门店信息
继《民法典》之后,又一直接规制个人信息处理的法律出台。2021年8月20日,《个人信息保护法》(下称“《个保法》”)在第十三届全国人民代表大会常务委员会第三十次会议上通过,已自2021年11月1日起正式实施。由此,我国以立法形式显著加强了对个人信息的保护。从《个保法》设置的处罚力度不难看出我国对个人信息侵权行为的惩治决心。
大数据时代下,企业需要处理员工个人信息的场景有增无减,从获取姓名、年龄、身份证号、联系电话、地址等基本信息,到获取健康、行踪轨迹、生物识别等敏感信息。超过一定程度,信息爆炸可能成为负担,无论从法律后果还是经济成本角度看,用人单位都应寻求处理员工个人信息的合规路径。
继《从劳动法角度对《个人信息保护法》重点问题的浅析——员工个人信息保护系列文章之一》及《从人力资源角度谈员工信息收集合规之法条解读——员工个人信息保护系列文章之二》,本篇将带领读者从劳动法的角度,对即将实施的《个保法》重点问题进行初步分析以供进一步探讨。
对于企业而言,了解个人信息保护合规重要性首先意味着对违法后果有清楚的认识。
行政责任方面,违法企业可能:(1)被监管部门责令改正,予以警告,没收违法所得;(2)严重时会被处以数百万甚至千万元罚款、停业整顿,吊销营业执照[1]。
此外,监管部门也可以向自然人追责,即对主管和其他直接责任人员处以十万元以上一百万元以下罚款,并可限制该类人员担任高管等职务。
民事责任上,员工得依《个保法》第六十九条[2]向处理其信息的用人单位追究侵权责任,同时,检察院和消费者组织、网信部门确定的组织可以提起公益诉讼。
个人信息侵权行为适用过错推定原则,即信息主体无需证明单位的过错。结合《民法典》第一千一百六十五条,举证责任倒置,个人信息处理者需证明自己无过错才能得以免责。举证责任上即体现为,企业需证明已经按照法律规定履行个人信息相关义务,例如已建立完善的内部操作流程、对相关人员的培训制度、影响评估体系。只有做好前期合规工作、有效留证,企业与相关责任人员在争议发生时才能避免承担不必要的法律责任。
刑法上早已设立非法侵犯公民个人信息罪,此次《个保法》中亦予载明[3],相关刑事责任不再赘言。
《个保法》第五章规定了个人信息处理者(企业)的义务,企业应当按照其中第五十一条规定,针对需要处理的员工个人信息:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应加密、去标识化等安全技术措施;(4)合理确定处理个人信息的操作权限,定期对代表公司处理个人信息的员工进行安全教育和培训;(5)制定并组织实施个人信息安全事件紧急预案;(6)法律、行政法规规定的其他措施等。
从外部交易到内部管理,企业每天要接触大量如消费者、供应商、求职者、正式员工、离职者的个人信息。本文从人力资源管理角度列举企业为妥善处理个人信息需制定的主要文件。
实践中很多公司将诸如人脸识别、行踪轨迹这些敏感个人信息,或者将信息出境这些需单独同意的情形,与一般处理情况混杂,一揽子征得员工同意。这样的操作方式会因没有体现《个保法》第十七条规定个人信息处理者的告知义务而存在法律风险。
《个保法》第十七条规定:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
虽然用人单位可以“签订合同”与“人力资源管理”所必需收集员工个人信息,但是目前法律没有明确何谓“签订合同”与“人力资源管理”所必需。该条对于个人信息处理者的要求概括如下:
具体解释请见“从人力资源角度谈员工信息收集合规之法条解读—员工个人信息保护系列文件之二”。[4]
需要说明的是,作为用人单位有权对劳动者行使管理权所必需,从而收集部分员工个人信息,但对于涉及《个保法》规定需“单独同意”的个人信息收集,尤其是对员工福利等要求员工提供的敏感个人信息(例如:未成年子女个人信息、商业保险)应当谨慎处理。为控制法律风险,建议用人单位采用醒目、容易引起注意的方式,如加粗字体、采用下划线等,使信息主体明确知晓相关敏感信息的内容、使用目的、处理方式等。
消费者或用户通常在浏览网页或使用移动设备的软件应用时阅读或查询隐私政策,以签订个人信息相关授权协议或事后了解。从内部管理角度看,隐私政策也可作为“行为守则”适用于内部员工,告诉他们在代表公司处理其他员工、访客、供应商个人信息时应当遵循何种流程,并按照流程对员工培训。
实践中,一些企业借鉴《个人信息安全规范》(下称“《规范》”)内附的政策模板制定个人信息保护政策,如将整体架构设置为:(1)政策目的、适用范围、基本原则与概念;(2)个人信息主体(如按分为员工、访客、供应商);(3)处理一般个人信息的要求;(4)处理敏感个人信息的要求;(5)对信息主体各项权利的告知;(6)高风险(如处理员工个人信息以对其工作表现进行评估或预测)应用场景。
诚然,《个人信息安全规范》能为企业在制度框架设计上提供有力指导,但它仍属于国家推荐性标准,并非法律。因此企业切忌生搬硬抄,在参考制定内部政策时应注意该规范与《民法典》《个保法》等法律法规的差距,避免做无用功。
例如,《规范》与GDPR一致采用了的“控制者”(Controller)这一概念,而《个保法》仅以“处理者”指代在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,无“控制者”的概念。因此我们建议企业在设计内部制度时尽量与《个保法》说法保持一致,否则当用人单位与多个第三方共同掌握员工个人信息时,无法准确按照法律标准切割权利义务,容易引起混乱,出现争议时也存在被行政、司法机关作不利认定的风险。当然,内部制度可以高于法定标准。
另外,切忌主体混同。一些企业出于便捷考虑,其隐私政策中的个人信息主体囊括员工、访客、外包人员,建议对不同人群进行分类,确保有针对性地制定政策。例如,处理员工个人信息的场景多为人力资源管理,而对处理访客个人信息多出于企业为自身安全及商业秘密的保护,那么就要对两种场景的合法性基础进行审慎考量从而设置不同制度条款。对于传统劳动人事领域的管理过程中需采集的信息,如员工姓名、身份证号、学历学位信息可援引《个保法》第十三条第二款[5]进行处理,而对于外部访客个人信息需着重注意征得同意,具体使用方式、目的也需在告知主体时作差异化表述。
与员工个人信息相关的已颁布制度及资料文件也不可忽视,包括但不限于应聘申请表、入职信息表、背景调查流程表、考勤制度、休假制度、员工福利政策。
个人信息告知同意书、隐私政策篇幅受限不尽详实,如有考勤之类的专门制度,需在修订细节条文时做好合规方面的衔接工作,使之与同意书、隐私政策匹配,共同达到现行法定要求。
修订专门制度时,用人单位在处理员工个人信息时仍应按照《民法典》第一千零叁拾伍条遵循合法、正当、必要原则,尤其要正确把握必要性。必要性也为最高法在《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中强调,其中第四条[6]明确规定,信息处理者要求自然人同意处理其人脸信息才提供产品或者服务时,除非处理人脸信息“属于提供产品或者服务所必需”,即便处理者已征得自然人或其监护人同意,该种信息处理行为也不会为法院所支持。
同样,在劳动法语境下,企业仍需时刻重视“必要性”这一要求。例如,公司因员工申请病假要求其提交相关医疗凭证确属合理,但不能因此过度收集信息,否则极有可能侵犯隐私、违反必要原则。一般而言提交经过核验的挂号记录、病假单即可,详细的诊断报告、处方笺则可选择性提交。
根据《个保法》第五十五条,涉及处理敏感个人信息(如行踪轨迹)、自动化决策、委托处理(如人力资源外包)、境外传输个人信息(如服务器在境外)等情况时,用人单位应事前进行个人信息保护影响评估,此时可借鉴《个人信息安全影响评估指南》(GB/T 39335-2020)。
影响评估有利于用人单位将员工信息处理活动的风险保持在可控范围内,另外可作为用人单位履行法定义务、进行合规自查的有力证据,增加信息主体的信任度。
《个人信息安全影响评估指南》指导用人单位“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程”,同时“发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成影响的风险”。
有些时候,相关个人信息在处理过程中可能混杂第三方行为,这就意味着用人单位不仅需要关注与信息主体的法律关系,还应与第三方约定好各自的权利义务。
情形一,典型情况为监控视频的采集。很多办公楼所在园区、闸机口、公司内部办公区的摄像头实际由物业公司设置,而设置之初用人单位与物业公司并没有明晰各自在处理相关个人信息上的权利义务。那么,即便调取视频监控具有“正当性”,物业公司很可能拒绝调取相关信息。在此,我们建议企业与物业公司明确,作为用人单位需要在哪些场所、何种时间段、对哪些人员采集监控信息,由谁安装摄像头,然后根据在法律允许的范围内与物业公司签订书面协议,约定监控设备由谁安装、基于何种法律关系采集个人信息、如何调取、责任如何划分等内容。
情形二,企业会使用人力资源外包与劳务派遣服务。企事作为实际用工方,对于这类人员的劳动报酬支付情况、社保缴纳情况、劳动力资格与安全情况,应当根据《个保法》规定,与第三方约定双方的权利义务并实行定期监督。否则除了《个保法》规定的法律责任,从劳动法角度企业亦将承担连带责任与连带赔偿责任。
作为用人单位,企业每一次建立、修订、更新、实施制度都意味着较大的成本耗费。正因目前我国个人信息相关法律法规没有给出实操上的“完美标答”,企业针对员工个人信息制定政策、协议文件时更应慎之又慎,合理把握尺度,在合规的大前提下兼顾质量与效率。
作为专业劳动法团队,笔者团队根据《民法典》《个保法》《劳动法》《劳动合同法》等法律法规的最新要求为客户起草《员工个人信息同意函》《个人信息隐私政策》,并修订公司现行人力资源管理各项制度,确保公司在各类用工中合法合规处理用工信息。如有需要,可发送邮件至下方邮箱,与作者团队联系。
[1] 《个人信息保护法》第六十六条,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[2] 《个人信息保护法》第六十九条,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
[3] 《个人信息保护法》第七十一条,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
[5] 《个人信息保护法》第十三条第二款,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
[6] 最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条,有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:……(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外……[Dacheng1]企业需明示的事项。
以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。