《个人信息保护法》对人力资源合规管理的影响之十问十答

来源:锦天城厦门律师事务所

文章摘要
前言 《中华人民共和国个人信息保护法》(简称“个人信息保护法”)已于2021年8月20日审议通过,并将于2021年11月1日起正式施行。这部法律对于我国公民个人信息的保护显然是具有里程碑的意义。

前言
《中华人民共和国个人信息保护法》(简称“个人信息保护法”)已于2021年8月20日审议通过,并将于2021年11月1日起正式施行。这部法律对于我国公民个人信息的保护显然是具有里程碑的意义。作为企业法律服务团队,我们不难想到企业在人力资源管理的过程中,不可避免的会收集、使用到员工的个人信息,而这部法律对于人力资源管理合规又有哪些影响呢?
为此,我们特梳理了《个人信息保护法》对人力资源管理合规的影响,形成以下“十问十答”,盼望对企业在人力资源管理过程中落实《个人信息保护法》有所助益:
01
Q:用人单位在日常人力资源管理中,常涉及哪些个人信息?
A:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息(匿名化处理是指:个人信息经过处理已经无法识别特定自然人,并且也不能再复原的过程。即:匿名化处理后,个人信息已经无法直接匹配到具体的自然人)。(参见:《个人信息保护法》第四条)
从立法的定义可以看出,《个人信息保护法》所界定的个人信息涵盖范围非常宽广,我们认为包括但不限于以下内容:员工的公民身份号码(即:身份证号)、住址、户籍地址、毕业院校、过往职业经历、联系电话、亲属关系、亲属的住址及联系方式、婚育情况、收入信息、银行账号、个人生物信息(人脸识别、考勤指纹信息等)、个人特长、爱好以及所受奖惩信息等等。
02
Q:用人单位是否属于“个人信息处理者”?
A:是的。“个人信息处理者”指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。用人单位在人力资源管理过程中,基于管理的需求难免涉及到对员工个人信息的收集、存储、使用、删除以及其他处理,所以用人单位属于《个人信息保护法》所规定的“个人信息处理者”,需要遵守《个人信息保护法》对“个人信息处理者”的各项要求。(参见:《个人信息保护法》第七十三条、第四条)
03
Q:用人单位是否有权获得并处理员工的个人信息?
A:有权,但因所需处理的信息不同,有两种权利获得的方式,并对应不同的法律义务。
(1)基于法律的规定获取并处理员工的“普通个人信息”:《个人信息保护法》第十三条第(二)项授权了用人单位:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需时,可以处理员工的个人信息。所以在不涉及员工“敏感个人信息”的情况下,用人单位是有权利在履行劳动合同、集体合同或规章制度之管理必要的情况下,依法获取并处理员工的“普通个人信息”的。
(2)基于员工同意处理员工的“敏感个人信息”:“敏感个人信息是指一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。基于此类信息的特性,《个人信息保护法》要求处理敏感个人信息应当取得个人的“单独同意”,最好是书面同意。并且,《个人信息保护法》还赋予了个人“随时撤回同意”的权利。(参见:《个人信息保护法》第二十八条、第十五条)
04
Q:人力资源管理中,哪些信息属于“敏感个人信息”?
A:基于我们服务企业客户的经验,我们认为人力资源管理中的:指纹数据、人脸识别数据、银行账户数据、体检健康数据、行踪数据(例如:销售人人员的销售地点打卡,司机岗位的GPS定位等)、宗教信仰信息以及员工的子女信息等,均属于上述“敏感个人信息”的范畴,应当取得员工的书面授权。
当然,其他容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,也属于“敏感个人信息”的范畴。
05
Q:“敏感信息”与“普通个人信息”处理方式的差别有哪些?
A:如前所述,处理“敏感个人信息”需要单独取得个人书面同意,除此之外,《个人信息保护法》还要求处理者应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。并且,法律还要求个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。(参见:《个人信息保护法》第三十条、第五十五条)
个人信息保护影响评估应包括以下内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。“个人信息保护影响评估报告”和“处理情况记录”应当至少保存三年。(参见:《个人信息保护法》第五十六条)
06
Q:用人单位需要遵循的员工个人信息“处理原则”有哪些?
A:用人单位处理员工个人信息时,需要遵循合法、正当、必要和诚信原则(参见:《个人信息保护法》第五条)。在此原则下,我们从收集、使用、存储、公开、删除五个环节,给出如下建议:
收集员工个人信息时:需要注意权利来源的合法,特别是收集“敏感个人信息”需要取得员工的授权。并且仅限于实现处理目的的最小范围,不得过度收集员工个人信息。(参见:《个人信息保护法》第六条)
使用员工个人信息时:应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。(参见:《个人信息保护法》第六条)
存储员工个人信息时:个人信息的保存期限应当为实现处理目的所必要的最短时间,不应长期保留。例如员工离职后其个人信息(特别是指纹、人脸识别等敏感信息)应当作为离职手续的一环,及时在取得员工同意的的情况下当面删除,并与员工确认删除完毕,单位不再保留。如果借助第三方存储或处理员工个人信息的,应当向员工告知接收方的名称或者姓名、联系方式、处理目的、处理方式和存储的个人信息种类,并取得员工的书面同意。(参见:《个人信息保护法》第十九条、第二十三条)
公开员工个人信息时:必须取得员工个人对此项公开的单独同意。但处理员工个人已经自行公开或者其他已经合法公开的个人信息,除员工个人明确拒绝外,用人单位可以在合理范围内公开。特别提醒注意的是,处理已公开的个人信息,对个人权益有重大影响的,《个人信息保护法》第二十七条仍特别要求应当取得个人同意。(参见:《个人信息保护法》第二十五条、第二十七条)
删除员工个人信息时:《个人信息保护法》要求有下列情形之一的,用人单位应当主动删除个人信息;用人单位未删除的,员工个人有权请求删除:(1)处理目的已实现、无法实现或不再必要;(2)保存期限已届满;(3)个人撤回同意;(4)单位违反法律、行政法规或者违反约定处理员工的个人信息;(5)法律、行政法规规定的其他情形。特别提醒用人单位主动删除员工个人信息时,应注意取得员工同意,并确认删除完毕的证据,以免产生不必要的纠纷。(参见:《个人信息保护法》第四十七条)
此外,《个人信息保护法》还要求单位(个人信息处理者)应当制定并公开“个人信息处理规则”,明示处理的目的、方式和范围。并应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。(参见:《个人信息保护法》第七条、第八条)
07
Q:用人单位处理员工个人信息有哪些法定义务?
A:单位有制定个人信息的处理内部管理制度和操作规程、对个人信息实行分类管理的义务,有采取安全技术措施保护个人信息、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,以及制定并组织实施个人信息安全事件应急预案,以防止个人信息被泄露、篡改、丢失的义务。且如个人要求单位对上述个人信息处理规则进行解释说明,单位还有应要求解释说明的义务。(参见:《个人信息保护法》第五十一条、第四十八条)
单位在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。(参见:《个人信息保护法》第十七条)
单位需要委托其他主体处理员工个人信息时,还应当告知员工本人,受委托方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,取得员工的书面同意,并对人信息处理者事前进行个人信息保护影响评估,对处理情况进行记录。且单位需要与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。(参见:《个人信息保护法》第二十三条、第二十一条)
08
Q:用人单位合并、分立、解散、破产时,个人信息处理有哪些义务?
A:在此情况下,如果需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。如果不涉及到转移个人信息的,应当及时在取得员工同意的情况下,与员工确认删除个人信息。(参见:《个人信息保护法》第二十二条)
09
Q:员工要求查询个人信息时,用人单位有哪些法定义务?
A:《个人信息保护法》赋予个人查阅、复制其个人信息的权利。并要求当个人提出上述请求时,个人信息处理者应当及时提供。当个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。如果自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除,但死者生前另有安排的除外。(参见:《个人信息保护法》第四十五条、第四十六条、第四十九条)
《个人信息保护法》还要求个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,必须说明理由。(参见:《个人信息保护法》第五十条)
10
Q:用人单位违反个人信息处理要求的后果?
A:后果分为被行政处罚的责任、民事责任以及刑事责任三种。
行政责任是指:用人单位违反个人信息处理要求的,《个人信息保护法》要求首先由履行个人信息保护职责的部门(即:网信部门)责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。如经责令改正或警告后仍拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上网信部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。并依照有关法律、行政法规的规定,记入信用档案,并予以公示。(参见:《个人信息保护法》第六十六条、第六十七条)
民事责任是指:处理个人信息侵害到个人权益的,在民事法律关系上需要向被侵害人赔偿损失。在此情况下,损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。并且,《个人信息保护法》还规定了在个人信息侵权的举证责任分配中,适用“过错推定原则”。即:个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。参见:《个人信息保护法》第六十九条)
刑事责任是指:依据《中华人民共和国刑法》相关规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。(参见:《中华人民共和国刑法》第二百五十三条

技术驱动法律,专业成就未来