用人单位对雇员个人信息管理保护的合规指南(一):前言篇
关键词:雇员个人信息、用人单位合规、个人信息保护
随着网络信息技术和数字经济的不断发展,有关个人信息保护的问题持续引发社会的广泛关注和热烈讨论。鉴于用人单位是个人信息保护中的重要一环,我们推出系列文章:用人单位对雇员个人信息管理、保护的合规指南。本文作为指南的开篇,将主要围绕雇员个人信息保护的现状、现行法律框架和立法趋势、常见的争议问题等内容进行分析。
一、用人单位保护雇员个人信息的现状
在劳动用工视角下,招聘、用工、退工等流程、环节中均会涉及雇员的个人信息处理。随着国家出台多项法律法规政策强调对个人信息的保护,“入职过程中是否能收集婚姻、生育及其他身体信息”、“用人单位否对配发的电脑实施监控”、“可否通过GPS监控员工位置信息”、“用人单位在员工离职后还可以存储个人信息吗”等常见的问题,在新法规下将对应不同的合规路径。而近来的“网络招聘个人简历泄露”、“H&M服务中心因监控数百名雇员,被处以3530万欧元的罚款”、“用人单位辞退未真实填写个人情感的雇员败诉“等事件,敲响了用人单位需积极建设雇员个人信息合规管理、保护框架的警钟,也同样提醒用人单位对雇员个人信息的合规有必要予以重视并更新认知。
雇员个人信息安全的风险频发和国家立法工作的深入,预示着用人单位加强雇员个人信息保护是必然的趋势。用人单位将要投入相当成本,以符合雇员信息合规的法规及监管要求。
二、现行法律框架
继阐明用人单位建立雇员个人信息合规管理框架的重要性与急迫性,考虑到法律规范是合规框架建设的前提要求和基础指向,本文将细化和简要解读现行保护雇员个人信息的法律框架。
(一) 现行法律法规的梳理
以位阶为视角,将法律框架拆分为法律法规、部门规章和国家标准三个分支。
法律法规主要包括《中华人民共和国民法典》《中华人民共和国个人信息保护法(草案)》《中华人民共和国数据安全法(草案)》《中华人民共和国网络安全法》《中华人民共和国劳动合同法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等;部门规章主要包括《网络安全审查办法》《网络招聘服务管理规定》《个人信息出境安全评估办法(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》《网络安全等级保护条例(征求意见稿)》等;国家标准主要包括《信息安全技术 个人信息安全规范》《信息安全技术 个人信息安全影响评估指南(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》等。
上述法律规范的整理,在两个重要视域内为合规管理指南的建立提供参照:一是对重要的概念作出了指导性的规定,二是确认用人单位考虑雇员个人信息保护时应涉及的维度和具体环节。
1. 雇员个人信息的范围”这一重要概念的指导性规定
“雇员个人信息的范围”这一问题,贯穿于任一阶段的合规指南。其核心内涵是“个人信息的范围”和“用人单位可收集雇员信息的范围”。
个人信息的范围:
《个人信息保护法(草案)》、《信息安全技术 个人信息安全规范》确认了有关“个人信息”的范围。《个人信息保护法(草案)》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《信息安全技术 个人信息安全规范》3.1以及3.2条中规定:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。其中个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。”
用人单位可收集雇员信息的范围:
《劳动合同法》第八条规定,用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。《劳动合同法》第七条规定,用人单位应当建立职工名册备查。《劳动合同法实施条例》第八条进一步规定,劳动合同法第七条规定的职工名册,应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。但在实际的人力管理活动中,用人单位往往会倾向于收集更细致、更全面的雇员个人信息,该等收集需要受哪些约束,注意哪些问题,是我们后续讨论的重点话题。
总结来看,雇员个人信息的范围涵盖了个人敏感信息,但对后者的保护要求严格于前者。
a. 个人信息:用人单位日常收集的雇员个人信息,在匿名化处理之前,均属于需保护的个人信息的范围。包括雇员的姓名、出生日期、民族、籍贯、毕业院校、实习经历、亲属关系、通讯联系方式等。
b. 个人敏感信息:用人单位收集的信息中可能涵盖雇员敏感个人信息。包括身份证件号码、个人生物识别信息(面部信息、指纹信息)、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
2. 雇员个人信息保护涉及的维度和具体环节
《民法典》第一千零三十五条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。同样的环节概念也可见于《网络安全法》、《个人信息保护法》等。据此,用人单位应区分不同环节建设合规管理指南(详见专辑后续分析)。
(二)未来相关立法和实践趋势
从立法、执法趋势来看,我国对个人信息保护的立法、执法呈现两个特征。一是监管的加强;二是重视个人信息的分级和范围的明确。
从监管趋势来看,与2017年的《网络安全法》相比,《个人信息保护法(草案》提高了一档处罚力度,最高可达五千万元或者上一年度营业额百分之五的罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。同时,监管部门加大了主动执法的力度。随着监管机关的执法权力得到进一步明确,2020年以来,专项执法和主动执法的比重逐步提升。
从个人信息的分级和范围来看,个人生物识别信息收集、储存要求趋严。如2020年出台的《个人信息安全规范》规定收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。这要求用人单位对个人生物识别信息等个人敏感信息制定单独的政策和格式文件。
三、案例检索和常见争议
经过检索“劳动者与用人单位隐私权纠纷“的诉讼案例,在用人单位对雇员个人信息保护方面,主要的争议案由包括:“用人单位在工作电脑上私自安装“超级眼电脑监控软件”,并且监控原告微信、QQ的行为是否侵犯隐私“ ,“发生劳动争议时提交工作电脑中的信息作为证据是否有效“,“登报公开员工的身份证信息是否侵犯隐私”等内容。对于这些争议的解读,我们会在专辑后续的文章中作对应的详细解读。
四、结语
在企业的日常人力资源管理中,从招聘信息的发出,到雇员离职后的争议,全环节均涉及雇员个人信息的收集、存储、使用和传输。面对雇员个人信息合规要求提升的挑战,用人单位完整建立对雇员个人信息的合规框架急迫且重要。我们将在后续的用人单位保护雇员个人信息的合规管理指南系列文章中,以“入职”、“在职”、“离职”三个阶段,“收集”、“存储”、“使用”、“传输”四个维度,进一步对相关的问题进行阐释。
