避開員工個人信息收集和使用的風(fēng)險點(diǎn)

曹麗娜

近年來，隨著信息技術(shù)在中國的廣泛應(yīng)用和巨大發(fā)展，個人信息保護(hù)方面的法律、法規(guī)相繼出臺，第十一屆全國人大常委會2012年12月通過的《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》是我國個人信息保護(hù)立法進(jìn)程中的重要里程碑，勾勒出了我國個人信息保護(hù)的基本框架；2015年，“侵犯公民個人信息罪”正式納入《刑法》；2017年6月施行的《網(wǎng)絡(luò)安全法》首次從法律層面明確了個人信息的定義；2017年10月施行的《民法總則》對個人信息保護(hù)作出原則性的規(guī)定；2020年3月國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會又發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》。

雖然我國現(xiàn)行法律體系對個人信息保護(hù)從不同維度作出了規(guī)定，但長期散落在不同的法律和規(guī)章中。即將在2021年實(shí)施的《民法典》中，首次將人格權(quán)獨(dú)立成編，并在第六章中對個人信息的定義、收集、使用、存儲和處理做出了系統(tǒng)明確的規(guī)定，體現(xiàn)了大數(shù)據(jù)時代國家層面對個人信息保護(hù)的重視。

收集和使用員工信息的風(fēng)險點(diǎn)

企業(yè)與員工的勞動關(guān)系需要經(jīng)歷締結(jié)、存續(xù)、終止三個階段，在整個用工管理過程中涉及員工個人信息的獲取、存儲和傳輸，企業(yè)如何識別各個階段的風(fēng)險點(diǎn)，了解在此過程中所應(yīng)遵守的相關(guān)法律義務(wù)十分重要。

●招聘錄用中的風(fēng)險

1.企業(yè)收集員工個人信息中的風(fēng)險。企業(yè)基于用工的需要，在招聘過程中有權(quán)了解員工與工作相關(guān)的個人信息，對員工的工作能力進(jìn)行評估，因此，企業(yè)在招聘錄用環(huán)節(jié)，應(yīng)根據(jù)業(yè)務(wù)、崗位需求等具體情況確定哪些是可以收集的，哪些是不可以收集的，證明其收集的合理性，避免過度收集造成侵權(quán)。

2.員工背景調(diào)查中的風(fēng)險。企業(yè)在招聘員工的過程中，會與第三方背景調(diào)查機(jī)構(gòu)合作，對一些核心崗位的員工進(jìn)行背景調(diào)查，在候選人不知情的情況下展開背景調(diào)查，企業(yè)將承擔(dān)法律風(fēng)險，侵犯候選員工的個人信息權(quán)益，因此，企業(yè)在決定開展背景調(diào)查前，務(wù)必要獲得候選人授權(quán)，這既是企業(yè)對自身的法律保護(hù)，也是對候選人個人信息保護(hù)的尊重。

●在職管理中的風(fēng)險

1.企業(yè)日常人事管理中的風(fēng)險。在日常管理務(wù)實(shí)中，企業(yè)對個人信息負(fù)有妥善保管的義務(wù)。實(shí)操中，有些企業(yè)在考勤時需要錄入員工指紋、人臉識別特征打卡，這些都屬于個人敏感信息，企業(yè)應(yīng)采取加密、去標(biāo)識化處理等技術(shù)手段加以存儲，確保其收集、存儲的個人信息安全，防止個人信息丟失、遭到篡改及泄露等風(fēng)險。

2.企業(yè)監(jiān)控檢查員工工作中的風(fēng)險。隨著電子信息技術(shù)的發(fā)展，OA系統(tǒng)逐漸取代傳統(tǒng)的辦公方式，有些企業(yè)為了加強(qiáng)管理，會通過相關(guān)技術(shù)手段定期檢查員工的電子郵件、電話、公司電腦的使用情況。而員工在使用這些設(shè)備和系統(tǒng)的過程中，個人信息和痕跡極易留存其中，成為企業(yè)侵犯員工個人信息保護(hù)的高風(fēng)險點(diǎn)。企業(yè)應(yīng)當(dāng)提前告知員工原則上不得將辦公設(shè)備用于處理個人事務(wù)，并保留對員工辦公設(shè)備中的信息進(jìn)行檢查、監(jiān)控、存儲的權(quán)力，有效避免侵權(quán)的風(fēng)險。

3.企業(yè)傳輸員工個人信息中的風(fēng)險。隨著行業(yè)專業(yè)化程度的提高，有些企業(yè)會根據(jù)需要將一些非核心性的事務(wù)外包給第三方機(jī)構(gòu)處理，以降低人力成本，實(shí)現(xiàn)效率最大化，此時將涉及員工個人信息的轉(zhuǎn)移。企業(yè)在與第三方機(jī)構(gòu)交互信息時多采取合同方式進(jìn)行概括式授權(quán)，一般不會取得員工個人的授權(quán)，而且信息傳輸過程中，極易造成泄露、丟失。此外，外資企業(yè)和跨國公司基于全球一體化管理的需求，向境外傳輸員工個人信息時，會涉及跨境傳輸個人信息方面的法律要求。

因此，建議企業(yè)至少應(yīng)在信息傳輸出境前獲得員工的書面授權(quán)，更為謹(jǐn)慎的做法是可考慮與提供網(wǎng)絡(luò)安全服務(wù)的企業(yè)合作，開展個人信息出境傳輸前的安全評估，并加固數(shù)據(jù)安全傳輸防火墻，避免面臨違法或涉訴的風(fēng)險。

●離職管理中的風(fēng)險

1.不當(dāng)保管與披露的風(fēng)險。根據(jù)《勞動合同法》的規(guī)定，企業(yè)對離職員工的勞動合同文本要保存?zhèn)浒?，以往由于法律法?guī)的缺位，導(dǎo)致企業(yè)對離職員工的個人信息不夠重視，在缺乏管控的情況下，不排除有關(guān)人員將離職員工的個人信息打包賣給獵頭公司、非法調(diào)查公司等。在國家不斷強(qiáng)化對個人信息保護(hù)的背景下，企業(yè)應(yīng)加強(qiáng)對離職員工個人信息的管理或在滿足相關(guān)法律規(guī)定的條件下將這些信息及時刪除。

2.離職員工調(diào)查的風(fēng)險。員工離職后，企業(yè)對該離職員工的調(diào)查主要涉及兩方面，一是競業(yè)限制糾紛，二是接受員工新入職企業(yè)的背景調(diào)查。在競業(yè)限制糾紛調(diào)查中，離職員工所進(jìn)行的日常行為并不在離職企業(yè)的視野中，企業(yè)自行收集證據(jù)面臨很大的風(fēng)險和難度，采用跟蹤拍攝收集個人行蹤軌跡或向負(fù)有保密義務(wù)的第三方收集證據(jù)，可能會觸犯《民法典》中“非法收集、非法使用人信息”的規(guī)定。在涉及接受離職員工所在新入職企業(yè)的背景調(diào)查中，除非員工離職前同意企業(yè)在其離職后可將其信息批露給第三方機(jī)構(gòu)，否則公司存在侵犯員工個人信息的情形。

員工個人信息保護(hù)的實(shí)操建議

針對企業(yè)員工招聘、在職、離職三階段中個人信息保護(hù)存在的風(fēng)險、隱患，建議從以下三方面著手，應(yīng)對不斷細(xì)化的合規(guī)要求。

●知情同意

1.合法合規(guī)收集員工個人信息。企業(yè)在內(nèi)部規(guī)章制度或勞動合同中，應(yīng)當(dāng)嚴(yán)格限定收集員工個人信息的范圍，避免無關(guān)或過度收集信息。如果企業(yè)需要進(jìn)一步獲得員工的其他信息（如家庭情況、醫(yī)療狀況），可以在表單中設(shè)計(jì)選填項(xiàng)，讓員工自愿選擇后填寫。

2.獲得員工的知情同意。企業(yè)在收集、處理員工個人信息時，應(yīng)事先獲得員工的知情同意，務(wù)必讓員工了解企業(yè)收集個人信息的目的、收集范圍、保存期限等。

據(jù)此，企業(yè)可以采取在入職手冊中告知、在勞動合同中約定等方式取得員工的事先同意。疏于防范的企業(yè)若在入職環(huán)節(jié)未獲得員工的知情同意，可在入職后的日常管理中，讓員工簽署同意函，獲得員工的授權(quán)。企業(yè)決定對候選員工開展背景調(diào)查時，應(yīng)取得候選員工簽署的背景調(diào)查授權(quán)書，開展取得授權(quán)的“明調(diào)”。企業(yè)須做好合規(guī)性前置工作，事先獲得員工簽署的書面同意，在未來可能發(fā)生的相關(guān)糾紛中，企業(yè)便可以此進(jìn)行有力的抗辯。

●處理限制

1.建立企業(yè)個人信息處理制度。企業(yè)為規(guī)范個人信息管理，應(yīng)建立個人信息處理制度。在制度設(shè)計(jì)中，應(yīng)包括以下幾方面內(nèi)容：其一，個人信息保護(hù)組織機(jī)構(gòu)的設(shè)立，以及明確該機(jī)構(gòu)與機(jī)構(gòu)人員責(zé)任的規(guī)定；其二，個人信息收集、存儲、使用、加工、傳輸、提供、公開等管理的規(guī)定；其三，個人信息保護(hù)監(jiān)查的規(guī)定；其四，違反個人信息保護(hù)規(guī)章制度處罰的規(guī)定等。為使內(nèi)部規(guī)章制度更加具有實(shí)操性，企業(yè)可通過專業(yè)機(jī)構(gòu)或聘請具有專業(yè)知識的人員，幫助企業(yè)梳理內(nèi)部流程，做好制度建設(shè)。

2.處理限制中的實(shí)操規(guī)范。處理限制，包含了對員工個人信息的收集、存儲、使用、加工、傳輸、提供及公開等。在諸多情況下，涉及侵犯員工個人信息的人員多為內(nèi)部管理人員，或是有權(quán)限接觸到個人信息的人員。因此，企業(yè)應(yīng)確定專人管理員工個人信息，明確其崗位職責(zé)，與其簽訂保密協(xié)議，并在其離職時履行好交接手續(xù)，防止資料外泄。

企業(yè)與第三方機(jī)構(gòu)合作時，要選擇具有征信資質(zhì)的公司，并與第三方機(jī)構(gòu)簽署協(xié)議：確保其在收集員工個人信息時遵守相關(guān)法律規(guī)定；約定第三方機(jī)構(gòu)負(fù)有保密義務(wù)，不得將獲取的個人信息提供給他人；同時，注明免責(zé)條款，企業(yè)不對第三方任何違法使用信息的行為承擔(dān)法律責(zé)任。

企業(yè)傳輸員工個人信息過程中，要進(jìn)行去標(biāo)識化處理，防止傳輸過程中的外泄。此外，企業(yè)確有必要向境外傳輸員工個人信息的，應(yīng)嚴(yán)格按照相關(guān)規(guī)定，進(jìn)行個人信息出境安全評估申報。

企業(yè)在處理離職員工的個人信息時，對需要保存的勞動合同文本，應(yīng)考慮是否予以分類并單獨(dú)存儲，對已到期或不再需要存儲的個人信息，在遵守相關(guān)法律規(guī)定的條件下予以刪除。

●安全責(zé)任

1.加強(qiáng)信息安全培訓(xùn)。對大多數(shù)企業(yè)而言，個人信息保護(hù)處于企業(yè)用工管理的真空地帶，企業(yè)對此并不重視。但在國家越來越強(qiáng)調(diào)個人信息保護(hù)的背景下，企業(yè)應(yīng)加強(qiáng)對企業(yè)管理者和員工的培訓(xùn)，尤其是保密方面的培訓(xùn)，使管理者從制度層面重視加強(qiáng)個人信息保護(hù)建設(shè)，使員工在信息處理中更加規(guī)范操作，強(qiáng)化全員保密意識。

2.建立安全事件的處罰機(jī)制。企業(yè)應(yīng)妥善保管員工的個人信息，做到信息保密和合理使用，禁止任何員工非法披露或使用企業(yè)收集的員工個人信息。對于實(shí)施了侵權(quán)行為的員工，企業(yè)可依據(jù)法律法規(guī)以及企業(yè)內(nèi)部管理制度，對其予以批評、警告，構(gòu)成嚴(yán)重違紀(jì)的予以解除勞動合同，觸犯法律的移交司法機(jī)關(guān)處理。

法律的生命在于實(shí)施。信息化的浪潮席卷全球，人類進(jìn)入信息社會的發(fā)展階段。隨著大數(shù)據(jù)、人工智能、云計(jì)算等技術(shù)的廣泛應(yīng)用，我國已經(jīng)成為世界上網(wǎng)絡(luò)數(shù)據(jù)生產(chǎn)和輸出體量最大的國家之一。《民法典》順應(yīng)這一發(fā)展趨勢，回應(yīng)了大數(shù)據(jù)時代人們對個人信息保護(hù)的關(guān)切，是法律作為上層建筑符合信息時代社會經(jīng)濟(jì)發(fā)展的需要，也為下一步個人信息保護(hù)方面的立法確立了方向。

作者 上海江三角律師事務(wù)所 法律顧問