《個人信息保護法》將于2021年11月1日實施,,可以合理地預見伴隨未來員工對用工場景下個人私密信息權利意識的逐漸覺醒,企業(yè)將可能更加頻繁地遇到員工個人信息保護的爭議,。 作為一名法律工作者,,在日常的勞動法律關系處理中,我們和HR經理作為共同體,,深刻體會到一份合規(guī),、完善的員工手冊在處理公司日常員工問題時的重要作用,以及在勞動仲裁時可以有效的避免和減少公司重大損失,。 因此,,企業(yè)HR經理需要及時修改員工手冊,應對《個人信息保護法》的合規(guī)落地,。 本文將從人力資源管理的視角,,梳理《個保法》中與人力資源管理相關的合規(guī)要點,并結合實際的辦案手記為HR提供實操性的建議,,以及在HR如何修改企業(yè)的員工手冊,,以應對《個保法》帶來的合規(guī)性挑戰(zhàn)。 本文共4906字,,閱讀約需5分鐘 《個人信息保護法》將于2021年11月1日實施,,可以合理地預見伴隨未來員工對用工場景下個人私密信息權利意識的逐漸覺醒,企業(yè)將可能更加頻繁地遇到員工個人信息保護的爭議,。 作為一名法律工作者,,在日常的勞動法律關系處理中,我們和HR經理作為共同體,,深刻體會到一份合規(guī),、完善的員工手冊在處理公司日常員工問題時的重要作用,以及在勞動仲裁時可以有效的避免和減少公司重大損失,。 因此,,企業(yè)HR經理需要及時修改員工手冊,應對《個人信息保護法》的合規(guī)落地,。 本文將從人力資源管理的視角,,梳理《個保法》中與人力資源管理相關的合規(guī)要點,并結合實際的辦案手記為HR提供實操性的建議,,以及在HR如何修改企業(yè)的員工手冊,,以應對《個保法》帶來的合規(guī)性挑戰(zhàn)。 01/ 要想規(guī)避風險,,我們首先需要清楚法律規(guī)定的“個人信息”的范疇是什么,,它和我們通常認知中的個人信息存在什么差異?!秱€人信息保護法》的規(guī)定:  (1)個人信息的主體只能是自然人,; (2)個人信息具有可識別性(不包括匿名化處理后的信息),; (3)個人信息必須具有一定形式的載體,即以電子或者其他方式記錄(未進行記錄的自然人的活動或談話就不屬于個人信息),。  與HR最相關的是用工管理場景下的私密個人信息,,它又包括哪些呢? 法律規(guī)定用工管理場景下的私密個人信息是兼具“私密性”和“可識別性”兩項特征的信息,。 《民法典》第1034條第4款的規(guī)定,,個人信息中的私密信息,適用有關隱私權的規(guī)定,;沒有規(guī)定的,,適用有關個人信息保護的規(guī)定。這一規(guī)定確立了個人信息中的私密信息應優(yōu)先適用隱私權規(guī)則的制度,。用人單位宜采取謹慎的態(tài)度處理這一問題,,以避免面臨潛在法律風險。 在用工場景下,,常見的個人信息中的私密信息包括婚育信息,、健康信息、銀行賬戶信息,、工作時間以外的位置信息、性取向,、未公開的犯罪記錄等,。 通過上述個保法的新規(guī)定,,用人單位處理員工的個人信息必然需要符合一系列要求,,在用工場景下,個人信息也紛繁復雜,。 可以預見在個保法實施后,,HR將面臨多重人力資源合規(guī)管理方面的挑戰(zhàn)。從用工管理的幾個階段出發(fā),,我們可以預見的一些典型挑戰(zhàn)和問題。 1.招聘環(huán)節(jié) 如何保證用人單位收集簡歷是合規(guī)的,? 如何處理未被錄用的候選人的簡歷,、預防簡歷泄漏,? 如何保證視頻面試錄屏的合規(guī)性,? 如何取得候選人對于用人單位處理其個人信息的同意? 如何妥善確認內推人提供的簡歷是經過被推薦人授權的,? 如何與第三方平臺劃分個人信息的管理權責? 2.入職前后 如何合規(guī)獲得員工的體檢報告,? 如何合規(guī)進行員工背景調查,? 如何妥善保存員工提交的畢業(yè)證書、身份證,、資格證書等入職材料,? 如何妥善告知員工,,在勞動合同履行過程中,,處理其個人信息的必要性和相關場景?
3.在職期間 如何合規(guī)獲取即時定位打卡,、人臉打卡,、指紋打卡等涉及個人信息的考勤打卡信息? 如何合規(guī)獲取病假申請信息及其他醫(yī)療文件,? 如何合規(guī)獲取員工違規(guī)違紀信息,? 如何確保有權限接觸員工個人信息的管理者謹慎履職、如何制定個人信息泄露時應急預案,? 4.離職后 如何合規(guī)處理新雇主背景調查時涉及的離職員工個人信息,? 如何合規(guī)處理員工離職后的個人信息限期刪除事宜? 《個保法》出來之后,,我們會發(fā)現HR工作可能處處是坑,一不小心就深陷其中,,上文中,,我們嘗試列舉了人力資源管理場景下,HR可能會面臨合規(guī)風險的一些個人信息或可能的管理挑戰(zhàn),,但仍無法窮盡,,相信你在閱讀的過程中也有新的補充或疑問。 那么,,如何面臨這種復雜的情況呢,? 《個人信息保護法》第五條至第九條規(guī)定了處理個人信息應當遵循合法、正當,、必要和誠信原則,、明確性和相關性原則、最小程度原則,、公開透明原則,、完整性和準確性原則,、安全保障原則等一整套基本原則;以及個人信息處理的“告知-同意”規(guī)則,。 其中,,“告知-同意”規(guī)則是《個人信息保護法》中的核心內容,在個人信息處理規(guī)則中處于核心地位,。 “告知同意規(guī)則”,,亦稱“知情同意規(guī)則”,是指任何組織或個人,,在處理個人信息時,,應當對信息主體即其個人信息被處理的自然人進行告知,在取得同意后方可從事相應的個人信息處理活動,,否則所涉處理行為構成違法,,除非法律另有規(guī)定。
也就是說,,我們處理個人信息應當在事先充分告知的前提下取得個人同意,。 建立該規(guī)則的目的,在于信息處理者需將處理個人信息的目的,、用途,、后果告知信息主體,使信息主體出于自身的真實,、完整意志,,同意信息處理者的請求,以此彰顯對信息主體人格獨立性與自主性的尊重,。“告知同意規(guī)則”包含了“告知規(guī)則”與“同意規(guī)則”,,二者相輔相成、緊密聯系,。 關于“告知-同意”這一核心規(guī)則,,《個人信息保護法》第13條第(2)項至第(7)項規(guī)定了基于個人同意以外的可以合法處理個人信息的六種情形(下稱“六種法律許可情形”)。 也就是說,,在以下情形下,,我們不必須遵循“告知-同意”的規(guī)則。 但需要特別注意的是: (1)無論是基于個人同意還是基于法律許可處理個人信息,,用人單位都應當遵循公開透明原則,,向員工告知處理目的、方式和范圍等內容,。 (2)缺乏必要性的前提下,,用人單位仍然應當在取得員工同意后,方可處理員工個人信息,。 基于上述介紹和討論,我們建議用人單位在處理員工個人信息時應注意在員工手冊中預先明確以下主要問題,,以避免法律風險,,實現合規(guī)。
(一)在員工手冊中對用工管理所需要處理的員工個人信息進行梳理和分類識別 用人單位在員工手冊中可以對其在用工管理全過程中的所需要處理的各個環(huán)節(jié),、各類人員個人信息進行全面梳理和分類識別,,我們建議把員工個人信息分為以下四類: (1)不允許收集的員工個人信息(下稱“第一類信息”); (2)法律明確允許收集的員工個人信息(下稱“第二類信息”); (3)可以劃入用工管理所必需的員工個人信息(下稱“第三類信息”); (4)難以劃入用工管理所必需的員工個人信息(下稱“第四類信息”),。 我們建議: 用人單位在員工手冊中新增對用工管理常見的,、包括但不限于以下情形中涉及的員工個人信息進行列舉加概括式分類管理: (1)要求員工提供支持其病假申請的診斷證明和完整病歷; (2)用人單位在辦公場所使用監(jiān)控錄像,; (3)用人單位搜查員工的在辦公場所使用的儲物空間,; (4)員工考勤打卡的釘釘位置信息、人臉識別信息,; (5)用人單位收集,、監(jiān)控或分析員工在工作電腦、在公司電子郵件系統(tǒng),、或在公司內部網絡中儲存或傳輸的信息,; (6)用人單位的工作手機、工作微信,、工作QQ中的信息,; (7)用人單位采取登報公告方式向“失聯”員工送達解聘通知; (8)用人單位在公司內部和外部通報員工的違紀行為,; (9)用工場景下其他重要的涉及私密個人信息的用工管理行為,。 (二)在員工手冊中劃定員工私密個人信息的合理范圍用人單位可以采取有效措施避免員工對特定信息形成隱私期待,進而避免特定信息落入隱私的范疇。 用人單位可以在員工手冊中向員工明確告知: 員工的工作電腦,、工作手機,、工作微信、工作QQ,、公司電子郵件系統(tǒng),、和公司內部網絡等公司的IT設備、賬號僅可用于工作用途,,任何員工不應對在該等設備或賬號中儲存或傳輸的信息存在任何隱私期待,。公司有權對該等信息進行收集、監(jiān)控或分析,。  我們建議: 用人單位應在員工手冊中新增“隱私保護政策”章節(jié)并落實上述內容,。 (三)在員工手冊中明確同時使用基于員工同意和基于法律許可作為處理員工個人信息的法律基礎,而不僅依賴其中之一 在現行法律下,,用人單位目前難以對能否適用《個人信息保護法》第13條第(2)至(7)項的規(guī)定基于法律許可處理個人信息中的私密信息一事做出確定結論,。 為避免潛在法律風險,用人單位宜以謹慎的態(tài)度對待此事,,在員工手冊中明確把取得員工同意作為處理個人信息中的私密信息首選方案,。對于第四類信息,用人單位應當在取得員工同意后方可處理,。 我們建議: 作為員工手冊的配套文件,,用人單位應定制適用于不同用工場景的個人信息處理告知及同意書。 (四)在員工手冊中明確向員工告知用工管理中涉及私密個人信息的處理目的,、方式和范圍等,。 無論基于何種法律基礎處理員工私密個人信息,用人單位都應當遵循公開透明原則,,向員工告知私密個人信息的處理目的,、方式和范圍等內容。 因此,,我們建議用人單位可以通過員工手冊中明確規(guī)定的方式履行告知義務,;告知事項應當涵蓋《個人信息保護法》第14條第1款所規(guī)定的所有內容。 我們建議: 用人單位應在員工手冊中新增“個人信息處理規(guī)則和流程”章節(jié)并針對不同分類個人信息安全事件列明應急預案,。 (五)通過培訓使員工知曉和理解員工手冊中劃定員工私密個人信息的合理范圍,。 絕大多數員工對于私密個人信息保護問題缺乏完整、準確的理解,。員工對此問題的片面或錯誤理解容易引發(fā)爭議,。 因此,用人單位應當向員工提供培訓,,以盡量避免因誤解而引發(fā)的爭議,。 我們建議: 用人單位對員工手冊中新增的“個人信息保護”相關條款在履行民主程序的同時,,就相關內容制作員工培訓PPT并留下員工培訓過程。 案情一 天天公司是一家設備銷售公司,,員工小王曾是天天公司錄用的銷售員工(已主動離職),。 天天公司為小王在職期間配發(fā)了工作手機及工作手機號碼,小王自行通過該手機號碼申請了私人微信用于工作(非企業(yè)微信),。 小王離職后交還公司手機,;天天公司通過微信數據恢復從該手機中導出了員工小王在職期間的微信記錄(微信支付功能因為需要小王人臉識別而無法恢復)。 天天公司打印了小王和客戶的微信記錄作為員工小王“飛單”的證據(“飛單”指銷售員工拿到訂單后,,不將訂單交由自己公司做,,卻將訂單交由其他公司做)。天天公司據此向勞動仲裁委員會申請仲裁要求員工小王賠償因“飛單”給其造成的損失30萬元,。 雙方為此發(fā)生爭議,,員工小王主張,,天天公司在未事先告知的情況下獲取了自己和客戶的微信聊天記錄,,侵犯了其隱私權,故違法取得的微信聊天記錄不具有證據效力,。 律師分析 雖然工作手機和手機號碼確實屬于公司所有,,并配發(fā)給員工使用,但是公司既沒有把提前告知員工應當使用企業(yè)微信而非個人微信與客戶溝通,,也沒有就恢復儲存在工作手機上的個人微信聊天記錄一事取得員工的同意,。 員工對于個人微信內容具有合理的隱私期待,故該等信息具有不愿為他人知曉的私密性,,進而應當屬于以私密信息形式存在的隱私,。 由于該等證據是通過侵犯員工隱私權的方式而取得,公司無權收集并處理該等信息,,法院沒有認可該份證據的合法性,。 案情二 鑫公司是一家電商公司,員工小張曾是鑫鑫公司錄用的跨境電商部門經理(已被公司解除),。 員工小張在職期間作為鑫鑫公司的部門經理,,負責在外維系客戶和開發(fā)潛在客戶,實行彈性工作制且不需要到公司辦公室坐班,。公司HR部門發(fā)現該工作模式下無法每月匯總該部門經理的有效工作時間作為績效考核工資的評定系數之一(不影響基本工資的發(fā)放),。 于是鑫鑫公司修改員工手冊要求全體員工(包括員工小張在內的部門經理)采用手機應用程序釘釘進行考勤打卡,未按要求打卡的將按曠工處理,。員工小張未按要求用釘釘打卡,,被鑫鑫公司以嚴重違紀為由解聘。 雙方為此發(fā)生爭議,,員工小張主張,,鑫鑫公司要求其在個人手機上開放手機定位后使用釘釘打卡,侵犯了其隱私權,故該項考勤制度違法無效,。 律師分析 雖然員工主張“釘釘打卡的位置信息屬于私密信息”,,但用釘釘進行考勤打卡的隱含要求是:員工應當在工作時間內用釘釘匯報其所在位置,以證明其已正常出勤,。 因此,,公司通過這一方式收集的信息只是員工在工作時間內的位置信息。任何員工對于在工作時間內的位置信息不應具有合理的隱私期待,,該等信息不具有不愿為他人知曉的私密性,,不屬于員工隱私權范疇,這一點我們建議公司應在員工手冊中進行明示,。 個保法作為中國第一部專門保護個人信息的法律,,其重要意義不言而喻;我們也會密切關注個保法的后續(xù)配套規(guī)定,,這些規(guī)定中可能包括更多具有實踐指導意義的規(guī)定,。 |
