圈子
摒弃各自逞强,共赴同一未来!欢迎添加“萨傲在线”(saao_club001)为微信好友,加入“萨傲之家”微信群!
【导读】根据中国现行的有关个人信息保护的法律法规,用人单位应确保在涉及员工个人信息的收集和使用的活动中获取员工的同意,此外,用人单位还应密切留意个人信息保护方面的立法进展,并视情况在必要时制定和调整企业相关的规章制度。(本文原标题为“收集和使用员工个人信息的合规问题分析”,本文源于“萨傲审计俱乐部”,编辑时对文章内容略作调整。)
与英国、日本等其他国家不同,中国尚未制定专门的个人信息保护单行法或细则。但是,由于近年来多起引发广泛社会关注的个人信息泄露案件¹的发生,个人信息保护的重要性日益突出。信息泄露事件的出现和社会关注度的增加促使立法者推动建立个人信息保护法律体系并制定更多切实可行的执行细则。
为尝试解决引起社会持续关注的个人信息保护问题,中国在涉及银行金融、通信和电子商务等各领域的民事、刑事及行政方面进行立法探索。这些法规对个人信息的收集、使用、存储和处理做出了特定要求,并明确规定了非法获取和提供个人信息行为的法律后果。
近期立法对员工个人信息保护的影响
2016年11月7日出台并于2017年6月1日生效的《中华人民共和国网络安全法》(下称“网安法”)首次从立法层面定义“个人信息”。根据该法第76条,“个人信息”指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
由于用人单位通常会收集大量的员工个人信息,并且此类信息中的绝大部分将落入网安法所定义的“个人信息”范围,因此对于用人单位而言,了解其在实践中是否以及何时需要遵守网安法项下的义务至关重要。
近期的个人信息保护立法更主要是针对特定经营者在其业务活动中收集和使用用户个人信息的行为进行规制。以网安法为例,网安法项下的个人信息收集和保存规则适用于“网络运营者”,尤其是“关键信息基础设施运营者”。“网络运营者”在网安法项下被定义为“网络的所有者、管理者和网络服务提供者”,一般而言主要指电信运营商和互联网公司。网安法中的个人信息保护主要是指对网络运营者日常经营活动中取得的用户个人信息的保护,因此用人单位在其内部管理过程中取得的员工个人信息似乎并不属于该法规制范围之内。事实上,中国尚未出台有关用人单位收集、处理和传输员工个人信息的综合性法律或单行法规,这种现状并未因网安法及近期其他针对个人信息保护的立法而发生改变,至少未受到直接的影响。
即便如此,网络安全法和其他相关法律法规项下存在一些一般性条款,适用于包含网络运营者在内的所有业务经营者²。从这个意义上理解,用人单位在涉及处理其员工的个人信息时,同样应受到这些一般性条款的约束。更重要的是,2017年3月15日颁布的《中华人民共和国民法总则》也包含了对个人信息保护的基本规定³。用人单位获取、收集、保存、处理以及使用其员工个人信息时,应遵守《中华人民共和国民法总则》中这些基本规定。因此,用人单位应当从风险管理和合规的角度,认识到全面持续地保护其员工个人信息的重要性。
收集和使用员工个人信息的典型情形
用人单位在日常管理和经营中需要收集和使用员工的个人信息,因此对用人单位而言,了解其在此过程中所应遵守的相关法律义务十分重要。在了解该相关法律义务之后,用人单位可以根据自身情况审核其相关的制度和流程,并对其做出必要调整以确保符合相关的法律规定。下面我们介绍一下实践中用人单位需要收集和使用员工信息的一些典型情况:
1)招聘和录用
收集个人信息的问题可能在员工正式受雇前就已经产生。用人单位通常会要求应聘者提供基本的个人信息(比如教育背景和工作经验等)用于用人单位自行或聘请第三方服务提供商进行背景审查。根据前述一般性法律法规,此类收集、使用和(向第三方)提供个人信息的行为若未经应聘者同意可能被视为违法。
此外,正式录用后用人单位通常会要求员工提供其他的个人信息供公司存档备案,并且要求员工在这些信息发生变更时,及时将更新后的信息提供给公司。因此,用人单位有必要确保员工知晓并同意公司在这方面对其个人信息的持续收集和保存。
2)监控、检查和违纪调查
实践中,为了更好地进行内部人力资源管理,用人单位经常会采取必要的措施监控和审查员工对电子媒介和计算机系统,尤其是电子邮箱和公司电脑的使用。员工在使用这些媒介和系统的过程中,极有可能将其个人信息留在其中,为应对此类情况,用人单位必须完善相关的内部规章制度,以避免被认定为在其实施监控和检查的过程中侵犯员工的个人信息权利。
用人单位应当确保员工充分知晓其工作邮箱及公司电脑应主要用于工作用途。用人单位可允许员工在不影响公司经营、网络系统运作与维护或其履行工作职责的情况下将这些公司资源用于私人目的,但应严格禁止与公司业务无关的过度或不合理的个人使用。此外,用人单位应在内部规章制度中明确公司有权以任何目的自行决定获取、检查、审查、屏蔽、复原和监控公司系统和存储在系统中的信息。用人单位须确保员工知晓并同意上述有关公司资源使用的规章制度。
用人单位可能会对违反公司资源使用规定的员工采取纪律处分,但在处分过程中须格外留意,仍应确保对员工以私人目的使用公司资源时所产生的个人信息进行保密。用人单位只能在为确保公司资源的使用符合公司规章制度及法律规定的必要范围内审查、公开或处理其员工的个人信息。
3)并购交易和重组
在并购交易中,出于尽职调查等需要,目标公司可能需要向收购方披露员工的个人信息(如员工社会保险信息等)。另外,在重组项目中,为内部整合的需要,员工的个人信息可能需要在各关联企业之间共享。用人单位应尽量确保员工充分知晓其个人信息将在并购重组项目过程被披露和使用。
4)个人信息的跨境传输
2017年4月,国家互联网信息办公室颁布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(“评估办法”),公开向社会征求意见。根据该评估办法,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,网络运营者应当自行组织对数据出境进行安全评估。此外,若出境数据超过一定数量或可能影响国家安全和社会公共利益,网络运营者应当报请行业主管或监管部门组织安全评估。值得注意的是,未经个人信息主体同意或可能侵害个人利益的情况下,个人信息不得出境。评估办法还规定,“网络运营者”以外的其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照评估办法执行。
因此,使用一体化人力资源管理系统的跨国公司应当注意遵循个人信息跨境传输方面的法律要求。这对于系统服务器设在国外的企业尤为重要,因为其将不可避免的涉及将国内收集的员工个人信息传输出境进行处理。
目前该办法仍有待后期正式公布,相关实施细则也有待出台。目前的征求意见稿的规定较为笼统,许多具体问题仍需要得到进一步的解释和界定。例如,评估办法并未对何种情况下数据跨境传输将会“影响社会公共利益”和“侵害个人利益”作出明确定义。尽管相关具体问题尚未明确,用人单位仍应积极应对,以降低将来的不合规风险。我们建议用人单位应当至少确保在将员工个人信息传输出境之前取得员工同意,并且,用人单位可考虑与专业的网络安全服务提供商进行合作,分析如何妥善依法组织和开展数据跨境传输前的安全评估工作。
员工个人信息处理的合规建议
如上文所述,近期针对个人信息保护的立法与员工个人信息并没有直接的相关性。但是,从实践角度出发,用人单位最好还是遵守政府现行立法中就个人信息的收集和保存所制定的一般性规则,即便目前这些规则更多还是针对用户的个人信息。用人单位应采取一些关键性措施,以确保其收集和处理员工个人信息的行为符合相关法律法规中所规定的信息保护要求。
首先,我们建议用人单位将员工个人信息的收集、保存和使用方式及其范围和程度明确告知员工,包括但不限于如下内容:
●公司可能需要在员工受雇于公司之前或受雇期间收集员工的个人信息,用于人力资源管理、背景审查、调查、并购交易、重组、报酬或福利安排、绩效管理、IT支持和服务等与员工雇佣或公司业务有关的用途⁴。
●员工的个人信息可能会被提供给公司的关联企业和供应商等第三方,用于上述与员工雇佣或公司业务有关的用途。
●在适用的情况下,出于全球系统管理需要或其他与员工雇佣或公司业务有关的目的,用人单位可能需要向境外传输员工的个人信息。
●出于企业管理需要,公司有权合理监控和检查员工使用的公司邮件、公司电脑和公司的其他网络电子设备。原则上员工不得将办公设施或工具用于处理个人事务。公司有权自行决定获取和审查此类设施或工具上产生和汇集的信息。即使该设施或工具上存有员工的个人信息,公司的前述信息获取和审查行为也不得被视为对员工隐私或其个人信息安全的侵犯。
用人单位可以准备一份单独的同意函,在其中放入上述内容,或在公司内部规章制度(如员工手册等)中体现上述内容。无论是同意函还是相关的规章制度,都应让员工阅读知悉并由其签字确认。员工一经签字,则视作其知晓并同意用人单位收集和使用员工个人信息方面的政策。有了员工的知情和同意,在员工主张用人单位非法收集、获取和使用员工个人信息的情况下,用人单位能够进行更有力的抗辩。
用人单位须对其收集的所有员工个人信息采取保密措施。用人单位应采用切实可行的方式确保员工个人信息的安全,避免信息意外泄露或未经许可被他人获取和使用。
另外,如前文所述,用人单位在某些情况下可能需要向第三方(比如,为进行背景调查而向调查公司,或在并购交易中向收购方)披露员工的个人信息。在此情况下,用人单位应当在与第三方的合同或协议中明确第三方所获悉的员工个人信息仅可用于与项目或交易有关的目的,并且,第三方应确保其在使用和处理员工个人信息时遵守相关法律规定,用人单位不对第三方的任何违法的信息使用行为承担任何责任。
总结和建议
根据中国现行的有关个人信息保护的法律规定,取得员工的事先同意能够在很大程度上确保用人单位在收集和使用员工个人信息方面的合规性。因此,用人单位应确保在涉及员工个人信息的收集和使用的活动中获取员工的同意,此外,用人单位还应密切留意个人信息保护方面的立法进展,并视情况在必要时制定和调整企业相关的规章制度。由于用人单位在员工个人信息保护方面需要做到内部和外部的全面合规,用人单位应组织公司的相关部门研究和讨论各部门为妥善处理员工个人信息所应采取的必要措施,以确保用人单位在这方面不存在违法违规的风险和责任。
[1]比如发生在2016年“徐玉玉事件”。徐玉玉是一名即将于2016年秋季入学就读大一的18岁山东学生。2016年8月19日,她在手机上收到一条短信,告知她有一笔2600元的助学金要发放给她,但是,为领取助学金,她需要先将9900元存入另一个银行账户里。徐玉玉按照短信指示进行了转账操作。意识到被骗后,徐玉玉伤心欲绝,最终导致心脏骤停。这起悲剧性事件的起因是由于教育部门的在线数据信息库缺乏安全防范措施,遭受黑客网络攻击后,造成徐玉玉的个人信息泄露,从而被电信诈骗分子所利用。
[2]例如,网安法第44条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。
[3]根据《民法总则》第111条,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[4]我们建议用人单位收集员工个人信息的范围应限于与员工的劳动关系直接相关的基本信息,如员工的年龄、性别、工作经历、教育背景等,如果针对特定行业有特殊要求,还可以了解其医疗信息、违法犯罪记录等。收集宗教信仰和婚姻状况等与履行劳动合同无关的信息不仅会给用人单位带来保存个人信息方面的不必要的负担,还会增加用人单位侵犯员工隐私的风险。
摒弃各自逞强,共赴同一未来!
扫扫下方二维码,或添加“saao_club001”为微信好友
申请加入“萨傲之家”微信群