用人单位对雇员个人信息管理保护合规指南(三):在职篇
2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。
在先前发布的用人单位对雇员个人信息管理保护合规指南(二)入职篇中,我们对“求职者简历”、“求/入职申请表”、“背景调查”、“生理健康”等方面的雇员信息,以收集、存储、使用、传输四个环节为切入点,列举和剖析了用人单位的相关合规问题。员工在职阶段是用人单位人力资源管理工作的核心阶段,涉及的个人信息管理保护实务问题较多,我们将细化部分问题,作出针对性的解答。
问题列表:
问题1. 用人单位收集雇员敏感个人信息有前置要求和程序吗?敏感个人信息的范围?
问题2. 用人单位可以对其配发的电脑、手机、邮箱进行监控吗?通过这一方式得到的证据是否有效?
问题3. 用人单位是否可以使用人脸、指纹等考勤方式?
问题4. 用人单位是否可以对雇员位置进行GPS定位?
问题5. 用人单位对不同类型的雇员信息应区分存储吗?
问题6. 用人单位应对雇员提出个人信息权利要求的措施包括哪些?
问题7. 用人单位向境内第三方传输雇员信息数据时有什么流程?
[收集]-[存储]-[使用]-[传输]
问题1. 用人单位收集雇员敏感个人信息有前置要求和程序吗?敏感个人信息的范围?
【简答】
用人单位收集雇员个人信息有应遵从的前置要求和程序。敏感个人信息的范围,应参考国家相关标准。
【合规建议】
用人单位收集雇员信息,应遵守前置要求和程序。收集敏感个人信息的前置要求是具有特定的目的和充分的必要性;前置程序是取得个人的单独书面同意,且向个人告知处理敏感个人信息的必要性以及对个人的影响。从用人单位角度出发,“取得单独书面的同意”的要求是区分收集雇员的非个人敏感信息和个人敏感信息,对于不同类型的个人敏感信息,更好的做法是将其逐一单列并设置对应的勾选。
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
问题2. 用人单位可以对其配发的电脑、手机、邮箱进行监控吗?通过这一方式得到的证据是否有效?
【简答】
用人单位可以对单位配发的电脑、手机、邮箱进行监控,监控内容不能对外公开。通过这一方式得到的证据有可能是有效的。
【合规建议】
用人单位是否可以对其配发的设备进行监控取决于监控内容的必要性和雇员对被监控的知情同意的权利是否得到保障。
在前者的语境下,如监控摄像头是否仅设置在公开办公区域;电脑、手机或其他设备是否属于由企业购买、提供或支付一定购买补贴的工作设备、是否在工作时间内使用;邮箱是否属于企业配备的工作邮箱、是否与单位内部网络相连等问题都是考量的因素。
后者则要求用人单位对监控的正当性形成合理的闭环。第一步,用人单位应在雇员入职时告知雇员,单位会对其相关的物理、抽象空间进行监控;第二步,用人单位需区分非个人敏感信息和个人敏感信息获得雇员明确清晰的“同意收集”的授权,其中个人敏感信息应逐项列出;第三步,用人单位应对负责监控的人员权限进行限制,如知情人员的范围和知情的内容都是特定的;第四步,用人单位对在监控过程中获得的雇员信息应当保密、不得外泄。
通过合理监控得到的证据可能是有效的。2018年底,某品牌连锁咖啡公司在雇员的电脑内安装了一款名为“威眼”的监控软件,该公司雇员杨某在向其他公司投简历后半小时内即被识别,并马上被开除。杨某认为用人单位侵犯了自己的隐私权,到劳动人事仲裁委员会申请仲裁,但他的诉求没有得到支持。仲裁委不支持小杨的裁决依据是,根据相关规定,互联网接入单位为落实网络安全保护措施,可以记录并留存用户使用的互联网网络地址,记录、跟踪网络运行状态,监测、记录网络安全事件等。因此,仲裁委判定公司在工作场所使用监控软件合法。
但是在另外的一些案例中,可能会出现不同于上述案例的结论。比如:小李就职于某网络公司。该公司员工手册规定,员工“飞单”“干私活”的,公司有权按成交价的40%追究赔偿责任。2019年底,小李向某网络公司提出离职,并将工作手机交还该公司。谁知,过了不久,该网络公司以小李存在“飞单”为由,向劳动仲裁部门提起劳动仲裁,要求小李赔偿因“飞单”造成的公司损失十四万余元。为了证明小李存在“飞单”的行为,该网络公司拿出的证据,是小李工作手机中导出的通话录音。在这些通话录音中,有小李和其他公司洽谈销售业务的内容,并亲口承认自己要“飞单”。法院经审理后认为,劳动者应当遵守劳动纪律和职业道德,“飞单”明显是严重违反劳动纪律和职业道德的行为。但是,除法律另有规定或者权利人明确同意外,任何组织和个人不得实施窃听他人私密活动、处理他人私密信息等行为。公司对劳动者履行工作职责进行管理监督无可厚非,但应当在合法合理的限度内行使权利。最终,一审和二审法院均认定:小李无需向公司支付赔偿。
问题3. 用人单位是否可以使用人脸、指纹等考勤方式?
【简答】
用人单位可以使用人脸、指纹等考勤方式。在雇员拒绝提供上述个人信息的情况下,用人单位应提供其他考勤方式。
【合规建议】
人脸、指纹等个人信息属于个人敏感信息,用人单位收集时应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
雇员拒绝提供上述个人信息的情况下,用人单位应提供其他可替代的考勤方式或说明这一识别方式的不可替代性。
问题4. 用人单位是否可以对雇员位置进行GPS定位?
【简答】
用人单位是否能对雇员位置进行GPS定位取决于雇员工种和定位时间。
【合规建议】
GPS定位信息和行程轨迹在个人敏感信息的范围内,用人单位收集上述信息的合理性取决于定位内容的必要性以及雇员对被定位的知情同意的权利是否得到保障。前者考量的因素包括雇员的具体工种、定位的时间;后者则要求用人单位收集上述信息的程序合法、合理。
2021年3月起,国外某公司要求送货司机必须在本周签署一份“生物识别同意书”,以允许该公司使用人工智能驱动的摄像头获取司机的位置、运动和生物识别数据,这是一种合理收集雇员定位信息的情形。
[收集]-[存储]-[使用]-[传输]
问题5. 用人单位对不同类型的雇员信息应区分存储吗?
【简答】
用人单位对不同类型的雇员信息应区分存储。
【合规建议】
第一步,用人单位应区分雇员个人敏感信息和非敏感信息进行存储,对于个人敏感信息,用人单位应准备单独告知同意函与雇员确认存储方式,建立风险评估报告及处理情况记录等并存储;第二步,针对生物识别信息,用人单位如无例外情形,不应存储原始个人生物识别信息(如员工面部图像原始文件等),仅将其保留在识别设备终端以身份认证,在实现认证功能后删除可提取的原始图像。
[收集]-[存储]-[使用]-[传输]
问题6.用人单位应对雇员提出个人信息权利要求的措施包括哪些?
【简答】
用人单位应明晰细化各阶段雇员的个人信息权利内容及行使要求。
【合规建议】
第一步,用人单位应设置雇员个人信息处理告知函,确认收集信息的合理性和必要性,列明雇员享有的个人信息权利内容、行使方式及程序。
第二步,用人单位应在和雇员签订的《劳动合同》中,阐明具体职位类型对应可合理处理的信息内容,个人敏感信息应单独列出并征得同意。
第三步,用人单位应在企业规章制度中规定雇员未如实告知相关个人信息的责任以及双方解决争议的方式。如若雇员隐瞒此类信息,则单位有权要求雇员提供相关个人信息,拒不提供的,则视情况可对该雇员作出处理。
[收集]-[存储]-[使用]-[传输]
问题7.用人单位向境内第三方传输雇员信息数据时有什么流程?
【简答】
用人单位应根据规定告知雇员相关信息、征得雇员的同意;用人单位应对第三方数据合规能力进行评估,监督第三方个人信息处理过程,并约定双方的权利义务。
【合规建议】
一方面,用人单位向境内第三方传输数据应取得雇员同意,向雇员告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类。接收方应在上述范围内处理个人信息,变更的应重新取得个人同意。
另一方面,用人单位应监督第三方处理信息的过程。第一步,用人单位应核实第三方的数据合规能力,设置数据保护技术措施、风险评估机制、外部监督机制等体系;第二步,用人单位应在同第三方的合作合同中明确双方关于雇员个人信息保护的权利和义务,约定委托处理的目的、期限、处理方式、个人信息的种类以及保护措施等;第三步,用人单位应确认合作完成或提前解除情况下,雇员个人信息保存期限以及期限届满如何处理雇员的个人信息;第四步,用人单位应同第三方约定侵权发生后,内部分担责任的方式,及因对方侵权致使本方承担责任后的处理方式等。
结语:
在职雇员的个人信息处理是用人单位人力资源管理工作中的核心问题,设置多维度、多步骤、多环节的合规制度、体系,是解决这一问题的必经之路。
下一篇指南我们将进入劳动用工中的离职环节,涉及的问题包括“离职雇员个人信息的保存期限”、“用人单位如何应对离职雇员提出的个人信息权利要求”、“司法争议中雇员个人信息相关证据的有效性“等热点问题。
