客户至上 专业立本 协同创新 追求卓越
联营所View | 《个人信息保护法》颁布后 劳动规章制度合规梳理的几点思考
浏览量
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议审议通过《中华人民共和国个人信息保护法》(以下简称“《个保法》”),并将于2021年11月1日起正式施行。这是中国第一部专门规范个人信息保护的法律,对我国公民的个人信息权益保护与各组织的数据隐私合规都将产生直接深远的影响。
若从2018年9月《个保法》正式纳入人大立法规划起算,距其通过已近三年时间;若从2003年原国务院信息化办公室正式部署立法研究工作起算,距其落地已近二十年。至此,数字社会重要的法律版块终被填补。
一 、《个保法》下劳动者个人信息处理的基本规则
在《个保法》中,同劳动者个人信息保护最核心的条款为《个保法》第十三条,该条款确定了作为个人信息处理者的用人单位处理劳动者个人信息的最基本的规则。1同二审稿相比,《个保法》在其基础上增加了一项无须取得个人同意的个人信息处理法定情形:“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”该规定为用人单位在劳动管理中涉及员工个人信息收集处理提供了例外的安排,减轻了企业人力资源工作收集处理个人信息为了合法性基础所需的工作量。
分析该条款,在劳动用工领域,用人单位收集处理劳动者个人信息,合法性基础为实施人力资源管理的需要;实施工具为劳动规章制度与集体合同;且不需取得劳动者的个人同意。需指出的是,人力资源管理的需要并非法律概念,若将其视为法律概念,其仍是弹性自足的不确定法律概念,围绕其适用与展开,后续仍需通过配套立法与相关司法实践,对其进行法之解释与续造。鉴于我国劳动规章制度的单方化,2即在劳资双方意思自治的实现上存在有限性,结合目前我国集体合同制度未臻成熟的现状,劳动者的同意在实质上早已被淡化甚至落空。
二、 劳动者个人信息保护视角下劳动规章制度的合规梳理与体系搭建
实际用工中劳动者个人信息保护的覆盖面极广,可渗透至用人单位用工管理的全流程。以人力资源管理的基本流程为例,从员工招聘、入职、在职与离职等环节,用人单位都或多或少涉及劳动者个人信息的收集、储存、使用、传输、销毁以及披露等事项。
除个人信息保护的一般价值外,职场中劳动者个人信息保护具有保护求职者和劳动者的平等权、保护劳动者的言论自由权、保护劳动者工作中权利以及矫正劳动关系中雇员的不利地位的独特价值。3在《个保法》颁布生效后,用人单位如何通过内部劳动规章制度在同涉及劳动者个人信息的管理事项中进行合规管理?如何对劳动者个人信息进行有效保护?便成为其首要面对与解决的问题。
(一)用人单位劳动规章制度各子制度的合规梳理与自查
1. 岗位管理制度:数据合规官的设立
当用人单位作为个人信息处理者时,其内部是否需设有负责劳动者个人信息保护的工作岗位?而当用人单位符合《个保法》第五十二条规定的“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”的情形时,其是否需指定专员作为个人信息保护负责人?该专员是否需具备相应准入资质与专业水平?对拥有众多员工的用人单位,尤其是劳动力密集型企业以及大型集团公司而言,在《个保法》颁布生效后,指定个人信息保护负责人已成其法定义务。
个人信息保护负责人,又称数据合规官(DPO),其定位是合规落地的核心。《欧盟通用数据保护条例》(以下简称“GDPR”)用三个条文(第三十七至三十九条)勾勒出需要任命DPO的情形、DPO的专业能力要求、保障DPO履行职责的资源支持以及DPO的角色和利益冲突保护。4我国《个保法》对个人信息保护负责人的规定较为笼统,其仅用一个条文原则性地规定了需要任命个人信息保护责任人的企业以及个人信息保护责任人的责任。
实践中,DPO经常会面临利益冲突。作为用人单位的劳动者,DPO依附于用人单位,需为其服务;作为组织体的联系人,DPO主要负责对接个人信息保护监管机构,同其保持合作,接受其业务指导与监管。故从DPO兼具双重角色的属性出发,明确DPO的独立性,进而保护其不为履行职责而被数据处理者解雇,应是设立该角色的首要关注点。我国《个保法》似乎并未关注到该要点,反而进一步强调DPO对违法行为的责任承担,在各项行政处罚中,个人信息保护负责人似乎都可以被归入直接负责的主管人员与其他直接责任人员,5若后续配套的实施办法不妥当规制这一问题,未来难免会进一步加剧还处在萌芽之中的个人信息保护负责人的职业困境。
2. 职业培训与专业技术培训制度:涉劳动者个人信息员工的培训
用人单位对接触劳动者个人信息的员工,是否设置并进行了已成体系的岗前培训与相关职业培训?是否对其设有保密职责的要求,是否同期签署保密协议?对指定的个人信息保护负责人而言,是否进行更为精进的、着重于企业内部劳动者信息保护的专业技术培训?且前述相关培训是否存有相关确认与留痕化处理?这些都应是未来企业在进行培训制度的配套设计时需重点关注的合规要点。
此外,当某一员工能够大批量、成规模的接触到同单位内部员工的个人信息甚至个人敏感信息时,加之当其负有管理劳动者个人信息的工作内容与工作职责时,其是否可变为除劳动法意义上“两高一秘”人员外的“第二秘”人员?当劳动者个人信息、敏感个人信息与劳动者隐私权、劳动者人格尊严等事项紧密挂钩且混合时,实践中是难以完全清晰划分前述权益的,对该问题有效地应对路径之一是在《个保法》颁布生效后,从培训制度的设计层面切入,对其设置并进行相应的规范化培训与专业技术培训,并明确科以相关人员负有劳动者个人信息保护的岗位职责,这应是未来用人单位有意识培养并规范该类型人员的重点。
3. 劳动纪律与企业内部惩戒制度:个人信息保护的内部指引
当劳动者存在非法收集、存储、使用、披露与处理单位内部员工的个人信息以及外部个人信息时,企业是否将该类型行为明确规定为违纪事项,进而视情节进一步界分如何构成轻微、中度以及重大违纪,并且配有相应的内部举报、调查、申诉以及具体的惩戒处理措施。在个人信息保护层面,随着国家对个人信息保护的“强监管”,以及企业内部员工个人信息保护权利意识的日渐增强,目前已基本形成外部监管与内部压力并行的现状。针对个人信息保护事项,在企业劳动规章制度与内部惩戒制度中,增设与之相应的违纪情形与惩戒措施,已箭在弦上。
在郑某等侵犯公民个人信息一案中,6被告人郑某的辩护人提出“本案系单位犯罪,应追究雀巢(中国)有限公司、公司主管人员、直接负责人员的刑事责任。”的辩护意见。针对该辩护意见,一审法院认为,“雀巢公司DR任务材料,雀巢公司证明、雀巢公司政策、员工行为规范等,证明雀巢公司不允许向医务人员支付任何资金或者其他利益。不允许员工以非法方式收集消费者个人信息。对于这些规定要求,雀巢公司要求所有营养专员接受培训并签署承诺函。被告人郑某、杨某甲、杨某、李某某、杜某某等明知法律法规以及公司禁止性规定的情况下,为完成工作业绩而置法律规范、公司规范于不顾,违规操作进而贿买医务人员,获取公民个人信息的行为,并非雀巢公司的单位意志体现,故本案不属于单位犯罪,对该辩护意见不予支持。”一审判决作出后,郑某不服,以自己的行为是公司行为为由提出上诉。对此,二审法院认为,“单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司政策、员工行为规范等证据证实,雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施犯罪为个人行为。”7
分析本案可发现,正是因为雀巢公司内部存在有效的员工行为规范制度,且特别明确约定禁止员工从事侵犯个人信息保护的行为,从而可有效区分与切断员工个人行为与公司行为。公司通过在劳动纪律与内部惩戒制度中设置符合法规范目的的个人信息保护的规定,不仅可以在事前指引劳动者为良善之行为,而且在事后可以违反劳动规章制度为由对劳动者进行相应惩戒。
4. 考勤管理与休假制度:敏感个人信息处理与合规管理的平衡
在考勤管理制度中,用人单位常用指纹打卡、人脸识别、行踪轨迹等考勤方式为用工监督。用人单位需注意的是指纹、人脸信息是能够识别出个人生物特征的信息,且属于敏感个人信息。根据GDPR第九条规定,“生物信息包括自然人的指纹、声音、虹膜、脸项、静脉等生物谷物信息。”8行踪信息是个人的活动轨迹和生活轨迹信息,通过这些行踪信息,相关机构能够做出自然人精准的社会画像。我国个保法第二十八条第一款对敏感个人信息做出“定义+开放式列举”的规定,9其中明确将生物识别、行踪轨迹信息列为敏感个人信息。而处理敏感个人信息“应当取得个人的单独同意。”
如此一来,在法律适用上就涉及到对个保法第十三条第一款第二项、第二款以及第二十九条的体系解释问题。但基于“用人单位主导、劳动者有限参与和公权力进行合法性和合理性控制的我国劳动规章制定和效力控制模式”10的现状,在劳动法体系规范下,在企业内部劳动规章制度相对自治的空间中,“取得个人的单独同意”已在实质上被淡化与落空。而在用人单位委托第三方主体或使用第三方设备进行考勤管理时,更需对前述考勤设备安装的必要性、安全性、第三方的合法性与可靠性,尤其是个人信息保护方面的能力进行前置性评估。
在休假管理制度项下的病假管理中,用人单位需有意识地区分员工的一般个人信息和敏感个人信息。一些敏感信息主要包括个人健康信息如病例、诊断治疗记录、药物使用、疫苗接种以及检查筛选等信息。在内部病假申请与批准流程中,应格外注意劳动者病假资料提交的完整性与劳动者个人敏感信息的平衡。为便于病假管理,建议用人单位在病假管理制度中,针对常规性疾病与特殊类型疾病,分别增设一般性概括同意条款以及特别性授权同意条款。
(二)用人单位内部“劳动者个人信息保护制度”的体系搭建
劳动者个人信息保护制度,其本身便是直接涉及劳动者切身利益的规章制度。除《劳动合同法》第四条第二款已列明的规章制度外,因应劳动者个人信息保护的合规要求与发展趋势,在《个保法》生效后,具备条件的用人单位可将劳动者个人信息保护纳入合规管理体系中,单独新设劳动者个人信息保护制度,以作为统领职场劳动者个人信息保护之“纲”,从而统摄与理顺各单项劳动用工管理中涉及劳动者个人信息保护的事项要点。
新设劳动者个人信息保护制度主要有三点优势:一是在劳动规章制度的体系设置上,“总分式”的规章制度的结构科学合理,且符合传统的“立法技术”;二是在规则的具体适用中,有意区分一般与特殊规则,便于管理者进行规则适用;三是利于培育和谐的雇主-员工关系,劳动者个人信息背后更多隐含的是私法意义上的人格尊严,当用人单位自主地从内部规章制度层面去关注、设置与规范其管理行为时,作为劳动关系相对方的劳动者,可自然地感受到依附从属性劳动关系下用人单位对其存在最基本的尊重与保护。
1. 《个人信息保护法》第十三条第一款第二项规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”第十三条第二款规定:“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
2. 参见沈建峰:《论用人单位指示权及其私法构造》,载《环球法律评论》2021年第2期。
3. 参见谢增毅:《劳动者个人信息保护的法律价值、基本原则及立法路径》,载《比较法研究》2021年第3期。
4. 参见王融、易泓清:腾讯研究院《中美欧个人信息保护法比较——中国<个人信息保护法>、欧盟GDPR、美国加州隐私保护法(CCPA&CPRA)为样本的报告》,第52—53页。
5. 参见《个人信息保护法》第六十六条第一款与第六十八条。
6. 郑某、杨某分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工被告人杨某甲、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州大学第一附属医院、兰州军区总医院、兰州兰石医院等多家医院医务人员手中非法获取公民个人信息。参见(2016)甘0102刑初605号刑事判决书。
7. 参见(2017)甘01刑终89号刑事裁定书。
8. 陈甦、谢鸿飞主编:《民法典评注人格权编》,中国法制出版社2020年版,第368页。
9. 参见《个人信息保护法》第二十八条第一款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
10. 沈建峰:《论用人单位劳动规章的制定模式与效力控制》,载《比较法研究》2016年第1期。