数据合规管理实务—以员工个人信息保护为例

来源:安理律师事务所

文章摘要
前言 数据经济的快速发展造就丰富的新型就业形态,数据合规与员工个人信息保护成为企业最重要的合规义务之一。不少企业掌握着大量员工信息,稍有处置不当,则会引起违法风险。
前言
数据经济的快速发展造就丰富的新型就业形态,数据合规与员工个人信息保护成为企业最重要的合规义务之一。不少企业掌握着大量员工信息,稍有处置不当,则会引起违法风险。企业若想以合法性为前提满足自身管理的内在需求,就必须从自身实际需求出发,将数据合规与个人信息保护体系落实到具体业务场景中,将法定合规义务落实到数据信息出境的关键节点,并做好个人信息泄露的实战应对方案。本文将以员工个人信息保护为例,分析不同实例场景下的合规问题,明晰员工个人信息跨境中实务操作要点,为企业应对员工个人信息泄露风险提供建议。
本文根据2023年2月15日的直播内容进行汇总。同时,根据2月24日出台的《个人信息出境标准合同办法》的相关内容,进行了相应调整。
01 员工个人信息保护的实例场景
(一)劳动人事管理与员工个人信息的法律冲突实例
企业合规工作具有跨部门性,有效开展合规工作能够最大程度降低企业违法风险。实践中,劳动人事管理时常会与员工个人信息保护产生法律冲突,为企业履行合规义务提出了更多挑战,可以通过以下实例窥见一斑:
实例1:

图1
某企业于员工办公电脑中安装监控软件并就此发生争议,本案中员工主张公司侵犯其个人隐私,而公司则主张安装监控软件旨在便于企业自我管理,最终法院认为企业目的正当,主观不具备窥探员工个人隐私的故意,该行为并非违法行为。
实例2:

图2
北京某企业与其员工关于病假信息产生纠纷,公司在员工提交病休诊断证明书后仍要求员工提供各类繁琐治疗资料,最终法院认为只要员工所提供资料能够证明员工患病就诊事实即可,企业不得再行要求其提供就诊信息,并认定该行为侵犯员工个人隐私权,与员工解除劳动关系行为系属违法。
实例3:

图3
员工入职时未告知企业自身生育状况发生纠纷,企业以员工隐瞒生育事实为由解除双方劳动关系,该企业行为由于违反《妇女权益保障法》规定而被人民法院视为违法行为,侵犯员工隐私权。
(二)劳动人事管理中的员工个人信息保护
当前我国已经形成以《民法典》《劳动合同法》《个人信息保护法》《网络安全法》《数据安全法》为主体框架的个人信息保护体系,其中《民法典》主旨在维护隐私权与个人信息等权利,《个人信息保护法》以其为基础对于个人信息提供更加具体的保护措施;而在员工个人信息出境保护方面,则由《网络安全法》《数据安全法》以及《个人信息保护法》相互配合发挥效用。
企业开展员工个人信息保护合规工作需要满足以下几个要点:
首先《个人信息保护法》第13条明确规定法定同意豁免情形,包括(1)为履行法定义务所必需;(2)为订立、履行与员工订立的劳动合同所必需;(3)为按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
其次,企业应识别除上述规定外需要取得员工授权同意或单独同意的情形。企业在该等情形下处理员工个人信息时,我们建议企业结合处理场景与方式,区分信息的敏感程度进行分类分级管理,就敏感个人信息和特殊场景(例如公开处理、跨境传输、提供给第三方)的处理,采取“规章制度+员工同意”的双保险措施;
最后,对员工个人信息的处理应当坚持最小限度原则、必要原则。
《个人信息保护法》规定,企业违反员工个人信息保护义务需要根据情节轻重承担行政责任、民事责任甚至刑事责任(图4),为此企业需充分履行保护员工个人信息的合规义务。

图 4
(三)劳动人事管理各环节中的员工个人信息合规处理
1、招聘环节
获取简历场景中会面临收集、使用应聘者个人(敏感)信息以及从第三方渠道获取员工简历时,信息授权和信息真实性都有待确认的合规风险,为此需要确保收集信息的真实性以及明确第三方渠道的权限;
填写求职登记表场景则会面临求职登记表搜集的个人信息范围过于宽泛,可能将不必要的或有劳动歧视之嫌的信息纳入收集范围中的合规风险,需要企业秉持最小限度原则并在背景调查时明确取得求职员工同意;
入职体检环节的合规风险表现为收集不必要或有劳动歧视之嫌的信息以及涉及对员工敏感个人信息的收集使用,企业需要规避就业歧视风险,在获取员工健康信息时需取得员工单独同意并采取严格保密措施;
而在未入职场景中,企业或将面临未及时清理未入职应聘者的个人信息、敏感个人信息,对该类信息的使用超越未入职应聘者的授权范围的风险,应对此类风险建议企业删除相关信息,如有保留需取得候选人的知情同意。
2、在职环节
员工在职期间对于企业合规处理行为提出多方面的合规要求:
第一,在设备监控方面,工作设备中可能含有员工及他人的个人信息和敏感个人信息,要求企业确保监控的必要性并事前明确工作设备的使用及监控规则;
第二,工作考勤场景中,由于生物识别信息属于“敏感个人信息”以及使用生物信息对员工进行管理的手段具有可替代性,因此采集员工生物信息很难被认定为“实施人力资源管理所必需”,故而不属于“法定同意豁免”范畴的风险,企业应尽量避免将生物信息作为某项人事管理的唯一方式,并且取得员工单独同意;
第三,存储员工信息过程中,存在着用人单位可以存储依照规章制度或集体合同实施人力资源管理所必需的个人信息,但法律未规定”所必需的个人信息“的外延以及员工有基于信息权利人的删除权要求企业进行删除非法或不合理范围内收集的个人信息的合规风险,企业为此应完善规章制度,取得员工同意并定期核查合规处理情况;
第四,员工行使权利过程中,用人单位会面临在多个情形下都可能受到员工提出的个人信息权利要求的风险,建议企业建立并公开应对员工行权的受理和处理规则;
第五,在传输员工信息时,用人单位可能委托第三方处理员工个人信息,或出于合并、分立、解散、上市、破产等原因向第三方传输个人信息,此场景中企业需采取单独同意+告知接收方的名称/姓名、联系方式、处理目的、处理方式和个人信息的种类,同时与处理信息的受托人通过协议明确双方权利义务等内容。
3、离职环节
首先,员工离职过程中涉及设备移交,企业会面临检查或移交员工设备时涉及对个人信息和敏感个人信息的收集和使用的风险,因而明确收集信息的必要性、私人设备的取得同意、通过规章制度事先规定是必要合规手段;
其次,处理离职员工信息场景中,存在员工离职后,员工的个人信息、敏感个人信息可能因为财务或其他原因需要留存在用人单位中,此时对该类信息的使用可能超出员工的同意范围的风险,企业一方面需要明晰离职员工信息的存储范围,期间要坚持最小必要原则,遵循法律保存用,同时开展背景调查需取得离职员工同意;另一方面需明确信息存储期间并单独设置空间,确保相关信息不被任意访问或泄露;
最后,企业在开展竞业禁止义务履行情况检测时,会产生视听资料作为定案证据需要被全面检查合法性,因此企业在检测离职员工竞业禁止履行情况需要受到合法性的限制的风险,故而要求企业调查员工竞业禁止义务履行情况时,应谨慎采取手段和措施。
02 员工个人信息跨境的实务操作
(一)数据出境的定义及常见场景
数据出境是指数据处理者将在境内运营中收集和产生的数据传输、存储至境外或者数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出,以及国家网信办规定的其他数据出境行为。
实践中,数据出境常见场景主要包括三种:境内主体使用专用于数据传递功能的软件或硬件介质,向境外主体提供数据;境内主体使用服务器位于海外的信息系统、软件平台时产生的数据上载或存储;境内主体授权境外主体查询、调取、下载、导出存储在境内的数据,即数据被动出境。
基于上述内容,合规的数据出境路径主要包括通过国家网信部门组织的安全评估(图5)、经专业机构进行个人信息保护认证(图6)、按照国家网信部门制定的标准合同与境外接收方订立合同(图7)三种。

图 5

图 6

图 7
(二)企业数据出境流程与合规自查
根据实践经验,建议企业通过以下步骤对数据出境流程是否合规进行自查:
1. 场景判断,如线上信息系统传输、线下软件、硬件传输、数据被动出境等;
2. 主体判断,包括CIIO、医疗、互联网、金融、汽车企业等;
3. 数据判断,包括重要数据、个人信息、敏感个人信息、特殊行业数据等;
4. 模式判断,如安全评估、安全认证、标准合同、其他方式(外国司法机关调查等);
5. 相关义务,包括本地储存、特殊行业的要求等。
(三)员工个人信息跨境场景中的合规要点
员工个人信息跨境作为跨国人事管理合规的最后一块拼图,其主要场景为,将员工或求职人员的个人信息共享给海外总部(传输、访问);海外其他合作伙伴、投资人、第三方、服务提供商、监管机构需要获取个人信息;跨国管理的其他需求。
在跨境过程中企业可能会面临以下风险:
1.链路安全隐患导致员工个人信息在跨境传输中泄露;
2.境外第三方机构或服务商的数据保管不当所带来的安全风险;
3.境外人员或服务商人员越权访问导致员工个人信息泄露;
4.防止黑客组织入侵境外服务器或数据库盗取企业数据,非法截获或篡改员工个人信息;
5.对国家安全、公共利益、个人或者组织合法权益带来风险。
为避免上述风险的发生,企业必须严格遵循以下数据出境合规要点:
首先,需履行《个人信息保护法》第39条规定的“告知-同意”义务,在直接收集材料以及受企业委托进行数据处理的第三方收集材料前需取得员工同意,但按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的,无需取得员工同意。但需注意,该运用需要兼顾《劳动合同法》相关规定。
其次,开展个人信息保护影响评估(PIPIA),企业在个人信息出境之前应当根据《个人信息保护法》第56条,并参考《个人信息出境标准合同办法》、《信息安全技术个人信息安全规范》、《信息安全技术个人信息安全影响评估指南》、《数据出境安全评估指南(征求意见稿)》的标准,进行个人信息保护影响评估,并形成评估报告、记录处理情况(至少保存三年)。
用于出境的个人信息保护影响评估应当包含如下内容:
a) 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
b) 出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
c) 境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
d) 个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
e) 境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
f)其他可能影响个人信息出境安全的事项。
最后,积极承担行政管理层面的义务,严格遵循法律要求,根据对拟出境员工个人信息的尽调情况,于数据出境安全评估、个人信息保护认证、标准合同中择其一作为合适的出境路径。选择数据出境安全评估应特别注意,对于跨国企业的人力资源管理而言,员工个人信息的出境一般都不可能是一次性完成的(比如员工入职或信息变更等均会触发该等跨境传输),此时该如何确定出境安全自评估的频率是企业非常关注的问题,在员工个人信息较为频繁地出境且其范围、类型、数量不发生较大变化的情形下,可以参考《信息安全技术数据出境安全评估指南(征求意见稿)》第4.2.2条,整体视为一次出境行为;选择标准合同根路径应特别注意,《个人信息出境标准合同办法》第4条规定,个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供,也就是说,通过个人信息数量拆分手段恶意规避数据出境安全评估的行为将不被监管部门所允许。
03 员工个人信息泄露的实战应对
(一)个人信息泄露事件案例简述
本部分以A公司位于某国范围遭受网络攻击案为代表,具体内容如图8、图9所示:

图 8

图 9
对于预期可能突发的员工个人信息泄露事件,企业需要早做准备,制定完备的应对流程,兼顾对内安全风险和外部监管风险。企业可以根据以下架构,按照自身情况设计相关流程和制度。
(二)对内应对流程
企业个人信息泄露内部应对流程主要体现为:
1.暂时关闭服务器,下载数据库;
2.启动响应,迅速成立专项小组;
3.要求相关单位采取措施;
4.调查事件起因,确定事件类别;
5.启动全面安全监测;
6.针对性修复漏洞;
7.评估和问责。
(三)对外应对流程
在对外应对方面,主要包括以下流程:
1.设立应急联系方式;
2.及时向监管机关报告;
3.及时向个人信息主体通告突发事件情况;
4.接受质询;
5.持续报告、公布后续处理情况。
(四)其他
基于实践经验,建议企业除上述建立对内与对外应对流程外,还应尽可能与网络信息安全企业进行充分合作,借安全治理技术之力,迅速提升自身合规能力。
此外,企业为应对合规风险,仅仅设置被动防护应急处理机制远远不足,尚需在律师事务所、技术公司以及网络安全保险公司各方合规经验基础上,充分推进风险预防机制的建立,真正做到防患于未然。
总结
合规以各方“互相尊重”为出发点,旨在分享共同生存的喜悦和幸福,即共存共荣,为此需要顺应规则,适应周围与环境。合规要成为“Nice Compliance”,不触犯法律是理所当然,同时也要能够在当时的场面和情况下顺应规则,适当应对。
技术驱动法律,专业成就未来