|
一,、《個(gè)保法》下企業(yè)收集、處理個(gè)人信息時(shí)需履行的告知義務(wù)(二)企業(yè)履行告知義務(wù)的時(shí)間(四)告知個(gè)人信息保存期限:最短時(shí)間二,、企業(yè)收集,、處理員工個(gè)人信息需取得個(gè)人同意義務(wù)(一)企業(yè)可收集、處理員工個(gè)人信息的法定許可情形(二)企業(yè)收集,、處理法定許可以外的其他非必要個(gè)人信息需履行取得員工同意的義務(wù)(三)收集,、處理個(gè)人信息相關(guān)情形發(fā)生變更的,應(yīng)當(dāng)重新取得員工同意的義務(wù)三,、企業(yè)收集,、處理個(gè)人信息需單獨(dú)取得員工同意義務(wù)的其他情形(一)企業(yè)收集、處理敏感個(gè)人信息時(shí)需“告知并取得個(gè)人單獨(dú)同意”(二)企業(yè)向境外提供收集,、處理的個(gè)人信息需“告知并取得個(gè)人單獨(dú)同意”(三)向第三方提供或共享個(gè)人信息時(shí)需“告知并取得個(gè)人單獨(dú)同意”(四)企業(yè)公開員工個(gè)人信息時(shí)需“告知并取得個(gè)人單獨(dú)同意”(五)企業(yè)使用員工個(gè)人圖像采集及身份識別信息作公共安全之外的用途時(shí)需“告知并取得個(gè)人單獨(dú)同意”四,、企業(yè)收集、處理員工個(gè)人信息前執(zhí)行“告知-同意”規(guī)則的合規(guī)建議(一)最小化程度收集員工個(gè)人信息并告知員工信息處理的明確,、具體,、合理目的(二)通過制定個(gè)人信息處理規(guī)則、勞動(dòng)規(guī)章制度或者依法簽訂集體合同等多種方式向員工履行告知義務(wù)(三)企業(yè)向員工告知個(gè)人信息處理規(guī)則的規(guī)章制度,、知情同意書應(yīng)具體,、詳盡且包含所有應(yīng)告知內(nèi)容隨著大數(shù)據(jù)及信息時(shí)代到來,個(gè)人信息保護(hù)逐漸上升為個(gè)人和企業(yè)關(guān)切的重要法律問題之一,。 2021年1月1日實(shí)施的《民法典》對個(gè)人信息處理和保護(hù)做出了概括規(guī)定,。2021年11月1日施行的《個(gè)人信息保護(hù)法》(以下簡稱“個(gè)保法”)則以立法的形式大幅提升了與個(gè)人信息保護(hù)相關(guān)法律規(guī)范的系統(tǒng)性與可操作性,在整個(gè)社會喚醒了個(gè)人信息權(quán)利意識,。 伴隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的實(shí)施,,企業(yè)因個(gè)人信息的收集、使用,、處理等需要面臨更嚴(yán)格的合規(guī)任務(wù),,因而對于員工個(gè)人信息的收集、使用及處理問題也逐漸被大家所關(guān)注,。各行各業(yè)的公司均意識到即使不以提供互聯(lián)網(wǎng)商業(yè)服務(wù)為主營業(yè)務(wù),,無收集用戶個(gè)人信息數(shù)據(jù)等情況,企業(yè)依然無可避免地涉及到員工個(gè)人信息的收集,、使用,、處理等?!秱€(gè)人信息保護(hù)法》在各個(gè)企業(yè)這些領(lǐng)域中依然發(fā)揮重要規(guī)范作用,。 當(dāng)前針對員工個(gè)人信息規(guī)范問題,我國已經(jīng)形成以《民法典》《勞動(dòng)合同法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》為系統(tǒng)的個(gè)人信息保護(hù)體系,,其中《民法典》通過個(gè)人隱私權(quán)保護(hù)個(gè)人信息等權(quán)利,,《個(gè)人信息保護(hù)法》作為這一體系的核心和最重要的法律,,為個(gè)人信息提供具體的保護(hù)措施;在員工個(gè)人信息出境保護(hù)方面,,則由《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》相互配合進(jìn)行規(guī)范,。 這些法律規(guī)范對企業(yè)個(gè)人信息數(shù)據(jù)管理提出了具體而嚴(yán)格的要求。員工的個(gè)人信息不當(dāng)處理可能為企業(yè)帶來信息和數(shù)據(jù)合規(guī)風(fēng)險(xiǎn),,因而也成為企業(yè)合規(guī)的重要內(nèi)容之一,。 企業(yè)實(shí)施員工招聘、考勤管理,、績效考核,、薪酬支付、辦理社保,、關(guān)聯(lián)企業(yè)間員工流動(dòng),、合同管理等必需的人力資源管理時(shí),不可避免地會針對員工個(gè)人信息進(jìn)行收集,、存儲、使用,、共享與提供等數(shù)據(jù)處理活動(dòng),。這些活動(dòng)中企業(yè)如何以合法合規(guī)為前提滿足自身管理需求,履行《個(gè)保法》規(guī)定的個(gè)人信息保護(hù)的各項(xiàng)義務(wù),,構(gòu)建適合企業(yè)自身情況的個(gè)人信息保護(hù)制度與合規(guī)體系,,尋求信息使用與保護(hù)之間的平衡,是企業(yè)迫切面對的現(xiàn)實(shí)問題,。 分析《個(gè)人信息保護(hù)法》八章七十四項(xiàng)條款,,該法規(guī)覆蓋個(gè)人信息從產(chǎn)生到刪除一個(gè)完整生命周期內(nèi)可能涉及到的所有重要法律問題,包括定義與適用范圍,、個(gè)人信息處理原則與規(guī)則,、個(gè)人信息跨境規(guī)則、個(gè)人信息處理活動(dòng)中個(gè)人的權(quán)利與信息處理者義務(wù),、履行個(gè)人信息保護(hù)職責(zé)的部門以及違法行為的法律責(zé)任等,。其中所有信息收集、處理活動(dòng)的基礎(chǔ)與起點(diǎn)均涉及到信息處理者與個(gè)人之間的告知與同意規(guī)則,,即企業(yè)向個(gè)人公開,、明示的告知義務(wù)與個(gè)人同意的權(quán)利。 “告知-同意”規(guī)則既是《個(gè)保法》個(gè)人信息處理公開透明原則的具體落實(shí)與體現(xiàn),,也是企業(yè)需實(shí)際履行的一項(xiàng)重要義務(wù),,更是依據(jù)《個(gè)保法》處理個(gè)人信息活動(dòng)的核心。由于企業(yè)在收集,、處理員工個(gè)人信息前需履行告知員工并獲得員工同意的義務(wù),,本文將通過梳理《個(gè)保法》下“告知-同意”規(guī)則來給予企業(yè)在制定內(nèi)部制度和文件向員工告知個(gè)人信息收集與處理具體內(nèi)容并取得員工同意等問題上的建議,。 一、《個(gè)保法》下企業(yè)收集,、處理個(gè)人信息時(shí)需履行的告知義務(wù) 根據(jù)《個(gè)保法》第七條,、第十三條和第十四條的規(guī)定,無論基于法律許可還是個(gè)人同意的情形,,企業(yè)都應(yīng)當(dāng)遵循公開透明原則,,向員工告知企業(yè)收集、處理個(gè)人信息的目的,、方式,、范圍等內(nèi)容。《個(gè)保法》第十七條更具體地規(guī)定,,“個(gè)人信息處理者在處理個(gè)人信息前,,應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí),、準(zhǔn)確,、完整地向個(gè)人告知下列事項(xiàng):- 個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式;
- 個(gè)人信息的處理目的,、處理方式,,處理的個(gè)人信息種類、保存期限,;
- 個(gè)人行使本法規(guī)定權(quán)利的方式和程序,;
- 法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng),?!?/span>
根據(jù)上述條文我們可以概括得知,當(dāng)企業(yè)通過內(nèi)部文件或協(xié)議向員工告知基于履行企業(yè)人力資源管理所必須進(jìn)行的個(gè)人信息收集,、處理活動(dòng)時(shí),,應(yīng)當(dāng)向員工告知的內(nèi)容通常包括:企業(yè)收集、處理個(gè)人信息的目的及適用性范圍,,企業(yè)基本信息(名稱,、地址、聯(lián)系方式),,信息收集范圍(信息類型,、來源、采集方式,、采集時(shí)間和地點(diǎn)等),,信息使用和處理方式包括信息處理方式及流程、使用目的,、方式和范圍諸如勞動(dòng)合同履行,、薪酬福利管理,、保險(xiǎn)福利管理、人員調(diào)配及安全措施等,,向第三方機(jī)構(gòu)或個(gè)人提供或共享員工個(gè)人信息等情況,,企業(yè)信息保護(hù)措施包括信息存儲、傳輸,、處理,、備份、刪除與銷毀及安全措施等,,員工行使個(gè)人權(quán)利的方式,,有效期限及信息保存期限,以及員工同意確認(rèn)方式等,。若企業(yè)涉及收集,、處理敏感個(gè)人信息,還需依據(jù)該法第三十條告知員工處理敏感個(gè)人信息的必要以及對個(gè)人權(quán)利的影響,。若企業(yè)涉及向其他個(gè)人信息處理者或者向境外提供員工個(gè)人信息,,依據(jù)該法第二十三條、第三十九條規(guī)定需向員工告知接收方名稱,、聯(lián)系方式,、處理目的、處理方式和個(gè)人信息種類以及個(gè)人向境外接收方行使權(quán)利方式和程序等事項(xiàng),。(二)企業(yè)履行告知義務(wù)的時(shí)間 企業(yè)作為用人單位需在員工提供個(gè)人信息前向員工履行相應(yīng)的告知義務(wù)。上述條文要求企業(yè)以“顯著方式,、清晰,、易懂的語言真實(shí)、準(zhǔn)確,、完整地向個(gè)人告知”,。《個(gè)保法》這項(xiàng)規(guī)定與歐盟GDPR 第十二條規(guī)定類似,,即“控制者應(yīng)采取適當(dāng)措施,,以簡潔、透明,、易于理解和容易獲得的形式,,向數(shù)據(jù)主體提供第十三條和第十四條中提到的任何與處理相關(guān)的信息,以及進(jìn)行第十五至第二十二條,,和第三十四條規(guī)定的各項(xiàng)溝通,,特別是專門針對兒童的任何信息”。此外企業(yè)對個(gè)人信息收集,、處理承擔(dān)完整性與準(zhǔn)確性要求,,告知信息也應(yīng)保證真實(shí),、準(zhǔn)確與完整,向員工告知的信息須與實(shí)際處理情況一致,,一旦內(nèi)容發(fā)生變更時(shí),,應(yīng)及時(shí)告知變更并重新獲取同意。(四)告知個(gè)人信息保存期限:最短時(shí)間 《個(gè)保法》最小程度原則(第六條)從兩個(gè)方面對企業(yè)收集,、處理個(gè)人信息的程度進(jìn)行了限制,,要求個(gè)人信息處理對個(gè)人權(quán)益影響最小,并且要求企業(yè)不得過度收集個(gè)人信息,,應(yīng)限于滿足處理目的的最小范圍,,在此嚴(yán)格限定的范圍內(nèi)進(jìn)行收集與處理?;谠撛瓌t延伸,,企業(yè)存儲、使用個(gè)人信息的期限也應(yīng)該限于最小范圍,。對于絕大多數(shù)非互聯(lián)網(wǎng)及非從事數(shù)據(jù)處理業(yè)務(wù)的企業(yè),,一旦員工解除或終止勞動(dòng)合同,企業(yè)存儲和處理個(gè)人信息的目的便逐漸喪失,,信息存儲與處理的必要性也隨之降低,,因而企業(yè)對于個(gè)人信息存儲與使用的時(shí)間應(yīng)是有限的,一旦目的達(dá)成,、期限終止,,這些數(shù)據(jù)也必然涉及到刪除與銷毀的問題。為保護(hù)個(gè)人信息與防止數(shù)據(jù)泄露,,企業(yè)需要明確個(gè)人信息存儲時(shí)間應(yīng)為實(shí)現(xiàn)信息收集,、處理目的的最短時(shí)間,并將該期限盡可能明確地告知員工,。企業(yè)作為用工單位處理員工信息,,法律對期限已有相關(guān)規(guī)定,首先,,《勞動(dòng)合同法》第五十條規(guī)定,,用人單位對已經(jīng)解除或者終止的勞動(dòng)合同的文本,至少保存二年備查,,《工資支付暫行規(guī)定》第六條亦載明,,用人單位必須書面記錄支付勞動(dòng)者工資的數(shù)額、時(shí)間,、領(lǐng)取者的姓名以及簽字,,并保存兩年以上備查;其次,在沒有相關(guān)法律規(guī)定時(shí),,個(gè)人信息保存期限越長,,越容易出現(xiàn)泄露、遺失的可能,,我們也建議企業(yè)作為用人單位依照《個(gè)保法》第十九條規(guī)定,,將個(gè)人信息保存期限限定為實(shí)現(xiàn)目的所必要的“最短時(shí)間”,考量企業(yè)實(shí)際情況明確個(gè)人信息保存期限并向員工告知,。企業(yè)收集,、處理員工個(gè)人信息前也應(yīng)告知員工依據(jù)《個(gè)保法》第四章所享有的“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”以及行使權(quán)利的有效方式,例如員工如何請求更正,、補(bǔ)充個(gè)人信息,,要求信息刪除,撤回同意等,。二,、企業(yè)收集、處理員工個(gè)人信息需取得個(gè)人同意義務(wù) (一)企業(yè)可收集,、處理員工個(gè)人信息的法定許可情形 《個(gè)保法》下個(gè)人信息處理規(guī)則的核心是“告知-同意”規(guī)則,。然而現(xiàn)實(shí)中企業(yè)掌握、處理員工個(gè)人信息常為其實(shí)施日常經(jīng)營及人力資源管理所必須,。因而法律在企業(yè)獲取員工個(gè)人信息與企業(yè)基于商業(yè)業(yè)務(wù)獲取用戶個(gè)人信息賦予了不盡相同的基礎(chǔ),,后者的“同意”規(guī)則更為嚴(yán)格,必須出于用戶明確,、單獨(dú)同意才能取得,。而針對前者,《個(gè)保法》新增第十三條第一款第二項(xiàng),,直接賦予用人單位基于人力資源管理所必需處理員工個(gè)人信息的權(quán)利,,即:“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需,,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”。此外,,該條款還規(guī)定了無需取得個(gè)人同意企業(yè)即可處理員工個(gè)人信息的另外四種情形:1. 為履行法定職責(zé)或者法定義務(wù)所必需,,如應(yīng)人民法院、人民檢察院,、公安機(jī)關(guān)的要求提供,,又如為提起勞動(dòng)仲裁、訴訟或應(yīng)訴,,向勞動(dòng)人事爭議仲裁委員會,、人民法院提供信息等;2. 為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需,,如為了防控新冠疫情,,向疫情防控指揮辦公室等政府部門提供員工信息等;3. 為公共利益實(shí)施新聞報(bào)道,、輿論監(jiān)督等行為,,在合理的范圍內(nèi)處理員工個(gè)人信息;4. 依照《個(gè)人信息保護(hù)法》規(guī)定在合理范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息,。結(jié)合上述《個(gè)保法》第十三條分析,,企業(yè)收集、處理員工在應(yīng)聘,、入職及履行勞動(dòng)合同期間涉及到的具有可識別性的個(gè)人基本信息包括但不限于員工姓名,、出生日期、電話號碼,、地址,、薪酬、教育背景,、工作經(jīng)驗(yàn)等人力資源管理中通常收集的信息,,無需取得員工同意。然而《個(gè)保法》為避免用人單位濫用這一規(guī)定,,任意擴(kuò)大企業(yè)對員工個(gè)人信息收集,、處理的范圍,對實(shí)施人力資源管理做出了合理限定,,規(guī)定用人單位應(yīng)當(dāng)通過“制定勞動(dòng)規(guī)章制度或簽訂集體合同的方式”,,確定并告知實(shí)施人力資源管理所必需的員工個(gè)人信息的范圍。(二)企業(yè)收集,、處理法定許可以外的其他非必要個(gè)人信息需履行取得員工同意的義務(wù) 其他超出法律許可范圍的情形,,如收集、處理非實(shí)施人力資源管理所必需之個(gè)人信息,,公司仍需獲得員工簽署的同意書,,并保障員工在明確知曉后果的前提下?lián)碛芯芙^提供信息的權(quán)利,如婚育狀況,、宗教信仰,、非基礎(chǔ)健康信息(如傳染性疾病、病史),、家庭情況等,,一般不會認(rèn)定為與勞動(dòng)合同直接相關(guān)或必需的信息,該等信息若須收集,,則應(yīng)當(dāng)取得應(yīng)聘者或者員工個(gè)人同意,,且不得因?yàn)閷Ψ讲煌舛芙^錄用或解除勞動(dòng)合同,。此外,公司為員工提供個(gè)性化福利,,如為員工及家人購買額外商業(yè)保險(xiǎn),、旅游服務(wù)、體檢服務(wù)或提供住房,、用車補(bǔ)貼等需要收集,、使用個(gè)人及家屬身份、健康等信息,,或企業(yè)計(jì)劃采用人臉識別的方式進(jìn)行考勤管理及使用員工肖像照做企業(yè)宣傳,,均由于此種信息非為實(shí)施人力資源管理所必需,欠缺足夠必要性,,仍然需要取得員工同意后方可收集,、處理,不得強(qiáng)制要求員工提供,。(三)收集,、處理個(gè)人信息相關(guān)情形發(fā)生變更的,應(yīng)當(dāng)重新取得員工同意的義務(wù) 凡出現(xiàn)個(gè)人信息處理目的,、處理方式和處理個(gè)人信息種類發(fā)生變更的,,依據(jù)《個(gè)保法》第十四條規(guī)定,均需要及時(shí)告知員工并重新取得員工同意,。企業(yè)取得員工同意應(yīng)遵循員工自由意愿,,已取得同意的,根據(jù)《個(gè)保法》第十五條,,也應(yīng)允許員工享有撤回同意的權(quán)利,,并提供便捷的撤回方式。三,、企業(yè)收集,、處理個(gè)人信息需單獨(dú)取得員工同意義務(wù)的其他情形 雖然《個(gè)保法》第十三條通過列舉的方式賦予了企業(yè)處理個(gè)人信息無需取得個(gè)人同意的幾種情形,但是依據(jù)該法第七條,、第十三條第一款第一項(xiàng)及第十四條可知,,多數(shù)情況企業(yè)處理個(gè)人信息仍以向員工告知并取得員工明確同意為原則和義務(wù)。并且個(gè)人信息的公開方式,,根據(jù)該法第十七條第二款,,還“應(yīng)當(dāng)公開并且便于查閱”??梢妼τ谄髽I(yè)收集、處理個(gè)人信息無論出于何種情形,,是否必須取得同意,,均應(yīng)以公開告知方式便于員工知情為原則。根據(jù)該法其他具體條款,企業(yè)若基于以下情形收集,、處理員工個(gè)人信息,,應(yīng)取得員工單獨(dú)同意。(一)企業(yè)收集,、處理敏感個(gè)人信息時(shí)需“告知并取得個(gè)人單獨(dú)同意” 《個(gè)保法》在法律層面對敏感個(gè)人信息做出定義并針對個(gè)人敏感信息提供具體處理規(guī)則,,涉及敏感個(gè)人信息的處理是個(gè)人信息保護(hù)相關(guān)問題中不可忽視的重點(diǎn)。《個(gè)保法》第二十九條規(guī)定,,“處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意,;法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,,從其規(guī)定”,;該法第三十條規(guī)定,“個(gè)人信息處理者處理敏感個(gè)人信息的,,除本法第十七條第一款規(guī)定的事項(xiàng)外,,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響,依照本法規(guī)定可以不向個(gè)人告知的除外”,。《個(gè)保法》第二十八條定義敏感個(gè)人信息為一旦泄露或者非法使用,,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,,包括生物識別,、宗教信仰、特定身份,、醫(yī)療健康,、金融賬戶、行蹤軌跡等信息,,以及不滿十四周歲未成年人的個(gè)人信息,。實(shí)踐中,對于無法確定收集到的信息是否應(yīng)被歸類為“敏感個(gè)人信息”類別,,還可參考GB/T 35273—2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡稱“《國標(biāo)GB/T 35273》”)第3.2條及其附錄B進(jìn)行判斷,。由于敏感個(gè)人信息的特殊性,企業(yè)在收集,、處理此類信息時(shí)應(yīng)保持更高謹(jǐn)慎態(tài)度,,把充分合理性、必要性作為收集,、處理此類信息的首要考量因素,,并嚴(yán)格履行事前告知義務(wù),取得員工單獨(dú)同意后再行收集和處理,。(二)企業(yè)向境外提供收集,、處理的個(gè)人信息需“告知并取得個(gè)人單獨(dú)同意” 企業(yè)向境外提供個(gè)人信息必須經(jīng)過個(gè)人單獨(dú)同意,。《個(gè)保法》第三十九條規(guī)定,,“個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的,,應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式,、處理目的,、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng),,并取得個(gè)人的單獨(dú)同意”,。當(dāng)企業(yè)數(shù)據(jù)處理場景涉及跨境傳輸時(shí),應(yīng)就該場景涉及信息內(nèi)容單獨(dú)告知相關(guān)個(gè)人并獲得明確同意,,如果跨境提供的信息包括敏感個(gè)人信息,,則告知內(nèi)容還應(yīng)包括前一部分對敏感個(gè)人信息應(yīng)告知的內(nèi)容,如處理敏感個(gè)人信息的必要性及對個(gè)人權(quán)益的影響等,。對于跨國企業(yè),,員工人力資源管理及員工流動(dòng)常伴隨個(gè)人信息的跨境傳輸,如將員工個(gè)人信息共享給海外總部(傳輸,、訪問)或者海外其他合作伙伴,、投資人、第三方,、服務(wù)提供商,、監(jiān)管機(jī)構(gòu)等,企業(yè)需在事前告知員工并取得同意,。告知內(nèi)容不僅包括出境個(gè)人信息的范圍和境外接收方信息等,,還應(yīng)包含信息處理的方式及保護(hù)措施等多方面內(nèi)容,,如信息出境可能為個(gè)人信息權(quán)益帶來的風(fēng)險(xiǎn),,境外接收方能否采取具體措施保障出境個(gè)人信息的安全,,出境個(gè)人信息遭到篡改、破壞,、泄露,、丟失后個(gè)人信息權(quán)益的維護(hù)通道等。通常向境外傳輸個(gè)人信息,,無論我國《個(gè)保法》還是歐盟GDPR均要求個(gè)人信息處理者需向用戶或員工保證為個(gè)人信息與數(shù)據(jù)在境外提供與境內(nèi)存儲,、使用、傳輸?shù)戎辽偻瘸潭鹊谋Wo(hù),。(三)向第三方提供或共享個(gè)人信息時(shí)需“告知并取得個(gè)人單獨(dú)同意” 《個(gè)保法》第二十三條規(guī)定,,“個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名,、聯(lián)系方式,、處理目的,、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意”,。針對此情形,《國標(biāo)GB/T 35273》9.2條也有類似規(guī)定:“b)向個(gè)人信息主體告知共享,、轉(zhuǎn)讓個(gè)人信息的目的,、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果,并事先征得個(gè)人信息主體的授權(quán)同意,;c)共享,、轉(zhuǎn)讓個(gè)人敏感信息前,除b)中告知的內(nèi)容外,,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息類型,、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個(gè)人信息主體的明示同意,;”由上述規(guī)定可知,,當(dāng)企業(yè)涉及向第三方提供員工個(gè)人信息的情況,應(yīng)就前述告知內(nèi)容單獨(dú)告知并獲取個(gè)人同意,,如果以共享的方式向第三方提供信息且內(nèi)容包含敏感個(gè)人信息,,則告知內(nèi)容還應(yīng)符合敏感個(gè)人信息告知內(nèi)容的要求。實(shí)踐中存在一種情況,,當(dāng)企業(yè)需對求職者開展背景調(diào)查,,我們建議企業(yè)應(yīng)事先以書面形式明確告知求職者其個(gè)人信息將可能提供給企業(yè)或第三方背景調(diào)查服務(wù)方用于入職背景調(diào)查,并僅在此項(xiàng)活動(dòng)中使用,,取得對方同意,;若未及時(shí)取得的,在背調(diào)結(jié)束后企業(yè)也應(yīng)取得求職者的追認(rèn),。在音科(深圳)技術(shù)有限公司,、陳嘉玲勞動(dòng)合同糾紛一案(案號:【2022】粵0391民初1973號)中,由于原告未經(jīng)被告同意及授權(quán),,即向深圳市較真技術(shù)有限公司提供背調(diào)材料,,其中涉及大量被告?zhèn)€人信息,涉嫌侵權(quán),,且該材料的真實(shí)性,、合理性也因此未獲得法院采信。(四)企業(yè)公開員工個(gè)人信息時(shí)需“告知并取得個(gè)人單獨(dú)同意” 《個(gè)保法》對公開處理個(gè)人信息進(jìn)行了嚴(yán)格的規(guī)定,。依據(jù)該法第二十五條規(guī)定,,用人單位公開員工個(gè)人信息也需取得員工單獨(dú)同意,同時(shí)根據(jù)第二十七條,,即便是已經(jīng)公開的個(gè)人信息,,員工也可以明確拒絕企業(yè)公開,,對個(gè)人權(quán)益有重大影響的,應(yīng)當(dāng)取得個(gè)人同意,。現(xiàn)實(shí)中,,用人單位因業(yè)務(wù)開展需要公開員工的職務(wù)、履歷,、照片與視頻資料,,甚至對員工違紀(jì)行為進(jìn)行公開通報(bào)或者在第三方背景調(diào)查時(shí)公開,則應(yīng)當(dāng)充分重視其法律風(fēng)險(xiǎn),,取得員工單獨(dú)同意,。(五)企業(yè)使用員工個(gè)人圖像采集及身份識別信息作公共安全之外的用途時(shí)需“告知并取得個(gè)人單獨(dú)同意” 公共場所采集到的個(gè)人圖像及身份識別信息被《個(gè)保法》限制使用于“維護(hù)公共安全”的目的內(nèi),若企業(yè)將此類信息用作其他目的,,則需取得員工個(gè)人單獨(dú)同意,。四、企業(yè)收集,、處理員工個(gè)人信息前執(zhí)行“告知-同意”規(guī)則的合規(guī)建議 (一)最小化程度收集員工個(gè)人信息并告知員工信息處理的明確,、具體、合理目的 《個(gè)保法》第五條確定了該法首要原則即合法,、正當(dāng),、必要和誠信原則,必要才收集構(gòu)成了個(gè)人信息處理者收集,、處理信息的前提,,同時(shí)第六條明確性和相關(guān)性原則延伸了第五條所規(guī)定原則,要求個(gè)人信息處理應(yīng)有明確,、合理的目的,,信息處理中如收集范圍、處理方式等要素均嚴(yán)格圍繞該目的展開,,并依據(jù)第七條將該目的與處理方式,、范圍明示給員工。(二)通過制定個(gè)人信息處理規(guī)則,、勞動(dòng)規(guī)章制度或者依法簽訂集體合同等多種方式向員工履行告知義務(wù) 根據(jù)《個(gè)保法》針對“告知”方式顯著且清晰易懂的要求,,將企業(yè)收集的員工個(gè)人信息納入企業(yè)勞動(dòng)規(guī)章制度或集體合同中,是便于向員工集體告知同時(shí)又高效實(shí)施企業(yè)人力資源管理的一種方式,。實(shí)踐中企業(yè)若通過工作設(shè)備收集個(gè)人信息,,可以在規(guī)章制度中明確告知員工使用的郵箱、電腦,、手機(jī)等工作相關(guān)的電子設(shè)備,、電子賬號為“工作設(shè)備”,僅供工作使用,企業(yè)出于管理需要可能對此類設(shè)備和賬戶實(shí)施統(tǒng)一監(jiān)控和審查,,并同時(shí)告知員工收集目的和處理方式等內(nèi)容,。企業(yè)勞動(dòng)規(guī)章制度或合同應(yīng)注意不得與《個(gè)保法》及其他相關(guān)法律相抵觸。同時(shí),,通過制定個(gè)人信息處理規(guī)則或員工知情同意書的方式向員工履行告知義務(wù)也是《個(gè)保法》建議的一種方式,,既方便企業(yè)將處理規(guī)則公開,又便于查閱和保存,,處理規(guī)則和同意書一般涵蓋用工過程中可能涉及的用人單位對員工個(gè)人信息的收集,、存儲、使用,、加工、傳輸,、提供,、公開、刪除等活動(dòng),。此外,,多數(shù)員工對于個(gè)人信息、敏感個(gè)人信息,、個(gè)人隱私保護(hù)等問題缺乏完整,、準(zhǔn)確的了解,企業(yè)還可以通過培訓(xùn),、講座等活動(dòng)使員工知曉,、理解其合理范圍和內(nèi)容,也可以作為一種輔助性告知方式,。(三)企業(yè)向員工告知個(gè)人信息處理規(guī)則的規(guī)章制度,、知情同意書應(yīng)具體、詳盡且包含所有應(yīng)告知內(nèi)容 企業(yè)通過制定規(guī)章制度,、知情同意書等方式向員工告知企業(yè)收集,、處理員工個(gè)人信息的,應(yīng)完整涵蓋《個(gè)保法》規(guī)定的所有應(yīng)當(dāng)告知的內(nèi)容并詳細(xì)而具體地向員工闡釋與羅列各項(xiàng)基本內(nèi)容,,不得一攬子概括告知或遺漏信息及語焉不詳,。《個(gè)保法》實(shí)施后,諸多企業(yè)制定了“員工個(gè)人信息收集處理同意書”等文件,,以滿足合規(guī)要求,。但此類同意書多呈現(xiàn)為一段甚至一句話的形式概括陳述企業(yè)收集、員工個(gè)人信息情況,,而無具體內(nèi)容的告知,,含糊其辭并取得員工一攬子同意。這種情況違反了《個(gè)保法》第七條所規(guī)定的公開透明原則,沒有逐一告知員工信息處理目的,、方式與范圍,,員工行使其個(gè)人信息權(quán)利的方式和程序,用人單位處理員工信息的規(guī)則等內(nèi)容,,因未保證員工充分知情,,員工簽署的“同意”也存在無效的風(fēng)險(xiǎn);此外,,依據(jù)最小程度原則,,企業(yè)僅有權(quán)收集、處理滿足處理目的的最小范圍內(nèi)的個(gè)人信息,,概括式告知可能導(dǎo)致企業(yè)超越最小范圍收集,、處理員工個(gè)人信息,也可能構(gòu)成違反《個(gè)保法》的情況,。《個(gè)保法》并未統(tǒng)一規(guī)定取得個(gè)人單獨(dú)同意的具體形式,。但是通常個(gè)人“單獨(dú)同意”需要保證個(gè)人充分而全面“知情”并且自愿、明確表示其“同意”,,相比一般意義上的“同意”,,“個(gè)人單獨(dú)同意”保證個(gè)人具有充分自由地表達(dá)其同意或者拒絕的態(tài)度。因此,,“單獨(dú)同意”要求更嚴(yán)格,,常常需要由個(gè)人信息處理者另行、單獨(dú)向員工告知并取得員工書面同意為宜,。《個(gè)保法》施行后,,部分規(guī)定如何落實(shí)還有待在實(shí)踐中探索和通過后續(xù)相關(guān)實(shí)施細(xì)則來進(jìn)一步明確,但是針對《個(gè)保法》中已經(jīng)明確的法律義務(wù),,企業(yè)應(yīng)當(dāng)加以關(guān)注并通過內(nèi)部規(guī)章制度及執(zhí)行來落實(shí),。尤其關(guān)于企業(yè)收集、處理員工個(gè)人信息所需承擔(dān)的告知以及獲取同意的義務(wù),,關(guān)系到企業(yè)人力資源管理過程中或基本或紛繁復(fù)雜的信息處理場景,,我們建議企業(yè)及時(shí)開展個(gè)人信息處理場景梳理并根據(jù)實(shí)際情況擬定相關(guān)文件向員工告知并獲得同意,以應(yīng)對《個(gè)保法》的此項(xiàng)合規(guī)要求,。
馮超,,資深知識產(chǎn)權(quán)律師,泰和泰(北京)律師事務(wù)所高級合伙人,。 二十年來,,馮超律師在知識產(chǎn)權(quán)相關(guān)的爭議性和非爭議性案件、與知識產(chǎn)權(quán)有關(guān)的反壟斷案件以及網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)方面具有豐富經(jīng)驗(yàn),。馮律師同時(shí)精通英文和日文,,曾被權(quán)威國際媒體湯森路透旗下《亞洲法律事務(wù)》(ALB)雜志評選為中國15佳知識產(chǎn)權(quán)律師之一(2015年)。 聯(lián)系方式: +86-13910336970 [email protected] [email protected]
|
