企业正当管理权会在一定程度上限制员工个人信息相关权利的行使
《个人信息保护法》明确了处理个人信息应当遵循合法、正当、必要和诚信原则(第5条),公开、透明原则(第7条),最小必要原则(第6条),以及安全保障原则、质量保证原则等。
尽管存在上述规定,但是不能单纯地将个保法中个人信息处理的原则完全等同于企业处理员工个人信息的规则。由于劳动关系本身具有人身依附性,与众多其他个人权利一样,企业行使正当管理权而限制员工个人信息相关权利并不意味着对员工个人信息相关权利的侵犯。
以考勤为例,企业可以采取书面签到、指纹打卡、App定位、人脸识别等方式进行考勤。如果完全依照个保法第6条的规定处理个人信息应当采取影响最小的方式,那么与书面签到相比,获取员工的指纹、轨迹定位、人脸等个人敏感信息可能并非属于影响范围最小的方式。而企业通过App定位等方式进行考勤可以提高管理效率、节约考勤成本,如果加以限制并不符合社会发展利益。
企业应当在员工个人信息权利行使与企业正当管理权之间寻找平衡
一方面,如前文所述企业正当的管理权在一定程度上会限制员工个人信息相关权利的行使。如为履行劳动合同,企业有权获得(即无需取得同意)一定员工个人信息(如姓名、身份证号、职业经历、学历经历等),甚至基于合法有效的规章制度限制员工一些个人信息权利的行使(如基于业务影响等原因限制员工针对部分个人信息的删除请求权)。
另一方面,个保法赋予了个人包括知情权、决定权、转移请求权(可携带权)、删除请求权、查阅复制权、更正补充请求权、解释说明请求权等个人信息相关权利。而企业为了提高效率、降低成本等原因应当学会在保障员工上述权利与行使企业正当管理权之间寻找平衡,针对不同类型的员工人数据、不同的处理目的、不同的使用场景合理评估处理的范围、程度以及方式,着重体现企业在处理员工人信息上的正当性与必要性。
以解释说明请求权为例,企业可以在规章制度中将处理员工个人信息规则有关的解释说明予以明确,同时对员工行使权利的方式、途径、频率进行必要限制,同时对不当行为规定相应的处罚措施;如此可以降低员工不当渠道反映问题、高频率主张权利、采取不当方式主张权利等现象的法律风险。
规章制度是企业合法处理员工个人信息的主要依据
以解除劳动关系为例,在不考虑规章制度的情况下《劳动法》第25条明确了试用期不符合录用条件、对用人单位利益造成重大损害的、依法被追究刑事责任三种单位可以单方解除劳动合同的情形,而对于企业而言这三种情形过于狭窄,并不是企业面临的主要情形。在这种情况下,合法有效的规章制度成为为数不多可以进行“自定义”的选项。
在处理员工个人信息的过程中,规章制度的作用主要体现在以下几点:
明确收集员工个人信息的范围、目的、方式等,为企业处理员工个人信息提供合法依据;
针对不当处理员工个人信息的行为(如非法披露、泄漏隐私等)明确具体的惩戒措施;
以规章制度形式明确处理员工个人信息的规则,包括相关解释说明,履行个保法规定的其他义务;
方便修订制度内容,无需单独征求员工同意。
企业应当通过签订协议降低或转移处理员工个人信息可能的风险
除了规章制度以外,订立必要的协议也是合规处理员工个人信息重要的一环。这不仅包括企业与员工之间就个人信息各个环节的处理签订保密协议、个人信息处理条款等,而且还应当意识到在与第三方合作过程中签订相关协议的重要性。
企业人力资源活动难免与第三方进行合作。如招聘环节有可能从第三方人力资源公司获得简历等个人信息,也可能委托猎头补充空缺岗位、对意向员工进行背景调查;在职环节可能存在薪资代发、委托第三方为员工提供服务以及其他与员工有关的个人信息处理活动。此外劳务派遣、业务外包等情况下实际用工主体与建立劳动关系的主体存在分离,并不当然意味着实际用工企业在处理“员工”个人信息时取得了“员工”的同意。
在上述情况下与第三方就个人信息的保密、责任归属、授权等事项签订协议能够在较大程度上避免可能的侵权风险、损失甚至是刑事责任。
刑事合规风险也是处理员工个人信息应当关注的要点
企业作为员工个人信息的处理者,处理大量的员工个人信息,其中很多还属于敏感个人信息,如果在获取、对外提供方面未履行法定义务,可能属于涉嫌侵犯公民个人信息罪的行为。
根据《刑法》第253条之一的规定,非法出售或提供个人信息、非法获取个人信息情节严重的均构成侵犯公民个人信息罪,单位也可能构成此罪。《个人信息保护法》出台后的另外一个重大影响是给“非法获取个人信息”、“非法提供个人信息”的界定提供了“丰富”的参照依据,比如应当取得同意而未取得同意获取个人信息的,即属于非法获取。
在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,对侵犯公民个人信息罪的定罪标准进行了具体规定,例如非法获取征信信息、财产信息等五十条以上,非法获得健康生理信息、通信记录五百条以上,非法获得其他个人信息五千条以上等情形均属于入罪情形。严格意义上来讲,以上定罪标准对于企业而言风险不容忽视。
另外需要注意的是,即使存在员工个人原因(非单位行为)非法出售、提供、获取个人信息而构成犯罪的情形,但是企业作为管理方仍然存在因为未尽管理义务而被行政处罚或者被民事索赔的可能。
综上,企业应当将处理员工个人信息有关的刑事合规措施纳入视野。
关联法条
《个人信息保护法》第五条至第七条:
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围 。
《劳动法》第二十五条:
劳动者有下列情形之一的,用人单位可以解除劳动合同:(一)在试用期间被证明不符合录用条件的;(二)严重违反劳动纪律或者用人单位规章制度的;(三)严重失职,营私舞弊,对用人单位利益造成重大损害的;(四)被依法追究刑事责任的。
《刑法》第二百五十三条 之一 :
【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条 :
非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;……
本公众号后续将继续就员工个人信息处理规则、规章制度设计等问题进行探讨,欢迎关注。
