|
作者 | 杨傲霜 赵云虎 机构 | 北京大成(上海)律师事务所 《个人信息保护法》(简称“《个保法》”)出台后,用人单位的个人信息合规体系已开始逐步搭建。根据我们经验,用人单位收集的个人信息主要包括以下几大模块: 1. 客户个人信息; 2. 员工个人信息; 3. 访客个人信息; 4. 董事与股东个人信息等。 无论2B或2C公司,员工个人信息安全更是用人单位个人信息合规体系中必不可少的一环。目前很多企业根据《个保法》的要求,将《员工个人信息登记表》进行内部修改或要求员工签署《个人信息授权处理同意书》。但根据《个保法》规定,用人单位如何进行员工个人信息合规处理,同时员工又享有哪些权利呢? 我们对《个人信息保护法》进行梳理,从人力资源实务角度,将该法律中员工可以向用人单位行使的权利进行逐一阐述。 一、知情权、决定权 《个保法》第44条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 (一)知情权 《劳动合同法》第8条规定了劳动者在履行劳动关系中的知情权,即用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况。但对用人单位处理劳动者其个人信息的知情权没有规定。根据《个保法》规定,我们梳理了以下用人单位应当向劳动者履行如下义务: a) 告知事项: i. 用人单位、人力资源管理系统名称; ii. 员工个人信息处理的目的。例如:用人单位需要告知员工,收集员工子女信息是为了办理家属补充医疗保险。而对于用人单位不能明确“目的”而收集的员工个人信息,建议谨慎或不再收集,例如:员工婚姻状况; iii. 员工个人信息的处理方式,收集、存储、使用、加工、传输、提供、公开、删除等。例如:收集员工户籍信息,处理目的是办理户口,处理方式是收集和使用,但不存储,那么其该信息被泄露的可能性就较低,对个人权益的影响就较小; iv. 处理个人信息种类。员工个人信息是否涉及敏感信息,例如:人脸识别、未成年人信息(员工子女)。对于敏感信息,法律保护力度加大,用人单位应当采取更高的保护标准; v. 保存期限。员工个人信息保存期限也应当告知,例如:是否存储;如果存储的,则存储后保存期限,是否将保存至劳动关系结束之后; vi. 员工行使权利的方式和程序。例如,员工有权更新、修改其个人信息,员工离职时有权要求用人单位出具“离职证明”以及其他在职信息等。 b) 告知时间: 应当是在“处理员工个人信息前”,向员工履行告知义务。例如:新员工入职的,须在填写《个人信息登记表》前或同时履行告知义务;对于已经入职的员工,制作《员工个人信息保护规则》并进行公示。 c) 告知的方式: i. 显著方式:不应当用很小字体或隐蔽的排版来展现告知条款; ii. 清晰易懂语言:不应当用冗长的专业用语或抽象的条款,进行告知; iii. 真实、准确与完整: 告知必须是正确、完整的,不存在误导或断取义。例如,只告知员工个人信息提供的必要性,但员工却不知道其信息将跨境传入至海外集团公司。 (二)决定权 《个保法》第44条“决定权”内容是指,个人有权自由决定其个人信息被何人、以何种目的、何种方式、在何种范围内被处理。但是《个保法》第44条后半句同时规定:“法律、行政法规另有规定的除外”。聚焦员工个人信息的法律基础,并非员工个人同意,而是基于人力资源管理所必须,即《个保法》第13条第1款第2项之规定:“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。” 因此,基于劳动关系,员工不可以拒绝或撤回提供人力资源管理所必须而处理的员工个人信息。例如:员工不得拒绝、撤回或虚假提供其个人身份信息、学历证明以及职业资格等。 二、查阅复制权、可携带权 (一)员工的查阅与复制权 1. 法律基础 《个保法》第45条规定:“个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。” 此处的“复制权”不应简单理解为查阅、复制其“个人信息”本身,而应该当理解为“个人信息处理事项”。根据《信息安全技术 个人信息安全规范》(GB/T35273-2020)第8.1条:“个人信息查询:个人信息控制者应向个人信息主体提供查询下列信息的方法:a) 其所持有的关于该主体的个人信息或个人信息的类型;b) 上述个人信息的来源、所用于的目的;c) 已经获得上述个人信息的第三方身份或类型。” 2. 查阅与复制内容 关于查阅。员工有权要求提供用人单位收集的员工本人个人信息、其个人信息来源(例如:员工本人提供、猎头提供或前用人单位提供等)、用人单位使用目的、提供给第三方情况(例如:为员工购买商业保险而向A保险公司提供其个人身份证信息)。 关于复制。用人单位应当根据员工要求为其复制其书面形式(包括电子介质)的个人信息。实践中,员工为了出国留学、购买房屋以及向新用人单位提供工作履历,要求用人单位提供相关证明文件,用人单位不应当拒绝。否则,员工有权根据《个保法》第50条规定向人民法院提起诉讼。 (二)可携带权 《个保法》第45条还规定了可携带权,即员工可以请求将其个人信息转移至其他个人信息处理者(例如新用人单位),符合国家网信部门规定条件的,用人单位应当提供转移的途径,例如员工跳槽至下一家用人单位,要求现用人单位配合调档等。但是《个保法》并未对此权利的行使条件以及如何行使做出细化规定。何为“符合国家网信部门规定”,截至目前,我们暂未看到相关部门出台细则,现行可以参考的是国家网信办2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》第24条,对于个人的转移请求设置了三个条件:1.请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;2.请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;3.能够验证请求人的合法身份。 需要说明的是,根据《国务院2022年度立法工作计划》,《网安条例》已经被列入16件拟制定、修订的行政法规中,正式稿是否会有新的变化或更加具体的要求,我们拭目以待。 三、更正补充权 《个保法》第46条规定:“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。” 首先,员工有权并应当对其不准确、不完整的个人信息请求更正。 鉴于人力资源管理所必须,更新员工个人信息,不仅是员工的权利也是员工的义务。很多公司《员工手册》均会对此有相应规定,即当员工信息发生变更时,员工有义务及时通知人力资源部进行更正与补充。 其次,用人单位应当进行核实。 在员工要求更正、补充其个人信息时,《个保法》第46条第2款同时规定,用人单位应当进行核实,不能直接进行更改。根据法律规定与司法实践,用人单位对员工身份等个人信息承担核实义务,否则将承担不利后果。例如,《禁止使用童工规定》第4条规定:用人单位招用人员时,必须核查被招用人员的身份证。例如,案例一:有员工因为年龄等原因,冒用他人身份证,导致用人单位工伤保险缴纳主体错误。其后员工发生工伤事故而导致工伤保险不理赔,由用人单位承担赔偿责任。案件二:用人单位未核查身份证真实性而招录未成年工,后被行政罚款。 四、删除权 《个保法》第47条规定了五种应当删除个人信息的情形。不同于一般个人信息处理者,用人单位基于人力资源管理的法律基础处理员工信息,则何时应当履行删除权呢?我们分析如下: (1)处理目的已实现、无法实现或者为实现处理目的不再必要 此条基于《个保法》的基本原则,则处理个人信息应当具有明确、合理的目的。如果处理目的已经实现、无法实现或为实现处理目的不再必要的,则应当删除个人信息。例如:用人单位对外招聘法务经理一名,收到了20份应聘简历,其后一人应聘成功。此时,用人单位应当删除剩余19份应聘者的应聘信息,因为招聘目的已经实现。如果用人单位想保留剩余19人的应聘信息,应当有其他合理目的,例如:未来12个月会另外再招聘一名法务经理,或者应聘者同意参与该用人单位未来其他岗位招聘。 (2)个人信息处理者停止提供产品或者服务 此情形多见于为员工福利与活动。例如,用人单位不再为员工子女购买商业保险的,应当删除员工子女的相关信息;用人单位出于为员工提供旅游等目的而收集的员工家人的相关身份信息,在旅游活动结束后,应当予以删除;在员工离职后,企业对于相关员工信息应当及时删除。 (3)个人信息的保存期限届满 劳动法律法规对员工信息保存期限有相关规定。例如:《劳动合同法》规定,劳动合同文本需要保存至少两年、离职后竞业限制期限最长为两年。《工资支付暂行规定》第6条规定:用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查。此外,劳动仲裁时效为一年且用人单位对其保存的资料承担举证责任,故用人单位在删除员工个人信息时,同时应当考虑劳动争议仲裁时效期限。 (4)个人撤回同意 《个保法》确立了以告知同意为核心的处理个人信息的体系,因此在个人撤回其同意时,个人信息处理者应当进行删除。但是这里值得注意的是,“个人同意”并非用人单位处理员工个人信息的主要基础,因此对于基于订立、履行劳动合同及人力资源管理所必须而收集的员工个人信息,员工以撤回同意作为行权基础,企业是否必须同意其权利的行使目前暂无定论,即是否只有以员工单独同意为基础的信息,员工才可以此作为行使删除权的依据,这一点仍有待商榷,等待进一步法律法规与实施细则。 (5)个人信息处理者违反法律、行政法规或者违反约定处理个人信息 用人单位未能依据《个保法》向员工告知其处理信息的目的、内容而收集的信息,或虽然已进行告知,但超过最小、必要范围、且未获员工单独同意的情况下收集的员工如宗教信仰、婚姻、生育信息等相关内容的,员工有权要求用人单位及时进行删除。 五、解释说明权 《个保法》第48条规定,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明,此条与《个保法》第17条相对应。现较多用人单位开始制作个人信息处理规则、隐私政策,或在《应聘登记表》、《劳动合同》等文件中加入告知与授权同意条款。因此,对用人单位人力资源部目前使用的相关文件、表格以及规章制度进行更新升级,也是满足《个保法》合规的法定要求。 综上,了解了员工对其个人信息享有的权利、在何种情形下企业才需要对其行权进行响应,有利于企业更好地梳理个人信息保护的合规体系,将个人信息保护合规原则融入到日常的用工管理环节中。 作者介绍 |
|
|
