企业员工个人信息保护全流程合规要点
前言
《中华人民共和国个人信息保护法》已经全国人大常委会审议通过,将于2021年11月01日实施。作为用人单位,在劳动用工视角下,处理招聘、员工入职登记、入职调查、指纹或面容打卡、行为管理、办公场所监控等,均涉及到员工个人信息的处理及保护。随着国家出台多项法律法规政策强调对个人信息的保护,“入职过程中是否能收集婚姻、生育及其他身份信息”、“用人单位是否对配发的电脑实施监控”、“可否通过GPS监控员工位置信息”、“用人单位在员工离职后是否还可以存储个人信息”等常见的问题,在新法规下将对应不同的合规路径。那么,作为用人单位,该如何操作才不会侵犯到员工的个人信息权利、才能够合理规避相关风险呢?本手册将为您一一进行解答。
第一部分 通用篇
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息【匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程】。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;【该同意应当由个人在充分知情的前提下自愿、明确作出。】
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
除外情形:
有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第二部分 招聘篇
【简答】应聘者自行向用人单位投递简历的,已经实际得到了本人同意,但需注意的是,对提交纸质版本简历的,建议要求应聘者签字;
对于在用人单位自身网站/app设置的求职信息窗口,建议特别增加隐私政策并征得同意,对于涉及提交敏感个人信息的,应当单独提示敏感个人信息收集的目的和必要性,并单独征得同意;
对与第三方平台或主体合作查看获取求职信息/简历(如BOSS直聘、58同城、猎头等),建议签订协议明确第三方平台或主体收集信息的合法性义务、以及上传、提供信息已经征得信息提供者同意等条款,即明确第三方平台获得应聘者信息收集的同意与传输的同意。同时,在与平台求职者取得联系后,建议要求求职者另行单独向用人单位提供简历。
【合规建议】《个人信息保护法》(尚未生效)第十三条对个人信息处理者收集信息的明确规定,企业在应聘者参加面试、应聘前,仍然应当明确地告知候选人自己对其个人信息获取、使用、处理的目的、方式、范围等规则,征求其授权同意。
【简答】用人单位设置的求职登记表意义是在于了解求职者的基本信息,求职者在面试阶段填写的求职登记表内容应限缩在一定范围内。收集信息的范围仅限于与订立、履行劳动合同直接相关的信息;用人单位经雇员同意后可收集雇员婚姻、怀孕等信息,但雇员隐瞒真实情况的,不得成为辞退雇员的理由。涉及特殊工种,可要求提供上述信息。
【合规建议】求职登记表是用人单位在笔试或面试阶段要求求职者填写的登记表,此时尚未确认求职者的入职情况,不应对个人信息作过度的收集。具体来说,应仅收集个人基本信息(包括姓名、生日、性别、民族、国籍、住址等)和个人教育/工作信息(包括工作经历、教育经历、学历、学位等)。针对婚姻、生育状况等信息是否属于“与劳动合同直接相关的信息”的问题,司法实践中,裁判者一般认为其与劳动合同的履行没有必然关联,属于个人隐私的范畴,不属于“与劳动合同直接相关”的信息。用人单位在没有特殊工种如特殊业务要求的情况下,无权收集此类信息。
特殊工种的情况指的是如用人单位的业务可能使女性应聘者暴露在危险环境下影响女性生育(核辐射、磁辐射等),则其应要求女性应聘者提供生育情况;餐饮行业可要求员工提交体检报告与健康证明。
【简答】未经劳动者同意,企业严禁擅自向背景调查第三方提供劳动者个人信息。
【合规建议】如需对劳动者进行背景调查的,事先以书面形式取得劳动者的授权,例如可在应聘申请中要求员工签署许可确认函,明确告知劳动者其个人信息将可能提供给背景调查服务方用于背景调查;
企业应谨慎使用背景调查服务方,在与服务方的服务协议中约定免责条款,要求服务方在进行背景调查时必须依法进行,不得有任何违法违规行为,对于服务方的任何行为引起的责任均由服务方自行承担。
【简答】应聘者简历内容属于其个人信息。用人单位可基于人力资源需要查看简历或求职登记表,但应采取必要措施确保仅限于在特定范围内传播上述信息。
【合规建议】有权查看简历或求职登记表的范围应仅限于人力资源专职员工及其他确有必要的员工(如招聘岗位的负责人等),相关员工负有保密义务。用人单位未采取保护措施或保护措施不当,导致求职者个人信息的知晓范围不正当扩大的,承担相应责任。用人单位在使用人力资源公司的外包服务场景或出于自身存储信息目的的情况下,需要将求职者个人信息提供给第三方。根据《个人信息保护法》(尚未生效)规定,个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。在此场景下,企业应主动核实合作伙伴的数据合规能力(技术安全措施及数据保护合规制度),详细审查合作合同,并明确双方关于雇员个人信息保护的权利义务和责任。
【简答】第七条公司需对收集的应聘者个人信息进行定期排查,对未入职个人信息及时进行删除或匿名化处理。确有需要存储的,应明确告知应聘者可能会收集、存储在求职期间的个人信息,仅用于公司的管理或储备等与招聘相关的业务,并征得应聘者书面同意。
【合规建议】根据《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”《信息安全技术 个人信息安全规范》进一步确认了“收集个人信息的最小必要条款”。结合该条款主旨来说,这一原则要求用人单位在确认求职者未成功达成雇佣关系后,应及时删除其个人信息。
确有需要存储的,应明确告知应聘者可能会收集、存储在求职期间的个人信息,仅用于人力资源的管理或储备等与雇佣相关的业务,并征得应聘者书面同意。
第三部分 在职篇
【简答】用人单位收集雇员个人信息有应遵从的前置要求和程序。
【合规建议】用人单位收集雇员信息,应遵守前置要求和程序。收集敏感个人信息的前置要求是具有特定的目的和充分的必要性;前置程序是取得个人的单独书面同意,且向个人告知处理敏感个人信息的必要性以及对个人的影响。从用人单位角度出发,“取得单独书面的同意”的要求是区分收集雇员的非个人敏感信息和个人敏感信息,对于不同类型的个人敏感信息,更好的做法是将其逐一单列并设置对应的勾选。
【法律规定】《个人信息保护法》(尚未生效)第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
【简答】用人单位可以对单位配发的电脑、手机、邮箱进行监控,监控内容不能对外公开。
【合规建议】用人单位是否可以对其配发的设备进行监控取决于监控内容的必要性和雇员对被监控的知情同意的权利是否得到保障。
在前者的语境下,如监控摄像头是否仅设置在公开办公区域;电脑、手机或其他设备是否属于由企业购买、提供或支付一定购买补贴的工作设备、是否在工作时间内使用;邮箱是否属于企业配备的工作邮箱、是否与单位内部网络相连等问题都是考量的因素。
后者则要求用人单位对监控的正当性予以说明并提示。第一步,用人单位应在雇员入职时告知雇员,单位会对其相关的物理、抽象空间进行监控;第二步,用人单位需区分非个人敏感信息和个人敏感信息获得雇员明确清晰的“同意收集”的授权,其中个人敏感信息应逐项列出;第三步,用人单位应对负责监控的人员权限进行限制,如知情人员的范围和知情的内容都是特定的;第四步,用人单位对在监控过程中获得的雇员信息应当保密、不得外泄。
【简答】用人单位可以使用人脸、指纹等考勤方式。在雇员拒绝提供上述个人信息的情况下,用人单位应提供其他考勤方式。
【合规建议】人脸、指纹等个人信息属于个人敏感信息,用人单位收集时应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
雇员拒绝提供上述个人信息的情况下,用人单位应提供其他可替代的考勤方式或说明这一识别方式的不可替代性。
【法律规定】《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五问:小区、写字楼、用人单位、国家机关等能否强制刷脸门禁进出?
答:司法解释第十条规定,“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”虽然该条仅提及物业和建筑物管理人,但考虑立法宗旨,应包括用人单位和相关行政事业单位设置刷脸门禁的情形。
【简答】用人单位是否能对雇员位置进行GPS定位取决于雇员工种和定位时间。
【合规建议】GPS定位信息和行程轨迹在个人敏感信息的范围内,用人单位收集上述信息的合理性取决于定位内容的必要性以及雇员对被定位的知情同意的权利是否得到保障。前者考量的因素包括雇员的具体工种、定位的时间;后者则要求用人单位收集上述信息的程序合法、合理。对此,我们建议:
(1)该等信息的收集应当满足最小化、必要性原则,告知并获得员工书面同意。
(2)该信息的收集应当仅限于工作时间和工作场所。
【法律规定】《个人信息保护法》(尚未生效)第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
【简答】用人单位对不同类型的雇员信息应区分存储。
【合规建议】
第一步,用人单位应区分雇员个人敏感信息和非敏感信息进行存储,对于个人敏感信息,用人单位应准备单独告知同意函与雇员确认存储方式,建立风险评估报告及处理情况记录等并存储;
第二步,针对生物识别信息,用人单位如无例外情形,不应存储原始个人生物识别信息(如员工面部图像原始文件等),仅将其保留在识别设备终端以身份认证,在实现认证功能后删除可提取的原始图像。
【简答】用人单位应明晰细化各阶段雇员的个人信息权利内容及行使要求。
【合规建议】第一步,用人单位应设置雇员个人信息处理告知函,确认收集信息的合理性和必要性,列明雇员享有的个人信息权利内容、行使方式及程序。第二步,用人单位应在和雇员签订的《劳动合同》中,阐明具体职位类型对应可合理处理的信息内容,个人敏感信息应单独列出并征得同意。第三步,用人单位应在企业规章制度中规定雇员未如实告知相关个人信息的责任以及双方解决争议的方式。如若雇员隐瞒此类信息,则单位有权要求雇员提供相关个人信息,拒不提供的,则视情况可对该雇员作出处理。
【简答】用人单位需要根据具体的采购服务,提前告知员工,并获得员工的同意。
【合规建议】公司经营中,通常会向第三方采购服务,如代理预订机票、酒店、火车票,印制名片等。前述服务均需向服务提供方提供员工姓名、身份证号码、联系方式等敏感的个人信息。对前述场景我们建议:
(1)获得员工的明示同意(如在劳动合同中约定或者签署书面同意文件);
(2)与相关供应商签署的合同中应当对于前述个人信息的使用方式、保密要求等作出约定。尤其是在为员工印制名片时,需要向供应商提供大量员工信息,特别需要在与供应商签署的合同文本中作出明确的要求。
【简答】用人单位应根据实际情况,对需要调查的个人信息告知员工,并征得雇员的同意。
【合规建议】当员工涉嫌违法违规、违反公司规章制度或者被举报时,公司会对员工进行相关调查,调查中可能会涉及到对员工邮箱、公司配发电脑、手机等物品的检查以及公共资源中涉及被调查人员个人信息的匹配。前述物品和信息中可能会涉及员工个人信息。为了使调查更加合规合法,需要与员工签署相关文件,对前述物品、信息的收集、使用予以明确。为此,我们建议:
(1)与员工签署文件,明确公司有权对前述物品和信息进行检查和收集,员工同意并配合公司调查中对前述信息的收集和检查,且对公司免除法律责任。
(2)对于聘请外部机构(如律师事务所、会计师事务所或者其他调查机构)协助调查的,应当与外部机构及其参与人员签署保密协议,并要求在结束调查后销毁或者返还收集到的信息,确保信息的安全。
【简答】当企业控制权变化,涉及到员工信息的,需要重新告知员工,并获得员工的书面同意。
【合规建议】当企业发生分立、合并或者重组等情形时,对员工个人信息的控制主体也会发生相应变化。对于新主体,应当在分立、合并、重组时充分考虑对员工信息的处理,如需改变原有主体与员工约定的内容的,如用途改变等,应当重新告知员工,并获得员工书面同意。
【简答】用人单位应根据规定告知员工相关信息、征得员工的同意;用人单位应对第三方数据合规能力进行评估,监督第三方个人信息处理过程,并约定双方的权利义务。
【合规建议】一方面,用人单位向境内第三方传输数据应取得员工同意,向员工告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类。接收方应在上述范围内处理个人信息,变更的应重新取得个人同意。另一方面,用人单位应监督第三方处理信息的过程。第一步,用人单位应核实第三方的数据合规能力,设置数据保护技术措施、风险评估机制、外部监督机制等体系;第二步,用人单位应在同第三方的合作合同中明确双方关于雇员个人信息保护的权利和义务,约定委托处理的目的、期限、处理方式、个人信息的种类以及保护措施等;第三步,用人单位应确认合作完成或提前解除情况下,员工个人信息保存期限以及期限届满如何处理雇员的个人信息;第四步,用人单位应同第三方约定侵权发生后,内部分担责任的方式,及因对方侵权致使本方承担责任后的处理方式等。
【简答】用人单位对于员工出境,需要向员工告知境外接收机构的相关信息,处理方式、处理目的等必要信息,并需要获得员工的单独同意。
【合规建议】当前,绝大多数跨国企业因为网络构架的原因,对于员工信息的存储通常会选择在中国大陆以外的场所,此种情形下构成个人信息出境。虽然员工数据出境与客户数据出境在出境原因、目的和用途等方面存在差异,但也应当遵循个人信息出境的相关规定,告知员工并获得同意,进行安全评估,要求数据存储方采取保障数据安全的措施等。
【法律规定】《个人信息保护法》(尚未生效)第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
第四部分 离职篇
【简答】企业在与员工终止劳动关系后,因保存和处理员工个人信息的必要基础已丧失,除法律法规等另有规定(如保存员工个人档案、工资信息)外,企业应当主动删除该员工个人信息。
【简答】企业需继续使用离职员工个人敏感信息的,应当重新向离职员工进行告知并获取同意。
【合规建议】企业在特殊情况下仍需要使用员工信息的,对于此前已经告知并取得授权的个人非敏感信息,可不再重复告知,但涉及提交敏感个人信息的,应当单独提示敏感个人信息收集的目的、合理性和必要性,列明员工享有的个人信息权利内容、行使方式及程序并单独征得同意。
【法律法规】《个人信息保护法》(尚未生效)第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
【简答】企业保留离职员工的意义是在于保留公司离职员工的工作痕迹,以便与企业工作的延续性,同时保护员工和公司免于纠纷,帮助企业改进管理模式,提高企业管理水平,因此,企业保留离职员工的个人信息内容应限缩在一定范围内,遵循最小、充分必要原则。
【合规建议】对于非必需的个人信息,企业应当避免过度收集,收集信息的范围仅限于与订立、履行劳动合同直接相关的信息,特殊岗位法律法规另有规定的除外。
【简答】企业应当对离职员工的个人信息进行分类,对不同类型的个人信息,区分不同标准的保护力度,采取相应的加密、去标识化等安全技术措施。
【合规建议】企业应区分离职员工个人敏感信息和非敏感信息进行存储,对于个人敏感信息,用人单位应准备单独告知同意函与雇员确认存储方式,建立风险评估报告及处理情况记录等并存储。针对生物识别信息,用人单位如无例外情形,不应存储原始个人生物识别信息(如员工面部图像原始文件等),仅将其保留在识别设备终端以身份认证,在实现认证功能后删除可提取的原始图像。
【简答】原则上,在员工与企业间的劳动关系终止或解除时, 企业即丧失收集、存储、处理员工信息的基础, 应当及时删除员工信息或进行匿名化处理。但根据各行业保留期限的特别规定或企业特殊需要,企业在一段合理时间内需要继续保留其个人信息,并通过劳动合同、员工隐私政策、规章制度或者与员工签署单独文件中予以约定。信息保存期限届满或已无必要存储时,单位应当及时删除相关信息或匿名化处理。
【合规建议】企业需对收集的离职员工的个人信息进行定期排查,对期限届满或无需储存的个人信息及时进行删除或匿名化处理。
【简答】企业有义务采取必要措施确保离职员工个人信息安全,未经离职员工同意,企业严禁擅自向第三方提供离职员工的个人信息,法律法规另有规定的除外。
【合规建议】企业因履行劳动合同向员工采集的个人信息,如需向其他第三方提供,应当取得离职员工同意,并向员工告知接收方的身份、联系方式、处理目的、处理方式、个人信息的种类。同时,用人单位应对第三方数据合规能力进行评估,监督第三方个人信息处理过程,并约定双方的权利义务。法律法规有规定需要企业履行配合义务的,企业应核实相关文件的真实性和合法性。
【简答】企业在员工个人信息侵权中适用过错推定责任原则,企业在员工个人信息权益受到侵害而不能证明自己没有过错的,须承担侵权责任。
【合规建议】违反个人信息保护相关法律规定的,用人单位违法行为将被记入信用档案予以公示,企业及其主管人员、直接责任人员将受到相应行政处罚;构成犯罪的,将依法追究刑事责任。
【简答】企业应当对员工个人信息的采集、存储、处理等制定严格的内部管理制度和操作规程,对员工个人信息管理流程进行必要的合规性审查。
【合规建议】必要的合规性审查具体措施包括但不限于:(1)企业应当明确个人信息处理的责任部门及相关责任人员;(2)开展个人信息安全影响评估,包括员工个人信息收集是否遵循目的明确、选择同意、最少够用等原则;个人信息处理是否对员工合法权益造成不良影响;个人信息安全措施的有效性;去标识化处理后,数据重新识别出员工身份的风险;共享、转让、公开披露员工个人信息对员工合法权益可能产生的不利影响;个人信息安全事件对员工可能产生的不利影响等;(3)具备适当的数据安全能力,落实必要的管理和技术措施;(4)对员工个人信息控制者进行管理和培训;(5)进行员工个人信息安全审计,如对相关制度、规程以及安全措施的有效性、个人信息违规使用或滥用等情况进行审计。