2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》,并于2021年11月1日起正式实施。这是中国首部专门针对个人信息保护方面的单行法,彰显了现今国家对自然人人格权的重视程度和保护力度,可以预见的是,以往因科技进步导致的个人信息被大量收集、使用甚至泄露的情况将会得到有效控制。然而在劳动用工领域,企业一方面享有用工知情权,需要收集必要的劳动者个人信息;另一方面劳动者享有个人信息权,企业在收集和使用员工个人信息时必须严格遵守法律法规的规定,否则将面临相应的法律责任。因此,如何正确处理员工的个人信息问题摆在了每一个企业面前。本文根据《个人信息保护法》的立法目的和具体规定,结合笔者对该法的理解和解读,试图为企业在新法规定下如何依法依规管理员工个人信息问题提出相应的法律建议。
一、个人信息的定义与界分
根据《个人信息保护法》第四条的规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。作为法律所保护的个人信息主要有如下特征:
1.个人信息的主体只能是自然人。个人信息是特定自然人的信息,具有人身专属性,属于自然人特有的权益。法人或者非法人组织的信息不属于个人信息,因此其不受《个人信息保护法》的保护;
2.依附于特定的载体。个人信息须以电子或者其他方式记录为表现形式,包括但不限于以声音、电子数据、纸质等作为载体。载体的形式决定了个人信息的形式;
3.具有可识别性。可识别性指的是他人通过个人信息,能够直接或者间接的确定该自然人的身份。而匿名化处理后的信息由于无法确定特定的自然人身份,因此不属于《个人信息保护法》的保护范围;
4.具有法律保护价值。个人信息承载了自然人的个体特征以及各项权利,非法泄露或者使用可能导致其人身、财产权益受到侵害,具有法律所保护的利益。
通过个人信息的上述定义和特点可知,实践中企业向员工收集的信息,如姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人等均属于个人信息。此外,大部分企业还会要求员工提供体检报告、家庭成员信息、宗教信仰、前公司薪酬收入;在员工入职后又会因工作关系,不断收集到员工个人信息,例如:员工银行卡号、报销医药费单据、人脸及指纹生物信息、员工病情证明单、工作邮箱,等等。而对这些与劳动合同不直接相关的个人信息,如没有征求员工的同意,就可能存在侵犯员工个人信息的法律风险。
需要着重说明的是,该法还规定了“敏感个人信息”这一概念,指的是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。例如劳动者的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。相较于个人信息,敏感个人信息尤其是企业处理员工个人信息的重点。
二、处理员工个人信息的基本规则及特殊注意事项
1.企业应遵循基本的“告知-同意”规则
对于处理个人信息,《个人信息保护法》建立了基本的“告知—同意”规则。根据这一规则,企业需以显著方式、清晰易懂的语言真实、准确、完整地向员工履行告知义务,不仅须告知员工管理哪些种类的信息、管理目的、管理方式、保存期限,还应让员工知悉管理个人信息的负责人和联系方式,以及员工行使个人信息保护权的方式和程序等事项。员工在对上述事项充分了解并知情的基础上,其自愿、明确作出的同意才能被视为“有效”。
实务中,企业可以通过制定个人信息处理规则的方式履行上述告知义务,该处理规则应当公开,并且便于查阅和保存。但企业按照依法制定的劳动规章制度和依法签订的集体合同实施管理个人信息的,无需征得员工同意。
2.企业处理“敏感个人信息”应当采取的特别措施
如上所述,“敏感个人信息”包括员工入职体检报告中的医疗健康情况、企业实施考勤打卡收集的指纹及人脸生物信息、企业支付工资会知晓的员工的金融账户等。对于敏感个人信息,企业应当采取特别措施,并做到:(1)在处理个人信息前取得员工的“单独同意”或“书面同意”;(2)采集该类信息须具有特定的目的和充分的必要性;(3)采取严格保护措施;(4)向员工告知处理敏感个人信息的必要性以及对个人权益的影响。
3.企业必须履行的法定义务
《个人信息保法》第五十一条从法律层面明确规定了企业在处理个人信息时须履行的五项法定义务,分别是:(1)完善制度:制定内部管理制度和操作规程;(2)信息分类:对个人信息实行分类管理;(3)安全技术措施:加密、去标识化等;(4)合规培训:合理确定个人信息处理的操作权限,定期进行安全教育和培训;(5)补救措施:制定并组织实施个人信息安全事件应急预案。
上述规定是法律为企业设定的必须履行的义务,且在发生与此相关的争议时,企业将承担相应的举证责任。如企业举证不能,则需承担举证不力的法律后果。随着《个人信息保护法》的出台,未来有关员工个人信息纠纷的案件将与日俱增,企业想要免除责任,更要主动履行上述法定义务并能够举证证明。
三、企业违反《个人信息保护法》将面临的法律风险
1.企业违法处理个人信息将面临严厉的行政处罚
《个人信息保护法》对法律责任规定的一大特点在于罚款上限金额的大幅提升,对违法处理个人信息且情节严重的企业,最高可被处以五千万元或上一年度营业额百分之五的罚款。除此之外,该法继续保持了既往立法中的处罚措施,主管部门不仅可以对违法的应用程序责令暂停关闭或者终止提供服务,并可以对企业责令暂停相关业务或者停业整顿、吊销相关许可证或者吊销营业执照。处罚措施之严厉,不仅体现了法律对个人信息保护之重视,也促使企业在处理个人信息时须更加重视和防范法律风险的发生。
2.企业责任人同时面临禁止担任相关职位的法律风险
《个人信息保护法》采取责任到人的惩处模式,主管部门一方面可以对直接负责的主管人员与其他直接责任人员处以罚款,另一方面又可以禁止其在一定时间内担任董事、监事、高级管理人员和个人信息保护负责人。该法将个人侵权行为与个人职业前途挂钩,以促使企业与责任人同时加强对员工个人信息的保护。
3.企业违反《个人信息保护法》将受到信用惩罚的法律风险
《个人信息保护法》特别设置了信用惩罚措施,企业不仅要进入信用档案的黑名单还会被予以公示,此措施主要考虑的是社会效果。对于很多企业来说,尤其是知名企业、集团企业,经济损失或可以承受,但声誉如果受损,则其损失可能难以估量。
4.企业对个人信息侵权行为承担“自证清白”的证明责任风险
《个人信息保护法》第六十九条确立了个人信息侵权行为的过错推定原则,将证明自身不存在过错的举证责任归于企业,若企业不能证明自己没有过错的,将承担损害赔偿等侵权责任。与“谁主张谁举证”的原则相比,企业如不能“自证清白”就需要承担举证不能的不利后果,因此过错推定原则实际上加重了企业的证明责任。
综上,在《个人信息保护法》已生效的背景下,企业合法行使用工管理权务必要重视员工的个人信息保护,建立适合企业自身管理和业务特点的规范化、精细化的合规用工体系,预防企业的法律风险。