大数据时代,个人信息尤显重要,过度收集、擅自披露、擅自提供、非法买卖等问题日益严重,个人信息保护已成为最关心的问题之一。为有效保护个人信息,2021年8月20日《个人信息保护法》正式通过,并将于2021年11日1日正式生效。《个人信息保护法》的出台对于我国个人信息保护具有划时代的意义。用人单位往往会在日常管理中接触并掌握员工大量的个人信息,值此《个人信息保护法》出台之际,笔者想在劳动用工领域探讨用人单位对其所属员工个人信息保护的相关问题,旨在帮助用人单位合法合规地处理员工个人信息,划清用人单位在用工管理过程中对于员工个人信息掌握的权利边界,减少法律风险。
一、《个人信息保护法》要点解读
据相关数据统计,中国网民总体规模已占全球网民的五分之一,中国现有互联网网站四百多万个,手机APP数量三百多万款。2021年,国家网信办检测了应用市场上的手机应用程序,其中351 款 APP 因违法收集个人信息被通报,25 款因严重违法违规收集使用个人信息被下架。由此可以看出,制定一部个人信息保护方面的专门法律具有重要意义。
1. 概述
《个人信息保护法》在有关法律的基础上进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理中的权利义务边界,健全个人信息保护工作体制机制。
《个人信息保护法》全文共八章七十四条,明确了法律适用范围,聚焦目前个人信息保护的突出问题,在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作机制。确立以 “告知 — 同意” 为核心的个人信息处理规则,落实国家机关保护责任,加大对违法行为的惩处力度。
2. 什么是个人信息与敏感个人信息?
《民法典》 | 第一千零三十四条自然人的个人信息受法律保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。 |
《个人信息保护法》 | 第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 |
通过以上条款的对比,我们可以看出现行立法对于个人信息的定义采取的是 “识别” 的方式,即可识别的与自然人有关的各种信息。《个人信息保护法》对于个人信息进行了不完全列举。考虑到信息时代的不断变化,笔者相信其定义和范围也将随之继续延伸,以便于更好地保护个人信息。
除了个人信息之外,最新颁布的《个人信息保护法》还提到了“敏感个人信息”这一概念,即是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
相较于个人信息,敏感个人信息更重视维护自然人的人格尊严。故《个人信息保护法》针对信息处理者提出了不同的处理规则上的要求,从而有针对性地提高处理者在处理敏感个人信息时的法定义务,更加充分保护自然人的个人信息权益。例如《个人信息保护法》第三十条规定:“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”
3. 个人信息处理的六大原则
第一、合法诚信原则。《个人信息法》第五条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”
第二、明确合理原则。《个人信息法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”
第三、最小必要原则。《个人信息法》第六条规定:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
第四、公开透明原则。《个人信息法》第七条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”
第五、准确完整原则。《个人信息法》第八条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”
第六、安全保障原则。《个人信息法》第九条规定:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”
4. 适用范围——“长臂管辖”
《个人信息保护法》第三条规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。”
这一管辖条款具有双重意义:一方面,它扩大了《个人信息保护法》的适用范围,可以有效限制跨国用人单位的法律规避,将更有效地保护我国自然人的个人信息;另一方面,《个人信息保护法》的出台可以很好地衔接欧盟GDPR条例,它是中国探索法律域外适用的又一次尝试,有助于我国参与国际网络空间的治理,提升我国在国际法领域的地位及话语权。
二、劳动用工各阶段中个人信息保护潜在风险
《个人信息保护法》第十三条第一款第(二)项规定:“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;”众所周知,劳动关系的建立正是基于劳动者对于用人单位的人身及财产从属性。而自劳动关系的建立、存续直至消灭,这其中每一个阶段用人单位都会有意或无意的接触、掌握并使用大量劳动者的个人信息。随着《个人信息保护法》的出台,用人单位很可能在劳动用工的各阶段面临个人信息保护的合规风险。
1. 劳动关系建立阶段
《劳动合同法》第八条规定:“用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”
通常情况下,用人单位在入职阶段会向劳动者收集姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人或主要家庭成员等个人信息。然而实践中,一些用人单位还会要求劳动者提供是否为乙肝表面抗原携带者、宗教信仰、婚育状况等一般不被认为与劳动合同直接相关的个人信息。而用人单位这一行为由于没有征求劳动者的同意,显然与《个人信息保护法》相违背,涉嫌侵犯劳动者的个人信息。
2. 劳动关系存续阶段
用人单位在劳动关系存续期间往往会在行使用工管理权时使用劳动者的个人信息,其中的权利边界很难划清,这也就使得该阶段劳资的矛盾愈发激烈,实践中典型的问题有GPS定位、内部调查等。
近年来,随着信息化的不断推进,骑手等新就业形态应运而生。企业为了监督这类流动性较大的劳动者的工作情况,往往会采取GPS定位的方式搜集劳动者的行为轨迹。此外,新冠疫情的爆发使得很多劳动者不能回到单位上班进而被安排居家办公,由此GPS定位这一监督举措变得日益普遍。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条明确规定,“行踪轨迹”属于“公民个人信息”,因此,准确定位员工信息属于隐私权的法律范围。企业单方面定位员工的行为涉嫌侵犯员工隐私权。
用人单位在调查涉嫌违纪的劳动者时,一般会调取劳动者的工作邮箱、企业微信、工作电脑等。用人单位在这一过程中知悉被调查者的个人信息后如果直接删除或随意处理,将会埋下隐患。而用人单位在实践中将会采取群发邮件或微信工作群通知、公司公示等形式大范围公开违纪员工的处理结果,这也可能导致违法处理个人信息的法律风险。
3. 劳动关系结束阶段
《劳动合同法》第五十条规定:“用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。”实践中,经常有劳动者从原单位离职后入职新单位,原单位主动向新单位提供或者在新单位对劳动者展开背调时向其提供劳动者原工作期间的工作表现、基本情况等涉及到个人信息的部分。劳动者离职后,用人单位是否还有权使用其个人信息?《个人信息保护法》第十三条中所列举的合法基础,即“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;”能否适用这种情况仍有待商榷,原单位应慎重对待,否则很可能存在侵犯劳动者个人信息的法律风险。
三、劳动用工中个人信息保护注意要点
通过对《个人信息保护法》的分析以及实务中用人单位潜在风险点的梳理,为帮助用人单位合法合规地收集、使用劳动者的个人信息,笔者特提出如下建议:
1. 合法、合理地收集劳动者个人信息
用人单位在收集劳动者的个人信息时应注意收集范围。依据《个人信息保护法》,用人单位可以收集的劳动者个人信息范围应仅限于与劳动合同直接相关的个人信息,如教育水平、工作经历、职业技能、专业技能等。对于家庭情况、宗教信仰、星座血型等与劳动关系并无关联的信息,用人单位无权要求劳动者提供。此外,用人单位在收集有关敏感个人信息时应注意前置要求,即具有特定的目的和充分的必要性,而且还要取得劳动者个人的单独书面同意以及向劳动者告知处理敏感个人信息的必要性以及对其的影响。一般来说,用人单位向劳动者采集的用于考勤的指纹、人脸识别、医疗健康、银行卡等都属于敏感个人信息。实务当中,建议用人单位可以考虑在相关规章制度中列明单位有权收集的个人信息范围,以减少隐患;也可以在劳动合同中加入员工同意用人单位收集、使用的条款。
2. 考勤方式多元化
越来越多的单位开始采用人脸识别、指纹打卡等方式设置考勤,进而监督劳动者每天的工作时间。然而在这一过程中,用人单位难免要向劳动者采集面部、指纹等敏感个人信息。考虑到《个人信息保护法》对于敏感个人信息的着重保护,用人单位日后再想通过这种方式设置考勤时应单独向劳动者告知收集、使用面部、指纹等识别信息的目的和范围,在征得劳动者的明示同意后才可以收集,并且必须采取严格的保护措施。如若劳动者拒绝提供上述敏感个人信息,用人单位应另行提供其他考勤方式。
3. 慎用GPS对员工进行定位
GPS定位信息和行程轨迹属于敏感个人信息的范围内,用人单位收集上述信息时一定要注意合理性,包括定位内容的必要性以及劳动者的知情同意权。这其中既要考虑劳动者的工作内容、定位时间还要考虑到用人单位收集上述信息的程序是否正当。用人单位应当对劳动者的监控进行明示,并只能在工作时间进行,对监控到的具体内容不能对外披露。如果用人单位在非工作时间也对劳动者进行监控,并将监控信息非法使用,就涉嫌侵犯劳动者的个人信息。
4. 构建一套行之有效的个人信息管理制度
《个人信息保护法》第五章列明了个人信息处理者的义务。用人单位在用工管理中应构建一套清晰、系统的个人信息管理制度,以满足保障劳动者个人信息权益和安全的客观要求,合规处理劳动者的个人信息。为此,用人单位首先应积极制定相应制度,包括但不限于在劳动合同、用工手册中增加相应内容或者出台专门的职工个人信息保护规章制度等;其次,用人单位应面向劳动者建立便捷的个人信息申诉机制,切实保护劳动者的个人信息;然后,用人单位应定期展开个人信息保护安全教育和培训,提升劳动者的安全意识;最后,用人单位制定实施个人信息安全事件应急预案,以更好地应对劳动用工中可能会发生的个人信息安全事故。
四、总结
互联网时代的不断发展推动了社会生产的多方位变革。随着灵活用工、众包等新就业形态的不断丰富,劳动者看似愈加自由,但用人单位依然正在通过各种数据主动或被动地为掌握着劳动者的个人信息。就像电商巨头亚马逊公司之前推出的“追踪腕带”,虽然企业称其为解放员工诞生,但无形之中它记录下了员工的工作效率、作息时间、行为轨迹等各种信息。在《个人信息保护法》出台的背景下,企业合规行使用工管理权势必要重视劳动者的个人信息保护。劳动者的个人信息不仅承载了劳动者的人格尊严,又是一种重要的经济资源,具有财产属性。用人单位应积极研读最新出台的《个人信息保护法》,关注相关司法实践,平衡用工管理权与劳动者个人信息保护之间的利益冲突,在劳动用工过程中合规行使自身权利,推动我国和谐劳动关系的进一步发展。
