前 言
随着云计算、大数据、人工智能等信息通信技术的快速发展和应用普及,加强个人信息保护已成为国家高度关注、社会广泛关切、群众普遍关心的重大现实问题。2021年,《个人信息保护法》(下称“《个保法》”)正式颁布与实施,企业内部调查中使用员工个人信息的权利边界与合规路径亦愈发彰显其重要性。在企业反舞弊调查与内部合规的过程中,用人单位不可避免地涉及到对员工个人信息的识别、收集、调查、使用等场景。那么,用人单位该如何识别员工个人信息保护与企业管理边界?如何合法地处理员工的个人信息?本文将围绕个人信息的认定与分类、企业处理员工个人信息的合法性基础、企业处理员工个人信息的原则、企业调查中应注意的合规建议这几方面展开系统梳理与论述,旨在帮助企业避踩员工个人信息保护这条红线。
一、员工个人信息认定及分类
1.个人信息认定
根据《民法典》第1034条:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
根据《个保法》第4条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
显然,《民法典》和《个保法》都对个人信息的定义内涵作出了具体规定,且个人信息具有相同的基本特征:
(1)主体要求:个人信息的主体只能是自然人,而不能是组织;
(2)可识别性要求:个人信息具有可识别性,可以用于识别特定自然人;
(3)载体要求:个人信息通过电子或者其他方式记录(比如未进行记录的自然人的活动或谈话就不属于个人信息)。
根据《信息安全技术—个人信息安全规范》进一步规定,个人信息包括个人基本资料、个人身份信息、个人生物识别信息(基因、指纹、声纹等)、网络身份标识信息(IP地址、个人数字证书等)、个人健康生理信息(生病诊疗记录等)、个人教育工作信息(职业、职位、教育经历、工作经历等)、个人财产信息(银行账户、存款信息、房产信息、信贷记录、虚拟财产信息等)、个人通信信息(通信记录和内容等)、联系人信息、个人上网记录、个人常用设备信息、个人位置信息、其他信息(婚史、宗教信仰、性取向等)。
2.个人信息分类
实务中,企业在内部调查及日常管理过程中往往需要针对不同的个人信息属性进行不同程度地区分处理。通常,根据个人信息是否具有私密不公开性,将其划分为私密信息/非私密信息;而根据对个人造成的严重损害程度大小,将个人信息划分为敏感信息/一般信息。在《个保法》中,列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息7类敏感信息,并通过“等”以保持开放性。企业也往往会陷入矛盾,究竟私密信息和敏感信息两者是什么关系?
事实上,敏感信息与私密信息这两者的范围有交集之处(比如健康信息、财产信息、性取向、未公开的犯罪记录等)。这两者虽然都属于个人信息,但并非包含与被包含的关系。私密信息的核心在于是否涉及个人隐私,是否不愿为人所知晓。私密信息是隐私与个人信息的交集,根据《民法典》规定,个人信息中的私密信息,应优先适用隐私权规则。而敏感信息所关注的是不当处理时对个人造成严重损害的可能性。比如,身份证信息、民族、种族、宗教信仰等属于敏感个人信息,但该等信息在一定范围内为特定人或不特定人所知晓,故其不属于个人信息中的私密信息。
二、企业处理员工个人信息的合法性基础
《个保法》第十三条 规定了个人信息处理者合法处理个人信息的七类情形,明确了以“取得个人同意”为基础性原则,第十三条第(二)项和第(七)项提供了另外两种合法性基础 [1]。从企业实践角度来说,即只要出于订立、履行合同所必需,或是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,企业及获得处理员工信息的权利而无需取得个人同意。因此,对于姓名、身份证、联系电话、地址、薪酬等在人力资源管理中通常必须收集的信息,不需获得员工同意。
用人单位与劳动者在劳动合同签订、工作考核、离职后的竞业限制管理等场景中处理劳动者个人信息有其合理性和必要性,在一些情况下也很难获得个人的同意。一般来说,公司因反商业贿赂或反舞弊而展开的公司内部调查可以被认为是与公司进行工作考核相关的工作,适用《个保法》第十三条第(二)项“按照依法制定的劳动规章制度实施人力资源管理”,从而获得企业处理员工个人信息的合法性基础。
需要指出的是,“按照依法制定的劳动规章制度实施人力资源管理”的合法性基础,按照《个保法》的规定,企业需满足两大条件:即(1)用工企业已建立劳动规章制度、集体合同的相关条款明确约定员工信息处理规则,且规章制度和集体合同需符合职工代表大会讨论、公示报送等法定程序;(2)处理员工个人信息应符合“实施人力资源管理所必需”这一条件,即收集员工个人信息时应采取对员工权益影响最小的方式。
同时《个保法》第十七条规定,企业处理员工个人信息前应当以显著、清晰、易懂的语言真实、准确、完整地向员工告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限、员工行使规定权利的方法和程序等核心要素。
三、企业内部调查中处理员工个人信息的基本原则
个人信息处理贯穿于企业内部调查的全过程和各个环节,那么,企业在进行内部调查时应遵循哪些基本原则和处理规则?
1. 合法、正当、必要、诚信原则
根据《个保法》第五条,企业处理员工个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。实践中,此项原则往往是企业开展内部调查的最基本原则。企业需从收集信息的初始阶段审查处理目的、信息来源的合法、正当、必要性。
【举例说明】内部调查的启动一些证据来自于内部举报或调查机构,此时企业并非个人信息的来源主体,第三方与员工之间并无合同关系,不符合《个保法》“通过劳动规章制度和集体合同实施人力资源管理的目的”。笔者倾向性建议此种情形下企业应获得员工的事先个人同意。我们建议企业在制订劳动合同或规章制度时将第三方能够出于反舞弊、反商业贿赂、调查内部举报之目的处理员工个人信息的权限及流程纳入企业规章制度体系并通过入职培训、员工大会履行必要的告知程序。
2. 权益影响最小原则
根据《个保法》第六条,企业处理员工个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
此处可参考《GB/T39335-2020 信息安全技术个人信息安全影响评估指南》,该国标文件介绍了处理敏感个人信息、向其他处理者提供信息等情况下,企业如何对个人权益影响进行分析,还划分了个人权益维度,和影响分析的四个阶段以作指导。
3. 公开、透明原则
根据《个保法》第七条,企业处理员工个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。即,公司应该让员工了解自己的个人信息会被如何处置、管理,以及充分知晓自己可以何种方式行使何种权利,并应对所接触的个人信息履行何种义务。
【举例说明】出于合规及内部调查目的,一些企业自《个保法》颁布以来制作了“员工信息收集处理承诺书/同意函”,但实务中该项文件往往对员工信息处理的权利让渡过大,未对用人单位处理员工个人信息施以任何限制。这种承诺书/同意函反而容易因为违反了法律原则性规定而被认定无效,违反权益影响最小原则,另外用人单位在要求员工同意其处理其个人信息前,应当同时告知员工信息处理目的、方式与范围,员工行使其个人信息权利的方式和程序。没有公开、透明的告知程序即员工没有充分知情,员工签署的“同意”陷入无效风险。
4. 信息安全保障原则
根据《个保法》第九条、第十条,企业应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。企业不得非法收集、使用、加工、传输员工的个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
【举例说明】在北京某环保技术有限公司侵犯员工个人信息的劳动争议案件中 [2] ,公司提交的微信聊天记录截图系其从马某工作电脑中已经删除的数据中自行恢复所得,属于马某的个人信息。企业往往容易忽略的是程序要件的合法性,即在收集、提取、采集相应证据材料的环节上是否涉嫌侵犯员工个人信息,是否违背了事先同意原则,是否超出了履行劳动合同所必需的限度。马某已删除的聊天记录具有个人专属性,不属于工作内容及信息,不能以强行恢复聊天记录的方式刺探马某个人隐私,超过了正常信息收集的合理限度,与《个人信息保护法》相悖。
四、企业内部调查中关于个人信息保护合规路径
基于上述介绍和讨论,笔者建议用人单位在内部调查的过程中围绕个人信息保护应注意以下几方面的合规路径,以避免侵犯员工的个人信息权益及隐私权。
1. 识别和明确个人信息
首先,企业应当对其在管理过程中的所需要处理的员工个人信息进行全面梳理,可以标识出个人信息中的私密信息和敏感个人信息这两类特殊信息。
其次,公司应尽可能给员工提供办公空间、办公设备、办公物品等,要求员工使用上述介质进行办公。同时明确所有权归属企业,存储于该设备上的各类信息也归属于企业。
第三,企业应当对员工使用的办公场所、设备、物品作出一定程度的限制。企业应当明确员工对于办公场所、办公设备及办公物品的使用范围、使用方式、使用权限。例如要求员工原则上不得将办公设备等用于处理个人事务,否则企业有权自行决定如何处置在此之中的信息等。
2. 将企业有权对个别信息进行收集、监控或分析纳入制度规范
企业可以在规章制度中向员工明确告知:公司提供的员工工作电脑、公司提供的电子邮件系统和公司内部网络仅可用于工作用途。任何员工不应在该等设备中储存或传输隐私信息。
企业应在企业制订的员工手册、劳动合同、规章制度中对员工使用办公空间、设备、网络等行为进行规定并履行告知义务,对企业合法合规检查上述设备作出具体条款规范,并制订相应检查流程,可在录取员工时让其自愿签署《同意函/承诺书》并明确处理个人信息的目的、范围、限度等,使员工承诺并同意企业有权为了维护商业利益/反舞弊/反商业贿赂/内部调查,获取、接触员工的个人信息。入职后通过员工培训或其他合理方式告知员工公司拥有相应对个人信息的处置权限。
3. 建立严密的信息保管、审核机制
根据《个保法》要求,企业应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
第一,对个人信息实行分类管理。采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案以及法律、行政法规规定的其他措施。
第二,对个人信息采取接触管理。个人信息应限定可接触人员的范围、访问和获取程序。企业员工获取被调查对象个人信息时,应以层级审批、签署保密承诺为前提,并应规定返还时间、保留流转记录等。
4. 制定个人信息保护政策
企业需要制定个人信息保护政策,明确员工个人信息的收集、使用和处理方式,包括信息保护的安全措施和员工权利保护措施等。企业在收集员工个人信息时应该遵循合法、正当、必要的原则,只收集与工作相关的个人信息,同时告知员工个人信息的收集目的和方式。
结语
随着信息时代的到来,个人信息保护不仅是大众关心的热点问题,也是企业在日常管理过程中不能回避的红线问题。对于企业而言,全面认识并厘清个人信息的核心要素并在反舞弊、反商业贿赂调查中有效识别、合理使用、严密保管员工的个人信息具有重要的实践意义。不仅如此,企业应严格避免对调查内容无关的员工私密信息、敏感信息的刺探与泄露,避免因合理调查而引发的侵犯员工隐私权等次生灾害的发生。企业应始终将个人信息保护的合规要求融入到日常管理的全过程,以减少企业的违规风险。
注 释:
1.第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形.??
2.参见在北京市第二中级人民法院(2022)京02民终1072号判决.
3年
1次 (优于79.13%的律师)
26484分 (优于98.23%的律师)
3小时内
100篇 (优于73.02%的律师)