在上一篇研究簡訊中1,我們介紹了與員工隐私保護有關的重要問題。我們在本文中将主要介紹與員工個人信息保護相關的幾個基本問題,即什麼是個人信息,處理個人信息應當遵循哪些基本原則,以及處理員工個人信息是否必須取得員工的同意。在讨論前述具體問題之前,我們首先需要提示用人單位注意一個重大改變,即個人信息已成為一項受到法律保護的民事權益2,而不再是可以不受限制地使用的東西。我們可以借用一個不太恰當的比喻進行說明。在某種意義上員工個人信息與員工工資具有相似性。對于員工工資,用人單位未經員工同意不能任意扣除,法律或法規規定另有規定的情形除外(比如代扣個稅,代扣社保中的個人繳費部分等);對于員工個人信息,用人單位未經員工同意不能任意處理員工個人信息,法律或行政法規另有規定的情形除外。充分認識這一重大變化是了解和運用處理員工個人信息的基本原則和核心規則的必要前提。
什麼是個人信息
《民法典》3和《個人信息保護法》4都對個人信息的基本概念做出了規定。雖然在這兩部法律中的個人信息的基本概念略有差别,但是這兩部法律中的個人信息具有相同的基本特征,即(1)個人信息的主體隻能是自然人,而不能是組織;(2)個人信息具有可識别性,可以用于識别特定自然人;以及(3)個人信息必須具有一定形式的載體,即以電子或者其他方式記錄(比如未進行記錄的自然人的活動或談話就不屬于個人信息)。任何一份常見的員工登記表中的幾乎所有信息都屬于個人信息,包括個人基本情況(比如:姓名、住址、私人電郵、家庭電話、手機号、出生日期、戶口類型、國籍、出生地、婚姻狀況、銀行賬戶)、教育背景(比如:學曆、畢業學校)、工作背景(比如:實習經曆、工作經曆)、相關技能(比如:國家統一法律職業資格證書)、其他信息(比如:緊急聯系人相關信息)。
采用不同的分類标準,個人信息可以被劃分為不同的類型。其中,用人單位應當了解兩種重要的分類标準,即(A)依據是否具有私密性進行劃分,和(B)依據在不當處理時對個人造成嚴重損害的可能性大小進行劃分。依據前者,個人信息可以劃分為個人信息中的私密信息和個人信息中的非私密信息;依據後者,個人信息可以劃分為敏感個人信息5和一般個人信息。對于個人信息中的私密信息,如我們在此前的研究簡訊中所指出,該等信息是隐私與個人信息的交集,應優先适用隐私權規則。對于敏感個人信息,因為在不當處理該等信息時容易給個人帶來嚴重的損害後果,所以處理敏感個人信息的規則适用更加嚴格的法律要求。我們将在下一篇研究簡訊中重點介紹敏感個人信息處理規則所适用的特殊法律要求。
除個人信息之外,用人單位還需要了解兩個重要的基本概念,即個人信息的處理和個人信息處理者。在《個保法》下,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等。從個人信息的處理所涵蓋的行為類型不難看出,個人信息的處理活動存在于從招聘到解聘的用工管理的全過程。個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。這裡需要劃出的重點包括:其一,個人信息處理者既可以是組織也可以是個人;其二,成為個人信息處理者的必要條件是能夠自主決定處理目的和處理方式。
處理個人信息應當遵循哪些基本原則
為了對個人信息提供更全面更有力的法律保護,《個保法》在《民法典》的基礎上規定了處理個人信息應當遵循的一整套基本原則和處理規則。其中,基本原則貫穿個人信息處理的全過程和各個環節。本所于2021年8月22日發表的《<個人信息保護法>重要規定及合規要點評析》介紹了處理個人信息應當遵循的以下六項基本原則:
原則一:合法、正當、必要和誠信原則。個人信息處理者應當遵循合法、正當、必要和誠信原則,不得以誤導、欺詐、脅迫等方式處理個人信息(第五條)。該原則作為《個保法》的首要原則,是個人信息處理者實施處理活動的前提。
原則二:明确性和相關性原則。處理個人信息應當具有明确、合理的目的,并應當與處理目的直接相關(第六條)。該原則在第五條的基礎上,為處理目的設定了評價标準,并将處理活動控制在“與直接處理目的相關”的範圍内。
原則三:最小程度原則。《個保法》第六條從兩個層面對個人信息處理的程度進行了限制:一是要求處理活動對個人權益産生的影響最小;二是不得過度收集個人信息,限于滿足處理目的的最小範圍(第六條)。
原則四:公開透明原則。處理個人信息應當遵循公開、透明原則。該條要求個人信息處理者應當對外公開處理規則,并向個人明示處理的目的、方式和範圍(第七條)。公開透明原則保障了個人信息主體的知情權和同意權,是個人信息處理者履行“告知同意義務”的前提。
原則五:完整性和準确性原則。《個保法》第八條對處理個人信息的質量設定了評價标準,具體可從個人信息的完整性和準确性兩方面切入。個人信息處理者應當避免因個人信息的不準确、不完整而損害個人權益。
原則六:安全保障原則。《個保法》第九條明确了處理者是個人信息處理活動的直接責任人,由個人信息處理者承擔個人信息處理的法定義務和責任。個人信息處理者應當采取必要措施保障個人信息的安全。
處理員工個人信息是否必須取得員工的同意
個人信息處理規則是《個保法》中的核心内容,涉及這一問題的條款共有25條,在全部條款中的占比超過三分一。在個人信息處理規則中處于核心地位的就是“告知-同意”規則,即處理個人信息應當在事先充分告知的前提下取得個人同意。關于這一核心規則,用人單位最關心的問題就是,在《個保法》實施之後,用人單位處理個人信息是否必須取得員工的同意。答案是否定的。在充分考慮到經濟社會生活的複雜性的基礎上,《個保法》第13條第(2)項至第(7)項規定了基于個人同意以外的可以處理個人信息的六種情形(下稱“六種法律許可情形”)。可見,在《個保法》下,處理個人信息的法律基礎可分為基于個人同意和基于法律許可這兩種類型。因此,在基于法律許可的适用條件得到滿足的情形下,用人單位可以将基于法律許可作為處理員工個人信息的法律基礎,而無需取得員工的同意。
用人單位接下來可能會問,上述原則是否也适用于敏感個人信息?答案是肯定的。根據《個保法》第29條的規定,處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。從該條的表述來看,處理敏感個人信息的法律基礎似乎隻有基于個人同意這一種類型,而且還必須是基于單獨同意。實際上,從《個保法》中處理個人信息規則的整體架構來看,前述理解有失偏頗。一方面,根據《個保法》第13條第2款的規定6,凡是出現六種法律許可情形之一的,處理個人信息均無需取得個人同意。另一方面,根據《個保法》第14條第1款的規定7,隻有在基于個人同意處理個人信息的情形下,才涉及單獨同意或者書面同意的要求。換言之,如果并非基于個人同意處理個人信息(比如基于實施人力資源管理所必需),則不應涉及單獨同意或者書面同意的要求。因此,對于處理員工的敏感個人信息,隻要在基于法律許可的适用條件得到滿足的情形下,用人單位就無需取得員工的同意。需要注意的是,行政主管機關和司法機關出于加強保護敏感個人信息之目的,有可能在執行層面對《個保法》中的前述規定做出不同解釋,将處理敏感個人信息的法律基礎限定為基于個人同意。我們會密切關注這一問題在未來的行政執法及司法實踐中的執行情況。
既然用人單位可以無需取得員工同意就處理員工個人信息,用人單位是不是就可以不再考慮“告知-同意”規則呢?答案是否定的。一方面,隻有在基于法律許可的适用條件得到滿足的情形下,用人單位才能無需取得員工同意就處理員工個人信息。換言之,如果基于法律許可的适用條件沒有得到滿足,則用人單位仍然應當在取得員工同意後,方可處理員工個人信息(比如:在用人單位計劃采用人臉識别的方式進行考勤管理時,由于缺乏必要性,該等管理措施就難以滿足基于法律許可處理個人信息的适用條件,故用人單位應當取得員工同意)。另一方面,無論是基于個人同意還是基于法律許可處理個人信息,用人單位都應當遵循公開透明原則,向員工告知處理目的、方式和範圍等内容。
既然基于法律許可是用人單位處理員工個人信息不可或缺的法律基礎,用人單位就需要了解六種法律許可情形的具體内容。《個保法》第13條第(2)項至第(7)項的規定,這六種情形為:
情形一:
為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。
情形二:為履行法定職責或者法定義務所必需。
情形三:
為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和财産安全所必需。
情形四:為公共利益實施新聞報道、輿論監督等行為,在合理的範圍内處理個人信息。
情形五:
依照本法規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息。
情形六:法律、行政法規規定的其他情形。
在上述六種情形中,與用工管理聯系最緊密的無疑就是情形一中的後半句所描述的情形,即“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”。從該等表述不難看出,一方面,《個保法》允許用人單位為了實施人力資源管理,無需取得員工同意就可以處理員工個人信息。另一方面,《個保法》為了避免用人單位濫用這一規定任意擴大處理員工個人信息的範圍,對實施人力資源管理做出了合理的限定。因此,用人單位應當通過制定勞動規章制度或簽訂集體合同的方式,确定實施人力資源管理所必需處理的員工個人信息的範圍。與簽訂集體合同相比,制定勞動規章制度在操作便利性和可以單方決策等方面具有明顯優勢,因而應作為用人單位的首選方案。需要注意的是,即便用人單位采用制定勞動規章制度的方式,也并非意味着用人單位可以任意确定處理員工個人信息的範圍。用人單位對于這一問題仍然應當遵循必要原則和最小範圍原則。否則,一旦為此發生争議,用人單位的勞動規章制度中的相關規定将有可能被司法機關以違反《個保法》的規定為由認定為無效。
合規建議
基于上述介紹和讨論,我們建議用人單位在處理員工個人信息時應注意以下主要問題,以避免法律風險,實現合規。
建議一:對用工管理所需要處理的員工個人信息進行全面梳理和分類
用人單位應當對其在用工管理全過程中的所需要處理的員工個人信息進行全面梳理。進行梳理時,可以針對用工管理的各個環節、各類人員列出需要處理的所有類型的員工個人信息。在此基礎上,可以标識出個人信息中的私密信息和敏感個人信息這兩類特殊信息。除此之外,還可以把員工個人信息分為以下四類,即(1)不允許收集的員工個人信息(下稱“第一類信息”);(2)法律明确允許收集的員工個人信息(下稱“第二類信息”);(3)可以劃入用工管理所必需的員工個人信息(下稱“第三類信息”);以及(4)難以劃入用工管理所必需的員工個人信息(下稱“第四類信息”)。
建議二:制定勞動規章制度确定處理員工個人信息的合理範圍
如上所述,基于制定勞動規章制度具有的明顯優勢,用人單位宜采用這一方式确定處理員工個人信息的範圍。既可以在員工手冊中增加關于員工個人信息保護的章節,也可以制定員工個人信息保護專項政策。需要注意的是,用人單位即便采用這一方式也應當遵循必要原則和最小範圍原則。有鑒于此,用人單位應當剔除第一類信息和第四類信息。
建議三:采取“雙管齊下”的策略處理員工個人信息
所謂“雙管齊下”的策略是指用人單位同時使用基于員工同意和基于法律許可作為處理員工個人信息的法律基礎,而不僅依賴其中之一。采用該等策略的主要原因是,隻基于法律許可處理員工個人信息可能難以滿足用人單位實施人力資源管理的需要,并且“基于實施人力資源管理所必需”等法律許可處理員工個人信息的範圍不夠清晰,難以準确劃定。如我們在上一篇研究簡訊中所指出,用人單位宜以謹慎的态度對待處理個人信息中的私密信息一事,把基于員工同意作為首選方案。此外,對于第四類信息,用人單位應當在取得員工同意後方可處理。
建議四:向員工告知處理目的、方式和範圍等
無論基于何種法律基礎處理員工個人信息,用人單位都應當遵循公開透明原則,向員工告知處理目的、方式和範圍等内容。因此,用人單位可以通過制定勞動規章制度等方式履行告知義務。告知事項應當涵蓋《個保法》第14條第1款所規定的所有内容。
1. 請參見本所于2021年8月27日發表的研究簡訊《後<個人信息保護法>時代員工個人信息保護問題的梳理和解析(二)》
2. 實際上,在《民法典》于2021年1月1日起實施後,個人信息就已經成為一項受到法律保護的民事權益。如我們在2021年8月20日發表的研究簡訊中所述,在《個保法》這部關于個人信息保護的專門法律實施後,個人對其個人信息的權利意識将被喚醒,并更加敢于維護其自身的這一民事權益。
3. 根據《民法典》第1034條第2款,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識别特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件号碼、生物識别信息、住址、電話号碼、電子郵箱、健康信息、行蹤信息等。
4. 根據《個人信息保護法》第4條的規定,個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息,不包括匿名化處理後的信息。
5. 根據《個人信息保護法》第28條第1款的規定,敏感個人信息是一旦洩露或者非法使用,容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息,包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息,以及不滿十四周歲未成年人的個人信息。
6.《個保法》第13條第2款規定,依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
7.《個保法》第14條第1款規定,基于個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明确作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
聲 明
《君合法律評論》所刊登的文章僅代表作者本人觀點,不得視為君合律師事務所或其律師出具的正式法律意見或建議。如需轉載或引用該等文章的任何内容,請注明出處。未經本所書面同意,不得轉載或使用該等文章中包含的任何圖片或影像。如您有意就相關議題進一步交流或探讨,歡迎與本所聯系。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
