人单位在上述情形处理个人信息时,要格外注意前置的评估、后置的记录程序,避免出现违反法律程序的风险。
(7)告知员工可行使的权利与行权方式
员工(含应聘者)在授权用人单位处理其个人信息的同时,用人单位也应当告知员工可以根据《个保法》第4章“个人在个人信息处理活动中的权利”行使其权利,并说明其行使权利的方式,例如员工有权向人力资源部要求修订或撤回其个人信息。
需要说明的是,如果用人单位处理的员工个人信息是签订劳动合同与人力资源管理所必需(即《个人信息保护法》第13条第2款规定),员工是否仍享有单方撤回、删除的权利,目前尚存在争议。我们认为,对于签订劳动合同与人力资源管理所必需的员工个人信息,用人单位有权单方面处理,无须员工授权同意,否则用人单位无法履行用人单位管理权,这也与劳动法律法规中用人单位与员工并非平等双方主体的原则相一致。
三、《个保法》对个人敏感信息处理的特殊规定
根据《个保法》,用人单位在处理员工个人敏感信息时除履行上述义务外,还对其作了特殊规定。
1.敏感个人信息的定义
根据《个保法》第28条第1款规定,敏感个人信息是指是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
2.敏感个人信息的处理
用人单位在处理员工个人敏感信息时除履行上述义务外,还应尽到如下义务:
(1)取得单独同意
《个保法》第29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
(2)告知必要性及影响
《个保法》第30条规定,个人信息处理者处理敏感个人信息的,除按照《个保法》第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
(3)事前进行影响评价,并对处理情况进行记录
《个保法》第55条第1款规定,处理敏感个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。
,
