2021年8月20日,《个人信息保护法》由全国人大常委会审议通过并将于2021年11月1日实施。作为一项独立的法律制度,《个人信息保护法》必将对企业人力资源管理产生深远的影响。
1.《个人信息保护法》以宪法为制定依据
尽管2021年1月1日实施的《民法典》人格权篇提及“隐私权和个人信息保护”的内容,但《个人信息保护法》并未以《民法典》作为依据。新法明确指出“根据宪法,制定本法”,足以见得个人信息保护已上升至公民基本权利位阶,而非仅仅是个人独有的民事权利,同时个人信息保护需要协调与国家利益、公共利益的相互关系,也不宜过于强调“私权”。滴滴被查事件也反映出个人信息不仅涉及自然人权益更可能触及国家安全,需要独立的法律制度予以保障。
考虑《个人信息保护法》的独立价值,预计本法将在相当长一段时间内对国家和社会生活产生深远影响,人力资源管理也不例外。相关执法力度将通过具体案例予以贯彻,无论是普通公众还是广大用人单位,都应当予以重视。
2.用人单位使用员工个人信息需有明确依据可循
《个人信息保护法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。按上述规定,用人单位在日常用工过程中采集、存储、使用、对外披露个人信息需有明确的法律依据为前提。要么获得劳动者的事先同意,要么按照依法制定的规章制度或集体合同实施人力资源管理所需。
之于前者,用人单位应当获得劳动者的书面同意并就此承担举证责任。之于后者,并非用人单位可以直接主张“人力资源管理所需”即可处理员工个人信息,而系必须先通过依法制定规章制度和集体合同、在相关文本中明确个人信息范围、使用目的、处理规则后方可作为合法处置员工个人信息的依据。否则法条应直接表述为“或用人单位为实施人力资源管理所必需即可”。此意味着,用人单位需要在2021年11月1日以前通过民主程序依法制定涉及个人信息保护的相关制度条款,以避免事后处理个人信息缺失处理依据。
3. 处置个人信息仍需满足“正当、必要”原则
《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
按上述规定,即使用人单位已经通过规章制度规定个人信息处理规则或者通过合同获得员工授权,但在实际采集、处置个人信息过程中仍然需要满足目的正当、手段合理的原则。比如用人单位在招聘入职时采集员工的“婚孕信息”即属于与合同订立无关的事项,缺乏目的正当原则,涉嫌个人信息侵权。再如用人单位在病假管理中除要求员工提供病例、挂号单和病假单之外,还要求提供精神分析治疗记录,则属于过度采集个人信息,违反了“最小化”原则,以此推进纪律惩戒将难以得到法院支持。
4. 敏感个人信息处置不能通过规章制度设定依据
尽管《个人信息保护法》第十三条提及按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,用人单位可以处置员工个人信息。但上述内容系“个人信息处理规则”的“一般规定”。《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。由于上述第二十九条系“敏感信息的特别处理规则”,属于法律条款中的特别规定。按照“特别规定优于一般规定”的基本法律,用人单位处理员工的敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等,应获得劳动者的单独同意。用人单位无法将规章制度、集体合同作为处理员工敏感个人信息的依据。
因此,用人单位如通过人脸识别考勤,需要采集员工的人脸识别特征,结合《个人信息保护法》和《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,用人单位应当制作书面同意文件安排员工签字确认。需要特别指出的是,由于“告知-同意”的信息处理规则下,个人可以撤回同意,如劳动者同意人脸识别考勤后又撤回同意的,用人单位需安排替代考勤方式,而非以“永久授权”或“永久同意”抗辩。
5. 用人单位对员工个人信息承担“安全保障”义务
《个人信息保护法》第九条规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。
按上述规定,用人单位需要通过落实个人信息保护的部门和岗位、制定相关规章制度、对个人信息执行分类管理、采取限制访问/加密措施、安排个人信息保护培训等多种措施来建立个人信息保护体系。由于《个人信息保护法》第六十九条设定了“举证责任倒置”规则,如果用人单位不能提供证据证明已经采取安全保障措施,则可能需要承担赔偿责任。
6. 用人单位需对个人信息保护设置处罚、举报机制
个人信息保护是用人单位应尽的责任和义务,但用人单位系拟制主体,只得依托各级管理者和员工来落实个人信息保护的责任,如果用人单位的工作人员肆意获取其他员工、消费者或客户的个人信息,则按照《民法典》规定系职务行为的仍需要用人单位承担责任。虽然用人单位无法将员工违规行为的风险全部转嫁,但通过岗位职责、保密协议、规章制度对于员工设定个人信息保护的义务、责任,对于预防、减轻用人单位违法风险至关重要。如用人单位可以规定劳动者通过邮件群发、社交媒体发布、传播涉及公司员工、客户、合作伙伴个人信息的,一律按严重违纪处理。
《个人信息保护法》第六十五条规定,任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。这也意味着一旦用人单位的个人信息保护不到位,就可能导致员工举报投诉,给公司声誉带来巨大影响。用人单位需要通过内部制度规范投诉行为,对企业内部的个人信息违规设置内部举报渠道,以期在内部解决相关问题。
7. 向境外供应商、关联公司传输个人信息需履行安全评估程序
实践中,一些跨国企业集中采购国外供应商的网络系统如考勤休假系统等,或者将中国的雇员薪资福利信息向国外关联公司披露,此不仅涉及向第三方提供个人信息需要获得劳动者的同意或授权,更涉及国家安全风险。《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
考虑境外传输个人信息的复杂性,建议用人单位选择第三方专业机构协助进行风险评估。此外,本次《个人信息保护法》第三条明确设定了新法的“域外效力”,如果境外关联公司违规处理境内个人信息,不排除监管机构通过境内主体实施处罚。
8. 用人单位应保障员工的个人信息相关权利
除了获得员工同意处置个人信息外,《个人信息保护法》还规定了个人在信息保护领域的诸多权利,包括知情权、决定权、更正权、复制权等。比如用人单位在办公场所安装监控,涉及采集员工肖像信息,用人单位应确保员工的知情权,通过书面告知等方式履行通知义务。如劳动者要求员工查阅劳动合同、入职登记表、工资单等,用人单位应当给予其复制查阅的权利。
《个人信息保护法》还设定了“被遗忘权”,新法第四十七条规定,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。如劳动者离职后要求用人单位删除个人信息,结合《劳动争议调解仲裁法》规和《劳动合同法》相关规定,对超过2年的个人资料且未发生仲裁诉讼的,在无其他特别法律规定的前提下,用人单位宜删除或封存相关个人信息。
9. 新法将导致用人单位用工自主权的限缩
考虑《个人信息保护法》的相关规定,用人单位依托个人信息对员工实施劳动管理,在考勤、休假审核、利益冲突调查等多个领域将面临用工自主权和个人信息利益的平衡问题,预计在实际个案处理过程中,不排除劳动者以隐私和个人信息保护抵制用人单位的管理手段,如拒绝录入指纹、拒绝人脸识别、拒绝提供完整的病假资料等,在新法实施的初期,用人单位应谨慎对待涉个人信息保护的相关案例,如以员工个人信息造假解除劳动合同,则该信息是否与劳动合同具有相关性、是否可能涉嫌侵犯员工个人信息将成为司法审查的重点之一。再如用人单位要求病假员工前往指定医院复查并安排专人陪同,亦可能被员工指责侵犯个人隐私。诸如该类案例应当稳慎处理,避免产生劳动争议。
在更加注重人格权保护的当下,用人单位的劳动人事管理不仅要合法合规,更应关注如何通过培训、制度设计等方式推进管理者公平、善意、合理限度地行使用工管理权,极力避免歧视、骚扰和侵权,如此才能真正的行稳致远。
10. 新法实施将导致用人单位管理成本增加
如前所述,《个人信息保护法》将进一步提高用人单位的违规成本。新法第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
一旦用人单位个人信息处置违法,按照新法规定最高罚款可达到年营业额5%。此外用人单位应付举报投诉和专项检查、完善内部规章制度、设置专业部门和专门岗位都将导致管理成本的增加,而对用工自主权的限缩也将增加更多隐性的用工成本(包括违法解除成本),用人单位需要合理平衡风险成本和管理成本,一方面不能完全无视风险,另一方面又要结合企业发展阶段和特点兼顾管理成本,设定真正适合自己的“个人信息保护伞”。