员工个人信息收集、保护相关问题及合规建议
长春律师为您普法:HTTP://WWW.FABANG.COM/changchun/
2020年10月21日,全国人大常委会发布《中华人民共和国个人信息保护法(草案)》并公开征求意见。2021年4月,经过修订后的《中华人民共和国个人信息保护法(草案二次审议稿)》再次被发布并公开征求意见。
2021年6月,十三届全国人大常委会通过了《中华人民共和国数据安全法》,并将于9月1日起施行。
2021年1月1日起实施的《民法典》第一千零三十五条对个人信息的处理也作出了规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
可见,近年来国家越来越重视个人数据信息保护,司法实践也越来越强调公司履行对员工信息数据的合规和保护义务。
一、公司日常管理中可能涉及到的员工个人信息收集和保护问题
1. 入职时公司对员工信息的收集
公司在为员工办理入职手续时,往往会要求员工填写《入职登记表》等文件,由此掌握到包括员工照片、联系电话、地址、身高体重、健康状况、婚育情况、过往学历等在内的基本信息。为方便日常对员工的管理,人力资源部门往往会将收集到的员工信息上传至公司内部系统,或制成表格储存在公司网络客户端或工作电脑中。
此时对于收集到的员工基本信息,就涉及到对信息数据的保护问题。在日常管理中,公司需要对人力资源部门或其他保存信息的部门及人员进行严格管控,可以通过设置查阅规则和访问权限等形式,比如明确公司哪些部门、哪些人员可以查看员工的个人信息,哪些情况可以查看或复制,查阅的记录是否留痕。
2. 公司对员工进行背景调查
员工的背景调查环节的员工信息保护问题,主要体现在两个方面:员工入职前,公司对员工或应聘者进行背景调查;以及员工离职后,公司收到员工新单位的背景调查请求时,公司应如何处理。
关于前者,目前大部分公司的操作是提前取得员工本人的背景调查授权许可,并在授权书等文件中载明授权公司调查的范围,一般包括基本履历信息、家庭信息、犯罪记录、个人信用信息等。
关于后者,可能会有很多公司忽略,员工离职后,同样可能涉及到披露员工本人信息的问题,即使只是向新用人单位提供员工的基本个人信息,或者披露的是公司原来合法收集的信息,要是没有被收集者即员工的同意,就会存在风险。
因此,建议公司在入职前除了让员工明确提供背景调查的授权同意外,还需获得员工授权同意公司在其离职后将此前采集的信息和履行劳动合同过程中形成的信息提供给做背景调查的用人单位。
此外,如果员工在原用人单位如果存在违纪或其他违规行为,肯定是不愿意原用人单位披露这类信息的。如果公司在背景调查或离职证明上直接告知或载明员工的违规违纪行为或其他信息,可能会被员工主张侵权,甚至可能因为侵犯公民个人信息而被追究刑事责任。
3. 人脸识别或指纹信息
越来越多公司通过对员工收集的人脸识别或指纹信息,用于员工考勤打卡或者出入门禁的设置。而人脸面部识别和个人指纹属于生物识别信息,同样被列入《民法典》及其他法律规定所保护的个人信息范畴。
2021年7月27日,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《规定》),明确了将人脸信息的处理界定为人脸信息的收集、存储、使用、加工、传输、提供、公开等各个环节,这使得日后公司对员工的人脸和指纹信息收集和运用问题越来越受到关注,建议公司在获取员工人脸信息时,从如下几个方面考量:
(1)单独获得员工的同意,以书面形式进行留存;
(2)公司建立好信息收集、储存和保密系统,确保收集到的员工人脸信息不被滥用;
(3)公司可设置有关人脸识别信息保护的相关规则、制度,告知员工使用的目的、方式、范围,并做好承诺,严格限制适用范围,体现公司对员工信息数据保护的态度。
4. 员工工作中产生的信息数据
部分公司会通过网络后台等技术对员工日常的工作,比如工作通话记录、软件聊天记录、互联网浏览、电子邮件记录等过程对员工的行为表现进行跟踪、检查。另外,也有公司在对员工开展工作调查的过程中要求查看甚至复制员工手机或电脑中的信息。此时容易涉及对员工信息和数据,甚至隐私权的问题,引发争议。对于公司设置监控系统对员工工作进行监测的行为,实践中也存在不同的观点。
在(2019)鲁06民终7145号二审案件中,法院认为,为了企业经营、管理、办理业务等工作需要,公司在所有办公电脑上安装了超级眼电脑监控软件,是为了便于工作,是公司的自我管理行为,其目的是正当的,并不具有窥探员工个人隐私的主观故意,因此公司在办公用电脑中安装超级眼电脑监控软件的行为并非违法行为。而公司委托公证处对办公电脑保存在公司服务器主机上的QQ、微信聊天记录进行下载、证据保全,并作为证据提交,属于依法举证行为。故公司在办公用电脑上安装超级眼电脑监控软件,以及下载、保存员工使用办公电脑时的微信、QQ聊天信息的行为,主观上没有过错,不构成侵犯员工的隐私权。
但在(2020)京0108民初14100号一审案件中,法院则认为,员工虽同意公司工作人员查看其手机,但并未同意查看全部内容,更未同意导出其手机中信息。公司未经员工允许获取其私人微信对话记录,侵犯了员工的隐私权。公司虽主张信息并未泄露,不属于严重侵害他人合法权益的行为,但对此行为性质的判断,必须考虑双方当事人之间的关系、及所要保护的法益。当时员工是在司的办公场所接受公司内审部门的调查,双方的地位不是完全对等的,公司利用用人单位的管理权,在特定场合向劳动者施加压力获取对方手机信息,侵害了劳动者的隐私权,属于严重侵害劳动者合法权益的行为,其因此取得的微信对话记录不得作为认定案件事实的依据。
二、公司对员工信息数据保护的合规操作建议
可以看出,目前我国法律法规对于个人数据的收集前提,更多地开始强调本人的同意以及对收集到的个人信息数据的保护和合理使用。因此,公司在员工信息数据管理实践中,可以从这两方面进行考量。
1. 如何获得员工本人真实有效的同意?
过往公司习惯使用的做法,比如在员工入职登记表或劳动合同中的某一条款中笼统地载明员工同意公司适用其全部个人信息数据等规定或约定,并让员工统一在落款处签名,今后这种做法可能会遭到质疑。参照《规定》第四条,对人脸信息的同意应当排除“捆绑授权”的规定,即人脸信息处理的同意应当与其他的个人信息处理行为区分开,并分别征得个人的同意。因此,员工在劳动合同落款处的签名,并不当然意味着员工对公司收集并处理其全部个人信息数据的直接同意。
此时,公司可以考虑单独设计有关数据收集的同意书,在员工充分了解公司可能发生的数据收集范围或内容、使用目的、方式及处理规则的基础上,作出同意的确认,以确保员工的知情权。
2. 公司对员工信息数据的保护使用
首先,公司应采取必要的措施保护员工个人信息和数据,即在日常经营管理中,公司通过建立完善的信息数据保护制度和系统、明确责任部门(如人力资源部、信息技术部等)、日常监督与定期审计、做好员工个人数据浏览或查阅留痕等,均可在一定程度上证明公司采取了必要保护措施。
其次,公司使用员工的个人信息时应当遵循“合理、合法、正当”的基本原则,并且根据《民法典》第一千零三十八条,公司作为员工信息处理者,也者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息。
此外,公司自身做好数据合规的同时,也可在与员工签订的保密协议中,将员工信息作为公司保密信息的其中一个部分,要求员工对自己和其他同事的个人信息履行严格的保密义务履行保密。
在新的数字化时代背景下,公司和员工都将越来越重视数据安全,数据保护也越来越成为考察公司竞争力不可或缺的因素。公司在日常劳动用工同样面临对员工个人信息和数据保护的合规要求。因此,公司在处理员工个人信息数据时要坚守合规意识、加强风险管理。
来源:劳动法同学会
