企业在员工个人信息保护方面会面对哪些合规风险？在此情况中该如何应对？

企业在员工个人信息保护方面的合规风险及应对

北京市京师(上海)律师事务所 殷先成律师

一、 前言

当前，随着我国经济社会的高速发展，尤其是在“十三五”期间，数字中国的建设取得了巨大的成就，而数字中国的发展与建设离不开法治的保障。2021年8月20日，《个人信息保护法》（以下简称个保法）由全国人大常委会审议通过并于2021年11月1日起施行。通过专门立法保护个人信息权益，规范个人信息的合理利用，是促进数字经济健康发展的重要举措。站在企业的角度，个保法的出台对于企业人力资源管理的影响将是迫切和深远的。首先，在企业实施员工招聘、考勤管理、绩效考核、薪酬支付、办理社保、关联企业间员工流动、合同管理等过程中，不可避免地会需要对员工个人信息进行收集、存储、使用和提供等处理活动，企业如何落实好个保法所规定有关个人信息保护的各项义务，构建适合企业自身情况的个人信息保护合规体系，是一个非常迫切而现实的问题。其次，企业享有在自主招聘、绩效考核、薪酬分配等方面的用工自主权，而员工享有对工资、工时、工作场所、休息休假等劳动条件和劳动保障等方面的权利，个保法的出台，企业用工管理的自主空间将会进一步被压缩，合规管理成本加大将是可以预见的，影响也是深远的。新法下，企业如何平衡好用工自主权和员工个人信息权益保护关系，降低合规风险，值得探讨。本文将结合个保法相关规定的解读，就企业用工管理过程中需要关注哪些合规风险进行梳理，初步提出应对建议。

二、 主要处理规则解读

1. 告知同意及其法定许可

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动，个保法以告知同意为核心构建了个人信息的处理规则，按第13条第1款第1项规定，处理个人信息需要“取得个人的同意“，在此基础上，第14条、15条对同意的有效要件（充分知情、自愿、明确）、同意的类型（一般、单独、书面同意）以及同意的撤回等进行了规定。另外其他条款对单独同意或书面同意适用情形进一步予以明确，如向其他处理者提供、公开其处理的个人信息、处理涉及敏感个人信息或向境外提供个人信息的，需要取得个人单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，需要取得个人书面同意。个人真实有效的同意是以处理者充分、清晰的告知为基础，第17条、18条对处理者告知义务及免于告知情形进行了规定。

告知同意并非是取得处理个人信息合法性根据的唯一方式，为了维护他人的合法权益、公共利益或者国家利益，在特定的情形下，法律允许处理者无须取得个人同意就可以实施个人信息处理行为，即法定许可。个保法第13条第1款第2至7项属于不需要取得个人同意的法定许可情形，包括“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；为履行法定职责或者法定义务所必需；为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；法律、行政法规规定的其他情形”。法定许可只是以法律替代了个人的同意，但不免除信息处理者告知义务的履行。

个保法中告知同意及其法定许可是处于并列地位，具体适用上可能出现竞合情况，如对于准备签订劳动合同的个人，作为信息处理者的用人单位可以按“为订立、履行个人作为一方当事人的合同所必需”的法定许可规定获得合法性根据，也可以按告知同意规则中“取得个人的同意”来获得处理个人信息的合法性。合法性路径选择的不同会导致信息处理者举证内容上有重大的不同。同意是一种个人权利处分行为，需要用人单位有充分、清晰的告知为前提，否则同意有可能是不真实或无效的，因此举证内容不仅涉及到是否取得同意还可能包括告知义务履行情况。而法定许可中订立合同所必需的界限，个保法没有进一步明确，如何确定举证范围？如根据《劳动合同法》第17条，“劳动合同应当具备以下条款：(二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码”，可见姓名、住址和居民身份证或者其他有效身份证件号码应属于订立劳动合同所必需的个人信息，此种情形因有法律规定举证范围较为明确，若没有法律规定，举证范围将存在很大的不确定性和裁量空间，如履行劳动合同过程中个人信息处理所必需范围的界定问题。

2. 过错推定责任

取得个人同意或法定许可，只是解决了处理者处理个人信息合法性根据问题，之后处理者如何实施处理行为不是任意的，基于所处理个人信息的敏感性、安全性等考虑，个保法在相关条款中分别设定了处理者需要获得单独或书面同意、依法签订委托处理协议、采取安全保护措施、进行事前影响评估、履行监督责任和立即采取补救措施等特定义务以及相应的责任条款，对处理者的处理行为进行规范。特别需要引起注意的是，个保法第69条第1款采用了过错推定责任，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”，即发生个人信息权益损害时，个保法推定处理者具有过错，而免除责任需要证明自己没有过错，处理者需要承担自己没有过错的举证责任。在处理者不能证明获得了个人同意或符合法定许可情形，或没有按照其他条款规定履行特定义务，如履行第51条所规定的采取安全保护措施，包括采取制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等措施，则有可能被认定为处理者存有过错，需要承担个人信息权益损害赔偿等侵权责任。

三、 主要合规风险及其应对

1. 未建立合规制度体系

个保法上关于个人信息保护制度规定体现在如下两方面，一是从信息处理者履行安保措施义务角度进行规定，根据个保法第51条，处理者应当采取“制定内部管理制度和操作规程”措施，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。第58条针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，规定应当”按照国家规定建立健全个人信息保护合规制度体系“。此处的合规制度体现包括风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等。二是从信息处理者法定许可角度进行规定，根据个保法第13条，“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，处理者可处理个人信息，不需取得个人同意。其中“依法制定的规章制度“指的是内容上具有合法性、特定事项需要经由民主程序制定、并公示或告知劳动者。但是何谓”实施人力资源管理所必需“，人力资源管理是从经济学角度来指导和进行人事管理活动，涵盖招聘、甄选、培训、绩效考评、薪酬管理、员工关系管理等诸多环节，法律规定上设置了规章制度或集体合同来限制实施人力资源管理必需范围，因此作为其一的劳动规章制度应依法建立完善，就显得非常重要。企业应根据自身情况建立员工个人信息保护合规制度体系，包括员工个人信息保护内部管理制度和操作规程，依法建立完善劳动规章制度并对用工管理中涉及必需员工个人信息范围进行明确，具体范围应遵循合法、正当、必要性原则，以最小范围、最小影响方式进行，避免过度处理。

2. 未对个人信息分类管理

个人信息一般包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个保法在法律上首次将个人信息按照敏感个人信息与非敏感个人信息进行了分类规定，根据个保法第28条，典型的敏感个人信息包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息“。敏感个人信息核心特征是给信息主体造成侵害或危害后果上的容易性。企业人力资源管理过程中，可能涉及到敏感个人信息包括：对未公开的违法犯罪记录进行背景调查；一般入职体检或职业病危害岗位入职体检报告，入职登记填写宗教信仰、病史或传染病史、生育信息及不满十四周岁子女信息，身份证、社保卡或居住证件信息，征信信息；采用指纹、虹膜、人脸识别考勤或用于解锁门禁；工作过程中通信记录和内容、监控行踪轨迹等，病症、检验报告、医嘱单等病假证明资料，银行账户和工资支付记录等。与处理非敏感个人信息仅需依法取得个人一般同意的规定不同，除法定许可的处理情形外，根据个保法第28、29条，”只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息“，且依法应当取得个人的单独同意或书面同意。因此对个人信息进行分类管理，一则避免个人信息过度收集，另则突出对敏感个人信息要采取严格保护措施必要性。企业合规应根据法律规定，并结合自身业务特性、行业要求等制定合理的员工个人信息分类标准，全面识别所涉及的员工个人信息并进行有效的分类管理，以便落实法律规定的安全保护措施。

3. 安全技术措施不到位

根据个保法第9条，企业负有“采取必要措施保障所处理的个人信息安全”义务，个保法第51条进一步规定，企业应当根据比例原则，采取“相应的加密、去标识化等安全技术措施”等各种措施，防止未经授权的访问以及个人信息泄露、篡改、丢失。尤其是敏感个人信息的处理上，企业更应积极落实法律规定的严格的保护措施，如根据个保法第55条，信息处理者”应当事前进行个人信息保护影响评估，并对处理情况进行记录“。另一方面，根据个保法第4条，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”，即匿名化处理后的信息是被排除在个人信息范围外，企业如果能应用匿名化技术，使得个人信息经过处理无法识别特定自然人且不能复原，就可以豁免个保法针对个人信息处理的各项要求。企业应采取网络、应用和数据安全等基础安全控制措施，采取加密、去标识化等安全技术措施，合理分配个人信息处理的操作权限，防止未经授权访问个人信息，以及员工个人信息泄露、篡改、丢失等。

4. 未进行安全教育和培训

职工培训是培养员工职业道德和规范职业行为的有效方式，也是提升员工技术、能力水准，达到人与“事”相匹配的有效途径，可分为技术等级培训、员工上岗培训、转岗转业培训等。培训方式上可由企业自己举办的培训机构承担、与企业外职业培训机构共同承担或由企业外培训机构独立承担实施。劳动合同法中，职工培训与劳动报酬、工作时间等同属于涉及劳动者切身利益需在劳动规章制度中进行规范的事项，需要依法经由民主程序制定。另外在劳动者不胜任岗位工作，仍留在当前岗位情况下，也涉及到岗位培训问题，而不能直接以不胜任为由解除劳动合同。还有服务期的规定中有关于专业技术培训及培训费用处理的规定。而与此不同，个保法第51条第4项中规定的信息处理者“定期对从业人员进行安全教育和培训“，除了提升从业人员专业知识水平，了解掌握个人信息相关法律规定外，更重要的是，体现了信息处理者对个人信息安全保护法定义务的履行，而非劳动法上的义务。在网络信息技术不断发展、相关法规陆续完善和监管力度渐趋加大情况下，企业应定期对相关员工开展适当的安全教育和培训，制定培训计划，明确培训的方式、对象、内容、时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等，并保留安全教育和培训的记录。但不同于一般岗位员工，对于涉及个人信息处理岗位的员工，除了安全教育和培训外，如何进行管理将会是企业劳动用工中面临的新问题。

5. 未制定和实施应急预案

个人信息权益不同于一般民事权益，个保法作为个人信息保护的专门性和综合性法律，而不是作为《民法典》特别法的民事单行法，尤其是在个保法第1条中明确“根据宪法，制定本法”，突出了个保法落实宪法尊重和保障人权、保护人格尊严的人权精神。劳动法上，基于劳动关系的从属性特性，劳动者的劳动受制于雇主的支配和监督，因而雇主承担了不同于一般民事合同关系上的保护义务，体现对劳动者基本人权的尊重。雇主是人权保障的重要主体，基于人权保障理念所产生的雇主保护劳动者的要求，也是劳动法最初也是最重要的发展。当由于人为原因、软硬件缺陷或故障、自然灾害等，导致大量的个人信息泄露、被非法窃取等对社会造成负面影响的个人信息的事件，完善的处理措施就显得十分重要，同样，基于个保法第51条和第69条规定，是否制定并实施应急预案也是认定处理者过错的重要因素之一。企业应事先制定好应急预案，明确风险隐患及防范措施、监测预警、应急处置和上报程序等。应急预案制定后需要定期进行演练、培训、宣传教育等工作。发生员工个人信息安全事件时，进行及时处置和采取补救措施，将事件的不利影响尽可能降低。

6. 事前未进行影响评估

根据个保法第55条，个人信息处理者实施“处理敏感个人信息、利用个人信息进行自动化决、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息“等对个人权益有重大影响的个人信息处理活动，应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估对于个人信息保护具有防患于未然的作用，是针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。对于企业而言，事前进行影响评估，体现了落实个人信息安全保护方面的法律义务，有助于企业建立合规机制，降低违规风险，整体上减少个人信息管理和合规成本。对于员工而言，有助于建立与员工之间的信任关系，形成共同的认知和遵章守纪的良好企业氛围。在开展对个人权益有重大影响的个人信息处理活动前，企业按要求对员工个人信息处理活动进行事前影响评估，并按法律要求对处理情况进行记录及保存。

7. 履行监督责任不力

《民法典》第922条中规定，“受托人应当按照委托人的指示处理委托事务“，但对于委托协议应包括那些内容，法律不加干涉，交由委托双方自行协商确定，自治空间较大。而个保法第21条第1款规定，“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督”，可见个保法不仅对个人信息委托协议内容具体事项进行了规制，还对委托人的监督责任予以明确，体现了个保法对于委托处理的规范性要求。企业人力资源管理过程中，有时会涉及到委托第三方进行背景调查或将本企业工资发放、个税申报等外包给人力资源公司，其中难免涉及到委托处理个人信息情形。鉴于此类处理情形对个人信息权益有重大影响，依法取得个人的同意外，委托人还需要对受托人个人信息安全保护合规能力进行考察，以确定其具备履行委托协议保护个人信息义务能力，签署保密协议必不可少，并对其处理活动进行监督，且根据个保法第21条第2款，“委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留“，即做好善后工作。除了上述情况，关于处理者其他监督责任，另在个保法第52条第1款予以规定，“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督”。但企业如何实施监督是个新问题，可按照要求使用外部独立机构对其个人信息合规能力及其履行义务情况进行监督，根据自身情况合理指定信息保护负责人以履行监督责任。

四、 结语

随着个保法的出台与实施，将会与《民法典》、《数据安全法》、《网络安全法》、《刑法》以及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等诸多法律、法规、司法解释，共同构建起个人信息保护的法律体系，企业员工个人信息合规保护义务趋严，违规成本加大，责任不仅限于民事责任，亦可能包括行政、刑事责任，行政责任中如严重违规时可被处五千万元以下或者上一年度营业额百分之五以下罚款、停业整顿，吊销营业执照等，对主管和其他直接责任人员处以十万元以上一百万元以下罚款，并可限制该类人员担任董监高等职务。新法下，企业应落实个人信息保护的部门和岗位，建立完善个人信息保护合规制度体系，梳理本企业合规风险做好应对，并定期对个人信息保护规范性、安全性及其有效性进行评估，进行合规审计，降低和避免合规风险，在合理利用员工个人信息同时，切实履行好员工个人信息安全保护义务。