客户至上 专业立本 协同创新 追求卓越
HR合规指南,劳动者个人信息保护莫忽视
企业人力资源管理过程中会涉及到员工的个人信息处理问题。企业从招聘、面试、入职、签订劳动合同、考勤等日常管理,到离职、档案转出等,人力资源管理的全过程时刻伴随着个人信息的收集、存储、使用、提供、删除等,不仅包括员工的姓名、年龄、住址、身份证号、社保缴费信息、工资账户信息等个人信息,甚至还包括员工的亲属信息,整合到一起形成庞大的信息集合。
《个人信息保护法》(以下简称“个保法”)于2021年11月1日开始实施,这是我国在个人信息领域的首部专门法律,《个保法》的实施标志着我国个人信息保护制度进入新的篇章,那么《个保法》的实施会对企业的人力资源管理产生什么样的影响呢,本文对该问题进行实务探讨。
一、企业在人力资源管理过程中是否受《个保法》规制?
(一)关于个人信息
从员工的入职到离职的劳动关系管理中,方方面面都会涉及到员工的个人信息处理,到底什么样的信息属于个人信息呢?
《个保法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”此前,在《民法典》中规定的“个人信息”属于“识别模式”,相关信息可以直接或者间接识别到特定自然人时,这样的信息才可以被称之为个人信息,可以理解为“信息——个人”。而个保法中的个人信息,采取的“识别+关联”模式,此种模式下只要相关信息与已识别或者可识别的自然人相关,那么这样的信息就属于个人信息,即“信息推至个人”“个人关联到信息”。形式上,个人信息可以是以电子方式记录的,也可以是其他形式记录的,比如员工手写的入职表中个人相关信息也属于个人信息。
企业在人力资源管理过程中,掌握的劳动者的以各种方式记录的能够直接或间接识别与劳动者有关的各种信息都属于个人信息,包括但不限于姓名、性别、年龄、婚育、身份证号、联系方式、住址、银行账户、指纹、面部特征、学历学位、资格证号、亲属相关信息、病假、体检信息、工资、社保账号、住房公积金账号、绩效考核、出差记录、性格喜好、个人行动轨迹、宗教信仰、子女信息等。
(二)个人信息处理和个人信息处理者
《个保法》旨在保护个人信息权益,规范个人信息处理者的处理活动。该法第三条规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”该法在第四条第二款,明确定义了“处理”,一切关于个人信息的收集、存储、使用、加工、传输、提供、公开、删除都属于个人信息的“处理”。又根据该法第七十三条第一款规定“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”
员工属于《个保法》规定的自然人,企业在人力资源管理过程中需要对员工的个人信息进行处理(包含姓名、年龄、身份证号、住址、社保信息、工资信息、通勤信息、指纹信息等),可以自行决定处理目的和处理方式,属于《个保法》规定的个人信息处理者。故企业在人力资源管理中处理员工的个人信息的行为受《个保法》的规制。
二、企业在人力资源管理中处理个人信息的原则
《个保法》相较于《民法典》而言,提出了更高的个人信息保护要求,在第五条至第九条规定当中确定了六项基本原则,企业在处理员工个人信息时也应当遵守:
(一)合法、正当、必要和诚信原则
企业在处理员工个人信息时,应当遵循合法、正当、必要和诚信原则,不得以误导、欺诈、胁迫等方式处理员工的个人信息。
(二)目的性原则
《个保法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。
(三)必要性原则
必要性原则体现在,个人信息处理者,尽可能个人信息处理活动对个人信息主体产生的影响最小,并且收集的个人信息与处理目的直接相关的最小范围。
(四)公开透明原则
处理个人信息应当遵循公开、透明原则。该条要求企业应当对员工公开处理规则,并向员工明示处理的目的、方式和范围(第七条)。公开透明原则保障了个人信息主体的知情权和同意权,是企业作为个人信息处理者履行“告知同意义务”的前提。
(五)个人信息质量原则
《个保法》第八条确立了个人信息质量原则,核心是要求个人信息的准确性和完整性。准确性是个人信息处理者应当确保所处理的个人信息与信息主体的实际情况相符;完整性是个人信息处理者为特定目的处理个人信息时,不应当存在遗漏、不全面,而损害个人权益。
(六)安全保障原则
《个保法》第九条明确了处理者是个人信息处理活动的直接责任人,由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。
三、人力资源管理中的个人信息处理
《个保法》第十三条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;……依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”根据上述规定,原则上处理个人信息需要征得个人信息主体的同意,但在具备一些合法性事由,可以不经过个人信息主体同意而从事个人信息处理活动,人力资源管理就属于不需要信息主体同意处理的情形。企业人力资源管理涉及员工日常工作的方方面面,但这并不意味着企业可以在员工管理中肆意收集、使用员工的个人信息,《个保法》第十三条将人力资源管理所需的场景限定在“订立、履行合同”和“依法制定的劳动规章制度和依法签订的集体劳动合同实施人力资源管理”,非出于以上目的处理员工个人信息的,应当征得员工的同意。
《个保法》第十三条规定的“为订立、履行合同”所需,此处的合同包含劳动合同。根据《劳动合同法》第十七条劳动合同中必须具备“劳动者的姓名、住址和居民身份证或者其他有效身份证件号码”之规定,在入职时企业可以收集劳动者的姓名、住址和居民身份证或者其他有效身份证件等信息。又根据《劳动合同法》第八条“用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”之规定,企业可以收集与聘用直接相关的个人信息(例如员工工作履历、专业技能等基本情况)。从履行劳动合同的角度而言,例如为履行劳动合同下的竞业限制义务,企业可能要求员工提供(甚至主动收集)员工离职后新入职单位相关的信息。在这些场景下,企业需注意遵循最小范围原则,避免过度收集。值得注意的是,有些企业在录用劳动者时,通常会对部分劳动者进行背景调查,核实劳动者的过往经历等。对于背景调查,属于人力资源管理的一种手段,并非法律规定的必经程序环节,因此需要征得被调查者的同意,未经授权同意的背景调查则有可能属于违法处理个人的行为。被调查企业提供员工信息的,同样也需征得被调查员工本人同意。
“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形下,企业可以不经过劳动者同意而处理个人信息。所依据的企业相应的劳动规章制度应当是程序合法、内容合法。程序上,因劳动者的个人信息(尤其是个人敏感信息)直接涉及其切身利益,应当按照《劳动合同法》第四条的规定履行民主程序和公示程序。内容上,涉及到员工个人信息保护的相关事项的,应当遵循《个保法》关于个人信息处理的相关规定。集体合同亦需要根据《劳动合同法》履行职工讨论程序,由工会代表职工与企业订立,并报送劳动行政部门生效。在某些集团公司处理员工信息时,通常会出现员工的个人信息无障碍流通的情形。因集团公司内部之间牵扯到不同的主体,其内部之间的员工信息流动属于《个保法》第二十三条规定的“个人信息提供”,企业向其他单位提供其处理的个人信息的,应当向劳动者告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得劳动者的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照《个保法》相关规定重新取得劳动者同意。跨国企业集团内部的员工信息流通,则涉及个人信息跨境。故企业在员工个人信息处理上,应当重新审查相应规章制度,对于违反《个保法》规定的情形,应进行整改。
四、关于人力资源管理中的个人敏感信息问题
值得注意的是,企业在处理员工的个人信息时,会处理大量的个人敏感信息,对于敏感个人信息,《个保法》有着更高的保护要求。
(一)个人敏感信息
根据《个保法》第二十八条的规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”此条采用“定义+列举”的模式,以结果的危害性为导向,这类信息被泄露或者非法使用,会产生个人信息主体在人格尊严方面受到侵害风险,人身安全和财产安全受到威胁,并明确规定了七类信息属于“敏感个人信息”。此外,在《信息安全技术个人信息安全规范》(GB/T35273-2020)中,对个人敏感信息进行了列举。
(二)处理个人敏感信息的特殊要求
企业在进行人力资管理时,通常会接触大量的员工敏感个人信息,对于敏感信息有着更高的保护要求:
1.单独同意
《个保法》对个人敏感信息的处理提出了更高的要求,该法第二十九条规定,处理敏感个人信息应当征得个人单独同意,即涉及处理敏感个人信息时,应将处理个人敏感个人信息事项逐一列出,获得同意,而不能将敏感信息进行打包获取员工的概括同意。
2.处理目的的严格限制
《个保法》第二十八条二款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
3.更高的告知要求
根据《个保法》第十七条规定,在处理个人信息之前,应当告知个人信息处理者的名称或者姓名和联系方式、处理目的、处理方式,处理的个人信息种类、保存期限、个人行使本法规定权利的方式和程序等事项。对于敏感信息有着更高的告知要求,该法第三十条规定,除告知第十七条所规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人信息权益的影响。企业在人力资源管理中处理员工的敏感个人信息应履行上述告知义务。
4.在处理敏感个人信息前,进行个人信息保护影响评估
《个保法》第五十五条规定,个人信息处理者在处理敏感个人信息时,应当事前进行个人信息保护影响评估,并对处理情况进行记录。企业在处理员工的敏感个人信息时,亦应按照上述要求进行个人信息保护影响评估。
5.采取更加严格的安全保护措施
根据《个保法》和《信息安全技术个人信息安全规范》的规定及要求,在敏感个人信息的存储和传输上,应当采取机密措施;在存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅收集、存储、使用摘要信息。
五、因个人信息处理不合规产生的严苛的法律责任
《个保法》第六十六条至第七十一条,设定了违法、违规处理个人信息的法律责任,作为个人信息处理者的企业在用工过程中未尽到相应义务则可能承担下列责任:
(一)民事责任
根据《个保法》第六十九条规定“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”在民事责任方面,采取了过错推定的归责方法,作为企业应当在处理员工的个人信息方面,应当建立完善的员工个人信息保护制度以及采取必要安全措施保护员工的个人信息,给员工造成损害的,如企业不能证明自己不存在过错的,应当承担赔偿责任。
(二)行政责任
根据《个人信息保护法》第六十六条,根据违法行为的情节,最高可以处五千万元以下或者上一年度营业额百分之五以下罚款,并可以由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。同时,对直接负责的主管人员和其他直接责任人员可以最高处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
用人单位违法处理劳动者个人信息的,将会由履行个人信息保护职责的部门进行行政处罚。构成违反治安管理行为的,会面临治安管理处罚。
(三)刑事责任
如企业在人力资源管理过程中,因个人信息保护不当,构成犯罪的,则会被依法追究刑事责任。
六、人力资源管理的个人信息处理活动的合规建议
企业在人力资源管理过程中如处理员工的个人信息不当,可能会承担严苛的法律责任,故在企业在员工个人信息处理上提出下列建议。
(一)制度构建与HR管理层面
1.建议企业制定专门的个人信息保护制度,并配置专人负责。
2.就求职者和员工个人信息保护事项,建议企业与HR签署专属保密协议,要求不得泄露和非法使用。
3.定期对HR进行个人信息保护培训并进行考核。
4.对HR离职进行严密科学管理,采取安全措施确保其无法继续接触到员工个人信息。
(二)在招聘的管理环节
1.如果通过例如猎头、人力资源公司等第三方渠道获得求职者信息,应当在合作协议中明确对个人信息的处理作出详尽约定,确保求职者的个人信息的获取途径合法。
2.如需对求职者进行背景调查,应明确告知求职者并获得书面同意。
3.在求职面试时告知求职者收集其个人信息的目的及用途,并取得书面同意。
4.应建立定期销毁制度,求职者未被录用的,应当对其应聘信息及时删除或作匿名化处理。
(三)员工劳动关系管理环节
1.入职登记时,收集员工信息时,取得员工同意。
2.收集员工以外的个人信息的,例如子女信息、紧急联系人信息等,应当充分告知收集目的并获取员工的的明确授权。
3.全面梳理员工个人信息并识别敏感个人信息。企业应当对其在用工管理全过程中的所需要处理的员工个人信息进行全面梳理,识别其中所涉及的敏感个人信息,以便满足处理该等信息的特殊要求。
4.严格限定处理员工敏感个人信息的合理范围。采取人脸识别、指纹识别的打卡方式,由于人脸信息、指纹信息属于个人核心隐私,用人单位在处理人脸、指纹信息之前,必须履行充分的告知义务,并取得个人的单独同意。人脸、指纹识别认证后,应当删除原始的图像收集信息,并采取较高安全措施,确保此类信息安全;与此同时应当采取其他的打卡方式,避免违法收集个人敏感信息的风险。
5.对处理员工敏感信息前进行个人信息保护影响评估。企业在人力资源管理过程中处理员工敏感的个人信息应当按照《个保法》的要求进行个人信息保护影响评估。
6.制定管理制度并留痕保存,履行更加充分的告知义务。用人单位在处理个人敏感个人信息时,无论是基于法律许可还是基于个人同意,都应当履行更加充分的告知义务,包括向员工告知需要处理的个人信息属于敏感个人信息,处理敏感个人信息的必要性,和对员工个人权益可能产生的影响。并将各敏感信息逐一列出,取得员工单独同意,确保履行《个保法》中的义务。
7.对敏感信息采取严格的安全保护措施。企业在人力资源管理过程中处理员工敏感的个人信息应当采取更高的安全保护措施,根据《个保法》和《个人信息安全规范》的相关规定进行身份识别信息和其他信息分开存储或去标识化。