观点 | 从人力资源管理角度谈个人信息保护
资讯
观点
案例
律途
荐读
无论单位规模大小,无论从事线上业务与否,无论处于什么行业领域,用人单位都是收集、存储、使用、处理和转移个人信息数据的基本社会主体。绝大多数用人单位基本上都使用计算机信息系统作为收集和使用员工及求职者个人信息的载体。用人单位作为密集收集、使用、处理个人信息的主体,日常的人力资源管理工作流程涵盖了个人信息的整个生命周期,因此,用人单位应当遵从《中华人民共和国网络安全法》(以下简称“网络安全法”)及《中华人民共和国民法总则》(以下简称“民法总则”)等法律法规确定的合规要求。
壹
个人信息保护的基本法律原则
民法总则第一百一十一条规定,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
网络安全法第四十一条规定,网络运营者[1]收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
贰
用人单位人力资源管理中哪些环节需要确保个人信息合规
用人单位的日常人力资源管理中,凡是涉及个人信息收集、处理等个人信息生命周期的环节,都是需要关注的合规点。总体而言,用人单位有必要调整相关合同文本(劳动合同及/或保密协议、与人力资源供应商、外部IT供应商之间的服务协议等)以及内部规章制度,并从制度上确立内部合规流程并予以严格执行,保护好个人信息,减少合规风险。下文拟结合作者在劳动人事方面的法律服务经验,为企业梳理人力资源管理各个环节所应遵循的个人信息保护合规要求。
01
用人单位收集个人信息的范围
《中华人民共和国劳动合同法》第十七条规定,劳动合同应当具备的条款包括劳动者的姓名、住址和居民身份证或者其他有效身份证件号码。因此,为履行劳动合同,用人单位依法可获得劳动者的前述信息。如果前述信息发生变更,需要劳动者提供的,需要在劳动合同或内部规章制度中作出相应规定。如用人单位需要获得员工的其他个人信息,应评估信息需求,仅收集履行劳动合同所必需的个人信息,且与员工就收集的其他个人信息作出明确的约定,取得员工的书面同意。
02
招聘阶段的个人信息保护
用人单位获取候选人简历等个人信息的途径,大致包括:(a)候选人通过电子邮件、寄送纸质简历等方式将简历及其个人信息直接提供发给用人单位;(b)用人单位通过各大招聘网站浏览、获取候选人简历;(c)猎头公司或其他主体将候选人简历发送给用人单位。
候选人自行向用人单位提供简历等个人信息,一般而言,用人单位无需担心个人信息来源合法性问题,但如果用人单位通过自己的信息网络系统要求求职者填写简历个人信息的,仍需要设置简洁、明确、清晰易懂的隐私政策,告知求职者为招聘目的需要收集的个人信息范围、保存期限以及是否涉及将个人信息提供给其他主体等,取得求职者的同意;涉及收集个人敏感信息(如身份证号),必须通过求职者自行填写或勾选“同意”收集、处理此类敏感信息的明确同意。求职者向用人单位发送电子邮件投递简历的,可在后续面试环节时,书面形式告知求职者收集、保存期限、如何使用个人信息并且用人单位将予以保密等为宜,取得求职者同意。
用人单位通过招聘网站浏览获取个人简历的,如可行,尽量与招聘网站平台方在合作协议中要求其确认:网站平台方已经取得简历主体的同意,上传到该网站上的简历,如未设置屏蔽功能的,简历主体同意由企业方用户浏览、获得该等简历以及其中包含的个人信息。为了进一步减少用人单位在获取个人信息方面的风险,在与个人求职者有后续接洽时,以要求个人求职者另行发送一份自己的简历到用人单位邮箱或者在用人单位自己的信息系统中填写、上传个人简历为宜。
同理,在使用猎头服务时,从用人单位角度而言,为避免及/或降低个人信息合规风险,需要尽合理努力评估猎头公司对候选人个人信息保护的能力,并在猎头服务合同中明确个人信息保护问题,由猎头公司承诺其已取得候选人的同意将简历等个人信息提供给用人单位用于求职目的。在后续招聘面试等阶段,以要求求职者填写简要的书面文件(简历信息登记表),并告知用人单为收集个人信息的目的、范围、方式、保存期限、是否披露给其他第三方等,由求职者签名,取得求职者的明确同意。
明知第三方主体提供的简历个人信息来源合法性存疑,用人单位应谨慎使用其信息资源服务。明知或应知第三方主体数据和个人信息来源可能有问题,但仍然使用该等第三方主体提供的简历等个人信息,符合特定情形,有可能被认定为非法获取个人信息,合规风险大。
03
背景调查
用人单位开展尽职调查通常分为两种方式,一种是用人单位自行进行,一种是用人单位委托其他主体(如猎头公司、第三方调查公司等),调查方式主要包括核实求职者提供的证书等材料、通过依法公开的资源查询以及通过向求职者提供的原工作单位联系人询问背景情况。背景调查阶段的个人信息保护合规要点包括如下:
用人单位通过书面告知书告知求职者基于核实相关资格资历背景情况、作为完成后续录用需完成的步骤,需要求职者提供相关资格资历证明,可能收集求职者包含于前述材料中的个人信息,以及使用该等个人信息的范围和方式,该等信息保存的期限等,确保求职者签署以上告知书,明确其同意向用人单位提供毕业证书、学位证书等以及前述文件证书中包括的个人信息。
如果用人单位委托第三方进行背景调查,一方面需要取得求职者的同意,其个人信息将为开展尽职调查目的提供给第三方,并且第三方基于背景调查可能获取求职者与评估其资格能力相关的其他个人信息,另一方面需要评估第三方的数据保护制度管理及技术能力,并通过委托合同划分双方关于个人信息保护的权利义务和责任,要求第三方通过合法途径调查求职者背景信息,保护好获取的个人信息,约定第三方负有保密义务并不得将获取的背景情况(包括个人信息)提供给他人使用,并约定第三方主体是否需要在委托合同履行完毕后一定期限内将个人信息去标识化或直接予以删除。
04
未入职候选人的简历可否予以保存
如果候选人最终入职,按照劳动合同法的规定及劳动合同或单独的个人数据采集、使用协议或内部规章制度的规定,用人单位收集、存储、使用其个人信息。如果候选人最终未入职,候选人的简历及个人信息如何处理?
企业应评估有无保留未入职求职者的简历等个人信息的必要性,如无必要,将该等个人信息予以删除。如果需要保存未入职候选人的简历信息,需要明确告知候选人其简历将予以保存,基于何种目的予以保存,保存的期限,用人单位保存简历等个人信息将负有确保信息安全及不违法披露给第三方等义务,取得候选人的明确同意。前述同意的取得,可在投递简历或面试前要求候选人登入用人单位的信息采集系统填写相关简历信息,并通过系统的设置,由候选人浏览相关隐私政策或个人信息收集使用规则,并勾选“同意”信息被用人单位收集、保存。
05
网络安全及数据保护岗位(JD确定、背景调查、保密承诺)
根据网络安全法等法律法规及正在制定中的一些规章、规范,一些企业有必要依法设置网络安全及数据保护的管理机构及岗位(类似于欧盟《通用数据保护条例》(GDPR)规定的数据保护合规官DPO)。
用人单位需要根据法律法规等规范的要求,依法合规确定网络安全及数据保护岗位的职位描述,对在该岗位上工作的人员进行入职前的背景调查,并与其签署关于个人信息保护方面的保密协议,对于个人信息的保密义务不因未来劳动合同关系的解除或终止而予以解除或终止。
实际上,用人单位有必要审核并调整、更新其与所有员工的保密协议,如与员工签署的保密协议(或劳动合同中纳入的保密条款)没有将个人信息作为保密信息,则需要明确地将个人信息列为保密信息,要求员工对履行劳动合同过程中从用人单位、用人单位关联机构、用人单位外部合作伙伴等获得的其他自然人的个人信息,均应保密,不得因履行劳动合同及其职责以外的原因使用、复制、传输、存储或提供给任何第三方主体。
06
人脸识别技术的运用
人脸识别将涉及采集个人的脸部及/或虹膜等个人敏感信息,因此需要按照国家相关法律法规保护该等个人敏感信息。用人单位如果采用人脸识别技术打卡考勤,或用于解锁门禁,需要获得员工因面部、虹膜等可能被收集的个人敏感信息予以明确、明示的同意——需要员工签署同意书,或者通过内部IT系统告知员工时由员工自行勾选“同意”选项。
使用第三方提供的人脸识别软件和设备设施的,还需要与第三方就个人敏感信息使用范围、权利义务责任划分、保密义务、个人敏感信息保存期限以及业务合作终止时的删除义务在合作协议中进行明确约定。
人脸识别技术的应用目前还存在争议,用人单位需要保持法律法规法律实践方面的关注。
07
IT系统、公司提供设备的使用与监控
企业用人单位,尤其是外资公司,在内部IT系统、公司提供设备的使用方面,往往适用其IT使用规则,或规定于员工手册中,或规定于单独的内部IT使用规则中,并采取必要的措施管理、监控用人单位的IT系统、公司提供的设备。用人单位需要在行使人事管理权的同时,注意避免侵犯员工的个人隐私、保护员工的个人信息。
为满足个人信息保护合规要求,用人单位需要明确员工使用公司IT系统及公司所提供设备的使用方式、范围和界限,在内部规章制度中明确规定用人单位的IT系统及所提供的相应设备用于工作用途,员工不得将与履行劳动合同、开展用人单位业务无关的个人信息存储在用人单位的IT系统及设备中,并明确用人单位对IT系统及提供给员工使用的设备的权限——备份、扫描、检查、监控——为经营管理所需及调查相关员工可能存在的违纪行为时,有权复制、扫描、检查用人单位提供员工使用的电子邮件系统、电脑、手机及其他设备等;员工私自存储于IT系统及有关设备中的与工作无关的个人信息,在用人单位扫描、备份等时可能被用人单位收集。前述规章制度应通过民主方式通过并由员工签收并确认同意受其约束。
08
定位、监测、追踪员工活动轨迹
涉及到监测员工行为(包括员工所持有的含定位、监测、追踪功能的公司手机、公司汽车等)数据的,用人单位首先应评估其必要性,收集这些信息是否为实现公司业务、员工管理所必须收集的信息——比如用人单位自己聘用的员工从事递送业务,需要实时定位员工所在处所,预估完成递送业务的时间并向客户展示的,此种定位、检测及追踪信息应该说是符合该用人单位日常经营需求的,但用人单位应当取得员工的明确书面同意。但,用人单位不得在员工下班后对其定位、监测和追踪,否则可能构成侵犯员工个人隐私以及个人敏感信息(涉及员工的行踪轨迹)。
关于公司内部的监控视频,以公司进出大门、楼道等为宜,不宜对员工日常工作的区域进行监控,特殊行业有特殊合规要求的除外。
09
违纪调查
用人单位在对涉嫌违纪的员工进行调查时,往往会调取员工使用公司邮箱的来往电子邮件及使用公司设备以及自其他外部主体处的相关记录或信息。如以上“IT系统、公司提供设备的使用与监控”所述,用人单位应该IT系统及设备使用规则中明确,基于内部合规调查、员工违纪调查,用人单位有权复制、调用、使用这些信息。
如果前述邮件系统或公司设备以及非公开途径获得的相关信息/记录含有被调查员工存储的个人信息(如照片、聊天记录等)的,用人单位应当予以保密,并依法使用这些信息。
10
儿童个人信息保护
《儿童个人信息网络保护规定》设置了儿童个人信息保护的特别规定。尽管该规定似乎主要适用于面向儿童提供服务(如线上培训服务)的网络经营者,但用人单位通过网络收集、存储、使用、转移、披露儿童个人信息等活动,落入该规定的调整范围。[2]
用人单位在员工福利待遇方面,如安排人力资源服务提供商赠送六一儿童节礼品、为员工的家庭成员包括子女购买商业保险等,可能涉及采集、传输、使用员工小于14岁的子女个人信息,遇此情形,用人单位负有按照《儿童个人信息网络保护规定》规定的义务,以显著、清晰的方式告诉儿童监护人收集、使用、转移、披露儿童个人信息并应当征得儿童监护人的同意,应当采取加密等措施存储儿童个人信息,确保信息安全。将儿童个人信息提供给外部服务提供商的,应对其进行安全评估。
基于以上,收集儿童个人信息前,用人单位需要评估为实现员工福利待遇目的,需要收集哪些儿童信息,按照最少化原则确定所需收集的儿童信息,然后需要通过内部隐私/个人信息保护制度/公告等安排,告知作为监护人的员工收集、使用、转移、披露儿童个人信息的目的、范围、方式以及儿童信息将分享或传输给业务合作伙伴。
另一方面,用人单位需要与接收儿童信息的合作伙伴就儿童个人信息保护、权利义务及责任划分、当收集使用儿童个人信息的目的实现或双方业务合作解除或终止时,将儿童个人信息予以删除。即,关于员工福利,人力资源服务提供商与用人单位的业务合作合同需要更新,或者单独就儿童个人信息保护专门签订协议。
11
人力资源外包服务
在用人单位使用人力资源公司的外包服务(如工资发放、个税申报等)场景下,用人单位需要将员工个人信息提供给人力资源外包服务提供方。用人单位需要核实合作伙伴的数据合规能力(技术安全措施及数据保护合规制度),业务合作合同中需要明确双方关于劳动者个人信息保护的权利义务和责任,业务合作完成或提前解除情况下或者员工离职情况下,员工的个人信息保存期限以及期限届满如何处理员工的个人信息(是否去标识化或匿名化)。
12
员工个人信息的存储和出境
(1) 关键信息基础设施领域企业的个人信息存储和出境
在信息化时代,用人单位通常将员工信息存储在自己的内部计算机系统,或者使用第三方提供的信息系统及/或服务存储。根据网络安全法的规定,属于关键信息基础设施行业的网络经营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此,如果用人单位属于关键信息基础设施领域企业,员工信息应当存储在境内,如果涉及向境外关联机构提供,应当进行安全评估。
(2)非关键信息基础设施行业的用人单位所涉员工信息存储及出境要求
网络安全法没有涉及非关键信息基础设施领域的网络经营者收集的个人信息存储和出境的要求。根据《信息安全技术 个人信息安全规范》(GB/T 35273-2017,以下简称“《个人信息安全规范》”)规定,在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。目前《个人信息安全规范》尚处于修订中,征求意见稿中将个人信息出境条款更改为:个人信息控制者应符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求[3]。
目前数据合规和个人信息保护相关规定“日新月异”,用人单位亟待密切关注法律法规、规章、国家规范等在这方面的更新,以便适时作出相应调整。
(3)厘清何谓“向境外提供”个人信息界限
法律法规没有明确界定何为“向境外提供”个人信息。但,显而易见,如果将个人信息发送给境外主体属于“向境外提供”。实践中,以将允许境外主体访问存储于境内的个人信息纳入向境外提供个人信息范畴为宜。
13
共享或访问境外关联机构人力资源信息
在国外设立分支机构的中资企业,或者总部在国外的境内外资企业,如果人力资源管理中涉及调用、访问或与境外关联机构共享人力资源信息,有必要梳理境外及国内的个人信息保护合规要求,评估具体的数据需求,就跨境员工信息访问、共享制定相应的管理制度并有效执行,确保同时符合境内和境外的个人信息保护合规要求。例如,共享或访问位于欧盟区的关联机构员工信息,应确保已通过合理途径告知被收集个人数据的欧盟境内人员并取得其明确同意,符合欧盟《通用数据保护条例》的合规要求。
14
离职员工信息管理
离职员工的信息需要保存的期限,是用人单位人力资源管理中应关注的一个方面。根据《中华人民共和国劳动合同法》的规定,用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。二年之后呢?除非国家其他法律法规另有保管期限的要求(如符合《会计档案管理办法》情形的,遵照该规定执行),用人单位需要考虑离职员工的个人信息是否予以分类并单独存储、去标识化、匿名化或在满足相关法律规定条件下予以删除。
15
并购重组
企业并购重组过程中涉及到劳动人事方面的尽职调查,为尽职调查及后续交易之目的,企业现有员工甚至部分离职员工的个人信息等需要提供给收购方及其委托的中介机构。因此,用人单位需要事先取得员工的同意,基于企业并购目的,员工个人信息可能会提供给潜在并购买方,并列明需要提供的信息范围。
并购前期阶段的尽职调查,本身对于交易各方而言属于保密事项,尽职调查并不向目标公司所有员工披露,目标公司最好在员工入职之初签署劳动合同时约定或在其内部规章制度中添加用人单位需要将员工个人信息提供给他人的场景/范围,取得员工的明确同意。
同时,需要在与并购交易买方签署的保密协议或相应文件中,就提供的个人信息的目的、保存期限、使用及处理方式、并购最终未完成情形下,并购买方获得的个人信息如何处理,是否去标识化还是予以删除作出约定。目标公司对于并购尽职调查及交易安排而言不是必须提供的个人信息,不予以提供,能够去标识化或匿名化的信息,尽量去标识化或匿名化后再提供给并购交易买方。
16
人力资源部门工作人员应满足新要求
企业内部人力资源管理中,出于对员工个人信息的保护,以限定不同岗位、不同职级人力资源管理工作人员接触个人信息、个人敏感信息的权限为宜。日常工作中,使用个人信息以必要、最低限度为宜。含有个人信息,尤其是敏感个人信息的文件应妥善保管。
以上,用人单位有必要结合人力资源管理过程中所涉及的个人信息收集、存储、使用、传输、共享等场景,将个人信息保护的合规要求融入到人力资源管理过程中,劳动合同及/或保密协议、员工手册等内部规章制度、业务合作伙伴合作协议需要根据数据合规和个人信息保护的规定予以更新。同时,关注个人信息保护方面立法新进展,适时调整、优化内部合规管理,减少合规风险。
注释:
[1] 根据《中华人民共和国网络安全法》,网络运营者指网络的所有者、管理者和网络服务提供者。
[2] 《儿童个人信息网络保护规定》第三条。
[3] 《个人信息出境安全评估办法(征求意见稿)》规定,网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照该办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。
END
李丽霞
天达共和合伙人
上海办公室
lisali@east-concord.com
+8621 5191 7900
李丽霞律师主要从事公司法、收购与兼并、劳动合规及争议解决业务。李律师曾为大量国内外企业,包括外国企业、跨国公司,提供包括外商投资、公司治理、企业合并与分立、股权转让、企业日常运营、劳动及合规、重大商业合同审核与谈判、争议解决、外资退出中国在内的全方位法律服务;其亦曾办理中国企业境外直接投资项目。近年来,李律师还就数据合规和个人隐私保护法律事务进行研究,并为企业提供数据合规相关法律服务。李律师于2018年入选上海涉外律师人才库。
长按二维码
查看李丽霞律师简历
精彩推荐
声明:
以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。