作者按:2022年12月2日,中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,称“数据二十条”。“数据二十条”提出构建数据产权、流通交易、收益分配、安全治理等4项制度,共计20条政策措施,初步形成我国数据基础制度的“四梁八柱”。“数据二十条”的出台,寓意着我国充分激活数据要素价值,赋能实体经济,推动高质量发展的决心。
个人信息是“数据”中重要的一部分,除大量研究指向企业客户个人的信息以外,员工个人信息亦是用人单位应该关注的重要部分。本文将通过什么是员工个人信息,用人单位为什么要保护员工个人信息和如何保护个人信息的逻辑分析进行主题阐述,为各用人单位的员工个人信息治理和保护提供指引参考。
01、什么是员工个人信息
如果要回答什么是员工个人信息,则需要梳理什么是个人信息。目前理论和实务中对于个人信息的定义研究已很多,如果从我国法律角度着手看定义,第一,我国在21年《个人信息保护法》的第四条将个人信息定义为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”;第二,对于个人信息中法律重点保护的是“敏感个人信息”,即《个人信息保护法》第二十八条规定的“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”;第三,对于敏感信息中法律更加重要保护的是其中的“重要/核心数据”,如2022年全国信息安全标准化技术委员会关于国家标准《信息安全技术重要数据识别指南》征求意见稿征求意见的通知中将“重要数据”定义为“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”,而该指南同时也指出重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。此外,我国《民法典》[1]、《未成年人保护法》[2]以及《刑法》[3]等都对于个人信息有着相关的规定。与此同时,其他国家或区域的立法组织都有着对于个人信息的各自规定:如欧盟的《通用数据保护条例》(即GDPR)将个人信息定义为“是指与一个已识别或者可识别的自然人相关联的任何信息。可识别的自然人指借助标识符,例如姓名、识别号码、位置数据、网上标识符,或借助与该个人生理、心理、基因、精神、经济、文化或社会特征相关的一个或多个因素,可被直接或间接识别出的自然人。”;美国的《加州消费者隐私法》(即CCPA)将个人信息定义为“个人信息是指直接或间接地识别,关联,描述,或能够合理地联系到一个特定的消费者或家庭的信息。”。
在我们得知什么是个人信息的前提下,这些信息对应到员工主体且运用到与用人单位产生的劳动关系中则为员工的个人信息。员工的个人信息通常包括员工的基本信息(如姓名、生日、性别、民族、国籍、家庭关系、住址、电话号码、电子邮箱等)、身份信息(如身份证、护照、就业许可证、社保卡、居住证等)、生物识别信息(如指纹、虹膜、面部特征等)、网络身份标识信息(如系统账号、IP地址、邮箱地址、有关密码等)、健康生理信息(如因生病医治等产生的相关记录,例如病症、检验报告、生育信息、以往病史等)、教育工作信息(如个人职业、职位、工作单位、学历、教育经历等)、财产信息(如银行账号、鉴别信息、房产信息等)、通信信息(如通信记录、电子邮件等)、上网记录(如网站浏览记录等)、其他(如婚史、宗教信仰等)等内容。
02、为什么要保护员工个人信息
保护员工个人信息是用人单位的法律责任和社会责任之一,原因具体如下:
(一)法律要求
大多数国家和地区都有法规要求用人单位保护员工个人信息,防止信息泄露、盗窃或恶意攻击,如《个人信息保护法》第二章个人信息处理规则、第五章个人信息处理者的义务都规定了个人信息处理者应当采取技术措施和其他必要措施,保护个人信息安全,防止个人信息泄露、毁损或丢失等;《劳动合同法》第一章总则、第四章劳动合同的解除和终止、第五章特别规定、第六章监督检查和第七章法律责任均规定用人单位应当保护劳动者的人身权益和合法权益,不得侵犯劳动者的人身权益和合法权益,保护劳动者的人格尊严;《中华人民共和国刑法》第二百五十三条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”。
(二)维护员工隐私权
《民法典》第一千零三十二条规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”,通过对应到员工的个人信息内容,会有一部分属于员工的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,如员工的社保、地址、收入等内容。个人隐私是每个人作为独立个体所享有的基本权利之一,保护个人隐私可以尊重个人的自主权和尊严,如果个人隐私泄露,不仅会带来信息和身份的盗窃、诈骗等针对个人的损失和危害,还可能引发更大的安全问题,例如伪造信息和诈骗活动,威胁社会安全和公共利益。
(三)保护用人单位的商业秘密
用人单位的商业秘密是指是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息,通常包括商业计划、客户信息和产品设计等内容。如前所属员工的个人信息中包括员工的邮件信息、通信内容、工作档案等信息,这些信息中可能存在用人单位的商业秘密,如果这些信息遭到泄露,可能会造成用人单位的财务损失和声誉损害。保护员工个人信息有助于保护用人单位的商业秘密。
(四)其他
通过保护员工个人信息,用人单位可以表明其重视员工隐私,增强员工和用人单位之间的信任关系。这将有助于提高员工满意度,并减少员工离职率。此外,保护员工个人信息是用人单位在推动社会责任方面的一部分,用人单位可以通过确保员工隐私权、保护商业秘密、建立员工信任等方式,在社会上树立正面形象。
03、如何保护员工个人信息
(一)制定内部员工个人信息管理制度
第一,用人单位应明确相关的法规政策标准的规定,如《网络安全法》《数据安全法》《个人信息保护法》《个人信息出境标准合同备案指南(第一版)》《个人信息出境标准合同办法》等内容,确保内部管理制度的合法性和有效性。第二,确定制度的范围和内容:明确员工个人信息的涉及范围及个人信息全流程的管理,包括员工个人信息的采集、使用、储存、销毁等,以及信息泄露、滥用、损毁等情况的处理和追究责任。第三,确保制度制定流程的合法性,根据用人单位章程及相关规定进行制定,确保员工个人信息管理的规范性和系统性,同时也要确保员工的知情权和选择权。第四,确认管理流程:建立员工个人信息的管理流程,包括信息采集和处理流程、安全控制措施、员工培训和管理、应急预案等。第五,制度执行的培训:通过培训让所有员工了解员工个人信息保护制度的重要性和操作流程。第六,监督和审查:建立监督机制,对员工个人信息保护制度的执行情况进行监督和审查,并持续优化制度和流程,不断提高员工个人信息保护意识和管理能力。
(二)对员工个人信息进行分类和加密
关于员工个人信息的分类,第一可以根据敏感度分类,即根据员工个人信息的敏感程度,可以将其分为公开的、内部限制的和机密的三类。公开的信息是指不涉及员工个人敏感信息的一些基础信息,比如姓名、工号、职位等;内部限制的信息是指一些需要受到一定的限制和控制的信息,比如薪资、考核等;机密的信息是指员工的身份证号、家庭住址、电话号码等敏感信息。第二可以根据归属性分类,即根据员工个人信息的归属,可以划分为个人信息和用人单位信息。个人信息主要指员工私人信息,如家庭住址、手机号码、家庭成员等;用人单位信息则是指员工在用人单位工作产生的信息,比如薪资、员工编号、考勤系统记录等。第三可以根据员工个人信息的用途分类,即根据员工个人信息的用途不同,可以划分为办公必要的信息和非必要的信息。办公必要的信息主要指用于用人单位日常运转的信息,如薪资、工作任务等;非必要的信息则是指员工的个人生活和其他方面的内容。第四可以根据存储方式进行分类,即根据员工个人信息的存储方式分为电子信息和纸质信息。电子信息主要是指存储在用人单位计算机和服务器上的信息,纸质信息则是指存储在纸质档案、表格等文档中的信息。
关于员工个人信息加密,是一种安全保护措施,可以防止敏感信息被未经授权的获取和使用。以下是一些常见的员工个人信息加密方法:第一,数据库加密:将员工个人信息存储于数据库中,在存储时加密,只有授权人士拥有密钥才能访问其中的信息。第二,网络传输加密:员工个人信息在传输过程中容易被黑客截取和窃取,因此可以采用安全传输协议(如HTTPS)进行加密传输,确保在信息传输过程中的安全。第三,加密文档:对于一些保存在文档中的员工个人信息文件,如工资单和考勤记录等,可以采用加密工具对其进行加密保护。第四,受控访问:只允许授权人士访问员工个人信息,将员工个人信息权限控制在一定范围内,防止员工外泄和信息泄露。
(三)定期进行安全检查和审计
对用人单位数据安全进行定期检查,确保员工个人信息的安全和隐私受到保护,通常有如下方式:第一,核查数据处理流程: 核查用人单位处理员工个人信息的流程,从收集、加密和存储等方面进行审查,确保流程严格遵守数据保护规则。第二,审查人员权限: 审查授权员工在系统和软件中访问员工个人信息的权限,确保只有有限的身份才可以查看或修改员工个人信息。第三,加密策略实施审核: 核查用人单位采用的加密措施,并检查员工个人信息加密是否严格执行并达到相应标准。第四,审核安全策略: 检查用人单位是否制定安全策略,并确保安全策略可以有效保护员工个人信息,包括设定密码策略、控制网络安全等。第五,审查外包服务提供商: 如果用人单位使用外包服务,应对外包合作方进行审查,以确保外包服务提供商有足够的安全保护措施。第六,制度执行的检查:核查用人单位是否按照规定的标准执行安全保护措施,并记录操作日志,以供审计凭证。
(四)其他
用人单位还可以通过加强员工隐私教育,即对用人单位的个人信息保护政策及措施进行培训和教育,让员工了解如何保护自己的个人信息,提高员工的隐私意识。此外,用人单位还应积极处理员工投,:如果员工认为自己的隐私权或个人信息受到了侵犯,用人单位应该制定有效的投诉处理流程,快速解决问题,保护员工个人信息的安全和隐私。
04、结 语
个人信息是我国乃至全球都重点保护的领域之一,用人单位在个人信息保护工作中不仅需要保护客户和公共数据中的个人信息,还应保护员工个人信息,履行法律职责和社会责任。 [1] 《民法典》第六章 隐私权和个人信息保护 [2] 《未成年人保护法》第七十二条信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。 未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。 [3] 《刑法》第二百五十三条之一【侵犯公民个人信息罪】
浅析用人单位如何保护员工个人信息
作者:罗洁来源:华商律师

作者按:2022年12月2日,中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,称“数据二十条”。