《个人信息保护法》实施后, 用人单位需掌握的15个法律要点!
发布时间:2021-08-24 浏览次数:2568次
一、什么是个人信息?
二、什么敏感个人信息?
三、个人信息与个人隐私是什么关系?
四、单位是法律规定的个人信息处理者吗?
五、个人信息的处理包括哪些?
六、处理个人信息须经劳动者同意吗?
七、处理敏感个人信息须经员工同意吗?
八、处理个人信息应遵循哪些原则?
九、向境外提供员工个人信息有何要求?
十、与第三方合作开展员工关系管理工作,应注意哪些事项?
十一、个人信息处理中员工有哪些权利?
十二、个人信息处理中单位有哪些义务?
十三、员工的个人信息受保护权与用人单位哪些权利会产生冲突?
十四、单位处理个人信息不当有哪些风险?
十五、《个人信息保护法》实施在即,HR要做哪些具体工作?
在当今的网络时代,“信息”和“数据”是高频用词。各国立法者的用词不同,有些使用“个人数据”或“数据”这个词,如欧盟《一般数据保护法案》(简称GDPR),再如法国的《数据处理、数据文件及个人自由法》、德国的《联邦数据保护法》。而我国在法律条文中使用是“个人信息”,如我国《网络安全法》和《民法总则》都使用“个人信息”的表述,《民法典》也延续使用“个人信息”这个词,我国专门制定了《个人信息保护法》,自2021年11月1日起施行。那么作为用人单位,尤其是HR该如何来把握这部法律呢?下面帮助大家梳理一下必知的15大法律要点:
《个人信息保护法》第4条对个人信息有明确的界定,即:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。与《民法典》对个人信息采取具体列举式的定义不同,《个人信息保护法》采取抽象化概况式的定义。 | |
| 第4条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 | 《民法典》第1034条 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 |
结合以上两部法律规定,公司在员工关系管理中必定会涉及员工的个人信息,而且在人力资源管理的各个环节中都涉及员工的个人信息。《个人信息保护法》第28条,对敏感个人信息有明确的界定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。照此规定,在员工关系管理中,用人单位会接触员工大量的敏感个人信息,如指纹、人脸识别信息、健康信息、银行账号甚至行踪信息等。对于该问题,《个人信息保护法》并无规定,《民法典》对此有相应的规定。按《民法典》第1032条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。从该条规定来看,私密信息属于隐私的范畴,个人信息当然包含私密信息,个人信息中的私密信息当属隐私的范畴。对此,《民法典》第1034条也有明确规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。《个人信息保护法》第73条,明确规定了个人信息处理者的定义,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因用人单位在劳动关系管理中必然会涉及自主决定处理员工个人信息的目的和方式,属于法律规定的个人信息处理者。《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。相对于《民法典》,《个人信息保护法》在列举个人信息处理的具体环节时又增加了“删除”。 | |
| 第4条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 | 《民法典》第1035条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。 |
从以上规定来看,用人单位在员工关系管理中,处理员工个人信息也贯彻用工管理的全过程,如入职让员工填写相关信息、将员工个人信息提供给出资方、关联方或合作方、登报送达相关通知会涉及公开员工的个人信息等。
按《民法典》第1035条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;从《民法典》规定来看,处理个人信息的前提一般是要经过自然人“同意”,但法律另有规定的除外。大家也知道,在劳动关系中,用人单位与劳动者存在管理与被管理的关系,如果处理个人信息都需要劳动者同意,那么用人单位的管理权将无法实施,如用人单位要实施人脸识别考勤,劳动者不同意用人单位采集人脸信息,用人单位就无法实施人脸识别考勤。好在《民法典》在强调“同意”的同时,也预留了口子,即“法律另有规定的除外”,现在这个法律就来了,那就是《个人信息保护法》第13条,具体规定如下:《个人信息保护法》第13条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;……
从以上第二项规定来看,立法者专门点了一下“合同”、“劳动规章制度”、“集体合同”、“人力资源管理”等,即为履行合同或实施人力资源管理所必需而处理个人信息的,不需要取得劳动者同意,如为了管理需要安置监控设施设备、为了委托第三方发工资或缴纳社保需要将员工信息提供给第三方合作伙伴等。有了这一条款的规定,终于可以使HR松一口气了!不过松口气的同时,HR新任务也来了,劳动合同、集体合同、规章制度是否已经有了相关铺垫条款呢?如果没有,是不是该修订、完善自己管理的一套人力管理文本呢?虽然《个人信息保护法》对人力资源管理中的职工个人信息处理有松绑,但“同意”这个要求,仍然会被裁判者看重,并以此判用人单位承担不利后果的可能性也会增加,如前一段发的一个典型案例:新案剖析:公司从员工工作手机中恢复通话录音作证据,合法吗?
《个人信息保护法》第二章第一节第13条规定了处理个人信息的一般规则,但第二章第二节还专门规定了敏感个人信息的处理规则,其中敏感个人信息前面第二个问题已介绍,即:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。对于敏感个人信息的处理,《个人信息保护法》规定较为严格,其第28条第2款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。第29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。从这一条规定来看,处理敏感个人信息需要经过员工的单独同意。这一规定估计很多HR看了又不淡定了,如考勤管理采集员工指纹或人脸信息,这涉及生物识别信息;安排职工健康体检会涉及健康信息,病假管理中需要员工提供就医资料等,这些都是医疗健康信息,这些都需要员工单独同意才行。如果员工不同意该怎么办?这会给员工关系管理带来新的摩擦和冲突。
如前所述,用人单位在员工关系管理中涉及大量的个人信息,处理个人信息也贯穿用工管理的各个环节,处理个人信息有哪些基本原则?对此,《个人信息保护法》第5条至第9条规定了处理个人信息应遵循的原则,具体总结如下:1.合法原则:处理个人信息必须依法进行,不得通过误导、欺诈、胁迫等方式处理个人信息。2.正当原则:处理自然人个人信息应当具有正当性目的,不能出于窥探个人隐私或其他非法目的。3.必要原则:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,有一定的必要性。4.诚信原则:诚信信用是所有民事活动的基本原则,处理个人信息,尤其是用人单位处理员工的个人信息更应注意诚信信用原则。5.最小限度原则:不得过度收集个人信息,应当限于实现处理目的的最小范围;应采取对个人权益影响最小的处理方式;对于获得个人信息,应当注意知悉范围或传播范围的限制,应限定最小的知悉范围,尤其是在用工管理中,应当仅限于有关的管理层知悉,不能扩大至其他员工。6.公开透明原则:应公开处理信息的规则,明示处理信息的目的、方式和范围。7.质量保证原则:处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。如员工工作年限不准确会影响医疗期、年休假的计算。8.安全保障原则:个人信息的使用与处理必须建立在保证信息安全的基础上。目测以上几个原则,笔者认为在员工关系管理中处理个人信息的必要原则、最小限度原则是不易把握、易引发纠纷的,如用人单位为预防职场舞弊让员工申报亲朋好友关系,某知名电商曾要求职工申报同学关系,自小学同学开始申报,这个是否属于符合必要和最小限度原则,是否属于过度要求?再如,病假管理中,要求员工除提供挂号单、病假证明单外,要求员工提供病历,是否属于过度搜集个人信息?这些问题,肯定是仁者见仁智者见智了,且一旦发生劳动争议,不同的价值取向就会导致案件结果的天壤之别,如前一段发的一篇典型案例:员工病假拒不提供病历被开,法院用《民法典》判企业赔60多万!
对于外资企业来说,在中国境内的公司出于人事管理的需要向境外母公司或关联公司或合作伙伴提供员工个人信息的现象也屡见不鲜,这就涉及个人信息的跨境提供。对此,用人单位今后也要注意法律规定,具体而言,有以下几点核心要求:1.获得员工单独同意。对此,《个人信息保护法》第39条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”2.达到一定数量的,应获得主管部门的安全评估。对于需要向境外提供较大数量职工信息的,除获得员工本人同意外,还应获得主管部门的安全评估。对此,《个人信息保护法》第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”笔者注意到,早在2017年4月11日, 国家互联网信息办公室就《个人信息和重要数据出境安全评估办法(征求意见稿)》(“评估办法”)发出公开征求意见的通知,但截止目前,该文件还未正式颁布,现在《个人信息保护法》已颁布,这个文件的颁布也应该不远了。这对于外资企业会有重要影响,但笔者认为,职工规模不大的外资企业向境外提供职工信息量不大、不涉及敏感信息的,一般不需要走安全评估这个程序。十、与第三方合作开展员工关系管理工作,应注意哪些事项?在企业人力资源管理中,还经常会出现与第三方合作的现象,如人事代理中的委托招聘、委托背景调查、委托代发工资、委托代缴社保、委托购买商业保险;再如推行电子劳动合同的,将劳动者个人信息存储在第三方平台上等等。这些委托事项的处理,也涉及职工个人信息的处理。对此,《个人信息保护法》也有相应的规范,该法第21条规定,“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。” 因此,用人单位在与第三方合作,涉及处理职工个人信息(处理的含义前面已介绍,包括收集、存储、使用、加工、传输、提供、公开、删除)的,双方的商务合同中也应注意按照《个人信息保护法》的规定,增加相关个人信息处理的条款。《个人信息保护法》与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、复制权、更正权、转移权、删除权(又称被遗忘权)、要求解释权、代行使权等。有关员工的这些权利体现在《个人信息保护法》第四章中的个人在个人信息处理活动中的权利,不再具体展开介绍。如前所述,用人单位也是法律规定的个人信息处理者,个人信息处理者的义务主要体现在《个人信息保护法》第五章的个人信息处理者的义务,具体可以归纳为以下几点:1.制定内部管理制度和操作规程
2.分类管理个人信息
3.采取安全技术措施
4.管理培训内部人员
5.制定应急预案
从以上规定来看,也为用人单位在个人信息管理的建章立制方面提供了指引。十三、员工的个人信息受保护权与用人单位哪些权利会产生冲突?按《民法典》和《个人信息保护法》规定,自然人的个人信息受法律保护。《个人信息保护法》第1条的立法目的明确规定是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。自然人在求职过程中、入职用人单位甚至从用人单位离职及离职后,也涉及个人信息保护。对此,《个人信息保护法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”这表明,员工在职场上的个人信息也受保护,但职场上存在管理与被管理关系,员工的个人信息受保护权难免会与用人单位的相关权利产生碰撞、摩擦,具体而言,笔者认为主要有以下几个冲突:1.员工个人信息受保护权与用人单位知情权。《劳动合同法》第8条规定:“用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”由此可见,员工有个人信息受保护的权利,但用人单位有对劳动者相关信息知情的权利,这两个权利就容易产生冲突,因为两个权利的边界不容易把握,什么是与劳动合同直接相关的基本情况也存在争论。如前一段发的一篇文章:公司要应聘者填写谈恋爱经历和时长,理由亮了,人社局为难了!
2.员工个人信息受保护权与用人单位的管理权。劳动者与用人单位建立劳动关系之后,应当接受用人单位的管理,但劳动者在接受用人单位的管理中也有独立的人格,在劳动关系领域就会产生员工个人信息受保护权与用人单位管理权的冲突,如用人单位将指纹考勤切换为人脸识别考勤,员工若拒绝用人单位采集人脸信息就会产生争议;再如用人单位要为外勤、销售人员配备具有定位功能的手机或电子产品,员工不同意的,也会产生争议。如前一段发的一篇文章:员工认为用自己手机钉打卡和开定位侵犯隐私,不服从,可开除吗?
3.员工个人信息受保护权与用人单位的调查取证权。劳动者与用人单位有发生劳动争议的苗头时,用人单位需要调查、搜集证据,在调查取证时有可能涉及到调取监控视频、对给员工配备的电子产品进行监控或恢复收据,这个过程中就会涉及员工的个人信息受保护权与用人单位调查取证权的冲突。如前一段发的一篇文章:新案剖析:公司从员工工作手机中恢复通话录音作证据,合法吗?
《民法典》、《个人信息保护法》的相继实施,将个人信息保护提到了前所未有的高度,用人单位在人力资源管理中也应提高处理个人信息的合规意识,否则,处理个人信息不当,会带来相应的风险,具体风险点有以下几类:1.被曝光的风险。现代社会自媒体比较发达,每个人都是一个媒体人,这就要求HR在人力资源管理各环节处理个人信息时应注意法律的规定,否则,有被曝光的风险。如在招聘录用环节让员工填写恋爱信息、婚育信息、计划生育信息等,都有企业被求职者曝光的典型案例,如前一段发的文章:公司要应聘者填写谈恋爱经历和时长,理由亮了,人社局为难了!
惹众怒!三孩政策刚来,企业要求女职工填是否有生育计划!
2.被信用惩戒的风险。《个人信息保护法》第67条规定:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”3.行政责任的风险。违反法律处理个人信息,按《个人信息保护法》第66条和第71条的规定,应承担相应的行政责任。
行 政 责 任 | | 处罚后果 |
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的 | 责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务 |
拒不改正的 | 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款 |
情节严重的 | 责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人 |
治安管理处罚 | 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚 |
4.民事责任的风险。违反《个人信息保护法》处理个人信息,给员工造成损害的,应当承担赔偿责任,对此该法的第69条有明确规定。 | 归责原则 | 责任后果 |
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。 | 损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。 |
5.劳动争议败诉的风险。如前所述,员工的个人信息受保护权与用人单位的知情权、管理权、调查取证权会产生冲突,在员工的个人信息受保护权与用人单位知情权、管理权、调查取证权发生冲突时,如何取舍就决定了劳动争议的输赢,前面本号发布的大量案例都充分说明了这一点。
6.刑事责任的风险。对此,《个人信息保护法》第71条规定,违反本法规定,构成犯罪的,依法追究刑事责任。对于刑事责任,这里也不再过多展开。十五、《个人信息保护法》实施在即,HR要做哪些具体工作?通过前面14个问题的分析,HR其实也应该能感受要做的具体工作:1.学习新法律。最起码应该关注或学习一下最新颁布的《个人信息保护法》,在人力资源管理中增强个人信息保护的法律意识。2.修订劳动合同文本。《民法典》以及《个人信息保护法》的颁布,也是用人单位修订、完善劳动合同文本的契机,尤其是《个人信息保护法》第13条对用人单位通过劳动合同、集体劳动合同文本实施人力资管理所必需处理个人信息作为可以不经个人同意的法定情形,更提醒用人单位在修订劳动合同、集体劳动合同文本时注意增加处理个人信息的相关条款。最后再提醒一下,别傻乎乎再用政府提供的劳动合同示范文本了,也不要百度上随便下载劳动合同文本了!3.修订《员工手册》。通过前面分析,可以看出在用工管理的各个环节都可能涉及员工的个人信息,用人单位在行使知情权、管理权、调查取证权时,需要注意避免侵犯员工的个人信息权益。笔者认为,为避免相应的风险,用人单位重视员工个人信息保护,有必要制定相应的政策,有关政策内容应至少包括个人信息收集、个人信息保管、个人信息使用、个人信息传输、个人信息删除等各个环节,有关政策规定要达到的目的应当满足以下几点:1)用人单位在处理员工个人信息时应注意避免侵犯员工的个人信息;2)为用人单位处理个人信息设定合理的铺垫性条款;3)规范职场上员工与员工之间涉及个人信息的不当行为,如不能在公司内传播他人的个人信息等。4.设计相关表单。要全流程分析用工管理各环节涉及处理个人信息的具体事项、所隐藏的风险以及风险规避的措施,如在招聘环节对候选人进行背景调查的,应当设计“背调个人信息的授权书”,并让应聘者签字确认;再如入职环节,应当设计“个人信息授权使用声明”等,并让员工签收等。5.日常管理注意员工个人信息保护问题。以上几个方面更多侧重于文本的完善,文本的完善可以为日常管理提供很好的工具,但在日常管理中也应注意员工个人信息的保护,如对于员工提交的病假材料,HR要注意限定知悉范围,否则,就有违安全保障原则;再如向员工公告送达解除劳动合同通知书时,应注意员工敏感个人信息的处理等。
声明:本文观点只作参考,切不可作为决策依据,具体问题还请咨询专业人士。
图文版权归原作者所有,如有侵权,请联系删除。
