【引言】2021年11月1日,以保护公民个人信息权益为宗旨的《中华人民共和国个人信息保护法》(以下简称《个保法》)开始实施,本法要求“个人信息处理者”不得过度收集公民的个人信息,并应承担一定的个人信息安全保障义务。
因此,本法的出台对用人单位在劳动用工过程中所涉及的个人信息收集、存储、使用、加工、传输、提供、公开等活动提出新的要求,对于如何规避和防范相关法律风险,我们为用人单位提供建议如下:
一、用人单位有权对劳动者姓名、公民身份号码、住址、从业经历等与签订劳动合同及建立劳动关系相关信息进行收集,但应尽可能避免收集劳动者的敏感个人信息。
首先,根据《劳动合同法》等相关法律规定,用人单位为签订劳动合同及建立劳动关系可以收集部分员工信息:
1、如职工名册中包含的劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式等内容;
2、用人单位也有权了解员工与劳动合同直接相关的基本情况,员工应当对此如实说明。典型的有工作经历、知识技能、学历、职业资格等。
《个保法》第13条规定了企业处理个人信息的合法性来源,其中第2款“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”也肯定了获取上述信息的合理性。
其次,《个保法》第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
①根据人力资源和社会保障部等部门发布的《关于进一步规范招聘行为促进妇女就业的通知》,用人单位在招用人员过程中,“不得询问妇女婚育情况,不得将妊娠测试作为入职体检项目,不得将限制生育作为录用条件。”
②员工请病假时,用人单位可以要求员工提供医疗机构出具的证明资料,但不宜过度收集病情详细资料。
③宗教信仰、特定身份等属于《个保法》规定的敏感个人信息。
④具体的家庭状况(除家庭住址、主要家庭成员等基本信息外)及血型信息不属于劳动合同直接相关的基本信息,不建议要求员工必须提供。
二、若需收集员工其他个人信息,用人单位应于劳动规章中说明收集目的及必要性,公开信息处理规则;并由员工出具个人信息收集、存储、使用、处理的同意声明,确认员工本人提供个人信息的使用目的、方式、范围。
根据《劳动合同法》第4条规定,用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者。因此,我们建议用人单位制定员工个人信息处理管理制度,明确员工个人信息用于企业日常的经营管理活动、处理的方式和范围等。
根据《个保法》第13条规定,取得个人的同意,方可处理个人信息。《个保法》第14条规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”因此,用人单位需要收集其他个人信息的,可与员工协商获得其同意,由员工出具个人信息收集、存储、使用、处理的同意声明,规避个人信息收集环节的侵权风险。
但还应注意,根据《个保法》第15条规定,基于个人同意处理个人信息的,个人有权撤回其同意;对于员工离职或要求撤回同意的,用人单位应及时停止相关信息处理活动。
三、如因使用员工线上办公系统等原因,涉及与第三方机构合作,收集、使用、处理员工个人信息,则用人单位应与第三方机构划清责任承担范围。
用人单位使用人力资源公司等第三方服务、或第三方机构的信息服务系统,管理员工考勤、打卡等事项的,同样涉及个人信息的收集、使用、处理问题。
首先,用人单位应核实第三方的数据合规能力,根据《个保法》第21条第1款规定,个人信息处理者与受托人签订的委托协议中必须包含委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务,以明确限制受托人处理活动的范围。
用人单位在与第三方的服务、采购合同中,应注意明确个人信息保护的权利、义务和责任,要求第三方作出信息处理的合规承诺;明确因信息存储、使用、处理而发生的个人信息泄露、篡改、丢失等事故,相关责任由第三方承担。
其次,《个保法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
根据上述法律规定,用人单位可要求第三方数据处理机构对员工个人信息采取匿名化处理,通过匿名化处理的方式使数据无法识别到某一特定员工,降低相关侵权风险。
文/北京岳成律师事务所
上海分所 李恒君
欢迎转载,请注明出处。
