中国 人事労務

浅析个人信息保护法对企业人力资源管理的影响

在这个信息大爆炸的时代,随着云计算、大数据的快速发展,人们的生活、工作日趋便利,但另一方面个人信息的使用、交互、跨境传输越发频繁,个人信息遭受非法或过度收集、恶意滥用的现状也日趋严重,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。

而此前,我国对个人隐私的法律保护非常不完备,没有专门立法,有关个人信息保护的法律法规比较零散,缺乏系统性,个人信息保护的滞后性显而易见。

在此背景下,8月20日十三届全国人大常委会第三十次会议表决通过并于2021年11月1日起施行的《个人信息保护法》甫一出台就备受瞩目。《个人信息保护法》作为一部针对个人信息保护领域的基础性法律,解决了个人信息层面法律法规散乱不成体系的问题,它的出台具有里程碑式的重大意义。《个人信息保护法》共8章74条,旨在保护个人信息权益、确立个人信息保护原则,规范个人信息处理活动,明确个人信息处理活动中的权利义务边界。随着该法的颁布、实施,在健全个人信息保护工作体制机制的同时,也对企业的人力资源管理提出了更高的要求。

什么是个人信息?

《个人信息保护法》第四条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”,即,对该法对个人信息的定义采用“识别+关联”的认定标准,进一步扩大了个人信息的范围。

《个人信息保护法》 《民法典》 《个人信息安全规范》
个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理的信息。 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息
敏感个人信息 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息,包括生物识别、宗教信息、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 一旦泄露、非法提供或滥用或能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

公司在人力资源管理过程中,不可避免地需要处理员工个人信息,比如要求员工在入职时提交个人基本资料、教育和工作经历;请假时要求员工提供结婚证书、医生证明等证明资料、必要时确认查看员工相关工作邮件记录;在工作场所安装监控设备等。因此,公司在进行人力资源管理时,务必应当在充分理解个人信息概念和范围的基础上,审慎地进行个人信息处理活动。

个人信息处理的注意事项

1、《个人信息保护法》将”告知-同意“作为个人信息处理的合法性基础和处理规则。
除了《个人信息保护法》第十三条第(二)至(七)项规定的无需个人“同意”的情形外,要求处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。比如在公司招聘员工时,应当明确的告知应聘者公司对其个人信息获取、使用、处理的目的、方式、范围等规则,征求其授权同意,又比如部分员工已经离职或者原来取得同意时相对应的具体场景发生变化,公司可能都需要考虑重新取得相关个人的同意。此外,该法还赋予了个人撤回同意的权利,一旦撤回同意后,公司作为个人信息处理者应当停止处理主动及时删除其个人信息,因此公司不能仅依赖告知同意的基础一概而论地处理个人信息,否则可能存在潜在风险。

2、目的明确和最小必要原则。《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。即,企业在收集员工个人信息时应当限于与劳动关系有关的信息,员工情感、婚育计划等与工作无关的信息企业不应当进行获取。

3、第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
因此,公司向第三方(如人事外包公司、旅行社、商业保险公司等)提供其处理的个人信息时,同样需要注重员工个人信息保护,应取得员工的单独同意,并坚持最小必要原则,不向第三方提供不必要的员工信息。

4、规范个人信息的跨境流动。外商投资企业在日常经营管理中,基于业务需要,还可能涉及将员工的个人信息报告或提供给境外母公司或关联公司。对于此种情况,《个人信息法》第三十九条明确要求,个人信息处理者向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方维权的方式和程序等事项,并取得个人的单独同意。

同时,根据第五十五、五十六条的规定,如公司拟向境外提供员工的个人信息的,应当事先进行个人信息保护影响评估,对处理情况进行记录,并将评估报告及处理情况记录至少保存三年。其内容包括:出境目的、出境方式等是否合法、正当、必要;对所涉员工个人权益的影响及安全风险;公司和境外接收方所采取的保护措施是否合法、有效并与风险程度相适应。

企业应对的建议

上述情形下,《个人信息保护法》对企业处理个人信息提出了更高的合规要求,同时也无疑增加了企业在人力资源管理方面的合规成本和违规风险。因此,企业应当结合自身具体情况进一步完善管理制度,合法依规处理员工个人信息,有效预防法律风险。

1、制定和完善企业内部管理制度,规范个人信息识别和处理活动

公司在招工、用工、退工等一系列人力资源管理过程中,必定都会涉及员工的个人信息处理,为了加强员工个人信息管理,企业应当制定员工个人信息识别和处理的管理政策和标准流程,从制度层面对个人信息处理活动的违规风险进行预防和控制,同时也有利于构建和强化员工的数据合规意识。

2、合法依规进行个人信息处理

应当依照内部管理制度及标准流程,并遵循个人信息处理原则,妥善保护员工合法权益,在合法合规最小必要的范围内对个人信息进行采集、存储、使用、传输等处理,特别是涉及员工个人隐私的敏感个人信息更应当谨慎对待。

尽量取得员工就个人信息的单独同意

《个人保护法》对个人信息处理要求取得个人同意,甚至是个人 “单独同意”。如何理解个人同意或单独同意,目前还没有具体解释和定义。实务中,我们可以考虑在员工手册、管理规定等公司内部规章中载明类似“公司将遵循“合法、正当、必要”的原则使用、存储和处理您的个人信息,有可能会将您提供的个人资料与信息共享、转让、公开给公司员工、董事、客户、供应商、政府部门以及关联公司及任一有必要的相关第三方。您有权随时通知我司管理、更正、删除您的个人信息。”的条款,并经员工签字确认取得员工对于该规定的一揽子同意,在一定程度可以降低风险,但对于明确要求“单独同意”或者“书面同意”的,建议公司采取更为稳妥的做法,要求员工单独出具经本人签字的专项书面同意书。

尽量通过匿名化处理降低风险

《个人信息保护法》第四条明确规定个人信息不包括匿名化处理后的信息。匿名化指的是“个人信息经过处理无法识别特定自然人且不能复原的过程”。 然而,由于采用“识别+关联”认定标准定义的个人信息范围非常宽泛,任何与识别该个人有关的信息都有可能构成个人信息,因此,在实务中,对员工信息进行匿名化处理非常困难。尽管如此,公司仍可考虑通过个人信息高度去标识化,尽可能达到规避风险的目的。比如可以在遵守个人信息保护相关法规要求的基础上,充分利用公司制定的个人信息处理操作规程;同时,在必要时可以设置专门的内部文件审阅人员或是聘请外部第三方,协助公司完成个人信息的去标识化工作。

尽可能减少向境外提供员工个人信息

如前所述,新颁布的《个人信息保护法》对于向境外提供中国个人信息的行为予以严格管控,体现了我国对个人信息境外保护日益严格的趋势,如无十分必要,企业应当最可能减少向境外提供员工个人信息,如因业务或管理需要确需提供的,也应当采取尽量简化或转述证明材料的方式,并通过去匿名化或高度去标识化进行处理,尽量避免披露能识别个体信息的数据,以减弱信息出境的不合规风险。
《个人信息法》的落地实施,势必对个人及企业都带来深远的影响,相信在未来很长一段时间里,它都将作为企业人力资源管理中一项重要的课题,值得我们持续关注与不断研究学习。