视点！个人信息保护法背景下，员工隐私保护与信息管理的分析与应对

视点！个人信息保护法背景下，员工隐私保护与信息管理的分析与应对 2020年10月21日，全国人大公布《个人信息保护法（草案）》，公开征求社会公众意见。至此，起草历时两年的个人信息保护法终于“揭开面纱”。   截至2020年3月，我国互联网用户已逾9亿，互联网网站数量超过400万个、应用程序数量超过300万个。部分机构、个人随意收集、违法获取、过度使用甚至非法买卖个人信息，不仅严重侵扰个人正常生活，更直接危害个人生命健康和财产安全。   为及时回应广大人民群众的呼声和期待，落实党中央、习近平总书记关于“高度重视网络空间法治建设，坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益”的部署要求，个人信息保护法应运而生，恰逢其时。   个人信息保护法聚焦目前个人信息保护的突出问题，落实个人信息保护责任，加大对个人信息处理者违法行为的惩处力度。随着个人信息保护法草案的公布，企业作为员工个人信息的直接管理者如何开展内部数据合规工作，也将成为不得不面对的现实挑战。   本文将结合实例，从企业内部员工个人信息管理角度，对企业员工隐私保护和个人信息合规管理，提出相关建议，期待对企业合规管理有所启示。   一、以案为警——企业员工个人信息管理缺位案例   1、违规收集员工个人信息，应承担民事责任   案例一、李某与中国邮政储蓄银行股份有限公司长春市分行案   李某于2016年10月11日在吉大南区参加“中国邮政储蓄银行2017年校园招聘”。2017年1月4日在万佳体检中心参加入职体检，体检结果李某不知道，但是万佳体检项目单的背面有写明“乙肝保密、非经本人允许不检测乙肝项目”的内容。1月13日野山接到邮储长春分行人力资源部经理电话告知，要求重新体检。1月14日李某在万佳体检中心复检并取得第二份体检报告，体检结果显示，肝功能的数据均在正常范围。1月16日李某向人力资源部经理递交第二份体检报告被退回，经理告知李某在第一次的统一体检时被检测出“乙肝小三阳”。   本案中李某检查乙肝是基于企业与新入职员工之间上命下从的隶属关系被迫的，李某为配合邮储长春分行的人力资源部工作人员的要求一共做了三次检查，而邮储长春分行最终还是作出了取消李某实习与录用资格的决定。   该案中，法院认为邮储长春分行在校园招聘过程中，违反相关法律规定，要求李某进行肝功能复检，构成用工歧视，侵犯了李某人格权，确实给李某造成较大的精神压力，故李某要求邮储长春分行赔礼道歉，赔偿经济损失及检查费用的诉讼请求应予支持。   【评析】   企业收集员工个人信息务必符合法律、法规要求，对于法律明文规定不得收集的信息，企业不应试图通过非法手段收集；企业非法收集员工个人信息侵犯员工权益或造成员工精神、财产损害的，将依法承担民事赔偿责任；企业根据非法收集的员工个人信息主张解除劳动关系的，可能还需承担违法解除劳动合同的赔偿金。   案例二、违法收集员工个人信息，H&M被罚3530万欧元   H&M在汉堡注册，并在纽伦堡设有服务中心。至少从2014年开始，部分工作人员的私人生活细节就已经受到广泛记录。相应的注释永久存储在网络驱动器上。 在休假和病假之后，甚至是短暂的休假之后，监督团队的负责人与他们的员工进行了所谓的“欢迎回来谈话”。在这些谈话之后，公司不仅记录了员工具体的假期经历，而且还记录了疾病症状和诊断。 此外，一些主管通过谈话获得了有关员工私人生活的广泛信息，从相当无害的细节到家庭问题和宗教信仰。其中一些信息被记录下来，以数字化手段被存储，公司内多达50名其他管理人员可以进行部分读取。 除了对个人工作绩效进行细致的评估之外，以这种方式收集的数据还用于获得员工的详细资料，以制定有关其工作的措施和决策。收集他们的私生活细节和记录他们的活动，这两种做法结合起来，对雇员的公民权利造成了特别严重的侵犯。   【评析】   企业对于员工个人信息的收集，应坚持合法、合理、最小化的原则。对于婚姻、生育状况、性取向、家庭情况、宗教信仰等信息，一般认为与劳动合同的履行没有必然关联，不属于“与劳动合同直接相关”的信息。    前述信息如企业确有收集的必要，也应充分给予员工选择权，在员工自愿的基础上收集；对于不愿意提供的员工，不得采取打压、报复等不平等对待行为。   2、企业未建立信息安全管理制度和操作规程，导致员工信息泄露，应承担侵权责任   案例三、赵某与北京链家房地产经纪有限公司、宋某、杨某案   法院认为，链家公司作为房地产经纪服务机构，经纪人杨某基于其履行职务的行为，成为获取赵某身份证信息及房屋所有权证书信息的合法信息使用者、处理者。链家公司及其经纪人应保证其对赵某个人信息的使用仅系履行《房屋出售委托协议》合同目的的需要。   作为企业员工的管理者，链家公司未建立信息安全的管理制度和操作规程，包括没有对客户信息安全风险进行提示，没有对客户敏感信息加密处理等建立严谨细致的管理制度保障客户的信息安全，无法确保经纪人谨慎依约合法使用公民个人信息。   通过庭审查明，链家公司要求经纪人必须将客户的身份证、房产证及合同信息拍照后上传至公司内网。链家公司可以预见，在这样的处理方式下会极大的增加侵犯客户个人信息行为发生的可能性和危险性，但链家公司对此没有采取任何实际有效的操作规程等防范措施予以风险的防控，公司员工可以轻易将业主个人信息泄露用于非法目的。   因此，本案侵权事实的发生与链家公司内部对客户、员工个人信息的保护存在监管漏洞直接相关。因链家公司的管理存在过错，其亦应对赵某的个人信息被侵害的损害后果承担侵权责任。   【评析】   企业应妥善保管员工的个人信息及员工收集的客户信息，做到信息保密和合理使用，禁止任何员工非法披露或使用企业收集的个人信息。   对于实施了侵权行为的员工，企业可依据法律法规以及企业内部管理制度，对其予以批评、警告，构成严重违纪的予以解除劳动合同，触犯法律的移交司法机关处理。   二、企业员工个人信息管理风险点及处置建议   当前实践中，不少企业已逐步开始重视个人信息保护，但是却普遍将保护视角狭隘的锁定在客户范围中，殊不知员工个人信息保护也是企业数据合规的重点所在。   即将生效的《民法典》第一千零三十四条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等；《个人信息安全规范》则进一步指出个人信息还应包括账号密码、财产信息、征信信息、住宿信息、交易信息等。   作为用人单位的企业，在员工招聘、入职、管理、离职等全流程中，必然需要收集、存储、使用、处理、转移及删除（销毁）员工个人信息。特别是新冠肺炎疫情以来，出于疫情防控的切实需要和国家要求，不管企业是否愿意都不可避免的开始收集员工个人信息。这使得企业尤其是中小企业在实操中遇到了一些疑惑。   企业管理者亟待对以上各阶段风险点予以充分了解、识别，正确理解适用相关规定，从而满足企业数据合规以及即将出台的个人信息保护法的监管要求。   1、劳动合同订立阶段的风险及处置建议   （1）过度收集员工个人信息   企业基于用工的需要，在招聘过程中应当也有权了解员工与工作相关的个人信息，以便据此对员工的工作能力进行评估。《劳动合同法》第八条规定，用人单位可收集的员工个人信息限于“与劳动合同直接相关的基本情况”。   结合实践中多数用人单位的操作，前述信息主要包括：姓名、性别、民族、国籍、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人（或主要家庭成员）等。   因此，企业在招聘录用环节，应根据不同业务、岗位切实需求等具体情况确定哪些是可以收集的，哪些是不可以收集的，确保所收集的员工个人信息具有合理性、符合最小化原则，避免过度收集造成侵权。对于确实需要收集的高风险信息，应取得员工的同意，并提供员工拒绝提供该信息的选择权。   （2）背景调查中侵犯员工个人信息权益   企业在招聘公司高管或重要员工的过程中，经常会自行或委托独立背景调查机构对候选员工进行背景调查。若公司在候选员工不知情的情况下展开调查，企业将可能侵犯候选员工的个人信息权益，与独立背景调查机构承担相应法律责任。因此企业在开展背调前，应取得候选员工的书面授权，这既是企业的数据合规要求，也是对候选员工个人信息保护的尊重。   企业委托独立背景调查机构收集信息的，一方面需要取得候选员工的同意，将其个人信息提供给独立背景调查机构，另一方面企业应谨慎评估独立背景调查机构的数据保护制度构建及管理能力，并通过委托合同准确划分双方关于个人信息保护的权利义务和责任，要求独立背景调查机构通过合法途径调查候选员工个人信息，保护好已获取的员工个人信息。   2、劳动关系存续期间的风险及处置建议   （1）日常人力资源管理中的风险   企业日常人力资源管理中对收集到的员工个人信息负有妥善保管的义务。有的企业在考勤时需要录入员工指纹或使用人脸识别特征打卡，这些均属于个人敏感信息，一旦因企业管理不善导致员工个人信息泄露，将严重侵害员工个人信息权益。   故企业应采取对储存介质进行加密处理、去标识化处理等手段，确保其收集、存储的员工个人信息安全，以防丢失、被篡改及泄露等。   另外，企业应明确岗位职责，建立安全事件的处罚机制；加强对接触、保管员工个人信息的员工培训，与其签订保密协议，防止相关员工在经手时泄露、毁损、篡改员工个人信息。   （2）审查员工工作设备的风险   当前OA系统已逐渐取代传统纸质办公方式，有的企业会通过技术手段定期检查员工的电子邮件、电话、企业配备电脑的使用情况。而员工在使用这些设备和系统的过程中，个人信息和痕迹极易留存其中，成为企业侵犯员工个人信息保护的高风险点。   企业应当提前告知员工原则上不得将办公设备用于处理个人事务，并书面声明保留对员工办公设备中的信息检查、监控、存储的权力，从而有效避免侵权的风险。一旦在检查中发现了员工个人信息，应注意将个人信息与工作信息相区分、隔离，并对检查中获悉的员工个人信息严格保密。   （3）企业传输员工个人信息中的风险   在企业将非核心事务外包给第三方机构处理时，将涉及员工个人信息的转移。企业在与第三方机构交互信息时多采取合同方式进行概括式授权，一般不会取得员工个人的授权，而且信息传输过程中，极易造成泄露、丢失。此外，外资企业和跨国公司基于全球一体化管理的需求，员工个人信息出海时，会涉及跨境传输个人信息方面的法律要求。   因此，企业应在员工入职时全面添加可能需要将员工个人信息提供给第三方的情形，并取得员工的书面授权同意。对于员工个人信息出海的，需更为谨慎的考虑与提供网络安全服务的机构合作，开展员工个人信息出境传输前的安全评估并建立数据安全传输防火墙，此外还应满足当地对个人信息保护的相关要求。   3、劳动关系终止阶段的风险及处置建议   （1）不当保管与披露员工个人信息的风险   部分企业对离职员工的个人信息缺乏重视，甚至非法将离职员工的个人信息打包出售给猎头公司、调查公司等。   在国家不断强化对个人信息保护的背景下，企业应加强对离职员工个人信息的管理，对需要保存的劳动合同文本，应考虑是否予以分类并单独存储，对已到期或不再需要存储的个人信息，在满足相关法律规定的条件下将这些信息及时删除。   根据《劳动合同法》第五十条规定，员工离职后，企业应对已经解除或者终止的劳动合同的文本，至少保存二年备查。在涉及农民工工资支付的领域，企业应当按照工资支付周期编制书面工资支付台账，并至少保存三年。实践中，对于相应期限企业可以根据实际情况进行掌握。   （2）对离职员工调查的风险   员工离职后，企业对该离职员工的调查主要涉及两方面，一是竞业限制，二是接受来自员工新入职企业的背调。   在竞业限制调查中，离职员工所进行的日常行为并不在离职企业的视野中，企业自行收集证据面临很大的风险和难度，采用跟踪拍摄搜集个人行踪轨迹或向负有保密义务的第三方收集证据，可能触犯《民法典》第一百一十一条关于“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”的规定。   而在涉及接受离职员工新入职企业的背调中，除非员工离职前同意企业在其离职后可将其信息批露给第三方机构，否则企业极可能侵犯员工的个人信息权益。    结语    随着《网络安全法》相关配套法律法规（包括各行业领域数据合规立法）的逐步完善，《网络安全法》确立的等级保护制度、信息安全和个人信息保护原则将得以细化实施。数据合规已逐渐并必将成为维护产业平稳健康发展，保障企业商业利益和正常运营的重要基石。随着立法工作的加速推进，越来越多的数据合规相关法律、法规将对企业数据合同提出更高标准的要求。   根据我国现行有关个人信息保护的法律规定，取得员工的事先同意能够在很大程度上确保企业在收集和使用员工个人信息方面的合规性。企业还应恪守最小化原则，避免恣意收集员工与履行工作职责不相关的个人信息。   随着个人信息保护法即将出台，企业应密切关注该法及配套法律、法规的立法动态，以确保企业制度符合最新监管合规要求。 来源：威科先行

邵阳劳动工伤律师事务所(www.tieqiaolawyer.com/laodonggongshang)提供邵阳市劳动工伤24小时在线免费咨询