国外亚洲成av人片在线观看,国产在线www,日韩在线一区二区三区四区,欧美日韩二三区,久久久久久久久久久是多少,亚洲天堂av一区二区三区,在线日韩中文字幕

從人力資源角度談員工信息收集合規(guī)之法條解讀

2022年第05期    作者:文│楊傲霜    閱讀 3,300 次

繼《民法典》之后，又一直接規(guī)制個人信息處理的法律出臺。2021年8月20日，《個人信息保護法》在第十三屆全國人民代表大會常務(wù)委員會第三十次會議上通過，自2021年11月1日起施行。由此，我國以立法形式顯著加強了對個人信息的保護。從《個人信息保護法》設(shè)置的罰則力度不難看出我國對個人信息侵權(quán)行為的懲治決心。

大數(shù)據(jù)時代下，企業(yè)需要處理員工個人信息的場景似乎有增無減。從獲取姓名、年齡、身份證號、聯(lián)系電話、地址等基本信息，到獲取健康、行蹤軌跡、生物識別等敏感信息，超過一定程度，信息爆炸可能成為負(fù)擔(dān)。無論從法律還是經(jīng)濟成本角度看，用人單位都應(yīng)尋求處理員工個人信息的合規(guī)路徑。本文將帶領(lǐng)讀者從人力資源管理與勞動法的角度，對《個人信息保護法》重點條款進行初步分析，以供進一步探討。

 

一、《個人信息保護法》第4條：員工“個人信息”定義與員工信息處理各階段情形

（一）法條原文

個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

（二）法條解讀

1. 以“員工”為個人信息主體

個人信息權(quán)指向“自然人”，也就是員工個人的信息。如果是因員工設(shè)立公司而產(chǎn)生的其公司相關(guān)信息，不屬于《個人信息保護法》的保護范圍。

2. “處理”員工個人信息的8種情形

《個人信息保護法》第4條列舉了個人信息處理的8類情形，分別是收集、存儲、使用、加工、傳輸、提供、公開、刪除。

收集：指用人單位取得員工（含應(yīng)聘候選人）個人信息的行為。其中包括員工主動提供與應(yīng)用人單位要求提供的個人信息。例如，應(yīng)聘者主動提供其個人簡歷、教育與工作背景；員工主動提供病假單，要求享受醫(yī)療假期。此外，用人單位為進行人事管理，會要求員工提供入職材料，主動披露其身份信息、家庭信息、醫(yī)療信息。

《個人信息保護法》第6條規(guī)定：“收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！币虼?，用人單位應(yīng)當(dāng)以“最小必要”為原則，不作過度收集。

存儲：用人單位對收集的員工個人信息進行存儲，多以書面、電子形式存儲，再進行后續(xù)的信息處理。首先，存儲時間最短化。根據(jù)《個人信息保護法》第19條，除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間。因此，用人單位應(yīng)當(dāng)遵循實現(xiàn)信息處理目的的最短時間要求。其次，勞動合同解除或終止后，建議告知離職員工，對存儲的員工個人信息進行刪除或匿名化處理，但法律另有規(guī)定的除外（請見下文“刪除”）。

使用：用人單位對員工個人信息進行分析和利用。首先，對員工個人信息控制者設(shè)置內(nèi)部使用審批流程，以最小與必要為原則，限制訪問人員與訪問內(nèi)容；其次，根據(jù)員工個人信息使用目的，限制使用范圍。員工提供個人信息一般與簽訂履行勞動合同或與用人單位人事管理相關(guān)，除員工同意外，不應(yīng)將員工個人信息用作其他用途。

加工：指個人信息處理者對所收集、存儲的個人信息進行篩選、分類、排序、加密、標(biāo)注、去標(biāo)識化等活動。

傳輸與提供：首先，按勞務(wù)派遣、勞務(wù)外包、薪酬外包、背景調(diào)查外包以及集團公司要求，往往需要將員工個人信息傳輸給第三方進行共享、委托處理，這就需要根據(jù)《個人信息保護法》的規(guī)定處理。其次，《個人信息保護法》第38條規(guī)定：“個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一……”此處法律明確規(guī)定“確需”向境外傳輸，故用人單位應(yīng)當(dāng)考慮是否達到“確需”將員工個人信息保存于境外服務(wù)器的要求。如果確需向境外提供的，則應(yīng)當(dāng)遵守國家相關(guān)規(guī)定與要求。

公開：《個人信息保護法》第25條規(guī)定：“個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外?！币虼耍蓪_處理個人信息進行了嚴(yán)格的規(guī)定。對于用人單位因業(yè)務(wù)開展需要公開員工的職務(wù)、履歷、照片與視頻資料的，員工一般不會持異議；但是如果對員工違紀(jì)行為進行公開通報或者在第三方背景調(diào)查時公開，則應(yīng)當(dāng)充分重視其法律風(fēng)險。

刪除：《個人信息保護法》第47條明確規(guī)定了應(yīng)當(dāng)刪除個人信息的5種情形。對此，首先，《勞動合同法》第50條規(guī)定，用人單位對已經(jīng)解除或者終止的勞動合同的文本，至少保存兩年備查?！豆べY支付暫行規(guī)定》第6條規(guī)定，用人單位必須書面記錄支付勞動者工資的數(shù)額、時間、領(lǐng)取者的姓名以及簽字，并保存兩年以上備查；用人單位在支付工資時應(yīng)向勞動者提供一份其個人的工資清單。其次，在沒有相關(guān)法律規(guī)定保存期限的情況下，個人信息保存期限越長，泄露、遺失的可能性就越高；因此，筆者仍建議用人單位按照《個人信息保護法》第19條規(guī)定的“最短時間”原則保存?zhèn)€人信息。

二、 《個人信息保護法》第13條：員工“個人信息”處理的合法性依據(jù)

（一）法條原文

符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責(zé)或者法定義務(wù)所必需；

（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；

（五）為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；

（六）依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；

（七）法律、行政法規(guī)規(guī)定的其他情形。

依照本法其他有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意。

（二）法條解讀

本條法律是個人信息處理的合法性依據(jù)，分為以下兩種情形。

1. 取得個人同意

“告知-同意”是各國普遍認(rèn)可處理個人信息的基本原則。實踐中，很多用人單位讓應(yīng)聘人員與員工簽署個人信息授權(quán)同意書，但該同意書應(yīng)當(dāng)如何擬定？“告知-同意”是基本原則。根據(jù)《個人信息保護法》第17條，取得員工授權(quán)同意時，還需告知員工相關(guān)權(quán)利與權(quán)利行使方式，即“告知”是“同意”的前提條件與義務(wù)，下文將對此進行具體闡述。

2. 法定無須個人同意的情形

根據(jù)《個人信息保護法》第13條第2款規(guī)定，“為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”時，處理個人信息無需征得信息主體同意。

所謂訂立、履行與人力資源管理所必需，可以參考《勞動合同法》第8條，即“用人單位有權(quán)了解勞工與勞動合同直接相關(guān)的基本情況”。但至于何謂與勞動合同直接相關(guān)的基本情況，未見有進一步的法定解釋。筆者認(rèn)為，從狹義解釋，姓名、住址、身份證號、健康狀況、知識技能和工作經(jīng)歷等均可以是與勞動合同直接相關(guān)的基本情況，可以參照《勞動合同法》第17條、《上海市勞動合同條例》第8條、《江蘇省勞動合同條例》第11條、《山東省勞動合同條例》第10條進行處理；從廣義解釋，用人單位可以通過制定規(guī)章制度與訂立集體合同，向員工明確人力資源管理所必需的員工個人信息。

需要說明的是，用人單位的規(guī)章制度必須審慎規(guī)定哪些是“人力資源管理所必需”的員工個人信息，不得任意擴大化規(guī)定。對此，可以參考《勞動合同法》第39條，即員工嚴(yán)重違反用人單位規(guī)章制度的，用人單位可以解除勞動合同并不支付經(jīng)濟補償。此處的“嚴(yán)重違反”用人單位規(guī)章制度，并非出現(xiàn)用人單位單方面規(guī)定的“嚴(yán)重違反”行為即可以作解雇處理，而是需要符合一般公眾認(rèn)識的“嚴(yán)重”標(biāo)準(zhǔn)與勞動爭議案件司法實踐標(biāo)準(zhǔn)。例如，《員工手冊》規(guī)定遲到1次即屬于“嚴(yán)重違反”用人單位規(guī)章制度，這明顯是無效規(guī)定。即使《員工手冊》經(jīng)過民主程序并向員工公示，用人單位以此為由解雇也將被認(rèn)定為違法解除勞動合同。此外，法律為限制用人單位的權(quán)利，同時規(guī)定了“依法制定”規(guī)章制度與“依法簽訂”集體合同。用人單位需要根據(jù)《勞動合同法》第4條及按法定程序制訂規(guī)章制度與集體合同后，才能將其有效適用于員工，以及為處理員工信息奠定合法性基礎(chǔ)。

三、《個人信息保護法》第17條：用人單位告知的內(nèi)容與方式

（一）法條原文

個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰、易懂的語言真實、準(zhǔn)確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯(lián)系方式；

（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

（三）個人行使本法規(guī)定權(quán)利的方式和程序；

（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項。

前款規(guī)定事項發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個人。

個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的，處理規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存。

（二）法條解讀

處理個人信息的基本原則是“告知—同意”。對于招聘員工與員工管理中涉及的員工個人信息，建議要求員工簽署“個人信息處理同意書”，這就要確保員工是在充分知情的情況下自愿作出同意?！秱€人信息保護法》第17條對征求員工同意的要求如下：

1. 告知時間

用人單位要求員工提供個人信息前，應(yīng)當(dāng)根據(jù)《個人信息保護法》第17條的規(guī)定，向員工履行告知義務(wù)。

2. 告知方式

即“以顯著方式、清晰、易懂的語言真實、準(zhǔn)確、完整地向個人告知”。該要求與歐盟GDPR第12條的規(guī)定相仿，即控制者應(yīng)采取適當(dāng)措施，以簡潔、透明、易于理解和容易獲得的形式，向數(shù)據(jù)主體提供第13條和第14條中提到的任何與處理相關(guān)的信息，以及進行第15至第22條和第34條規(guī)定的各項溝通，特別是專門針對兒童的任何信息。

3. 告知事項（詳見表1）

4. 告知保存期限：最短時間

首先，《勞動合同法》第50條規(guī)定，用人單位對已經(jīng)解除或者終止的勞動合同的文本，至少保存兩年備查?！豆べY支付暫行規(guī)定》第6條亦載明，用人單位必須書面記錄支付勞動者工資的數(shù)額、時間、領(lǐng)取者的姓名以及簽字，并保存兩年以上備查。其次，在沒有相關(guān)法律規(guī)定的情況下，個人信息保存期限越長，泄露、遺失的可能性就越高。筆者建議用人單位按照《個人信息保護法》第19條的規(guī)定，除法律、行政法規(guī)另有規(guī)定外，對于個人信息保存的期限應(yīng)遵循為實現(xiàn)目的所必要的“最短時間”。

5. 告知員工可行使的權(quán)利與行權(quán)方式

在員工（含應(yīng)聘者）授權(quán)用人單位處理其個人信息的同時，用人單位也應(yīng)當(dāng)告知員工可以根據(jù)《個人信息保護法》第4章“個人在個人信息處理活動中的權(quán)利”行使其權(quán)利，并說明其行使權(quán)利的方式，例如員工有權(quán)向人力資源部要求修訂或撤回其個人信息。

需要說明的是，如果用人單位處理的員工個人信息是簽訂勞動合同與人力資源管理所必需（即《個人信息保護法》第13條第2款規(guī)定），員工是否仍享有單方撤回、刪除的權(quán)利，目前尚存在爭議。筆者認(rèn)為，對于簽訂勞動合同與人力資源管理所必需的員工個人信息，用人單位有權(quán)單方面處理，無須員工授權(quán)同意；否則用人單位無法履行其管理權(quán)，這也與勞動法律法規(guī)中用人單位與員工并非平等雙方主體的原則相一致。

結(jié)語《個人信息保護法》已于2021年11月1日生效，以上三項法條解讀針對的是人力資源部門目前最關(guān)心并亟待解決的合規(guī)問題，歡迎大家一起探討解讀及進一步制訂相關(guān)合規(guī)方案。

 

楊傲霜

北京大成（上海）律師事務(wù)所合伙人，上海律協(xié)勞動與社會保障業(yè)務(wù)研究委員會委員業(yè)務(wù)方向：勞動與人力資源、爭議解決、公司與并購