在这里,我们首先要给企业一颗定心丸。《个保法》的出台非但不是为了给企业增加更多繁复的义务,反而在法律上首次给予了企业在人事管理场景下无需“同意”即可处理员工个人信息的合法性基础——《个保法》第十三条(二)。
纵观《个保法》出台前,《网络安全法》中“同意”是个人信息处理的唯一合法性基础,《民法典》虽规定了“同意”的例外情形,但也未明确企业用工场景,2020年1月12日发布的《信息安全技术 个人信息告知同意指南(征求意见稿)》以及2020年10月1日实施的《信息安全技术 个人信息安全规范》虽规定了免于同意的若干情形,其中有“为签订、履行合同所必需”,但无“为实施人力资源管理所必需”。
故此次《个保法》的出台可谓顺应实践所需,正如全国人大常委会法工委经济法室副主任杨合庆先生在9月18日关于《个人信息保护法》宣介会(下称“宣介会”)上的讲话“为平衡与其他利益之间的关系,《个人信息保护法》在之前法律规定的同意这一合法性基础之上,放宽了合法处理的条件,企业可以对照规定做好相关合规工作”。
什么是个人信息?(个人信息VS隐私)
图示:隐私和个人信息交叉之处是私密信息,敏感个人信息属于个人信息,私密信息和敏感个人信息存在交叉,但不完全相同
处理个人信息应当遵循哪些基本原则?
处理个人信息包括对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,应遵循下述原则:
处理员工个人信息,需要同意吗?
根据《个保法》第十三条,(二)-(七)规定情形和“(一)取得个人同意”并列为处理个人信息的合法性基础,也就说(二)-(七),不需要取得个人同意,其中,第(二)项尤其适用于企业人事管理中的诸多场合,(三)、(四)、(六)项也可能涉及。
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
为订立、履行个人作为一方当事人的合同所必需,在企业用工场景下,最显著的就是在员工入职阶段订立劳动合同。根据《劳动合同法》第八条规定:“用人单位有权了解劳工与劳动合同直接相关的基本情况,劳动者应当如实说明。” 结合劳动合同法和地方性劳动合同条例,企业通常有权获取员工的姓名、年龄、性别、身份证号码、户籍地址、现住址、联系方式、健康情况、知识技能、学历、职业资格、工作经历等个人信息。但是“基本情况”也会因具体劳动合同“所必需”而异,企业也需结合岗位判断相关信息是否属于“与劳动合同直接相关的基本情况”,不过度收集。
哪些情形属于“实施人力资源管理所必需”,要遵守处理个人信息的基本原则,结合个人信息处理目的,充分考虑合理性和必要性,根据不同场景来判断,采取对个人权益影响最小的方式2。我们理解,本条落脚点在于“实施人力资源管理所必需”,而并非要求企业必须在规章制度或集体合同中纳入处理个人信息的相关规定,但是考虑到对一些是否为“所必需”可能存在异议的情形,如能按照《劳动合同法》第四条3通过民主协商、公示程序在规章制度中固定下来,则更能避免争议风险。
处理员工个人信息,是否还要单独同意?
《个保法》一共规定了五种需要取得单独同意的情形(处理敏感个人信息、向他人提供个人信息、向境外提供个人信息、公开其处理的个人信息、在公共场所安装图像采集/个人身份识别设备所收集的个人图像/身份识别信息用于维护公共安全以外的目的),这五种情形在企业用工场景下也都十分常见。
那么问题来了,在《个保法》第十三条第(二)-(七)项处理员工个人信息不需取得个人同意的情形下,涉及上述五种情形是否还需要“单独同意”?《个保法》出台以来有关这个问题的争论从未休止,我们认为,基于第十三条(二)-(七)所必需(符合合理性、必要性、最小程度等基本原则)的情况下,无需取得员工单独同意;如果并非(二)-(七)项所必需,则需取得员工单独同意,对此企业应谨慎判断处理,理由如下:
第13条(二)-(七)项是并列于第(一)项“取得个人同意”的合法性基础,在一些特殊情形下,如第(四)项“紧急情况下为保护自然人的生命健康和财产安全”,根本来不及也不可能取得个人“单独同意”,也就可以理解为不要求“单独同意”,而第(二)项“为人力资源管理所必需”是并列于第(四)项的合法性基础,自然也可以解释为不要求“单独同意”。
其次,11月14日刚出台的《网络数据安全管理条例(征求意见稿)》中也对需要“单独同意”的部分情形作出进一步明确。其中第十二条第一款第(一)项明确了“向第三方提供个人信息时”,“符合法律、行政法规规定的不需要取得个人同意的情形”无需取得个人“单独同意”4;第二十一条规定“敏感个人信息应当取得个人单独同意”的前提是“处理个人信息应当取得个人同意的”情形5。此可以看出对这一问题的立法导向。
最后,宣介会上杨合庆先生针对公司代表提问的回答也能看出“单独同意”立法背后的逻辑。就企业代表的提问,杨合庆先生表示:“《个保法》第13条核心是提供合法性基础。人力资源管理非常复杂,要结合个人信息处理目的,考虑合理性和必要性,并根据不同场景来判断。如果涉及到敏感信息和信息出境要更加慎重,合法性依据要更充足。”
企业需要注意谨慎判断处理,不排除主管机关出于加强保护之目的,在细则的制定和执法层面对这一问题做出不同解释和规定。例如,根据《网络数据安全管理条例(征求意见稿)》第三十六条的规定,企业向中国境外总部、关联公司、境外第三方传输员工个人信息,应当取得个人的单独同意,但收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。对此,我们也会关注后续相关立法和执法实践。
涉及私密信息,是否需要同意?
在企业用工管理场景下,不同表现形式的个人隐私问题均会有所涉及,例如企业在员工入职或审核员工病假时处理员工的健康信息、搜查员工在工作场所中存放私人物品的空间(即私密空间)。根据《民法典》第1033条,在“处理他人的私密信息”时,应有“权利人明确同意”或“法律另有规定”;第1034条规定“个人信息中的私密信息,适用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定。”
如此一来,企业即面临在处理员工私密信息时能否适用《个保法》第十三条第(二)至(七)项而无需取得员工同意这一关键问题。根据现有法律规定,目前难以对此问题给出确定结论,企业应谨慎判断处理。后续我们也会就相关问题出文详述。
不用同意,是否需要告知?
根据《个保法》第十七条的规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”,且《个保法》仅在第十八条规定了豁免告知的两种情况,因此我们理解,即使不基于或不需要员工同意处理员工信息,也需要告知,包含一般和特定事项:
告知可通过制定具体的个人信息处理规则的方式告知(规则应当公开并便于查阅和保存),或通过单独的书面形式告知(如采用告知函、邮件等,并留存相应的告知记录)。原则上告知应在处理员工个人信息前进行告知,在紧急情况下为保护员工的生命健康和财产安全无法及时告知的,应在紧急情况消除后及时告知。
合规建议
对本企业员工个人信息进行分类,重点梳理出本企业需要处理员工哪些敏感个人信息、是否可能涉及到私密信息、是否涉及将员工个人信息向第三方提供、向境外提供、公开员工未自行公开或合法公开的个人信息等情形,并谨慎判断哪些情形需要经过员工的单独同意。
如本文所述,按照《劳动合同法》第四条通过民主协商、公示程序在规章制度中将企业合理处理员工个人信息的范围固定下来,能够在一定程度上避免争议风险。企业可以制定员工个人信息处理专项政策,也可以在员工手册中增加关于员工个人信息保护的章节。
企业应牢牢遵循公开透明原则,制定并公开个人信息处理规则。无法通过规则告知的,及时在事前书面告知。并从职责、分工、制衡等角度梳理涉及个人信息处理的人员,加强管理,定期对相关人员(甚至全体员工)进行安全教育和培训,并明确相关人员违法处理员工信息的惩罚措施。
可以采取防火墙、匿名化6、加密、去标识化7等技术手段保护企业数据系统中的员工个人信息,防止泄露。
注释及参考文献:
1、参考国家标准《信息安全技术 个人信息安全规范》GB/T 35273—2020附录A。
2、参考宣介会上国家网信办网络法治局局长华清先生对公司代表提问的回答:“杨主任已经介绍了这部法律的原则,就是处理个人信息应当遵循合法、正当、必要原则,要有明确、合理的目的,并且采取对个人权益影响最小的方式。企业的个人信息处理行为,包括人力资源管理等,都要遵守这些原则。”
3、《劳动合同法》第四条:“用人单位应当依法建立和完善劳动规章制度,保障劳动者享有劳动权利、履行劳动义务。用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定。在规章制度和重大事项决定实施过程中,工会或者职工认为不适当的,有权向用人单位提出,通过协商予以修改完善。用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者。”
4、《网络数据安全管理条例(征求意见稿)》第十二条第一款第(一)项:“数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外。”
5、《网络数据安全管理条例(征求意见稿)》第二十一条第一款第(二)项:“处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意。”
6、《个人信息保护法》第73条:“(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”
7、《个人信息保护法》第73条:“(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”
