×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>个人信息保护法实施一周年 | 汉盛个人数据保护的法律与合规百问百答(一)

个人信息保护法实施一周年 | 汉盛个人数据保护的法律与合规百问百答(一)

2022-11-01   秦亮、江国强

编者按:

随着数字经济与社会的发展,对个人数据收集和使用已经融入社会生活的方方面面。同时,个人数据保护不断涌现出新的问题,在数据挖掘、利用与个人数据保护之间如何求得交集与平衡,已经成为法律必须直面的现实问题。

2021年11月1日,《个人信息保护法》正式施行,疫情之下不知不觉已经实施了一周年。上海汉盛律师事务所长期关注个人数据保护的法律议题,从2017年开始介入个人数据保护的立法呼吁与“两会”提案,持续跟踪立法进程与监管动态,并为政府机关、企事业单位提供数据治理的各项合规架构设计、制度建设、调查评估、隐私文本、法律意见等全流程专项法律服务。

值此之际,策划并推出“汉盛个人数据保护的法律与合规百问百答”系列文章,结合《个人信息保护法》实施以来,汉盛律师在日常业务中的遇到的APP、劳动用工、数据跨境传输、涉及第三方的数据处理等常见法律与合规方面的问题进行解答。

自去年11月1日开始,表彰着数字社会法治架构的“三驾马车”(网络安全法、数据安全法、个人信息保护法)已经全部就位并实施。数字经济与社会的进步离不开数据,而对个人数据的保护是数据开发、利用的前提与基础。因此,如何守住与提升个人数据保护的“水位线”,推动个人数据权益保障,并在此基础上促进数据的开发与利用,已经成为全社会亟待重视的话题。 

金震华

 2022年11月1日

第一部分 关于劳动用工的数据合规

秦亮  江国强

用人单位在员工招聘、入职、用工及离岗的全过程中(如简历收集、背景调查、劳动合同订立、员工考勤管理、竞业限制等)都涉及对员工个人信息的处理(包括收集、存储、使用、加工、传输、提供、公开及删除等),还可能涉及对员工敏感个人信息的处理,用人单位需充分了解处理员工个人信息的相关合规风险点,方能在个人信息保护迈入法治化的强监管时代行稳致远。

一、入职阶段

1. 用人单位存在豁免同意的情形必然意味着告知义务豁免吗?

律师解答:同意的豁免并不必然对应告知的豁免,获取同意与告知是两项独立的义务,分别规定于《个人信息保护法》第十三条、第十七条。两项义务的豁免条件也并不相同,第十三条第二款第二至七项为获取同意提供了例外情形,第十八条专门设定了告知义务豁免的条件。由此,用人单位在适用“同意”之外的合法性基础时,仍然需要考虑告知义务的履行。实践中,用人单位不可仅因存在“同意”的法定豁免情形,就在告知义务的履行上掉以轻心。

具体而言,在合法性基础的适用上,《个人信息保护法》第十三条明确规定了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的个人信息处理的法定情形,即原则上用人单位无需基于个人同意就可以处理本单位员工的相关个人信息;但这并不意味用人单位可以处理员工的所有个人信息、随意用于任何处理目的,一方面是鉴于《个人信息保护法》所确立的“最小必要”原则,即便是法定情形也必须在合理范围内处理个人信息,另一方面则是考虑到我国劳动合同法等相关法规对员工个人信息的范围有明确的限定。根据《劳动合同法》《劳动合同法实施条例》相关规定,用人单位应当建立职工名册备查,职工名册应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。

在告知义务的履行上,《个人信息保护法》第十八条规定了向个人告知的例外情况,主要有两种例外情况:(1)法律、行政法规应当保密的或者不需要告知的;(2)紧急情况,为了更高位阶的法律价值(生命健康、财产安全)无法及时告知的,可以在紧急情况消除后告知。在前者的情形中用人单位豁免了告知义务,而在后者的情形中,用人单位仅能暂缓告知。实践中,用人单位处理员工个人信息的场景众多,包括集团化管理需要(甚至跨境管理)、背景调查等。用人单位需要慎重选择合适的合法性基础,需要用人单位根据自身实际情况切实履行告知义务,降低合规风险。

法律依据:

《民法典》第一千零三十五条

《个人信息保护法》第六条、第十三条、第十七条、第十八条

《劳动合同法》第七条、第八条

《劳动合同法实施条例》第八条

2. 用人单位收集简历时应当符合哪些合规要求?

律师解答:如前所述,《个人信息保护法》和《劳动合同法实施条例》规定了用人单位可以获取员工特定个人信息的法定豁免条件。但考虑到求职者尚不属于本单位的员工,且其提供的简历涉及的个人信息范围很有可能超出法定豁免规定的个人信息范围,建议用人单位在收集简历时确保已征得求职者的同意:

(1)如果是自行向求职者收集,则由求职者对个人信息处理进行同意;

(2)如果是从第三方服务机构(如求职网站、猎头公司等)获得,则由该等第三方服务机构承诺求职者已经依法对用人单位处理个人信息进行了授权与同意。

法律依据:

《个人信息保护法》第六条、第十三条

3. 用人单位收集求职者的简历是否属于告知豁免?如果不是,应当告知哪些内容且采用何种形式告知?

律师解答:告知豁免是指告知义务履行的例外情形,《个人信息保护法》第十八条规定了两种。具体而言,符合“法律、行政法规应当保密的或者不需要告知的”的情形可以豁免告知义务,而在“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的”的情形下,仅能暂缓告知义务的履行。

关于“法律、行政法规应当保密的或者不需要告知的”的理解,当前存在不同观点。一种观点认为“不需要告知的”受到“法律、行政法规”的限定,而另一种则认为“不需要告知”可以自成一种豁免情形。前者限缩了告知豁免的条件,而后者给予了更大的豁免空间。依照后者的理解,求职者作为个人信息主体已经知晓了告知的内容,用人单位不须履行告知义务。由于此问题尚存争议,也缺乏司法、执法实践的印证,在实务层面用人单位在收集求职者简历时应当尽可能履行告知义务,以达到合规要求。例如,用人单位在公众号上发布招聘信息时,可以附上简历所载相关个人信息的处理目的与方式。

就告知义务的内容与具体标准,用人单位应当根据《个人信息保护法》第十七条确定合规要求,告知求职者:(一)用人单位的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)求职者行使《个人信息保护法》规定权利的方式和程序。用人单位如果需要将求职者的个人信息提供给集团或者第三方背景调查等机构的,还需要向求职者告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得求职者的单独同意;如果涉及到向境外提供的,还需要告知求职者向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得求职者的单独同意。

法律依据: 

《个人信息保护法》第十三条、第十七条、第十八条

4. 求职者向用人单位投递简历的行为是否可以被认定为“同意”?

律师解答:对求职者直接向用人单位投递简历的情形,基本可以被认为是“同意”,但使用目的仅限于用人单位的本次招聘事宜。通俗而言,求职者直接向用人单位投递简历的行为,仅代表其同意用人单位的相关招聘人员查阅简历中的信息,用人单位不应将该等信息随意处理、提供或共享给无关人员;尤其是考虑到个人简历往往涉及到敏感个人信息(如身份证号、家庭住址等),中大型企业如果确需在集团层面共享简历,也建议提前征得求职者的明示同意。

对于通过其他渠道获取的个人简历,则需根据具体情况分析。涉及到第三方提供的个人信息的处理问题详见“第三部分——第三方合作的数据合规”。

法律依据:

《个人信息保护法》第十四条

5. 用人单位能否将“员工同意用人单位处理其个人信息”作为录用条件之一,继而以不符合录用条件为由解除劳动合同?

律师解答:《劳动合同法》第三十九条第一款、《劳动合同法实施条例》第十九条第二款均规定,劳动者在试用期间被证明不符合录用条件的,用人单位可以解除劳动合同。不过目前法律、行政法规和司法解释对“录用条件”均未作出细致规定,但《湖北省高级人民法院关于审理劳动争议案件若干问题的意见(试行)》(2004年3月21日)第十五条中,规定了:《劳动法》第二十五条第一款中的“录用条件”,以法定最低就业年龄等基本录用条件以及用人单位招用时规定的文化、技术、身体、品质等条件为标准。“同意处理员工个人信息”并非劳动用工的基础性素质,可能难以被认定为“录用条件”。在不侵犯平等就业权的情况之下,用人单位将“同意处理员工个人信息”纳入录用条件不直接触犯法律的强制性规定。不过,借此解除劳动合同,用人单位可能会面临违法解除合同的风险。

从个人信息保护视角来看,用人单位选择将“同意”作为合法性基础,应当注意相应的合规要求。根据《个人信息保护法》第十四条,“同意”应当由个人在充分知情的前提下自愿、明确作出。用人单位作为劳动关系的优势方,设立“员工同意用人单位处理其个人信息”这一录用要求,可能存在不符合“同意”自愿的要求。具体而言,用人单位并未充分尊重求职者在个人信息处理上的决定权,仅是提供了入职与离职上的艰难抉择。因此用人单位在数据合规角度上应当注意:

其一,慎重选择合法性基础,倘若符合《个人信息保护法》第十三条第二款第二至七项规定,可以豁免同意的合规要求,不必要将其作为录用条件。倘若不符合,则可以将“同意”作为合法性基础,并符合《个人信息保护法》第十四条的要求。

其二,全面考虑合规要求。不论是选择何种合法性基础,都须考虑告知义务的履行,遵循合法、正当、必要原则。应遵守《个人信息保护法》所确立的“最小必要”原则,合理限定所要求处理的个人信息范围,建议可以参照《劳动合同法实施条例》第八条规定的劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等信息。此外,还需考虑处理的个人信息是否符合《劳动合同法》第八条的规定,即该信息是否属于用人单位有权了解劳动者与劳动合同直接相关的基本情况。不宜过度扩充信息收集范围,更不宜概括地表述为“该员工同意用人单位处理其全部的个人信息”。

法律依据: 

《个人信息保护法》第六条、第十三条、第十四条

《劳动合同法》第八条、第三十九条、第四十条

《劳动合同法实施条例》第八条、第十九条

《湖北省高级人民法院关于审理劳动争议案件若干问题的意见(试行)》第十五条

6. 用人单位可以自行或委托第三方对拟入职员工进行背景调查吗?可以收集哪些个人信息?

律师解答:用人单位可以通过合法手段自行或委托第三方开展背景调查,但需严格落实个人信息处理者的个人信息保护义务及要求。根据《个人信息保护法》相关规定,用人单位可以收集的员工信息,主要包括明确征得求职者同意的、按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的、为履行法定职责或者法定义务所必需的、依照法律规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等,在背景调查场景中比较典型的情形如下:

(1)求职者个人主动提交的个人信息;

(2)求职者个人同意用人单位或第三方收集的个人信息(如通过求职者提供的前同事、朋友等了解的个人信息);

(3)用人单位或第三方背景调查机构通过公开渠道了解的求职者已经公开的个人信息(如通过裁判文书网查询的涉诉情况、通过相关官网查询的行政处罚信息、前任职机构公布的员工介绍等)。

就背调的个人信息范围而言,企业对拟入职员工进行背景调查的目的通常是希望了解该员工此前工作的岗位、职责、内容、表现等,并判断其是否存在重大虚假陈述,最终确认其是否适合用人单位拟聘用的岗位。因此,用人单位在开展拟入职员工背景调查时,应确保其收集的个人信息范围是与上述目的(用以判断是否匹配拟聘用岗位、是否存在重大虚假经历等)相关联的,不宜随意扩大个人信息的收集范围。

法律依据:

《个人信息保护法》第十三条

二、用工阶段

7. 公司刷脸考勤的场景下,员工接受刷脸的行为是否属于同意?如果员工不接受刷脸,用人单位应当如何作为?

律师解答:员工接受刷脸的行为并不能与“同意”划等号,且人脸信息的收集需要员工的“单独同意”。脸部识别特征属于《个人信息保护法》第二十八条规定的生物识别信息,属于敏感个人信息。《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的“单独同意”。参照《信息安全技术 个人信息安全规范》的相关规定:“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”据此,对于员工单纯的录入脸部识别特征、接受刷脸的行为,并不能完全免除用人单位的告知说明、获取员工“单独同意”的义务。

原则上用人单位不得强制员工接受刷脸的考勤方式,若员工不接受该种考勤方式,应提供其他考勤方式,除非是维护公共安全或涉及国家安全的单位管理所必需等法律、行政法规另有规定的情形。参照《网络数据安全管理条例(征求意见稿)》的规定,数据处理者不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。此外,《上海市数据条例》也明确规定,在本市居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,且不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。综上,如果员工不接受刷脸的考勤方式,尤其是办公场所在上海市范围内的,建议用人单位同时提供其他可选择的考勤方式。

法律依据:

《个人信息保护法》第二十八条、第二十九条

《网络数据安全管理条例(征求意见稿)》第二十五条

《上海市数据条例》第二十三条

8. 员工手册的性质是什么?向员工发放员工手册是否就相当于起到告知同意的义务?

律师解答:员工手册属于用人单位规章制度范畴,一份生效的《员工手册》应符合《劳动合同法》第四条规定的“民主程序、向劳动者公示”。根据《劳动合同法》第三十九条的规定,员工若存在严重违反单位规章制度的行为,用人单位享有辞退权;而《个人信息保护法》就“劳动用工领域”规定了一项处理个人信息的法定事由,即“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。因此,用人单位可以将个人信息处理的相关要求落实到《员工手册》中,在《员工手册》中规定具体哪些情形属于“员工严重违反单位的规章制度”,但该等要求不得与《个人信息保护法》的规定相悖。

需要注意的是,所谓“民主程序、向劳动者公示”,是用人单位在制定、修改或者决定直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定。实践中,“民主程序”的完成可以通过工会签章确认、向劳动行政管理部门进行管理制度备案等形式完成;“公示方式”包括组织员工学习《员工手册》并签字、组织测试并在试卷或测试结果上签字、在劳动合同中明确规定员工应遵守的制度目录等。

综上,只有经过法定程序制定并通过的《员工手册》,且向员工进行充分公示后,才能起到告知同意的法律效果。当然,《员工手册》发生法律约束力的前提是内容须合法。

法律依据:

《个人信息保护法》第十三条

《劳动合同法》第四条、第三十九条

9. 公司处理员工的敏感个人信息时应当注意哪些要点?

律师解答:总体而言,用人单位处理其单位员工的敏感个人信息与个人信息处理者处理个人信息主体的敏感个人信息并无本质差异,相关法律要求也趋同。根据《个人信息保护法》相关规定,个人信息处理者处理敏感个人信息时:

(1)法定可以处理范围之外的敏感个人信息,需要有特定的目的和充分的必要性方能处理,并取得个人的单独同意;

(2)向个人告知处理敏感个人信息的必要性以及对个人权益的影响;

(3)对个人信息进行分类分级,对敏感个人信息执行高于一般个人信息的保护标准;

(4)事前进行个人信息保护影响评估,并对处理情况进行记录。

法律依据:

《个人信息保护法》第二十八条、第二十九条、第三十条、第五十五条

10. 用人单位对拟入职员工进行背景调查前是否需要取得被调查人员的同意?

律师解答:主要取决于背景调查的个人信息范围。根据《劳动合同法》第八条的规定,用人单位有权了解员工与劳动合同直接相关的基本情况。如果超出了 “与劳动合同直接相关”这一限定范围,例如调查拟入职员工的婚姻状况、生育状况及病史状况等与工作无直接关联的个人信息,则可能涉嫌“过度收集”。因此,在实践中如果背景调查涉及到处理拟入职人员主动提供的个人信息和公开渠道可获取的个人信息以外的信息,或者需要将个人信息提供给第三方,需要取得被调查人员的同意。

为避免法律风险,建议用人单位在开展背景调查之前,提前告知员工并获得其同意和授权。并且,应注意背调的方式以及取得调查结果后的个人信息处理,对单位信息管理人员进行严格管理,杜绝非法收集、使用、加工、传输、买卖、提供或公开员工个人信息的行为。

法律依据:

《民法典》第一百一十一条

《个人信息保护法》第六条

《劳动合同法》第八条

《劳动合同法实施条例》第八条

11. 在劳动合同或劳动者信息表等文件中让员工自行填写个人信息的行为,是否会侵害员工的个人信息权益?

律师解答:根据《劳动合同法》的相关规定,用人单位基于用工自主权的需要,有权要求员工提供与劳动合同直接相关的信息,员工提供相关个人信息后,用人单位应依法使用并做好保护,防止泄露员工的个人信息。至于是否会侵害员工的个人信息权益,取决于用人单位要求员工填写的个人信息范围是否合理、是否履行告知程序以及对该等个人信息的处理目的是否与劳动合同直接相关等多方面因素,至少需要从以下几个维度进行判断:

(1)要求员工填写的个人信息是否超出法定的个人信息种类或者超出员工管理的必要;

(2)如果超出法定的个人信息种类,是否获得员工的同意;

(3)是否将公司处理员工个人信息的规则告知员工;

(4)公司对员工个人信息保护,是否有相关软硬件设施和制度措施保障。

如果用人单位违反上述规定,如将员工个人信息任意泄露或用于其他非法目的,则要承担相应的法律责任。

法律依据: 

《个人信息保护法》第五十一条

《劳动合同法》第八条

12. 安装和使用工作场所监控应当符合哪些合规要求?

律师解答:监控摄像头拍摄到的员工影像涉及员工的个人隐私。首先,安装监控应是用人单位管理所必需;其次,在监控确有必要的情况下,应将该等要求纳入依法制定的劳动规章制度或依法签订的集体合同,并向员工予以释明;此外,从用人单位风险防范角度,安装监控并采集员工影像的行为宜取得员工的明确授权或同意。

需要强调的是,用人单位对劳动规章制度的制定不宜过分放大公司的“立法权”,例如制定“秘密监控”“监听通话”等明显超出必要限度的规章制度,应平衡好员工的隐私权与用人单位的管理权。

法律依据:

《民法典》第一千零三十二条、第一千零三十三条

《个人信息保护法》第六条

13. 收集个人福利、薪资相关的信息应当符合哪些合规要求?

律师解答:结合《民法典》第一百一十一条、《个人信息保护法》第二条、《劳动合同法》第八条的规定,员工的个人隐私及个人信息受法律保护,但用人单位有权了解员工与劳动合同直接相关的基本情况,员工对此应当如实说明。个人福利、薪资是员工的私密信息,属于员工的个人隐私范畴,原则上任何组织和个人不得刺探该等信息,但员工所在单位出于管理目的的除外。《工资支付暂行条例》明确规定:“用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查。”据此,用人单位在收集本单位员工的个人福利、薪资相关信息时:

(1)如果是过往用人单位的个人福利、薪资信息,不属于法定可获取的个人信息范畴,需要经个人同意;

(2)如果是本单位的个人福利、薪资相关信息,我们倾向于认为属于日常管理所必须,但仍需要根据《个人信息保护法》第五章的规定落实好个人信息保护义务,防止个人信息泄漏。

法律依据:

《民法典》第一千零三十二条

《个人信息保护法》第二条

《工资支付暂行条例》第六条

14. 《个保法》第13条中规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的适用上应当注意?

律师解答:对该条款的适用需同时关注到个人信息保护以及劳动相关法规的合规性。

从个人信息保护的合规性角度,应遵守《个人信息保护法》所确立的“最小必要”原则,合理限定个人信息的收集范围,明确处理目的和处理方式,向员工公开个人信息处理规则,并采取必要措施保障员工个人信息的安全。

从劳动相关法规的合规性角度,相关规章制度和集体合同的制定、修改,需要符合《劳动合同法》等相关法律法规对于公司规章制度制度的民主程序要求,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定,并进行公示。

法律依据: 

《个人信息保护法》第六条、第七条、第九条

《劳动合同法》第四条

15. 用人单位能否在工作场所安装监控设备,能否监视员工的邮箱邮件和社交媒介以及监听电话,能否对雇员的办公室、写字台、公文包、柜子及人身进行侵入和检查?

律师解答:该等事项需要结合用人单位的性质、员工岗位性质进行考量。个人的隐私权受法律保护,除法律另有规定或者权利人明确同意外,任何组织或者个人不得拍摄、窥视、窃听他人的私密活动,更不允许擅自检查他人的私人物品甚至是非法搜查他人身体。

如果用人单位确需通过监控设备来监视员工的行为,建议至少要确保满足以下前提条件,否则将可能不具备合法性基础:员工工作电子设备均由公司提供,并明确提示公司已经在工作场所安装监控设备,安装了监控软件对员工使用的电子设备进行监控,且该等监控确实有公司管理的必要(如员工岗位保密性要求比较高)。需要留意的是,在合法监控过程中了解到员工个人隐私信息的,公司应当及时删除,更不能泄露该等个人隐私信息。

严格意义而言,员工的办公室、写字台、公文包、柜子等均属于员工的私密空间,具有一定的隐私性。非经员工同意,用人单位不得对员工的办公室、写字台、公文包、柜子及人身进行侵入或检查,否则有可能承担民事责任,甚至是刑事责任;但出于安全管理需要,可以要求员工在出入特殊办公场所时接受合理的安全检查。

法律依据:

《民法典》第一千零一十一条、第一千零三十二条、第一千零三十三条

《个人信息保护法》第六条

《上海市数据条例》第二十三条

16. 对于员工提出禁止企业监控办公电脑、手机等保护自身隐私权的行为,用人单位应如何应对?

律师解答:用人单位首先须确保该等监控行为具备合法性基础,而且将监控要求以合法的程序落实到公司的规章制度中,并向员工进行了事前告知。

在该等监控行为具备合法性基础的前提下,如果员工在清楚知晓公司规章制度相关规定的情况下仍不同意,则用人单位可以以违反单位规章制度为由,对员工进行相应处理,违反规章制度情节严重的可以依法解除劳动合同。

法律依据: 

《个人信息保护法》第五条

《劳动合同法》第二十一条、第三十九条

17. 对于拟入职员工向用人单位发送的简历中所包含的个人信息,用人单位应当如何处置?

律师解答:用人单位应当落实《个人信息保护法》规定的各项义务及安全保护责任,采用符合安全标准的软硬件设备和信息系统处理该等个人信息,并进行分级管理,将可以访问该等个人信息的人员控制在必要范围之内,预防内部工作人员窃取、出卖个人信息造成的泄露事件发生。对员工的个人信息资料要严格对外保密,如果需要将简历信息提供给第三方,需要注意另外获得求职者的同意。

法律依据: 

《民法典》第一千零三十八条

《个人信息保护法》第五十一条

《就业服务与就业管理规定》第十三条

18. 用人单位引入新的监控系统或者自动化系统应当经过什么流程?

律师解答:用人单位引入新的监控系统或者自动化系统,涉及到处理新增的员工个人信息类别或范围的,或者针对原有个人信息范围的处理目的、方式发生变化的,均需要重新获取处理授权,并明确告知员工新的系统对个人信息的处理方式和安全保护措施。该等系统更新时,参照新系统上线的标准执行。

此外,根据《个人信息保护法》第二十四条、第五十五条的规定,利用个人信息进行自动化决策的,应当事前进行个人信息保护影响评估,并对处理情况进行记录;同时保证决策的透明度和结果公平、公正。

法律依据:

《个人信息保护法》第十四条、第二十四条、第五十五条 

19. 境内公司向境外公司跨境提供员工个人信息的,境内公司应当如何取得员工的单独同意?

律师解答:根据《个人信息保护法》第三十九条的规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人履行相应告知程序,并取得个人的单独同意。目前,就“单独同意”的具体方式在立法层面尚未明确,仍有待有关部门出台细则或指引。在更为明确的细则或指引出台之前,出于风险防范考量,建议该等单独同意采用明示同意的方式获取,例如与员工“一对一”签署个人信息处理同意协议或书面同意函。

此外,个人信息跨境传输还需履行其他法定程序,包括个人信息保护影响评估等,具体详见“第四部分——跨境传输的数据合规”。

法律依据: 

《个人信息保护法》第三十八条、第三十九条

20. 境内公司在向境外公司跨境提供员工个人信息前,应当向员工个人告知哪些事项?

律师解答:根据《个人信息保护法》第三十九条的规定,用人单位在向境外公司跨境提供员工个人信息的,应当向员工告知该境外公司的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及员工向该境外公司行使《个人信息保护法》规定权利的方式和程序等事项。

法律依据: 

《个人信息保护法》第三十九条

三、离岗阶段

21. 用人单位是否可以对竞业限制员工进行调查?

律师解答:法律并不禁止用人单位对受竞业限制协议或条款约束的员工进行调查的行为,但要确保调查方式、获取员工个人信息的手段以及个人信息收集范围等符合相关法律法规。若用人单位委托第三方机构开展该项调查工作,还可能涉及到“委托处理个人信息”的情形,包括用人单位向第三方机构提供拟调查员工的原有个人信息以及第三方机构向用人单位提供调查后的员工个人信息,需要用人单位格外关注。“委托处理个人信息”的合规问题详见“第三部分——第三方合作的数据合规”。

此外,实践中,用人单位在向员工发放竞业限制补偿金前,一般会要求员工主动提供其离职后的任职信息,以证明其恰当遵守了竞业限制义务。

法律依据: 

《个人信息保护法》第五条、第十条、第二十一条、第二十三条

22. 用人单位在员工离职后是否还能留存员工的个人信息?如可以,留存的个人信息范围多大及期限是多久?

律师解答:在一定期限内可以留存员工的必要个人信息。《民法典》《个人信息保护法》《信息安全技术 个人信息安全规范》对于个人信息的保存期限均有相关规定,总体上应遵循必要性原则,即个人信息的保存期限应当为实现处理目的所必要的最短时间,法律、行政法规另有规定的除外。其中,“法律法规另有规定”的情形应包括《劳动合同法》第五十条第三款的规定:“用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。”

对于“实现处理目的所必要的最短时间”的界定是实务中的难点,应结合不同领域的实践来判断。就劳动用工领域而言,对于因参加面试、短期用工、临时管理需要(如防疫信息)等收集的员工个人信息,在该等个人信息处理目的实现之时(如未能正式入职、项目组解散、疫情结束),以及因员工离职等原因应员工要求或个人信息保存期限届满的,用人单位应当及时删除该等个人信息。若从技术上难以实现删除的,根据《个人信息保护法》第四十七条的规定:“应当停止除存储和采取必要的安全保护措施之外的处理。”

实践中,如果员工同意加入用人单位的人才库,方便用人单位有合适职位时进行匹配,则用人单位可以在落实安全保障义务的前提下,将必要个人信息保存更长的时间。

法律依据:

《个人信息保护法》第十九条、第四十七条

《劳动合同法》第五十条

《信息安全技术 个人信息安全规范》第6.1条

相关法律条文:

  • 《民法典》

第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

第一千零一十一条 以非法拘禁等方式剥夺、限制他人的行动自由,或者非法搜查他人身体的,受害人有权依法请求行为人承担民事责任。

第一千零三十二条 自然人享有隐私权。任何组织和个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

第一千零三十三条 除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:

(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;

(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;

(三)拍摄、窥视、窃听、公开他人的私密活动;

(四)拍摄、窥视他人身体的私密部位;

(五)处理他人的私密信息;

(六)以其他方式侵害他人的隐私权。

第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。

第一千零三十八条 信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。

  • 《个人信息保护法》

第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

  • 《劳动合同法》

第四条 用人单位应当依法建立和完善劳动规章制度,保障劳动者享有劳动权利、履行劳动义务。

用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定。

在规章制度和重大事项决定实施过程中,工会或者职工认为不适当的,有权向用人单位提出,通过协商予以修改完善。

用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者。

第七条 用人单位自用工之日起即与劳动者建立劳动关系。用人单位应当建立职工名册备查。

第八条 用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。

第二十一条 在试用期中,除劳动者有本法第三十九条和第四十条第一项、第二项规定的情形外,用人单位不得解除劳动合同。用人单位在试用期解除劳动合同的,应当向劳动者说明理由。

第三十九条 劳动者有下列情形之一的,用人单位可以解除劳动合同:

(一) 在试用期间被证明不符合录用条件的;

(二) 严重违反用人单位的规章制度的;

(三) 严重失职,营私舞弊,给用人单位造成重大损害的;

(四) 劳动者同时与其他用人单位建立劳动关系,对完成本单位的工作任务造成严重影响,或者经用人单位提出,拒不改正的;

(五) 因本法第二十六条第一款第一项规定的情形致使劳动合同无效的;

(六) 被依法追究刑事责任的。

第四十条 有下列情形之一的,用人单位提前三十日以书面形式通知劳动者本人或者额外支付劳动者一个月工资后,可以解除劳动合同:

(一)劳动者患病或者非因工负伤,在规定的医疗期满后不能从事原工作,也不能从事由用人单位另行安排的工作的;

(二)劳动者不能胜任工作,经过培训或者调整工作岗位,仍不能胜任工作的;

(三)劳动合同订立时所依据的客观情况发生重大变化,致使劳动合同无法履行,经用人单位与劳动者协商,未能就变更劳动合同内容达成协议的。

第五十条 用人单位应当在解除或者终止劳动合同时出具解除或者终止劳动合同的证明,并在十五日内为劳动者办理档案和社会保险关系转移手续。

劳动者应当按照双方约定,办理工作交接。用人单位依照本法有关规定应当向劳动者支付经济补偿的,在办结工作交接时支付。

用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。

  • 《劳动合同法实施条例》

第八条 劳动合同法第七条规定的职工名册,应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。

  • 《网络数据安全管理条例(征求意见稿)》

第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

法律、行政法规另有规定的从其规定。

  • 《上海市数据条例》

第二十三条 在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著标识。

在前述公共场所或者区域,不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。

  •  《工资支付暂行条例》

第六条 用人单位应将工资支付给劳动者本人。劳动者本人因故不能领取工资时,可由其亲属或委托他人代领。

用人单位可委托银行代发工资。

用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字,并保存两年以上备查。用人单位在支付工资时应向劳动者提供一份其个人的工资清单。

  • 《就业服务与就业管理规定》

第十三条 用人单位应当对劳动者的个人资料予以保密。公开劳动者的个人资料信息和使用劳动者的技术、智力成果,须经劳动者本人书面同意。

  • 《信息安全技术 个人信息安全规范》

第6.1条 对个人信息控制者的要求包括:a) 个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间;b) 超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。

相关研究