一、人力资源管理是否属于《个人信息保护法》规制的对象?
公共事务管理者
服务提供者
人力资源管理者
其他涉及处理个人信息者
从以上分析来看,人力资源管理属于这部法律规制的对象。所以,这就决定了HR在今后的工作中必然要和这部法律打交道。
《个人信息保护法》第73条,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
因用人单位在劳动关系管理中必然会涉及自主决定处理员工个人信息的目的和方式,用人单位对内员工关系管理,也属于法律规定的个人信息处理者。
二、如何识别某项信息是否属于个人信息?
这是HR要了解的基本问题,即在日常管理中要能识别哪些属于员工的个人信息。
对此,《个人信息保护法》第4条对个人信息有明确的界定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。与《民法典》对个人信息采取具体列举式的定义不同,《个人信息保护法》采取抽象化概况式的定义。
个人信息保护法
第4条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
民法典
结合以上两部法律规定,可以看出,一项信息是否构成个人信息,关键看该项信息是否具有“识别性”。从《民法典》的列举来看,HR在员工关系管理的各个环节都会涉及大量的员工个人信息。为了减少文字描述,截取笔者课件中的PPT简单用图表示如下:
三、什么敏感个人信息?
需要注意的是,《个人信息保护法》在第二章第二节专门规定了敏感个人信息的处理规定。
《个人信息保护法》第28条,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
除法律对此有一定的列举外,我国的《信息安全技术个人信息安全规范》(GB/T35273—2020)对敏感个人信息还有更为具体的列举:
从以上列举来看,在员工关系管理中,用人单位会接触员工大量的敏感个人信息,如指纹、人脸识别信息、健康信息、银行账号甚至行踪信息等。
四、个人信息、敏感个人信息与个人隐私是什么关系
随着社会的进步,大家对个人信息、隐私越来越看重,那么个人信息、敏感个人信息、隐私之间是什么关系呢?
《民法典》第1032条,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
在个人信息权益未被法律保护前,只有个人信息中的私密个人信息才能获得隐私权保护。
如今,个人信息一词出现,并上升为法律规定的权益。
《个人信息保护法》第2条,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
其实《民法典》也有个人信息权益受保护的规定。这样,个人信息权益就进入“隐私权”和“个人信息权益”的二元保护时代。对此,《民法典》规定如下:
《民法典》第1034条,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
由此可见,个人信息权益受损害,涉及个人私密信息的,可以适用隐私权的规定进行救济;如果不涉及个人私密信息的,可以用个人信息权益进行托底保护。
值得思考的是,“私密信息”是否等于“敏感个人信息”?这个问题还有待进一步研究。
五、个人信息的处理包括哪些环节?
《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。相对于《民法典》,《个人信息保护法》在列举个人信息处理的具体环节时又增加了“删除”。
第4条个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《民法典》第1035条个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
六、处理个人信息必须要经过员工同意吗?
个人信息处理者要处理个人信息,首先应具备合法性基础,对此《个人信息保护法》第13条明确规定了处理个人信息的前提条件:
《个人信息保护法》第13条第一款第二项特别规定,实施人力资源管理所必需而处理个人信息的,不需要取得劳动者同意。
这一规定确实是HR的福音,为用人单位自主决定处理员工个人信息打开了方便之门,但该条规定也有很多疑问,存在很多弹性解释空间:
1.“必需”的认定问题
如用人单位实施人脸识别考勤,是否属于人力资源管理所必需,劳动者可能会反驳,人脸识别并不是必需的,可以手工记录考勤,也可以刷卡考勤等等;这个估计是没有答案的,将来只能留给裁判者自由裁量了!
2.第十三条第二款的适用问题
法律规定需要单独同意的情形中,为实施人力资源管理所必需的,是否也可以用第十三条第二款,即无须获得员工的同意。如敏感个人信息处理、将员工个人信息提供给境外,按法律规定需要获得劳动者的单独同意,如果这些被认为是实施人力资源管理所必需,不经过员工单独同意是否可以?这个目前也是没有答案,只能看今后的解释和裁判者的理解了。
笔者认为,虽然《个人信息保护法》对人力资源管理中的职工个人信息处理有松绑,但“同意”这个要求,仍然会被裁判者看重,能获得员工“同意”仍然是避免风险的最好途径。有关判例,已经说明了这一个道理。新案剖析:公司从员工工作手机中恢复通话录音作证据,合法吗?
七、处理敏感个人信息有哪些特殊要求?
《个人信息保护法》第二章第一节第13条规定了处理个人信息的一般规则,但第二章第二节还专门规定了敏感个人信息的处理规则。对于敏感个人信息的处理,《个人信息保护法》规定较为严格。
第28条第2款,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第29条,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
为了减少篇幅,还是截取笔者课件中的一张PPT:
如前所述,这里的单独同意如何理解?目前存在很多理解:
一种观点认为,虽然第13条对实施人力资源管理所必需处理个人信息无须获得员工同意,但敏感个人信息要经过个人单独同意,“单独同意”比“同意”是更高的要求,实施人力资源管理所必需,一般个人信息处理可以不经过员工同意,但敏感个人信息需要经过员工单独同意。
另一种观点认为,第13条规定的个人信息没有区分敏感个人信息、一般个人信息,该条规定的实施人力资源管理所必需,无须获得个人的“同意”,也包括“单独同意”。因此,用人单位实施人力资源管理所必需,即便处理劳动者的敏感个人信息,也无须获得劳动者的单独同意。
因此,在法律实施后,对此没有进一步明晰化界定和口径的情形下,建议从严理解比较好,即处理员工敏感个人信息需获得员工同意比较好。不过,这种从严理解可是会带来很多问题哦,如考勤管理采集员工指纹或人脸信息,这涉及生物识别信息;安排职工健康体检会涉及健康信息,病假管理中需要员工提供就医资料等,这些都是医疗健康信息,这些都需要员工单独同意才行。如果员工不同意该怎么办?这会给员工关系管理带来新的摩擦和冲突。
需要提个醒的是,用人单位处理员工敏感个人信息,除“单独同意”这个疑点外,用人单位还要注意有其他事情要做:
1.充分告知义务,告知必要性和对个人权益可能的影响。
2.开展影响评估,影响评估报告要保存3年。这个需要用人单位注意,可以委托第三方做影响评估,由第三方背书后放好,以备不时之需。
3.采取严格保护措施,防止个人信息权益受损。
八、向境外提供员工个人信息有哪些要求?
1服务器必须存放中国境内的情形
2个人信息跨境提供的前提条件
虽然对大部分外企来说,达不到服务器必须放在中国境内的触发条件。服务器放在境外就属于向境外提供个人信息了,需要满足个人信息出境的前提条件,截图如下:
这里同样存在“单独同意”的理解与适用问题,这里就不再重复。
个人信息跨境提供的,需要事前开展个人信息保护影响评估,并保存3年。
3个人信息跨境提供的所需条件
即便外企向境外提供个人信息满足了前提条件,如单独同意、影响评估报告也做好了等等,但个人信息跨境提供还需要满足所需的条件,截图如下:
估计,外企HR看了以上条条框框比较头疼,这也是最近不少外企HR、法务委托我们出具法律意见书,尽量说服老外将涉及中国员工个人信息的服务器尽量放回中国境内的原因。毕竟,服务器放回中国境内,可以一劳永逸解决上述问题,否则,今后可能面临不少的沟通成本、涉及个人信息保护的事务性工作等等。
九、与第三方合作开展员工关系管理工作,应注意哪些事项?
在企业人力资源管理中,还经常会出现与第三方合作的现象,如人事代理中的委托招聘、委托背景调查、委托代发工资、委托代缴社保、委托购买商业保险;再如推行电子劳动合同的,将劳动者个人信息存储在第三方平台上等等。这些委托事项的处理,也涉及职工个人信息的处理。对此,《个人信息保护法》也有相应的规范,截图如下:
《个人信息保护法》第23条,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
这里又出现了“单独同意”的情形,如何理解和适用,如同前面的论述,这里不再赘述。
十、处理个人信息应遵循哪些原则?
用人单位处理员工的个人信息,即便获得了员工的同意或为实施人力资源管理所必需,但在处理员工个人信息时也应注意法律规定的原则,《个人信息保护法》第5条至第9条规定了处理个人信息应遵循的原则,具体总结如下:
1.合法性原则:处理个人信息必须依法进行,不得通过误导、欺诈、胁迫等方式处理个人信息。
2.正当性原则:处理自然人个人信息应当具有正当性目的,不能出于窥探个人隐私或其他非法目的。
4.诚信原则:诚信信用是所有民事活动的基本原则,处理个人信息,尤其是用人单位处理员工的个人信息更应注意诚实信用原则。
6.公开透明原则:应公开处理信息的规则,明示处理信息的目的、方式和范围。
7.质量保证原则:处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。如员工工作年限不准确会影响医疗期、年休假的计算。
8.安全保障原则:个人信息的使用与处理必须建立在保证信息安全的基础上。
目测以上几个原则,笔者认为在员工关系管理中处理个人信息的必要原则、最小限度原则是不易把握、易引发纠纷的,如用人单位为预防职场舞弊让员工申报亲朋好友关系,某知名电商曾要求职工申报同学关系,自小学同学开始申报,这个是否属于符合必要和最小限度原则,是否属于过度要求?再如,病假管理中,要求员工除提供挂号单、病假证明外,要求员工提供病历,是否属于过度搜集个人信息?这些问题,肯定是仁者见仁智者见智了,且一旦发生劳动争议,不同的价值取向就会导致案件结果的天壤之别,如前一段本号发的一篇典型案例:员工病假拒不提供病历被开,法院用《民法典》判企业赔60多万!
十一、员工在个人信息处理中有哪些权利?
《个人信息保护法》与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、复制权、更正权、转移权、删除权(又称被遗忘权)、要求解释权、代行使权等。有关员工的这些权利体现在《个人信息保护法》第四章中的个人在个人信息处理活动中的权利,不再具体展开介绍。
十二、用人单位在处理员工个人信息时有哪些义务?
如前所述,用人单位也是法律规定的个人信息处理者,个人信息处理者的义务主要体现在《个人信息保护法》第五章的个人信息处理者的义务,具体可以归纳为以下几点:
1.制定内部管理制度和操作规程
2.分类管理个人信息
3.采取安全技术措施
4.管理培训内部人员
5.制定应急预案
十三、员工的个人信息受保护权与用人单位哪些权利会产生冲突?
1.员工个人信息权益VS.用人单位知情权
2.员工个人信息权益VS.用人单位管理权
3.员工个人信息权益VS.用人单位调查权
新案剖析:公司从员工工作手机中恢复通话录音作证据,合法吗?
雇“私家侦探”对员工跟踪拍摄取证合法吗?
十四、用人单位处理个人信息不当有哪些风险?
《民法典》、《个人信息保护法》的相继实施,将个人信息保护提到了前所未有的高度,用人单位在人力资源管理中也应提高处理个人信息的合规意识。否则,处理个人信息不当,会带来相应的风险,具体风险点有以下几类:
1.被曝光的风险
公司要应聘者填写谈恋爱经历和时长,理由亮了,人社局为难了!
惹众怒!三孩政策刚来,企业要求女职工填是否有生育计划!
2.被信用惩戒的风险
《个人信息保护法》第67条,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
3.承担行政责任的风险
违反法律处理个人信息,按《个人信息保护法》第66条和第71条的规定,应承担相应的行政责任。
非法获取员工敏感个人信息,公司被罚、CEO被判刑、HR被罚款!
银行行长因侵犯个人信息遭禁业5年,看《个保法》对禁业的规定!
4.民事责任的风险
违反《个人信息保护法》处理个人信息,给员工造成损害的,应当承担赔偿责任,对此该法的第69条有明确规定。
归责原则
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
责任后果
损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
5.劳动争议败诉的风险
如前所述,员工的个人信息受保护权与用人单位的知情权、管理权、调查取证权会产生冲突,在员工的个人信息受保护权与用人单位知情权、管理权、调查取证权发生冲突时,如何取舍就决定了劳动争议的输赢。这一点需要引起HR的注意,在处理有关事项时,应注意个人信息保护的有关规定,避免踏入其中的雷区。
6.刑事责任的风险
对此,《个人信息保护法》第71条规定,违反本法规定,构成犯罪的,依法追究刑事责任。其实,侵犯公民个人信息早已入刑,而且还有配套的司法解释:
根据已经发生或可能发生的纠纷情况,笔者认为,职场上发生涉及个人信息权益的纠纷类型大致有以下几类:
1.用人单位VS.劳动者
此类纠纷下又可以分为:
1)用人单位侵犯员工的个人信息权益纠纷;
2)员工拒不配合用人单位处理个人信息纠纷;
3)员工侵犯其他员工的个人信息权益,用人单位给予违纪处理纠纷。
2.劳动者VS.劳动者
1)劳动者处理工作有关事务侵犯其他员工个人信息权益
2)劳动者侵犯与工作无关的其他员工的个人信息权益
3.劳动者VS.其他第三人
1)劳动者处理工作有关事务侵犯其他第三人的个人信息权益
2)劳动者侵犯与工作无关的其他第三人的个人信息权益
十六、个人信息保护法实施,HR应做哪些落地工作?
3.修订《员工手册》。通过前面分析,可以看出在用工管理的各个环节都可能涉及员工的个人信息。笔者认为,为避免相应的风险,用人单位应重视员工个人信息保护,有必要制定相应的规章制度,有关制度内容应至少包括个人信息收集、个人信息保管、个人信息使用、个人信息传输、个人信息删除等各个环节。
5.依法要求开展个人信息保护评估(PISIA)。按法律规定,用人单位在员工管理中处理员工敏感个人信息、跨境提供个人信息、委托处理个人信息、向他人提供员工个人信息等,需要开展个人信息保护影响评估。
6.日常管理注意员工个人信息保护问题。以上几个方面更多侧重于文本的完善,文本的完善可以为日常管理提供很好的工具,但在日常管理中也应注意员工个人信息的保护,如对于员工提交的病假材料,HR要注意限定知悉范围,否则,就有违安全保障原则;再如向员工公告送达解除劳动合同通知书时,应注意员工敏感个人信息的处理等。
十七、个人信息保护法实施,HR对涉个人信息不明朗问题处理策略是怎样的?
如前所述,涉及“单独同意”的事项,实施人力资源管理所必需是否可以依据第13条二款不需要取得员工的“单独同意”?个人信息处理的必要性原则的“度”如何把握?
·超详细:未依法参保养老保险损失怎么赔?附各省规定与案例
·涨钱啦!16省份养老金上涨!18省份最低工资标准上调!快看看
企业服务
企业人事社保问题轻松咨询办理
企业人事代理、灵活用工、人力资源外包、福利管理…
员工服务
轻松帮您解决社保问题
社保公积金缴费、社保公积金查询、社保卡补办、社保转移…