作者 | 楊傲霜   趙云虎 

機(jī)構(gòu) | 北京大成（上海）律師事務(wù)所

《個(gè)保法》第44條規(guī)定,，個(gè)人對其個(gè)人信息的處理享有知情權(quán)、決定權(quán),，有權(quán)限制或者拒絕他人對其個(gè)人信息進(jìn)行處理,；法律、行政法規(guī)另有規(guī)定的除外,。

（一）知情權(quán)

《勞動合同法》第8條規(guī)定了勞動者在履行勞動關(guān)系中的知情權(quán),，即用人單位招用勞動者時(shí)，應(yīng)當(dāng)如實(shí)告知勞動者工作內(nèi)容,、工作條件,、工作地點(diǎn)、職業(yè)危害、安全生產(chǎn)狀況,、勞動報(bào)酬，以及勞動者要求了解的其他情況,。但對用人單位處理勞動者其個(gè)人信息的知情權(quán)沒有規(guī)定,。根據(jù)《個(gè)保法》規(guī)定，我們梳理了以下用人單位應(yīng)當(dāng)向勞動者履行如下義務(wù)：

a) 告知事項(xiàng)：

i. 用人單位,、人力資源管理系統(tǒng)名稱,；

ii. 員工個(gè)人信息處理的目的。例如：用人單位需要告知員工,，收集員工子女信息是為了辦理家屬補(bǔ)充醫(yī)療保險(xiǎn),。而對于用人單位不能明確“目的”而收集的員工個(gè)人信息，建議謹(jǐn)慎或不再收集,，例如：員工婚姻狀況,；

iii. 員工個(gè)人信息的處理方式，收集,、存儲,、使用、加工,、傳輸,、提供、公開,、刪除等,。例如：收集員工戶籍信息，處理目的是辦理戶口,，處理方式是收集和使用,，但不存儲，那么其該信息被泄露的可能性就較低,，對個(gè)人權(quán)益的影響就較?。?/p>

iv. 處理個(gè)人信息種類,。員工個(gè)人信息是否涉及敏感信息,，例如：人臉識別、未成年人信息（員工子女）,。對于敏感信息,，法律保護(hù)力度加大，用人單位應(yīng)當(dāng)采取更高的保護(hù)標(biāo)準(zhǔn),；

v. 保存期限,。員工個(gè)人信息保存期限也應(yīng)當(dāng)告知，例如：是否存儲,；如果存儲的,，則存儲后保存期限,，是否將保存至勞動關(guān)系結(jié)束之后；

vi. 員工行使權(quán)利的方式和程序,。例如,，員工有權(quán)更新、修改其個(gè)人信息,，員工離職時(shí)有權(quán)要求用人單位出具“離職證明”以及其他在職信息等,。

b) 告知時(shí)間：

應(yīng)當(dāng)是在“處理員工個(gè)人信息前”，向員工履行告知義務(wù),。例如：新員工入職的,，須在填寫《個(gè)人信息登記表》前或同時(shí)履行告知義務(wù)；對于已經(jīng)入職的員工,，制作《員工個(gè)人信息保護(hù)規(guī)則》并進(jìn)行公示,。

c) 告知的方式：

i. 顯著方式：不應(yīng)當(dāng)用很小字體或隱蔽的排版來展現(xiàn)告知條款；

ii. 清晰易懂語言：不應(yīng)當(dāng)用冗長的專業(yè)用語或抽象的條款,，進(jìn)行告知,；

iii. 真實(shí)、準(zhǔn)確與完整： 告知必須是正確,、完整的,，不存在誤導(dǎo)或斷取義。例如,，只告知員工個(gè)人信息提供的必要性,，但員工卻不知道其信息將跨境傳入至海外集團(tuán)公司。

（二）決定權(quán)

《個(gè)保法》第44條“決定權(quán)”內(nèi)容是指,，個(gè)人有權(quán)自由決定其個(gè)人信息被何人,、以何種目的、何種方式,、在何種范圍內(nèi)被處理,。但是《個(gè)保法》第44條后半句同時(shí)規(guī)定：“法律、行政法規(guī)另有規(guī)定的除外”,。聚焦員工個(gè)人信息的法律基礎(chǔ),，并非員工個(gè)人同意，而是基于人力資源管理所必須,，即《個(gè)保法》第13條第1款第2項(xiàng)之規(guī)定：“為訂立,、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需,?！?/p>

因此，基于勞動關(guān)系，員工不可以拒絕或撤回提供人力資源管理所必須而處理的員工個(gè)人信息,。例如：員工不得拒絕,、撤回或虛假提供其個(gè)人身份信息、學(xué)歷證明以及職業(yè)資格等,。

（一）員工的查閱與復(fù)制權(quán)

1. 法律基礎(chǔ)

《個(gè)保法》第45條規(guī)定：“個(gè)人有權(quán)向個(gè)人信息處理者查閱,、復(fù)制其個(gè)人信息,；有本法第十八條第一款,、第三十五條規(guī)定情形的除外,。個(gè)人請求查閱、復(fù)制其個(gè)人信息的,，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供,。”

此處的“復(fù)制權(quán)”不應(yīng)簡單理解為查閱,、復(fù)制其“個(gè)人信息”本身,，而應(yīng)該當(dāng)理解為“個(gè)人信息處理事項(xiàng)”。根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T35273-2020）第8.1條：“個(gè)人信息查詢：個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供查詢下列信息的方法：a) 其所持有的關(guān)于該主體的個(gè)人信息或個(gè)人信息的類型,；b) 上述個(gè)人信息的來源,、所用于的目的；c) 已經(jīng)獲得上述個(gè)人信息的第三方身份或類型,?！?/p>

2. 查閱與復(fù)制內(nèi)容

關(guān)于查閱。員工有權(quán)要求提供用人單位收集的員工本人個(gè)人信息,、其個(gè)人信息來源（例如：員工本人提供,、獵頭提供或前用人單位提供等）、用人單位使用目的,、提供給第三方情況（例如：為員工購買商業(yè)保險(xiǎn)而向A保險(xiǎn)公司提供其個(gè)人身份證信息）,。

關(guān)于復(fù)制。用人單位應(yīng)當(dāng)根據(jù)員工要求為其復(fù)制其書面形式（包括電子介質(zhì)）的個(gè)人信息,。實(shí)踐中,，員工為了出國留學(xué)、購買房屋以及向新用人單位提供工作履歷,，要求用人單位提供相關(guān)證明文件,，用人單位不應(yīng)當(dāng)拒絕。否則,，員工有權(quán)根據(jù)《個(gè)保法》第50條規(guī)定向人民法院提起訴訟,。

（二）可攜帶權(quán)

《個(gè)保法》第45條還規(guī)定了可攜帶權(quán)，即員工可以請求將其個(gè)人信息轉(zhuǎn)移至其他個(gè)人信息處理者（例如新用人單位），符合國家網(wǎng)信部門規(guī)定條件的,，用人單位應(yīng)當(dāng)提供轉(zhuǎn)移的途徑,，例如員工跳槽至下一家用人單位，要求現(xiàn)用人單位配合調(diào)檔等,。但是《個(gè)保法》并未對此權(quán)利的行使條件以及如何行使做出細(xì)化規(guī)定,。何為“符合國家網(wǎng)信部門規(guī)定”，截至目前,，我們暫未看到相關(guān)部門出臺細(xì)則,，現(xiàn)行可以參考的是國家網(wǎng)信辦2021年11月14日發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第24條，對于個(gè)人的轉(zhuǎn)移請求設(shè)置了三個(gè)條件：1.請求轉(zhuǎn)移的個(gè)人信息是基于同意或者訂立,、履行合同所必需而收集的個(gè)人信息,；2.請求轉(zhuǎn)移的個(gè)人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；3.能夠驗(yàn)證請求人的合法身份,。

需要說明的是,，根據(jù)《國務(wù)院2022年度立法工作計(jì)劃》，《網(wǎng)安條例》已經(jīng)被列入16件擬制定,、修訂的行政法規(guī)中,，正式稿是否會有新的變化或更加具體的要求，我們拭目以待,。

《個(gè)保法》第46條規(guī)定：“個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請求個(gè)人信息處理者更正,、補(bǔ)充,。個(gè)人請求更正、補(bǔ)充其個(gè)人信息的,，個(gè)人信息處理者應(yīng)當(dāng)對其個(gè)人信息予以核實(shí),，并及時(shí)更正、補(bǔ)充,?！?/p>

首先，員工有權(quán)并應(yīng)當(dāng)對其不準(zhǔn)確,、不完整的個(gè)人信息請求更正,。

鑒于人力資源管理所必須，更新員工個(gè)人信息,，不僅是員工的權(quán)利也是員工的義務(wù),。很多公司《員工手冊》均會對此有相應(yīng)規(guī)定，即當(dāng)員工信息發(fā)生變更時(shí),，員工有義務(wù)及時(shí)通知人力資源部進(jìn)行更正與補(bǔ)充,。

其次,，用人單位應(yīng)當(dāng)進(jìn)行核實(shí)。

在員工要求更正,、補(bǔ)充其個(gè)人信息時(shí),，《個(gè)保法》第46條第2款同時(shí)規(guī)定，用人單位應(yīng)當(dāng)進(jìn)行核實(shí),，不能直接進(jìn)行更改,。根據(jù)法律規(guī)定與司法實(shí)踐，用人單位對員工身份等個(gè)人信息承擔(dān)核實(shí)義務(wù),，否則將承擔(dān)不利后果,。例如，《禁止使用童工規(guī)定》第4條規(guī)定：用人單位招用人員時(shí),，必須核查被招用人員的身份證,。例如，案例一：有員工因?yàn)槟挲g等原因,，冒用他人身份證,，導(dǎo)致用人單位工傷保險(xiǎn)繳納主體錯(cuò)誤,。其后員工發(fā)生工傷事故而導(dǎo)致工傷保險(xiǎn)不理賠,，由用人單位承擔(dān)賠償責(zé)任。案件二：用人單位未核查身份證真實(shí)性而招錄未成年工,，后被行政罰款,。

《個(gè)保法》第47條規(guī)定了五種應(yīng)當(dāng)刪除個(gè)人信息的情形,。不同于一般個(gè)人信息處理者,，用人單位基于人力資源管理的法律基礎(chǔ)處理員工信息，則何時(shí)應(yīng)當(dāng)履行刪除權(quán)呢,？我們分析如下：

（1）處理目的已實(shí)現(xiàn),、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要

此條基于《個(gè)保法》的基本原則，則處理個(gè)人信息應(yīng)當(dāng)具有明確,、合理的目的,。如果處理目的已經(jīng)實(shí)現(xiàn)、無法實(shí)現(xiàn)或?yàn)閷?shí)現(xiàn)處理目的不再必要的,，則應(yīng)當(dāng)刪除個(gè)人信息,。例如：用人單位對外招聘法務(wù)經(jīng)理一名，收到了20份應(yīng)聘簡歷,，其后一人應(yīng)聘成功,。此時(shí)，用人單位應(yīng)當(dāng)刪除剩余19份應(yīng)聘者的應(yīng)聘信息,，因?yàn)檎衅改康囊呀?jīng)實(shí)現(xiàn),。如果用人單位想保留剩余19人的應(yīng)聘信息,，應(yīng)當(dāng)有其他合理目的，例如：未來12個(gè)月會另外再招聘一名法務(wù)經(jīng)理,，或者應(yīng)聘者同意參與該用人單位未來其他崗位招聘,。

（2）個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)

此情形多見于為員工福利與活動。例如,，用人單位不再為員工子女購買商業(yè)保險(xiǎn)的,，應(yīng)當(dāng)刪除員工子女的相關(guān)信息；用人單位出于為員工提供旅游等目的而收集的員工家人的相關(guān)身份信息,，在旅游活動結(jié)束后,，應(yīng)當(dāng)予以刪除；在員工離職后,，企業(yè)對于相關(guān)員工信息應(yīng)當(dāng)及時(shí)刪除,。

（3）個(gè)人信息的保存期限屆滿

勞動法律法規(guī)對員工信息保存期限有相關(guān)規(guī)定。例如：《勞動合同法》規(guī)定,，勞動合同文本需要保存至少兩年,、離職后競業(yè)限制期限最長為兩年?！豆べY支付暫行規(guī)定》第6條規(guī)定：用人單位必須書面記錄支付勞動者工資的數(shù)額,、時(shí)間、領(lǐng)取者的姓名以及簽字,，并保存兩年以上備查,。此外，勞動仲裁時(shí)效為一年且用人單位對其保存的資料承擔(dān)舉證責(zé)任,，故用人單位在刪除員工個(gè)人信息時(shí),，同時(shí)應(yīng)當(dāng)考慮勞動爭議仲裁時(shí)效期限。 

（4）個(gè)人撤回同意

《個(gè)保法》確立了以告知同意為核心的處理個(gè)人信息的體系,，因此在個(gè)人撤回其同意時(shí),，個(gè)人信息處理者應(yīng)當(dāng)進(jìn)行刪除。但是這里值得注意的是,，“個(gè)人同意”并非用人單位處理員工個(gè)人信息的主要基礎(chǔ),，因此對于基于訂立、履行勞動合同及人力資源管理所必須而收集的員工個(gè)人信息,，員工以撤回同意作為行權(quán)基礎(chǔ),，企業(yè)是否必須同意其權(quán)利的行使目前暫無定論，即是否只有以員工單獨(dú)同意為基礎(chǔ)的信息,，員工才可以此作為行使刪除權(quán)的依據(jù),，這一點(diǎn)仍有待商榷，等待進(jìn)一步法律法規(guī)與實(shí)施細(xì)則,。

（5）個(gè)人信息處理者違反法律,、行政法規(guī)或者違反約定處理個(gè)人信息

用人單位未能依據(jù)《個(gè)保法》向員工告知其處理信息的目的,、內(nèi)容而收集的信息，或雖然已進(jìn)行告知,，但超過最小,、必要范圍、且未獲員工單獨(dú)同意的情況下收集的員工如宗教信仰,、婚姻,、生育信息等相關(guān)內(nèi)容的，員工有權(quán)要求用人單位及時(shí)進(jìn)行刪除,。

《個(gè)保法》第48條規(guī)定，個(gè)人有權(quán)要求個(gè)人信息處理者對其個(gè)人信息處理規(guī)則進(jìn)行解釋說明,，此條與《個(gè)保法》第17條相對應(yīng)?，F(xiàn)較多用人單位開始制作個(gè)人信息處理規(guī)則、隱私政策,，或在《應(yīng)聘登記表》,、《勞動合同》等文件中加入告知與授權(quán)同意條款。因此,，對用人單位人力資源部目前使用的相關(guān)文件,、表格以及規(guī)章制度進(jìn)行更新升級，也是滿足《個(gè)保法》合規(guī)的法定要求,。

綜上,，了解了員工對其個(gè)人信息享有的權(quán)利,、在何種情形下企業(yè)才需要對其行權(quán)進(jìn)行響應(yīng),，有利于企業(yè)更好地梳理個(gè)人信息保護(hù)的合規(guī)體系，將個(gè)人信息保護(hù)合規(guī)原則融入到日常的用工管理環(huán)節(jié)中,。