2021年8月20日,全国人大第十三届常务委员会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称“《个保法》”),并决定于2021年11月1日起实施。
笔者从《民法典》颁布以来,曾多次在线下讲座中与大家探讨了企业在员工背景调查、考勤管理、病假管理、违纪调查、内部审计中,个人信息保护与企业劳动用工自主权的冲突问题。这一年多来,相关司法案件层出不穷,各地法院价值取向各异,笔者置身其中也在不断地变化着自己的观点。
笔者认为,《个保法》颁布之后,企业在员工个人信息保护方面的风险防范将愈加突出,笔者试结合司法实践及本人从事人力资源合规的一点点经验,从企业用工的角度,初略梳理一遍《个保法》,供大家参考。
《个保法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《个保法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
笔者对比了《民法典》关于个人信息、个人隐私的规定:
《民法典》第1032条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
看下来似乎还是不甚明了,为此,笔者向本所信息安全合规大牛吴沩旻律师叨教,于是有了以下参考文件——《信息安全技术个人信息安全规范》GB/T 35273—2020。
△来源:《信息安全技术个人信息安全规范》GB/T 35273—2020)
《个保法》把个人信息分成了“一般个人信息”和“个人敏感信息”,是的,这两种信息的处理途径、相关责任肯定不一样,这个后面会详细说。
企业可以自行参考对照上述文件进行员工个人信息分类。
《个保法》在第一节“一般规定”的第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
笔者一开始看到这条的理解是,只要企业为用工管理需要,在企业规章制度或劳动合同中规定了个人信息处理规则的,就无需取得员工个人同意了。
但是这还只是“一般规定”,后面还有特别规定。
《个保法》在23条、25条、26条、29条、39条规定了5种需要个人单独同意的情形,分别是:
也就是说,这5中情形下,无论企业在《入职登记表》《劳动合同》《规章制度》有没有设置相应个人信息处理的条款,均无权处理员工的个人信息,而应当员工单独同意,也就是单独签订《员工个人信息使用同意书》。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
《个保法》第5条到第9条规定了员工个人信息的处理原则,分别是:合法、正当、必要、诚信、最小范围使用、公开透明、准确完整、安全措施,大家从字面意义理解即可。
第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第九条个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
前面说到,《个保法》把个人信息分成了“一般个人信息”和“个人敏感信息”,处理途径有不同的要求,具体如下:
充分知情、自愿、明确
处理目的、方式、信息种类变更的,需重新取得同意
个人有权撤回同意
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
上述要点从字面理解即可,问题是要怎么做才算让员工充分知情、自愿、明确?
《个保法》第17条已经有明确规定,企业在处理员工个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向员工告知下列事项:
个人敏感信息是《个保法》重点保护的对象,根据《个保法》第28条、29条、30条规定,企业处理“个人敏感信息”的关键要点如下:
具有特定的目的和充分的必要性(鉴于条款)
将必要性、目的、处理方式等告知员工(知晓条款)
采取严格保护措施(保密措施)
取得个人的单独同意(同意条款)
由此可见,在《个保法》生效后,以前那种泛泛的《员工个人信息使用同意书》已经跟不上法律要求了,企业应尽快进行个人信息分级、细化告知书及同意书。
(1)一旦违反:责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;
(2)拒不改正:并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
(3)情节严重:由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
(4)信用惩罚:依照有关法律、行政法规的规定记入信用档案,并予以公示。
(1)举证责任:不能证明自己没有过错的,应当承担损害赔偿等侵权责任。(自证清白)
(2)赔偿责任:按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
(3)公益诉讼:违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
(1)构成违反治安管理行为的,依法给予治安管理处罚。
(2)构成犯罪的,依法追究刑事责任。
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
《个保法》第51条清楚明白的规定了企业的5项义务,分别是:
(1)完善制度:制定内部管理制度和操作规程
(2)信息分类:对个人信息实行分类管理
(3) 技术措施:加密、去标识化等
(4)合规培训:个人信息处理的操作权限管理,进行安全教育和培训
(5)补救措施:制定并组织实施个人信息安全事件应急预案
此处笔者需要提醒的是,这除了是企业合规途径外,还是企业的法定义务,而前述提到了“自证清白”的举证责任,也就是说,企业除了履行上述义务外,还得注意保留相关履行义务的证据,否则将可能承担赔偿责任。
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
笔者认为,《个保法》实施在即,企业应先对自身的员工个人信息保护情况进行自查,梳理自入职、在职、离职全流程的个人信息保护风险节点,学习新法以建立企业自身的个人信息保护意识。如有必要,可委托专业人士重新修订如《员工个人信息使用同意书》《劳动合同》《文书表单》《员工手册》及与第三方的个人信息处理协议等文件,建立适合于企业自身的个人信息保护合规体系,避免企业由于对规则的不了解、错误理解或疏忽,而导致承担不必要的法律上、行政上和经济上的责任。
天地人柏晟商事团队人力资源合规负责人,同时担任长沙市雨花区劳动争议仲裁委员会兼职仲裁员。吕律师律师擅长人力资源相关法律服务,业务涉及企业劳动争议案件处理、企业规章制度制定与完善、薪酬结构与用工模式的合规筹划、企业并购重组等资本运作中的人力资源管理合规等。