《个人信息保护法》将于2021年11月1日实施,可以合理地预见伴随未来员工对用工场景下个人私密信息权利意识的逐渐觉醒,企业将可能更加频繁地遇到员工个人信息保护的争议。
作为一名法律工作者,在日常的劳动法律关系处理中,我们和HR经理作为共同体,深刻体会到一份合规、完善的员工手册在处理公司日常员工问题时的重要作用,以及在劳动仲裁时可以有效的避免和减少公司重大损失。
因此,企业HR经理需要及时修改员工手册,应对《个人信息保护法》的合规落地。
本文将从人力资源管理的视角,梳理《个保法》中与人力资源管理相关的合规要点,并结合实际的办案手记为HR提供实操性的建议,以及在HR如何修改企业的员工手册,以应对《个保法》带来的合规性挑战。
文 | 王丽君这是盖雅学院第294篇原创图文
本文共4906字,阅读约需5分钟
《个人信息保护法》将于2021年11月1日实施,可以合理地预见伴随未来员工对用工场景下个人私密信息权利意识的逐渐觉醒,企业将可能更加频繁地遇到员工个人信息保护的争议。
作为一名法律工作者,在日常的劳动法律关系处理中,我们和HR经理作为共同体,深刻体会到一份合规、完善的员工手册在处理公司日常员工问题时的重要作用,以及在劳动仲裁时可以有效的避免和减少公司重大损失。
因此,企业HR经理需要及时修改员工手册,应对《个人信息保护法》的合规落地。
本文将从人力资源管理的视角,梳理《个保法》中与人力资源管理相关的合规要点,并结合实际的办案手记为HR提供实操性的建议,以及在HR如何修改企业的员工手册,以应对《个保法》带来的合规性挑战。
什么是个人信息
要想规避风险,我们首先需要清楚法律规定的“个人信息”的范畴是什么,它和我们通常认知中的个人信息存在什么差异。《个人信息保护法》的规定:
(1)个人信息的主体只能是自然人;
(2)个人信息具有可识别性(不包括匿名化处理后的信息);
(3)个人信息必须具有一定形式的载体,即以电子或者其他方式记录(未进行记录的自然人的活动或谈话就不属于个人信息)。
与HR最相关的是用工管理场景下的私密个人信息,它又包括哪些呢?
法律规定用工管理场景下的私密个人信息是兼具“私密性”和“可识别性”两项特征的信息。
《民法典》第1034条第4款的规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这一规定确立了个人信息中的私密信息应优先适用隐私权规则的制度。用人单位宜采取谨慎的态度处理这一问题,以避免面临潜在法律风险。
在用工场景下,常见的个人信息中的私密信息包括婚育信息、健康信息、银行账户信息、工作时间以外的位置信息、性取向、未公开的犯罪记录等。
02/《个保法》之后,用工管理可能面临的挑战
通过上述个保法的新规定,用人单位处理员工的个人信息必然需要符合一系列要求,在用工场景下,个人信息也纷繁复杂。
可以预见在个保法实施后,HR将面临多重人力资源合规管理方面的挑战。从用工管理的几个阶段出发,我们可以预见的一些典型挑战和问题。
1. 招聘环节
如何保证用人单位收集简历是合规的?
如何处理未被录用的候选人的简历、预防简历泄漏?
如何保证视频面试录屏的合规性?
如何取得候选人对于用人单位处理其个人信息的同意?
如何妥善确认内推人提供的简历是经过被推荐人授权的?
如何与第三方平台划分个人信息的管理权责?
2. 入职前后
如何合规获得员工的体检报告?
如何合规进行员工背景调查?
如何妥善保存员工提交的毕业证书、身份证、资格证书等入职材料?
如何妥善告知员工,在劳动合同履行过程中,处理其个人信息的必要性和相关场景?
3. 在职期间
如何合规获取即时定位打卡、人脸打卡、指纹打卡等涉及个人信息的考勤打卡信息?
如何合规获取病假申请信息及其他医疗文件?
如何合规获取员工违规违纪信息?
如何确保有权限接触员工个人信息的管理者谨慎履职、如何制定个人信息泄露时应急预案?
4.离职后
如何合规处理新雇主背景调查时涉及的离职员工个人信息?
如何合规处理员工离职后的个人信息限期删除事宜?
用工管理场景下,处理私密个人信息的基本原则
《个保法》出来之后,我们会发现HR工作可能处处是坑,一不小心就深陷其中,上文中,我们尝试列举了人力资源管理场景下,HR可能会面临合规风险的一些个人信息或可能的管理挑战,但仍无法穷尽,相信你在阅读的过程中也有新的补充或疑问。
那么,如何面临这种复杂的情况呢?
《个人信息保护法》第五条至第九条规定了处理个人信息应当遵循合法、正当、必要和诚信原则、明确性和相关性原则、最小程度原则、公开透明原则、完整性和准确性原则、安全保障原则等一整套基本原则;以及个人信息处理的“告知-同意”规则。
其中,“告知-同意”规则是《个人信息保护法》中的核心内容,在个人信息处理规则中处于核心地位。
“告知同意规则”,亦称“知情同意规则”,是指任何组织或个人,在处理个人信息时,应当对信息主体即其个人信息被处理的自然人进行告知,在取得同意后方可从事相应的个人信息处理活动,否则所涉处理行为构成违法,除非法律另有规定。
也就是说,我们处理个人信息应当在事先充分告知的前提下取得个人同意。
建立该规则的目的,在于信息处理者需将处理个人信息的目的、用途、后果告知信息主体,使信息主体出于自身的真实、完整意志,同意信息处理者的请求,以此彰显对信息主体人格独立性与自主性的尊重。“告知同意规则”包含了“告知规则”与“同意规则”,二者相辅相成、紧密联系。
关于“告知-同意”这一核心规则,《个人信息保护法》第13条第(2)项至第(7)项规定了基于个人同意以外的可以合法处理个人信息的六种情形(下称“六种法律许可情形”)。
也就是说,在以下情形下,我们不必须遵循“告知-同意”的规则。
情形一:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
情形二:为履行法定职责或者法定义务所必需。
情形三:为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。
情形四:为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。
情形五:依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
情形六:法律、行政法规规定的其他情形。
但需要特别注意的是:
(1)无论是基于个人同意还是基于法律许可处理个人信息,用人单位都应当遵循公开透明原则,向员工告知处理目的、方式和范围等内容。
(2)缺乏必要性的前提下,用人单位仍然应当在取得员工同意后,方可处理员工个人信息。
如何修改员工手册,应对《个保法》的合规性
基于上述介绍和讨论,我们建议用人单位在处理员工个人信息时应注意在员工手册中预先明确以下主要问题,以避免法律风险,实现合规。
(一)在员工手册中对用工管理所需要处理的员工个人信息进行梳理和分类识别
用人单位在员工手册中可以对其在用工管理全过程中的所需要处理的各个环节、各类人员个人信息进行全面梳理和分类识别,我们建议把员工个人信息分为以下四类:
(1)不允许收集的员工个人信息(下称“第一类信息”);
(2)法律明确允许收集的员工个人信息(下称“第二类信息”);
(3)可以划入用工管理所必需的员工个人信息(下称“第三类信息”);
(4)难以划入用工管理所必需的员工个人信息(下称“第四类信息”)。
我们建议:
用人单位在员工手册中新增对用工管理常见的、包括但不限于以下情形中涉及的员工个人信息进行列举加概括式分类管理:
(1)要求员工提供支持其病假申请的诊断证明和完整病历;
(2)用人单位在办公场所使用监控录像;
(3)用人单位搜查员工的在办公场所使用的储物空间;
(4)员工考勤打卡的钉钉位置信息、人脸识别信息;
(5)用人单位收集、监控或分析员工在工作电脑、在公司电子邮件系统、或在公司内部网络中储存或传输的信息;
(6)用人单位的工作手机、工作微信、工作QQ中的信息;
(7)用人单位采取登报公告方式向“失联”员工送达解聘通知;
(8)用人单位在公司内部和外部通报员工的违纪行为;
(9)用工场景下其他重要的涉及私密个人信息的用工管理行为。
(二)在员工手册中划定员工私密个人信息的合理范围用人单位可以采取有效措施避免员工对特定信息形成隐私期待,进而避免特定信息落入隐私的范畴。
用人单位可以在员工手册中向员工明确告知:
员工的工作电脑、工作手机、工作微信、工作QQ、公司电子邮件系统、和公司内部网络等公司的IT设备、账号仅可用于工作用途,任何员工不应对在该等设备或账号中储存或传输的信息存在任何隐私期待。公司有权对该等信息进行收集、监控或分析。
我们建议:
用人单位应在员工手册中新增“隐私保护政策”章节并落实上述内容。
(三)在员工手册中明确同时使用基于员工同意和基于法律许可作为处理员工个人信息的法律基础,而不仅依赖其中之一
在现行法律下,用人单位目前难以对能否适用《个人信息保护法》第13条第(2)至(7)项的规定基于法律许可处理个人信息中的私密信息一事做出确定结论。
为避免潜在法律风险,用人单位宜以谨慎的态度对待此事,在员工手册中明确把取得员工同意作为处理个人信息中的私密信息首选方案。对于第四类信息,用人单位应当在取得员工同意后方可处理。
我们建议:
作为员工手册的配套文件,用人单位应定制适用于不同用工场景的个人信息处理告知及同意书。
(四)在员工手册中明确向员工告知用工管理中涉及私密个人信息的处理目的、方式和范围等。
无论基于何种法律基础处理员工私密个人信息,用人单位都应当遵循公开透明原则,向员工告知私密个人信息的处理目的、方式和范围等内容。
因此,我们建议用人单位可以通过员工手册中明确规定的方式履行告知义务;告知事项应当涵盖《个人信息保护法》第14条第1款所规定的所有内容。
我们建议:
用人单位应在员工手册中新增“个人信息处理规则和流程”章节并针对不同分类个人信息安全事件列明应急预案。
(五)通过培训使员工知晓和理解员工手册中划定员工私密个人信息的合理范围。
绝大多数员工对于私密个人信息保护问题缺乏完整、准确的理解。员工对此问题的片面或错误理解容易引发争议。
因此,用人单位应当向员工提供培训,以尽量避免因误解而引发的争议。
我们建议:
用人单位对员工手册中新增的“个人信息保护”相关条款在履行民主程序的同时,就相关内容制作员工培训PPT并留下员工培训过程。
两则律师办案手记
案情一
天天公司是一家设备销售公司,员工小王曾是天天公司录用的销售员工(已主动离职)。
天天公司为小王在职期间配发了工作手机及工作手机号码,小王自行通过该手机号码申请了私人微信用于工作(非企业微信)。
小王离职后交还公司手机;天天公司通过微信数据恢复从该手机中导出了员工小王在职期间的微信记录(微信支付功能因为需要小王人脸识别而无法恢复)。
天天公司打印了小王和客户的微信记录作为员工小王“飞单”的证据(“飞单”指销售员工拿到订单后,不将订单交由自己公司做,却将订单交由其他公司做)。天天公司据此向劳动仲裁委员会申请仲裁要求员工小王赔偿因“飞单”给其造成的损失30万元。
双方为此发生争议,员工小王主张,天天公司在未事先告知的情况下获取了自己和客户的微信聊天记录,侵犯了其隐私权,故违法取得的微信聊天记录不具有证据效力。
律师分析
虽然工作手机和手机号码确实属于公司所有,并配发给员工使用,但是公司既没有把提前告知员工应当使用企业微信而非个人微信与客户沟通,也没有就恢复储存在工作手机上的个人微信聊天记录一事取得员工的同意。
员工对于个人微信内容具有合理的隐私期待,故该等信息具有不愿为他人知晓的私密性,进而应当属于以私密信息形式存在的隐私。
由于该等证据是通过侵犯员工隐私权的方式而取得,公司无权收集并处理该等信息,法院没有认可该份证据的合法性。
案情二
鑫公司是一家电商公司,员工小张曾是鑫鑫公司录用的跨境电商部门经理(已被公司解除)。
员工小张在职期间作为鑫鑫公司的部门经理,负责在外维系客户和开发潜在客户,实行弹性工作制且不需要到公司办公室坐班。公司HR部门发现该工作模式下无法每月汇总该部门经理的有效工作时间作为绩效考核工资的评定系数之一(不影响基本工资的发放)。
于是鑫鑫公司修改员工手册要求全体员工(包括员工小张在内的部门经理)采用手机应用程序钉钉进行考勤打卡,未按要求打卡的将按旷工处理。员工小张未按要求用钉钉打卡,被鑫鑫公司以严重违纪为由解聘。
双方为此发生争议,员工小张主张,鑫鑫公司要求其在个人手机上开放手机定位后使用钉钉打卡,侵犯了其隐私权,故该项考勤制度违法无效。
律师分析
虽然员工主张“钉钉打卡的位置信息属于私密信息”,但用钉钉进行考勤打卡的隐含要求是:员工应当在工作时间内用钉钉汇报其所在位置,以证明其已正常出勤。
因此,公司通过这一方式收集的信息只是员工在工作时间内的位置信息。任何员工对于在工作时间内的位置信息不应具有合理的隐私期待,该等信息不具有不愿为他人知晓的私密性,不属于员工隐私权范畴,这一点我们建议公司应在员工手册中进行明示。
个保法作为中国第一部专门保护个人信息的法律,其重要意义不言而喻;我们也会密切关注个保法的后续配套规定,这些规定中可能包括更多具有实践指导意义的规定。
后续我们也会发布一系列个保法相关的问题与合规建议文章,敬请关注。