2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布,将于2021年11月1日起施行。这是国内首部全面、专门的个人信息保护法,是中国个人信息保护制度发展的里程碑。

员工个人信息属于《个人信息保护法》管辖范围,这部法律将对人力资源工作的几乎方方面面产生重大影响。本文是员工数据保护系列第一篇文章。在这篇文章中,我们针对《个人信息保护法》对雇主和员工的重大影响进行了总结梳理。

1.什么是员工个人信息?

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息(《个人信息保护法》第4条)。《个人信息保护法》特别将医疗健康和金融账户等更为敏感的信息定义为敏感个人信息,实施更加严格的监管(《个人信息法》第28-32条)。

基于上述定义,在雇主可能有权访问的员工个人数据中,员工的个人信息包括但不限于:姓名、出生日期、身份证号、住址、电话号码、邮箱地址等,员工的敏感个人信息包括生物识别、宗教信息杨、特定身份、医疗健康数据、金融账号、行踪轨迹等。

2.什么是员工个人数据处理,处理原则有哪些?

 

个人数据处理包括信息的收集、存储、使用、加工、传输、提供、公开、删除等(《个人信息保护法》第4条)。因此《个人信息保护法》涉及到员工个人信息的整个生命周期,从收集应聘者个人信息到员工离职后删除个人信息,即雇主针对员工个人数据开展的所有活动均可能被视为数据处理。

《个人信息保护法》第5-9条规定了个人信息处理的指导原则,包括合法、正当、必要和诚信原则,合理目的,以及数据最小化、透明、准确、负责和安全保障。第19条规定,个人信息的保存期限应当为实现处理目的所必要的最短时间。

3.雇主在处理个人信息之前必须取得员工同意吗?

除了取得员工同意之外(下文将对此进一步解读),雇主若具备第13条列出的法律依据之一,也可处理个人信息。我们从劳动雇佣角度对这些理由进行了具体解读:

1) 为订立、履行劳动合同所必需,或者按照依法制定的劳动规章制度或依法签订的集体合同实施人力资源管理所必需;

2) 为履行雇主法定职责和义务所必需。例如,雇主为了履行支付社会保险和个人所得税的法定义务,可以在未经员工同意的情况下,向社保局和税务局提供必要的员工个人信息;

3) 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。例如,疫情期间,允许雇主出于防范疫情的目的,收集必要的员工特定信息;

4) 依照《个人信息保护法》在合理的范围内处理已经合法公开的个人信息。例如,雇主可以收集员工在公开社交媒体平台(如微博)上发布的位置信息。

4.同意

如上所述,同意是《个人信息保护法》中规定的处理个人信息的法律依据之一。第14条规定,有效同意必须具备以下特征:

1) 员工必须充分知情同意;

2) 同意必须是自愿表示;

3) 同意必须是明确表示;

此外,以下情形须取得单独同意

1) 向第三方提供个人信息(第23条),例如为购买商业保险而向保险公司提供员工身份证号码;

2) 公开披露个人信息(第25条),例如在公司网站上刊登员工个人信息;

3) 出于维护公共安全之外的目的,在公共场所安装图像采集、个人身份识别设备(第26条),例如雇主在楼宇接待区域使用面部识别技术进行出勤管理;

4) 处理敏感个人信息(第29条),例如收集员工处方、检验报告以及其他详细医疗信息;

5) 向中国境外提供个人信息(第39条),例如雇主与中国大陆境外的其他办公室共享员工联系方式。

《个人信息保护法》中并未明确“单独同意”的定义,因此各组织机构在实际工作应如何具体实施尚有待观察。基本而言,(1)“单独同意”至少应符合上文所述本法第14条规定的有效同意必须具备的特征;(2) “单独同意”要求很可能无法通过“捆绑式同意”(即雇主就出于多个目的处理个人信息取得一次同意)的方式实现。

5.向个人告知的义务

第17条规定了向个人告知信息处理活动的基本义务,这意味着除了个别情况之外,雇主在处理员工个人信息前,应以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知以下事项:

1) 雇主的名称和联系方式;

2) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

3) 员工行使《个人信息保护法》规定权利的方式和程序;

4) 法律、行政法规规定应当告知员工的其他事项。

6.与第三方共享员工个人信息

雇主委托第三方供应商开展招聘、背景调查、薪酬等人力资源相关工作已是普遍现象。

针对雇主与第三方共享员工个人信息的情况,《个人信息保护法》规定了雇主和第三方必须遵守的要求。

如果第三方是代表雇主处理员工个人信息,并且无法决定处理方式和目的,雇主和第三方应商定信息处理目的、期限和方式,处理的个人信息种类、需要采取的保护措施,以及双方权利和义务等等,并在监督第三方开展的个人信息处理活动。第三方必须按照与雇主达成的协议处理个人信息,不得超出合同约定的处理目的和方式处理个人信息,在合同终止或无效后不得保留上述个人信息。

如果第三方还可以决定处理方式和目的,雇主应向员工告知详细的信息处理情况并取得员工的单独同意。

7.建立全面个人信息保护机制

《个人信息保护法》第五章规定了个人信息处理者(即在个人信息处理活动中独立决定处理目的和方式的一方)的义务。雇主作为员工个人信息的处理者,应建立全面的个人信息保护机制,包括:

1) 制定员工个人信息处理政策,建立内部管理制度和操作规程;

2) 对个人信息实行分类管理;

3) 采取安全技术措施;

4) 合理确定个人信息处理的操作权限,并定期对员工进行安全培训;

5) 制定并组织实施信息安全事件应急预案;

6) 发生数据泄露事件后及时通知员工并采取补救措施;

7) 定期开展数据保护合规审计;

8) 在特定情况下进行个人信息保护影响评估;

9) 保存处理活动记录。

8.雇主责任

1) 行政处罚:如果有关部门认定雇主侵犯员工个人信息权利(例如员工提出投诉),雇主可能会面临严重行政处罚。情节严重的,雇主可被处以5000万元或上一年度营业额5%以下罚款。

情节严重的,违法行为直接负责的人员将被处以100万元以下罚款。有鉴于此,雇主组织内部直接负责劳动雇佣管理工作的人员,例如人力资源部、主管/经理、为人力资源部提供支持的内部律师,都可能成为《个人信息保护法》规定的直接责任人。

2) 民事责任:在工作场所发生数据泄露事件后,员工可以违反劳动合同、违反《民法典》规定的人格权或侵权责任为由,向雇主提出民事索赔。

需要指出的是,《个人信息保护法》采取了举证责任倒置,也就是说个人信息处理者必须证明自己没有过错,才能减轻责任。建议雇主留存清晰文档(例如同意表、隐私政策等),用于辅助证明自身已遵守《个人信息保护法》和其他数据保护法律法规。

3) 刑事定罪:如果违法行为构成犯罪,则需承担刑事责任。《刑法》规定,非法向第三方取得、出售或提供个人信息,情节严重的可处以7年以下有期徒刑和/或罚款。

9.要点和建议采取的措施

《个人信息保护法》将于2021年11月1日正式生效,雇主应评估现有数据保护体系并立即进行必要整改,确保符合新法规定。下一步,雇主至少应采取以下措施:

1) 评估人力资源数据流程,确定正在处理的员工个人信息和敏感个人信息以及相应的法律依据;

2) 采取必要措施,履行保护义务,例如编写或更新同意书、劳动合同、隐私和个人信息保护政策,开展个人信息保护影响评估,保留处理活动记录;

3) 审阅并修改与第三方签订的相关合同和/或安排,加入数据保护条款;

4) 对参与个人信息处理活动的管理层人员进行培训,确保相关人员了解并遵守法律规定。

10.点评

尽管针对一些重点考虑事项仍有许多问题,尚有待相关部门发布进一步澄清和实施细则,但是各组织机构应立即采取切实行动降低合规风险。

个人数据已经成为各组织机构的重点工作,未来几个月本所将围绕人力资源管理中的员工个人信息保护工作,发布系列文章。

《个人信息保护法》还涉及到一些其他热门话题,例如个人信息主体权利、跨境传输等等。点击此处,查看本所关于《个人信息保护法》发布的新闻通讯。