員工個人信息保護合規場景化分析
作者:王文祥 2022-01-10《個人信息保護法》(以下簡稱“《個保法》”)于2021年11月1日正式生效。《個保法》的生效進一步引起了企業對個人信息保護合規的重視,尤其是個人信息保有量較大的互聯網企業、數據企業及快消企業。然而,無論企業所處哪一行業,也不管企業規模大小,其都不可避免地需要面對員工個人信息(為本文之目的,員工個人信息包括應聘者、具有勞動關系的雇員及其他用工形式下雇員的個人信息)合規的問題。鑒于此,本文對員工個人信息處理合法性基礎的選擇進行了分析,并從場景化的角度對員工個人信息保護合規進行了簡要梳理,以幫助企業更好地了解和開展員工個人信息保護合規。
根據《個保法》第十三條第二款后半段,“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”是一項專門為人力資源管理場景所制定合法性基礎。然而,由于該合法性基礎成立的前提是除了為實施人力資源管理所必需外,還要求企業具備依法制定的勞動規章制度或依法簽訂的集體合同。從立法角度來看,該條一方面希望為人力資源管理這一普遍存在的場景提供明確的合法性基礎;同時,又擔心企業濫用該合法性基礎侵害個人權益,進而要求企業具備合法的勞動規章制度或集體合同。該限制使得企業不能將“實施人力資源管理所必需”作為處理員工個人信息的唯一合法性基礎,而需區分不同雇員身份和場景合理確定不同的合法性基礎。
(一)招聘階段個人信息處理 招聘屬于人力資源管理的重要環節之一,招聘階段企業為了招聘符合崗位需求的員工,需要獲取大量的應聘者個人信息,包括收集簡歷、開展背景調查等。應聘者和企業在應聘階段尚未形成勞動關系,顯然不能適用集體合同。此外,《勞動法》第四條和《勞動合同法》第四條均規定了用人單位應制定和完善勞動規章制度,但《勞動法》和《勞動合同法》所述之規章制度適用于具有勞動關系的勞動者;從審慎解釋的角度,應認為《個保法》第十三條所述之勞動規章制度應與《勞動法》和《勞動合同法》具有同一內涵。因此,《個保法》第十三條第二款中的勞動規章制度不應適用于尚未建立勞動關系的應聘者。 鑒于人力資源管理所必需的合法性基礎存在限制,則企業不得不重新選擇處理應聘者個人信息的合法性處理。一般而言,取得應聘者的同意是最為簡單且可行的合法性基礎。但需要注意的是,應聘場景下,企業除了自行收集應聘者個人信息外,還可能從獵頭公司等第三方處收集應聘者個人信息。此時,確保信息提供方收集和提供個人信息的合法性尤為關鍵。對第三方而言,其收集和提供個人信息的合法性構建可選擇應聘者的同意,在與應聘者簽署協議的情況下亦可基于履行合同所必需收集和提供個人信息。 合規建議: 1) 針對應聘場景起草知情同意書,在收集應聘者個人信息前可通過簽署知情同意書的形式依法告知應聘者并取得其同意。 2) 委托第三方收集應聘者個人信息時,應與第三方簽署書面委托協議,明確約定雙方關于個人信息保護的權利義務,并要求第三方依法取得應聘者關于收集和提供個人信息的同意或與應聘者簽署適當的合同。 (二)在職期間個人信息處理 員工在職期間,公司原則上可以依據實施人力資源管理所必需處理員工的個人信息,但需依法制定相應的規章制度或簽訂集體合同。除此之外,需要注意的是,與公司間沒有勞動關系的用工場景下,可能無法基于實施人力資源管理所必需處理該等人員的個人信息。 如前所述,集體合同和勞動規章制度僅適用于具有勞動關系的勞動者,而實踐中存在多種用工形式。在非勞動關系的用工場景下,企業基于管理等必要同樣也會收集該等人員的個人信息。此時,企業可以考慮選擇的合法性基礎包括知情同意和履行合同所必要。 其次,即便已經制定勞動規章制度或簽訂了集體合同,不排除企業可能會基于人力資源管理以外的目的收集、使用員工的個人信息。從必要性原則角度出發,一旦企業的處理行為不屬于為人力資源管理所必需,則企業需重新尋找合法性基礎。 除企業自己處理員工個人信息外,企業委托第三方處理員工個人信息或向第三方提供員工個人信息的情形也較為常見。從告知的角度,企業需要明確告知員工委托處理和對外提供的情形,包括第三方的名稱、聯系方式、處理目的及個人信息種類等。從個人信息保護的角度,企業需對第三方處理個人信息的行為進行約束和監督,以保障數據安全,維護員工個人利益。 合規建議: 1) 企業應制定員工個人信息保護政策或簽訂有關員工個人信息處理的集體合同,為企業合法處理員工個人信息提供有效的合法性基礎。 2) 非基于人力資源管理所必需處理員工個人信息的,應評估是否具有知情同意以外的合法性基礎,如無,應告知員工并取得其同意。 3) 針對非勞動關系的人員,應通過簽署書面協議或知情同意書,以構建企業處理其個人信息的合法性基礎。 4) 涉及委托或對外提供個人信息的,應與第三方簽署書面協議,明確約定有關個人信息保護的權利義務,尤其是要求第三方確保個人信息安全,不得轉委托,不得超出約定的目的和方式處理個人信息。 (三)離職后個人信息處理 員工離職后,公司與員工之間的勞動關系不復存在。此時,“實施人力資源管理所必需”原則上不能再作為處理員工個人信息的合法性基礎。通常情況下,處理離職后員工的個人信息的合法性基礎可以從如下三個主要方面去尋找和建構: 1) 履行公司的法定職責或法定義務。員工離職后,如法律對員工個人信息存儲存在特定要求的,則該等信息留存則成為履行公司的法定義務。譬如,《勞動合同法》第五十條規定,用人單位對已經解除或者終止的勞動合同的文本,至少保存二年備查。勞動合同本身承載了員工個人信息,對勞動合同保存的要求也一定程度上意味著相應的個人信息需要保存兩年。但需要注意的是,基于履行法定職責或義務處理個人信息的處理方式往往也受法律的限制,多數情況下法律僅要求保存以備查。在保存備查的情況下,企業不得將保存備查的個人信息用于其他目的,除非取得其他合法性基礎。 2) 履行合同所必要。員工入職或在職期間,會和公司簽署勞動合同、培訓合同等。基于履行相應合同必要仍需在員工離職后處理員工相應個人信息的,公司可基于履行合同必要這一合法性基礎繼續處理員工個人信息。 3) 知情同意。在沒有其他法定合法性基礎的情況下,合法性基礎的檢索就會回到知情同意上。如果企業在員工離職時或離職后,基于特定目的再次取得個人的同意,則企業可繼續處理該個人的個人信息。 合規建議: 1) 在與員工簽署勞動合同或其他協議時,應充分考慮員工離職后所需的處理個人信息的情形,將離職后必要的個人信息處理行為在合同中進行明確約定,避免未來就個人信息處理行為合法性產生爭議。 2) 如在員工離職后確需基于其他特定目的處理其個人信息的,建議在離職時單獨告知員工并重新取得其同意。 (四)員工個人信息跨境轉移 對跨國企業而言,為了進行全球化的人力資源統一管理,向境外提供員工個人信息屬于較為常見的處理方式。根據《個保法》,數據跨境提供需要從三個層面進行合規:第一,如前所述,需要具有合法性基礎,通常表現為人力資源管理相關制度;第二,滿足《個保法》第三十八條規定的條件之一,包括:1)通過國家網信部門組織的安全評估,2)按照國家網信部門的規定經專業機構進行個人信息保護認證,3)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務,4)法律、行政法規或者國家網信部門規定的其他條件;第三,采取必要的安全保障措施并進行個人信息保護影響評估。 關于《個保法》第三十八條規定的條件,需相關部門進一步出臺實施性法規予以明確。譬如,國家網信部門規定數量的個人信息處理者目前尚未明確標準。根據《數據出境安全評估辦法(征求意見稿)》,處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息和累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。由于該法規尚未正式頒布,目前僅可供合規參考。此外,國家網信部門制定的標準合同也尚未公布。 即便如此,現階段下,如實施員工個人信息跨境轉移,仍應取得合法性基礎,完成個人信息保護影響評估,按照必要的原則提供個人信息,并采取有效的安全保障措施,避免數據泄露或非法處理。同時,可以參考其他法域的實踐,起草和簽署數據跨境協議。 (五)結語 員工個人信息處理區別于業務場景,相對獨立;但由于員工個人信息處理場景自身的多樣性以及《個保法》對“實施人力資源管理所必需”這一合法性基礎的限制,導致員工個人信息處理并不能簡單地依賴于單一的合法性基礎。無論是完善勞動合同還是制定一份詳盡的員工個人信息保護制度均無法一勞永逸地解決人力資源管理場景下個人信息的處理。因此,企業應嚴格區分應聘者、具有勞動關系的雇員及其他用工形式的雇員,并結合不同的場景和法律關系背景,合理選擇處理個人信息的合法性基礎。除此之外,對于特殊的個人信息處理行為,如委托處理、跨境轉移等,還需按照《個保法》分別落實必要的合規措施。
