在上一篇研究简讯中1,我们介绍了与员工隐私保护有关的重要问题。我们在本文中将主要介绍与员工个人信息保护相关的几个基本问题,即什么是个人信息,处理个人信息应当遵循哪些基本原则,以及处理员工个人信息是否必须取得员工的同意。在讨论前述具体问题之前,我们首先需要提示用人单位注意一个重大改变,即个人信息已成为一项受到法律保护的民事权益2,而不再是可以不受限制地使用的东西。我们可以借用一个不太恰当的比喻进行说明。在某种意义上员工个人信息与员工工资具有相似性。对于员工工资,用人单位未经员工同意不能任意扣除,法律或法规规定另有规定的情形除外(比如代扣个税,代扣社保中的个人缴费部分等);对于员工个人信息,用人单位未经员工同意不能任意处理员工个人信息,法律或行政法规另有规定的情形除外。充分认识这一重大变化是了解和运用处理员工个人信息的基本原则和核心规则的必要前提。
什么是个人信息
《民法典》3和《个人信息保护法》4都对个人信息的基本概念做出了规定。虽然在这两部法律中的个人信息的基本概念略有差别,但是这两部法律中的个人信息具有相同的基本特征,即(1)个人信息的主体只能是自然人,而不能是组织;(2)个人信息具有可识别性,可以用于识别特定自然人;以及(3)个人信息必须具有一定形式的载体,即以电子或者其他方式记录(比如未进行记录的自然人的活动或谈话就不属于个人信息)。任何一份常见的员工登记表中的几乎所有信息都属于个人信息,包括个人基本情况(比如:姓名、住址、私人电邮、家庭电话、手机号、出生日期、户口类型、国籍、出生地、婚姻状况、银行账户)、教育背景(比如:学历、毕业学校)、工作背景(比如:实习经历、工作经历)、相关技能(比如:国家统一法律职业资格证书)、其他信息(比如:紧急联系人相关信息)。
采用不同的分类标准,个人信息可以被划分为不同的类型。其中,用人单位应当了解两种重要的分类标准,即(A)依据是否具有私密性进行划分,和(B)依据在不当处理时对个人造成严重损害的可能性大小进行划分。依据前者,个人信息可以划分为个人信息中的私密信息和个人信息中的非私密信息;依据后者,个人信息可以划分为敏感个人信息5和一般个人信息。对于个人信息中的私密信息,如我们在此前的研究简讯中所指出,该等信息是隐私与个人信息的交集,应优先适用隐私权规则。对于敏感个人信息,因为在不当处理该等信息时容易给个人带来严重的损害后果,所以处理敏感个人信息的规则适用更加严格的法律要求。我们将在下一篇研究简讯中重点介绍敏感个人信息处理规则所适用的特殊法律要求。
除个人信息之外,用人单位还需要了解两个重要的基本概念,即个人信息的处理和个人信息处理者。在《个保法》下,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。从个人信息的处理所涵盖的行为类型不难看出,个人信息的处理活动存在于从招聘到解聘的用工管理的全过程。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。这里需要划出的重点包括:其一,个人信息处理者既可以是组织也可以是个人;其二,成为个人信息处理者的必要条件是能够自主决定处理目的和处理方式。
处理个人信息应当遵循哪些基本原则
为了对个人信息提供更全面更有力的法律保护,《个保法》在《民法典》的基础上规定了处理个人信息应当遵循的一整套基本原则和处理规则。其中,基本原则贯穿个人信息处理的全过程和各个环节。本所于2021年8月22日发表的《<个人信息保护法>重要规定及合规要点评析》介绍了处理个人信息应当遵循的以下六项基本原则:
原则一:合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则,不得以误导、欺诈、胁迫等方式处理个人信息(第五条)。该原则作为《个保法》的首要原则,是个人信息处理者实施处理活动的前提。
原则二:明确性和相关性原则。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关(第六条)。该原则在第五条的基础上,为处理目的设定了评价标准,并将处理活动控制在“与直接处理目的相关”的范围内。
原则三:最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制:一是要求处理活动对个人权益产生的影响最小;二是不得过度收集个人信息,限于满足处理目的的最小范围(第六条)。
原则四:公开透明原则。处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则,并向个人明示处理的目的、方式和范围(第七条)。公开透明原则保障了个人信息主体的知情权和同意权,是个人信息处理者履行“告知同意义务”的前提。
原则五:完整性和准确性原则。《个保法》第八条对处理个人信息的质量设定了评价标准,具体可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。
原则六:安全保障原则。《个保法》第九条明确了处理者是个人信息处理活动的直接责任人,由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。
处理员工个人信息是否必须取得员工的同意
个人信息处理规则是《个保法》中的核心内容,涉及这一问题的条款共有25条,在全部条款中的占比超过三分一。在个人信息处理规则中处于核心地位的就是“告知-同意”规则,即处理个人信息应当在事先充分告知的前提下取得个人同意。关于这一核心规则,用人单位最关心的问题就是,在《个保法》实施之后,用人单位处理个人信息是否必须取得员工的同意。答案是否定的。在充分考虑到经济社会生活的复杂性的基础上,《个保法》第13条第(2)项至第(7)项规定了基于个人同意以外的可以处理个人信息的六种情形(下称“六种法律许可情形”)。可见,在《个保法》下,处理个人信息的法律基础可分为基于个人同意和基于法律许可这两种类型。因此,在基于法律许可的适用条件得到满足的情形下,用人单位可以将基于法律许可作为处理员工个人信息的法律基础,而无需取得员工的同意。
用人单位接下来可能会问,上述原则是否也适用于敏感个人信息?答案是肯定的。根据《个保法》第29条的规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。从该条的表述来看,处理敏感个人信息的法律基础似乎只有基于个人同意这一种类型,而且还必须是基于单独同意。实际上,从《个保法》中处理个人信息规则的整体架构来看,前述理解有失偏颇。一方面,根据《个保法》第13条第2款的规定6,凡是出现六种法律许可情形之一的,处理个人信息均无需取得个人同意。另一方面,根据《个保法》第14条第1款的规定7,只有在基于个人同意处理个人信息的情形下,才涉及单独同意或者书面同意的要求。换言之,如果并非基于个人同意处理个人信息(比如基于实施人力资源管理所必需),则不应涉及单独同意或者书面同意的要求。因此,对于处理员工的敏感个人信息,只要在基于法律许可的适用条件得到满足的情形下,用人单位就无需取得员工的同意。需要注意的是,行政主管机关和司法机关出于加强保护敏感个人信息之目的,有可能在执行层面对《个保法》中的前述规定做出不同解释,将处理敏感个人信息的法律基础限定为基于个人同意。我们会密切关注这一问题在未来的行政执法及司法实践中的执行情况。
既然用人单位可以无需取得员工同意就处理员工个人信息,用人单位是不是就可以不再考虑“告知-同意”规则呢?答案是否定的。一方面,只有在基于法律许可的适用条件得到满足的情形下,用人单位才能无需取得员工同意就处理员工个人信息。换言之,如果基于法律许可的适用条件没有得到满足,则用人单位仍然应当在取得员工同意后,方可处理员工个人信息(比如:在用人单位计划采用人脸识别的方式进行考勤管理时,由于缺乏必要性,该等管理措施就难以满足基于法律许可处理个人信息的适用条件,故用人单位应当取得员工同意)。另一方面,无论是基于个人同意还是基于法律许可处理个人信息,用人单位都应当遵循公开透明原则,向员工告知处理目的、方式和范围等内容。
既然基于法律许可是用人单位处理员工个人信息不可或缺的法律基础,用人单位就需要了解六种法律许可情形的具体内容。《个保法》第13条第(2)项至第(7)项的规定,这六种情形为:
情形一:
为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
情形二:为履行法定职责或者法定义务所必需。
情形三:
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。
情形四:为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。
情形五:
依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
情形六:法律、行政法规规定的其他情形。
在上述六种情形中,与用工管理联系最紧密的无疑就是情形一中的后半句所描述的情形,即“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。从该等表述不难看出,一方面,《个保法》允许用人单位为了实施人力资源管理,无需取得员工同意就可以处理员工个人信息。另一方面,《个保法》为了避免用人单位滥用这一规定任意扩大处理员工个人信息的范围,对实施人力资源管理做出了合理的限定。因此,用人单位应当通过制定劳动规章制度或签订集体合同的方式,确定实施人力资源管理所必需处理的员工个人信息的范围。与签订集体合同相比,制定劳动规章制度在操作便利性和可以单方决策等方面具有明显优势,因而应作为用人单位的首选方案。需要注意的是,即便用人单位采用制定劳动规章制度的方式,也并非意味着用人单位可以任意确定处理员工个人信息的范围。用人单位对于这一问题仍然应当遵循必要原则和最小范围原则。否则,一旦为此发生争议,用人单位的劳动规章制度中的相关规定将有可能被司法机关以违反《个保法》的规定为由认定为无效。
合规建议
基于上述介绍和讨论,我们建议用人单位在处理员工个人信息时应注意以下主要问题,以避免法律风险,实现合规。
建议一:对用工管理所需要处理的员工个人信息进行全面梳理和分类
用人单位应当对其在用工管理全过程中的所需要处理的员工个人信息进行全面梳理。进行梳理时,可以针对用工管理的各个环节、各类人员列出需要处理的所有类型的员工个人信息。在此基础上,可以标识出个人信息中的私密信息和敏感个人信息这两类特殊信息。除此之外,还可以把员工个人信息分为以下四类,即(1)不允许收集的员工个人信息(下称“第一类信息”);(2)法律明确允许收集的员工个人信息(下称“第二类信息”);(3)可以划入用工管理所必需的员工个人信息(下称“第三类信息”);以及(4)难以划入用工管理所必需的员工个人信息(下称“第四类信息”)。
建议二:制定劳动规章制度确定处理员工个人信息的合理范围
如上所述,基于制定劳动规章制度具有的明显优势,用人单位宜采用这一方式确定处理员工个人信息的范围。既可以在员工手册中增加关于员工个人信息保护的章节,也可以制定员工个人信息保护专项政策。需要注意的是,用人单位即便采用这一方式也应当遵循必要原则和最小范围原则。有鉴于此,用人单位应当剔除第一类信息和第四类信息。
建议三:采取“双管齐下”的策略处理员工个人信息
所谓“双管齐下”的策略是指用人单位同时使用基于员工同意和基于法律许可作为处理员工个人信息的法律基础,而不仅依赖其中之一。采用该等策略的主要原因是,只基于法律许可处理员工个人信息可能难以满足用人单位实施人力资源管理的需要,并且“基于实施人力资源管理所必需”等法律许可处理员工个人信息的范围不够清晰,难以准确划定。如我们在上一篇研究简讯中所指出,用人单位宜以谨慎的态度对待处理个人信息中的私密信息一事,把基于员工同意作为首选方案。此外,对于第四类信息,用人单位应当在取得员工同意后方可处理。
建议四:向员工告知处理目的、方式和范围等
无论基于何种法律基础处理员工个人信息,用人单位都应当遵循公开透明原则,向员工告知处理目的、方式和范围等内容。因此,用人单位可以通过制定劳动规章制度等方式履行告知义务。告知事项应当涵盖《个保法》第14条第1款所规定的所有内容。
1. 请参见本所于2021年8月27日发表的研究简讯《后<个人信息保护法>时代员工个人信息保护问题的梳理和解析(二)》
2. 实际上,在《民法典》于2021年1月1日起实施后,个人信息就已经成为一项受到法律保护的民事权益。如我们在2021年8月20日发表的研究简讯中所述,在《个保法》这部关于个人信息保护的专门法律实施后,个人对其个人信息的权利意识将被唤醒,并更加敢于维护其自身的这一民事权益。
3. 根据《民法典》第1034条第2款,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
4. 根据《个人信息保护法》第4条的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
5. 根据《个人信息保护法》第28条第1款的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
6.《个保法》第13条第2款规定,依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
7.《个保法》第14条第1款规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
声 明
《君合法律评论》所刊登的文章仅代表作者本人观点,不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
,