「?jìng)€(gè)人情報(bào)保護(hù)法(草案)」の視點(diǎn)における従業(yè)員個(gè)人情報(bào)コンプライアンス
作者:程中華 2021-07-14前置き
デジタル化時(shí)代において、データ(個(gè)人情報(bào)を含む)は大手企業(yè)の中核資産となりつつあり、EUの『一般データ保護(hù)條例』(GDPR)を先頭に、各國(guó)ではデータ保護(hù)に関する立法を強(qiáng)化し始めた。4月29日、『個(gè)人情報(bào)保護(hù)法(草案二次審議草案)』(以下、『個(gè)保法草案』という)の意見募集が開始され、今年中に可決される確率が最も高いと思われる。
『個(gè)保法草案』で言う個(gè)人情報(bào)とは、匿名化処理後の情報(bào)を含まず、電子またはその他方法で記録され、識(shí)別された或いは識(shí)別可能な自然人と関する各種情報(bào)である。個(gè)人情報(bào)の処理は、収集、保存、使用、加工、転送、提供、公開などを含む。
個(gè)人情報(bào)の処理に対して、『個(gè)保法草案』では、明確で且つ合理的な目的を持ち、公開、透明、誠(chéng)実と信用の原則を遵守し、合法、正當(dāng)な方法を採(cǎi)用し、個(gè)人情報(bào)の品質(zhì)を保証し、且つ収集の範(fàn)囲は処理目的を?qū)g現(xiàn)するために必要な最小範(fàn)囲に限られる。
雇用會(huì)社は雇用過程において、従業(yè)員の個(gè)人情報(bào)を大量に収集しているが、これらの個(gè)人情報(bào)はどのようなコンプライアンスに関わりがあるのかについて、本文で討論してみましょう。
一、従業(yè)員の個(gè)人情報(bào)の収集
雇用會(huì)社は、従業(yè)員の採(cǎi)用、背景の調(diào)査、社會(huì)保険の納付、休暇管理、従業(yè)員の解雇などの各段階において、従業(yè)員の個(gè)人情報(bào)を収集している。當(dāng)該収集の行為において、雇用會(huì)社は通常、下記2點(diǎn)に注目しているでしょう。
先ず、どのような個(gè)人情報(bào)を収集できるのでしょうか?『労働契約法』第8條の規(guī)定により、雇用會(huì)社は労働者及び労働契約と直接関連する基本狀況を知る権利があり、労働者は真実に説明しなければならない。また、第17條の規(guī)定により、労働契約書には労働者の氏名、住所、身分証番號(hào)又はその他有効な身分証番號(hào)等を記載しなければならない。但し、氏名、身分証番號(hào)及び住所以外、どのような情報(bào)が労働契約と直接関連する個(gè)人情報(bào)であるかについては、法律で具體的に規(guī)定されていないのである。
雇用の実務(wù)上から見た場(chǎng)合、従業(yè)員が履歴書で披露した?jī)?nèi)容は通常、氏名、性別、生年月日、民族、住所、電話番號(hào)、メールアドレス、學(xué)歴、職歴等を含む。以上の情報(bào)は何れも「情報(bào)安全技術(shù)個(gè)人情報(bào)安全規(guī)範(fàn)」(GB/T 3573-2020)(以下、「?jìng)€(gè)人情報(bào)安全規(guī)範(fàn)」という)添付ファイルでいう個(gè)人情報(bào)の範(fàn)疇に含まれている。従業(yè)員が自ら上記情報(bào)を提供しない場(chǎng)合、雇用會(huì)社は自主的に収集することができるのでしょうか?筆者の考えとしては、異なる雇用段階において、雇用會(huì)社が収集できる従業(yè)員の個(gè)人情報(bào)も異なると思われる。例えば、従業(yè)員の面接、背景の調(diào)査においては、従業(yè)員の金融口座、個(gè)人の行動(dòng)を収集するのは合理性に欠けていると思われる。採(cǎi)用後に給料の支払いや営業(yè)擔(dān)當(dāng)従業(yè)員の勤務(wù)評(píng)価管理等の目的により必要な情報(bào)を収集する場(chǎng)合、必要最小限の原則に適合していると思われる。従って、収集しようとする従業(yè)員の個(gè)人情報(bào)が労働契約と直接関するかどうかについては、雇用の全過程を?qū)彇摔筏婆袛啶筏胜堡欷肖胜椁胜ぁ¥猡沥恧蟆I(yè)種や職場(chǎng)によっては、雇用會(huì)社が収集できる従業(yè)員の個(gè)人情報(bào)の種類も異なっているでしょう。
特に説明する必要があるのは、従業(yè)員の婚姻?出産情報(bào)については、司法実踐[i]により、「契約に必要な個(gè)人情報(bào)」に屬さないと認(rèn)定されていた。『更に雇用行為を規(guī)範(fàn)化し、女性の就業(yè)促進(jìn)に関する通知』及び『更に入學(xué)と就業(yè)の健康診斷項(xiàng)目を規(guī)範(fàn)化し、B型肝炎の表面抗原保持者の入學(xué)と就業(yè)の権利を維持にすることに関する通知』においても、女性の妊娠検査やB型肝炎ウイルス血清學(xué)的指標(biāo)(特殊業(yè)種を除く)を健康診斷項(xiàng)目とすることが禁止されている。
次に、雇用會(huì)社はどのように従業(yè)員の情報(bào)を収集するのでしょうか?この點(diǎn)については、『労働契約法』から回答を見つけ出すことはできないでしょう。実務(wù)においては、雇用會(huì)社が従業(yè)員の情報(bào)を収集する方法は3種類がある。一つ目は、従業(yè)員が求人応募、休暇申請(qǐng)などの段階において自主的に情報(bào)を提供する。二つ目は、雇用會(huì)社が給料の支払いや社會(huì)保険の納付等の雇用管理の必要により従業(yè)員の情報(bào)を収集する。三つ目は、雇用會(huì)社がその他第三者に情報(bào)の収集を委託する。『個(gè)保法草案』の要求により、雇用會(huì)社が従業(yè)員の情報(bào)を収集する場(chǎng)合、基本原則として従業(yè)員の同意を得る必要がある。但し、『個(gè)保法草案』13條では、情報(bào)主體の同意を得る必要がない6つの例外が列挙されている。労働過程において爭(zhēng)議が発生し易いのは、「?jìng)€(gè)人當(dāng)事者との契約締結(jié)或いは契約履行に必要なもの」という點(diǎn)である。「契約締結(jié)と契約履行に必要なもの」とは、どうように定義されているのかについて、現(xiàn)在では不明であり、今後の個(gè)別案件から審査する必要があるでしょう。
従業(yè)員の個(gè)人情報(bào)を収集する場(chǎng)合、特に個(gè)人情報(bào)のコンプライアンスに注意すべきであると思われる。
『個(gè)保法草案』第29條でいう敏感的な個(gè)人情報(bào)とは、一旦漏洩または不正使用された場(chǎng)合、個(gè)人が差別或いは人身、財(cái)産の安全に深刻な危害を受ける可能性がある個(gè)人情報(bào)を指し、人種、民族、宗教信仰、個(gè)人の生物特徴、醫(yī)療健康、金融口座、個(gè)人の行動(dòng)等の情報(bào)を含む。
雇用會(huì)社が敏感的な個(gè)人情報(bào)を収集する際、下記3點(diǎn)に注意する必要があるでしょう。①特定の目的と十分な必要性を持っていること;②従業(yè)員の単獨(dú)同意を得ること;③その敏感的な情報(bào)を取り扱う必要性及び個(gè)人への影響を告知すること。
二、従業(yè)員個(gè)人情報(bào)の提供と委託処理
會(huì)社再編やM&Aを行う過程において、雇用會(huì)社は今後、個(gè)人情報(bào)のコンプライアンスへの審査を強(qiáng)化すべきである。『個(gè)保法草案』第23條の規(guī)定により、會(huì)社の合併、分立などの原因により合併または分立後の主體に個(gè)人情報(bào)を提供する必要がある場(chǎng)合、個(gè)人に受取側(cè)の身分、連絡(luò)先を通知しなければならないが、個(gè)人の同意を新たに得る必要はない。
但し、その他第三者に個(gè)人情報(bào)を提供する場(chǎng)合、受取側(cè)の身分、連絡(luò)先、処理目的、処理方法及び個(gè)人情報(bào)の種類を告知すべきであり、同時(shí)に従業(yè)員の単獨(dú)同意を得る必要がある。
個(gè)人情報(bào)の委託処理については、第三者に委託して従業(yè)員の背景調(diào)査、人事サービスのアウトソーシング等を行う場(chǎng)合、草案での要求により、雇用會(huì)社と受託側(cè)は委託処理の目的、期限、処理方法、個(gè)人情報(bào)の種類、保護(hù)措置及び雙方のその他権利義務(wù)を約定し、且つ受託側(cè)の行為に対して監(jiān)督しなければならない。
受託側(cè)が委託を受けない場(chǎng)合、個(gè)人情報(bào)を返卻或いは削除しなければならない。また、雇用會(huì)社の同意を得ずに、受託側(cè)は他人に委託して個(gè)人情報(bào)を処理してはならない。
三、従業(yè)員個(gè)人情報(bào)の公開
個(gè)人情報(bào)の公開は、『個(gè)保法草案』で要求される?yún)g獨(dú)同意を得る四つの事項(xiàng)の內(nèi)の一つである。草案第26條では、「?jìng)€(gè)人情報(bào)の処理者は、その処理する個(gè)人情報(bào)を公開してはならない。但し、個(gè)人の単獨(dú)同意を得た場(chǎng)合を除く。」と規(guī)定されている。
公開してはならない処理者が取得した個(gè)人情報(bào)には、既に公開された個(gè)人情報(bào)も含まれ、個(gè)人情報(bào)の処理者は、その個(gè)人情報(bào)が公開された用途に適合して処理しなければならない。さもなければ、新たに本人の同意を得なければならない。
人力資源と社會(huì)保障部門が2015年に公布した『就業(yè)サービスと就業(yè)管理規(guī)定」にも同じような規(guī)定があり、「雇用會(huì)社は労働者の個(gè)人情報(bào)に対して秘密を保持しなければならない。労働者の個(gè)人情報(bào)を公開する場(chǎng)合及び労働者の技術(shù)的?知的成果を使用する場(chǎng)合、労働者本人の書面同意を得なければならない」と規(guī)定されている。2018年、孫氏と學(xué)集會(huì)社との間のプライバシーに関する爭(zhēng)議案件[ii]は、まさに雇用會(huì)社が従業(yè)員の個(gè)人情報(bào)を不當(dāng)に公開したため、従業(yè)員から訴訟を提起された案件である。
四、従業(yè)員個(gè)人情報(bào)の海外提供
外資企業(yè)は海外の親會(huì)社や関連會(huì)社と財(cái)務(wù)連結(jié)決算を行い、人事手配などの狀況を検討する際、中國(guó)國(guó)內(nèi)から従業(yè)員の個(gè)人情報(bào)の提供を必要し、ホテルなどの特殊業(yè)界の顧客共有システムでその他顧客情報(bào)が海外に提供される可能性がある。『個(gè)保法草案』第38條では、個(gè)人情報(bào)の海外提供について特別な規(guī)範(fàn)が制定されている。
『個(gè)保法草案』で規(guī)定されている個(gè)人情報(bào)の海外提供は、主に下記3つの狀況にまとめることができる。
1) 重要な情報(bào)インフラ運(yùn)営者と個(gè)人情報(bào)の処理が國(guó)家ネット情報(bào)部門で規(guī)定される數(shù)量に達(dá)した雇用會(huì)社に対しては、その個(gè)人情報(bào)は原則として國(guó)內(nèi)保管とし、確かに海外に提供する必要がある場(chǎng)合、國(guó)家ネット情報(bào)部門の安全評(píng)価を通過しなければならない。個(gè)人情報(bào)の処理が國(guó)家ネット情報(bào)部門で規(guī)定される數(shù)量に達(dá)した場(chǎng)合とは、國(guó)家インターネット情報(bào)弁公室による『個(gè)人情報(bào)と重要データ出國(guó)安全評(píng)価弁法(意見募集案)』で規(guī)定されている50萬人以上を含む個(gè)人情報(bào)或いはデータ量が1000 GBを超える場(chǎng)合を指す。
2) その他一般雇用會(huì)社にとっては、海外に個(gè)人情報(bào)を提供する際、専門機(jī)関の個(gè)人情報(bào)保護(hù)認(rèn)証を取得する必要があり、若しくはネット情報(bào)部門が制定した雛形の契約書を用いて海外の受取側(cè)と契約を締結(jié)し、且つ海外主體の処理活動(dòng)を監(jiān)督する必要がある。
3) 國(guó)外の司法又は法律執(zhí)行機(jī)関に個(gè)人情報(bào)を提供する場(chǎng)合、中國(guó)の主管機(jī)関の承認(rèn)を得るべきであり、若しくは國(guó)際條約、協(xié)定により処理すべきであり、雇用會(huì)社は勝手に國(guó)外に提供してはならない。
普通の雇用會(huì)社にとっては、ネット情報(bào)部門が制定した雛形契約書により海外に個(gè)人情報(bào)を提供するのが最も実行可能な方法である。但し、個(gè)人情報(bào)を海外に提出する前に『個(gè)人保法草案』第39條と55條の規(guī)定に従って、雇用會(huì)社は下記の事項(xiàng)に注意する必要がある。
先ず、従業(yè)員の単獨(dú)同意を得ること。同時(shí)に國(guó)外の受取側(cè)の身分、連絡(luò)先、処理目的、個(gè)人情報(bào)の種類及び國(guó)外の受取側(cè)に対して法律で規(guī)定された権利を行使する方法を従業(yè)員に告知すること。
次に、個(gè)人情報(bào)の処理活動(dòng)に対してリスク評(píng)価を行うこと。評(píng)価內(nèi)容として、個(gè)人情報(bào)の処理目的、方法が適法、正當(dāng)、必要性であるか否か、従業(yè)員に対する影響及びリスクの程度、保護(hù)措置が適切であるか否かを含む。
個(gè)人情報(bào)を取得する海外親會(huì)社またはその他の海外主體として、『個(gè)保法草案』で規(guī)定される域外管轄権に基づき、その処理活動(dòng)が『個(gè)保法草案』の規(guī)制範(fàn)囲に入っている場(chǎng)合、第53條の規(guī)定に従って中國(guó)國(guó)內(nèi)に専門機(jī)関或いは指定代表を設(shè)けて個(gè)人情報(bào)保護(hù)事務(wù)を処理する必要がある。
五、従業(yè)員個(gè)人情報(bào)の保存
『個(gè)保法草案』第20條では、「?jìng)€(gè)人情報(bào)の保存期限は、処理目的を?qū)g現(xiàn)するために必要な最短時(shí)間とする」と規(guī)定されている。個(gè)人情報(bào)の具體的な保存期限について、『個(gè)保法草案』第55條では、個(gè)人情報(bào)を記載したリスク評(píng)価報(bào)告書と処理記録は少なくとも3年間保存することが要求されている。
雇用過程において、従業(yè)員個(gè)人情報(bào)の保存期限に関する明確な法律規(guī)定はそれ程多くないが、下記2點(diǎn)に注目してよいでしょう。
1) 「労働契約法」第50條により、雇用會(huì)社はすでに解除または終止した労働契約書に対しては少なくとも2年間は保存する必要がある。その他個(gè)人情報(bào)の保存期限については、筆者の考えとして、労働紛爭(zhēng)仲裁の時(shí)効は労働関係終了後の一年であるため、労働紛爭(zhēng)に関連する個(gè)人情報(bào)は、少なくとも従業(yè)員退職後より一年以上保存しなければならないと思われる。
2) 會(huì)計(jì)書類の原始証憑、銀行の取引明細(xì)書等に記載されている個(gè)人情報(bào)については、「會(huì)計(jì)書類管理弁法」[iii]の規(guī)定により保存期限を確定しなければならない。
國(guó)家基準(zhǔn)『個(gè)人情報(bào)安全規(guī)範(fàn)』6.1條での要求により、個(gè)人情報(bào)の保存期限が満了した場(chǎng)合、個(gè)人情報(bào)を削除或いは匿名化して処理しなければならない。
六、従業(yè)員個(gè)人情報(bào)コンプライアンスに関する提案
『個(gè)保法草案』により、個(gè)人情報(bào)の違法処理や個(gè)人情報(bào)の処理に必要なセキュリティ保護(hù)措置を講じていない行為に対しては、高額な処罰[iv]が設(shè)けられている 。合理的に従業(yè)員個(gè)人情報(bào)を処理するのは必須であり、雇用會(huì)社はこれに対して早めに計(jì)畫を立てる必要がある。
1、雇用會(huì)社は、「事情を知って同意する」という意味を深く理解する必要がある。
従業(yè)員の同意を得ることは、雇用會(huì)社がその個(gè)人情報(bào)を処理する基本原則であるが、『個(gè)保法草案』第14條により、個(gè)人情報(bào)を処理する同意は、その個(gè)人が十分に事情を知っているという前提で自発的で且つ明確でなければならない。処理する目的及び方法、処理する個(gè)人情報(bào)の種類に変更がある場(chǎng)合、新たにその個(gè)人の同意を得なければならない。
「十分に事情を知っている」とは、草案第18條を參考にし、即ち、雇用會(huì)社が明確な方法、はっきりと分かり易い表現(xiàn)で従業(yè)員に下記の事項(xiàng)を告知しなければならない。
1)個(gè)人情報(bào)処理者の身分と連絡(luò)先。
2)個(gè)人情報(bào)の処理目的、処理方法、処理する個(gè)人情報(bào)の種類、保存期限。
3)個(gè)人が本法に規(guī)定されている権利を行使する方法及び手順。
4)法律、行政法規(guī)で定められているその他告知すべき事項(xiàng)。
労働雇用の過程は複雑であるため、其々の事項(xiàng)について個(gè)別に告知するのは管理上、明らかに不便である。従って、雇用會(huì)社は個(gè)人情報(bào)処理規(guī)則(例えば、従業(yè)員個(gè)人情報(bào)コンプライアンスマニュアル等)を制定することにより、上記の事項(xiàng)を告知することができる。但し、當(dāng)該処理規(guī)則は公開しなければならず、且つ閲覧と保存を行わなければならない。例えば、敏感的な個(gè)人情報(bào)の処理、第三者に提供する個(gè)人情報(bào)、個(gè)人情報(bào)の海外提供や公開等といった従業(yè)員の単獨(dú)同意を得る必要がある事項(xiàng)については、依然としてその他方法により単獨(dú)に同意を得るべきであると思われる。
2、具體的なコンプライアンス対策
『個(gè)保法草案』における個(gè)人情報(bào)処理者に設(shè)けられた基本義務(wù)を履行するために、雇用會(huì)社は下記「コンプライアンス」の取り組みに著手する必要がある。
1) 內(nèi)部管理制度を制定する。例えば、専門家の力を借り、従業(yè)員個(gè)人情報(bào)コンプライアンスマニュアル等の制度書類を作成する。
2) 會(huì)社が収集する従業(yè)員個(gè)人情報(bào)に対して、分類管理を行い、保存においては暗號(hào)化、標(biāo)識(shí)除去などの安全措置を講じることに注意する。
3) 個(gè)人情報(bào)を処理する権限を持つ者に対しては、各自の職責(zé)に応じて異なる操作権限を設(shè)定し、且つ関係者に対して実習(xí)訓(xùn)練を行う。
4) 発生する可能性がある個(gè)人情報(bào)安全事故に対して、緊急対応策を予め作成する。
以上は一般雇用會(huì)社として備える必要があるコンプライアンス措置である。『個(gè)保法草案』での要求により、雇用會(huì)社は個(gè)人情報(bào)処理活動(dòng)の法律コンプライアンスに対して監(jiān)査を行わなければならないため、雇用會(huì)社は弁護(hù)士事務(wù)所などの専門機(jī)構(gòu)と連攜して當(dāng)該作業(yè)を展開するよう提案する。
特殊業(yè)界或いは特定個(gè)人情報(bào)、特定処理方法に対しては、『個(gè)保法草案』でコンプライアンス活動(dòng)に対してより高い要求を出されている。
1) 処理する個(gè)人情報(bào)がネット情報(bào)部門で規(guī)定される數(shù)量(具體的な基準(zhǔn)は不明確)に達(dá)した雇用會(huì)社は、個(gè)人情報(bào)保護(hù)責(zé)任者を指定しなければならない。
2) 海外の會(huì)社が中國(guó)國(guó)內(nèi)の個(gè)人情報(bào)を処理する場(chǎng)合、中國(guó)に専門機(jī)関または指定代表を設(shè)けなければならない。
3) 特別な個(gè)人情報(bào)処理活動(dòng)に対してリスク評(píng)価を行う。これらの活動(dòng)とは、敏感的な個(gè)人情報(bào)の処理、個(gè)人情報(bào)を利用する自動(dòng)化決定、他人への委託処理、他人への個(gè)人情報(bào)の提供或いは公開、海外に提供する個(gè)人情報(bào)等を指す。
[i] https://law.wkinfo.com.cn/judgment-documents/detail/MjAwODQzMTk4ODA%3Dアクセス日:2021年7月6日.
[ii] https://law.wkinfo.com.cn/judgment-documents/detail/MjAyMzQxNzg2MzU%3Dアクセス日:2021年7月9日.
[iii] 『會(huì)計(jì)資料管理弁法』第14條の規(guī)定により、會(huì)計(jì)資料の保管期間は永久と定期の二種類に分けられる。定期保管期間は、通常10年と30年に分けられる.
[iv] 『個(gè)人情報(bào)保護(hù)法(草案二次審議版)』第65條により、本法令規(guī)定に違反して個(gè)人情報(bào)を処理した場(chǎng)合、或いは個(gè)人情報(bào)を処理する際、規(guī)定により必要な安全保護(hù)措置を講じていない場(chǎng)合、個(gè)人情報(bào)保護(hù)職責(zé)を履行する部門から是正を命じられ、警告され、違法による所得が沒収される。是正することを拒否した場(chǎng)合、百萬元以下の罰金が科せられる。直接責(zé)任者である主管者及びその他直接責(zé)任者に対しては、一萬元以上十萬元以下の罰金が科せられる.
前項(xiàng)規(guī)定の違法行為があり、狀況が厳重な場(chǎng)合、個(gè)人情報(bào)保護(hù)職責(zé)を履行する部門より是正が命じられ、違法による所得が沒収され、且つ五千萬元以下或いは前年度売上の5%以下の罰金が科せられる。また、関連業(yè)務(wù)の停止、整理整頓、関連主管部門に通報(bào)し、関連業(yè)務(wù)許可の取り消し或いは関連営業(yè)許可証の取り消し処分が科せられる。直接責(zé)任者である主管者及びその他直接責(zé)任者に対しては、十萬元以上百萬元以下の罰金が科せられる.
