发布者:豫章律师事务所 2021-11-01
重要通知
《个人信息保护法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过,现予公布,自2021年11月1日起施行。
中华人民共和国主席 习近平
2021年8月20日
企业实施用工管理与处理员工个人信息密不可分,从招聘录用、日常管理到劳动合同解除与终止,员工个人信息保护问题贯穿整个用工管理过程。《个人信息保护法》的施行,给企业的用工管理提出了新的要求和挑战,也值得每个企业去学习和研读。如何防范用工在个人信息管理方面的风险,将成为企业在新规下用工管理的重中之重。
动态一:新规下个人信息的基本规定
1、什么是个人信息?
《个人信息保护法》 | 《民法典》 |
第4条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。” | 第1034条第二款:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 |
2、什么是敏感个人信息?
《个人信息保护法》第28条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
3、用人单位属不属于个人信息处理者?(属于)
《个人信息保护法》第73条:个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
处理的方式包括:
《个人信息保护法》 | 《民法典》 |
第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 | 第1035条:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。 |
《个人信息保护法》第13条:个人信息处理者在以下七种情形下可以处理个人信息:
取得个人的同意;
为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
为履行法定职责或者法定义务所必需;
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
法律、行政法规规定的其他情形。
4、员工在个人信息方面享有有哪些权利?
《个人信息保护法》第四章明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、复制权、更正权、转移权、删除权、撤回权、要求解释权、代行使权等。
5、处理员工信息时应当遵守哪些原则?
《个人信息保护法》第五条至第九条规定了处理个人信息应当遵循:合法、正当、必要和诚信原则;最小程度原则;公开透明原则;完整性和准确性原则;安全保障原则。
可见,《个人信息保护法》的出台,一方面对个人(员工)信息权益提供了充分的保障,另一方面也对企业的用工管理提出了更高的要求。需要特别注意的是:(1)无论是基于个人同意还是基于法律许可处理个人信息,用人单位都应当遵循公开透明原则,向员工告知处理目的、方式和范围等内容;(2)缺乏必要性的前提下,用人单位仍然应当在取得员工同意后,方可处理员工个人信息。
动态二:企业员工信息的管理与风控
1、招聘录用与入职环节
①避免“过度”收集员工信息。《劳动合同法》第八条:用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。在招聘和录用过程中,可以了解“与劳动合同直接相关”的信息(如基本信息、基本健康情况、知识技能、学历、职业资格、工作经历、家庭住址、家庭成员构成等),但如果超过这一限度收集信息(如与工作无直接关系的婚姻、生育、特殊健康信息等),则可能属于“过度”收集个人信息。
②遵守“告知+同意”规则。《个人信息保护法》第14条:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。
③敏感个人信息的五条处理规则:根据《个人信息保护法》第28条、29条规定:
特定的目的和充分的必要性;
采取严格保护措施;
单独同意:取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定;
向个人告知:处理敏感个人信息的必要性以及对个人权益的影响;
处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
2、用工管理环节
①适用指纹、人脸识别、定位等方式进行考勤打卡需征得员工单独同意
《个人信息保护法》第28条规定处理敏感个人信息的,应告知员工处理生物识别/行踪轨迹信息的必要性以及对个人权益的影响,征得员工的同意并签署相应《知情同意书》《处理敏感个人信息授权书》等授权处理个人信息的文书。
②企业与第三方合作时注意事项(如人事外包、劳务派遣、委托第三方背景调查、代发工资、代缴社保等),根据《个人信息保护法》第21条的规定,企业作为委托人或受托人时应分别注意以下事项:
委托人---应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,对受托人的个人信息处理活动进行监督。
受托人---受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
③企业对员工个人信息承担“安全保障”义务
《个人信息保护法》第9条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第51-58条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
制定内部管理制度和操作规程;
对个人信息实行分类管理;
采取相应的加密、去标识化等安全技术措施;
合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
制定并组织实施个人信息安全事件应急预案;
法律、行政法规规定的其他措施。
3、解除与终止劳动关系环节(及时删除员工信息)
《个人信息保护法》47条规定,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
处理目的已实现、无法实现或者为实现处理目的不再必要;
个人信息处理者停止提供产品或者服务,或者保存期限已届满;
个人撤回同意;
个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
动态三:单位对员工个人信息处理不当的法律责任
对于违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,《个人信息保护法》第66-71条规定了以下法律责任:
责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
记入信用档案,并予以公示。
过错推定责任;处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
行政、刑事责任:违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
动态四:企业员工信息管理的实操建议
企业处理员工个人信息的方式包括收集、存储、使用、加工、传输、提供、公开、删除等。可见,员工个人信息贯穿用工管理全过程,一“招”不慎,便会面临着承担法律的风险,给企业的生产经营带来不必要的麻烦。本文根据《个人信息保护法》的新动态提出以下几点建议(建议收藏)
◆ 处理员工个人信息的前提:告知+同意(要求员工签署《个人信息知情同意书》)。
书面告知内容包括:企业名称、管理人及联系方式;所收集信息的材料清单;处理员工信息的目的、方式、种类以及保存期限;个人行使法律规定权利的方式、程序等;
员工书面签字确认,特别是涉及到敏感个人信息(如指纹信息、人脸信息、家庭情况、医疗健康等),还应取得员工单独同意并签署《处理敏感个人信息授权书》。
◆ 收集:严格限定收集范围,严格遵循和把握“与劳动合同直接相关的基本情况”的要求,避免过度收集员工信息带来不必要的风险。
◆ 存储:采取加密、去标识化处理等手段存储员工个人信息。设专人管理员工个人信息,明确其操作权限及责任义务,与其签订保密协议、定期培训、并在其离职时履行好交接手续,防止员工个人信息外泄。
◆ 传输、提供:应当在取得员工书面同意,并与第三方签署相应的保密协议及告知其责任义务。
◆ 删除:与员工解除或终止劳动关系时,对法律规定需要保存的劳动合同文本两年备查,建议分类并单独存储;对存储期限已到期或无需存储的员工信息,应当及时删除或无痕销毁。
◆ 建立员工信息安全事件应急预案,如果发生或者可能发生员工信息泄露、篡改、丢失的,企业应当立即采取补救措施,并及时通知个人信息保护职责的部门和员工个人。
在《个人信息保法》正式施行的大环境下,劳动用工领域个人信息保护的粗放时代已经结束,建议企业及时学习新法新规,及时自检自查并建立健全员工手册、规章制度等管理文件上个人信息保护板块、制定配套的管理方案,平衡企业用工管理权与劳动者个人信息保护权益之间的利益冲突,为企业行稳致远奠定夯实的合法合规的基础!
作者:翟伟律师
宋怡律师
江西豫章律师事务所
