8月20日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“個(gè)人信息保護(hù)法”）正式表決通過(guò)，并將于2021年11月1日起施行。對(duì)于企業(yè)HR來(lái)講，最為關(guān)注的當(dāng)然是員工個(gè)人信息的處理與保護(hù)問(wèn)題。

?

這部法律的適用非常廣泛，只要處理個(gè)人信息的企業(yè)，就需要關(guān)注。處理的涵義非常廣泛，按照第四條，處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。我們理解無(wú)論是B2C企業(yè)，還是B2B企業(yè)都會(huì)適用。因?yàn)槠髽I(yè)至少會(huì)收集員工信息。同時(shí)，這部法在違法情形最嚴(yán)重時(shí)的罰款額度非常高，按照第六十六條的規(guī)定，在違法情形嚴(yán)重時(shí)，企業(yè)將面臨沒(méi)收違法所得外，并處5000萬(wàn)人民幣以下或上一年度營(yíng)業(yè)額5%以下的罰款。也就是頂格罰款額度在5000萬(wàn)人民幣或上一年度營(yíng)業(yè)額的5%，請(qǐng)注意此處的計(jì)算基礎(chǔ)是營(yíng)業(yè)額而非利潤(rùn)。

?

?

01.

訂立、履行勞動(dòng)合同所必需信息無(wú)需個(gè)人同意

?

作為用人單位，處理員工個(gè)人信息的邊界在哪里？是否需要征得員工事先同意？企業(yè)在收集、存儲(chǔ)以及使用員工信息過(guò)程中，需要遵循哪些基本原則？這些在《個(gè)人信息保護(hù)法》規(guī)定的內(nèi)容，作為企業(yè)HR必須了解與掌握。?對(duì)于企業(yè)HR來(lái)講，《個(gè)人信息保護(hù)法》第十三條規(guī)定內(nèi)容最為重要，不可不知！

?

《個(gè)人信息保護(hù)法》第十三條規(guī)定，符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：

?

（一）取得個(gè)人的同意；

（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

（三）為履行法定職責(zé)或者法定義務(wù)所必需；

（四）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；

（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；

（七）法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。

?

注意，《個(gè)人信息保護(hù)法》第十三條第一款第二項(xiàng)，即“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”情形，是不需取得個(gè)人同意的。?

?

因此，對(duì)于企業(yè)HR來(lái)講，需要了解《個(gè)人信息保護(hù)法》規(guī)定當(dāng)因?yàn)椤坝喠?、履行個(gè)人作為一方當(dāng)事人的合同所必需”時(shí)，處理員工個(gè)人信息是不需要征得員工同意的。常見(jiàn)的情形有，當(dāng)企業(yè)和員工簽訂勞動(dòng)合同，企業(yè)要求員工提交勞動(dòng)手冊(cè)、離職證明、個(gè)人身份證明、學(xué)歷證書、資格證明、家庭地址、聯(lián)系方式等涉及員工個(gè)人信息的相關(guān)資料、證書等，員工有義務(wù)提供，無(wú)需以征得員工同意為前提。

?

?

02.

敏感個(gè)人信息處置不能通過(guò)規(guī)章制度設(shè)定依據(jù)

?

盡管《個(gè)人信息保護(hù)法》第十三條提及按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需，用人單位可以處置員工個(gè)人信息。但上述內(nèi)容系“個(gè)人信息處理規(guī)則”的“一般規(guī)定”。《個(gè)人信息保護(hù)法》第二十九條規(guī)定，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

?

由于上述第二十九條系“敏感信息的特別處理規(guī)則”，屬于法律條款中的特別規(guī)定。按照“特別規(guī)定優(yōu)于一般規(guī)定”的基本法律，用人單位處理員工的敏感個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個(gè)人信息等，應(yīng)獲得勞動(dòng)者的單獨(dú)同意。用人單位無(wú)法將規(guī)章制度、集體合同作為處理員工敏感個(gè)人信息的依據(jù)。

?

因此，用人單位如通過(guò)人臉識(shí)別考勤，需要采集員工的人臉識(shí)別特征，結(jié)合《個(gè)人信息保護(hù)法》和《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》，用人單位應(yīng)當(dāng)制作書面同意文件安排員工簽字確認(rèn)。需要特別指出的是，由于“告知-同意”的信息處理規(guī)則下，個(gè)人可以撤回同意，如勞動(dòng)者同意人臉識(shí)別考勤后又撤回同意的，用人單位需安排替代考勤方式，而非以“永久授權(quán)”或“永久同意”抗辯。

?

?

03.

與第三方合作開(kāi)展員工關(guān)系管理工作

?

在企業(yè)人力資源管理中，還經(jīng)常會(huì)出現(xiàn)與第三方合作的現(xiàn)象，如人事代理中的委托招聘、委托背景調(diào)查、委托代發(fā)工資、委托代繳社保、委托購(gòu)買商業(yè)保險(xiǎn)；再如推行電子勞動(dòng)合同的，將勞動(dòng)者個(gè)人信息存儲(chǔ)在第三方平臺(tái)上等等。這些委托事項(xiàng)的處理，也涉及職工個(gè)人信息的處理。

?

對(duì)此，《個(gè)人信息保護(hù)法》也有相應(yīng)的規(guī)范，該法第21條規(guī)定，“個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托人應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息；委托合同不生效、無(wú)效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。未經(jīng)個(gè)人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個(gè)人信息?！?/p>

?

?因此，用人單位在與第三方合作，涉及處理職工個(gè)人信息（處理的含義前面已介紹，包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除）的，雙方的商務(wù)合同中也應(yīng)注意按照《個(gè)人信息保護(hù)法》的規(guī)定，增加相關(guān)個(gè)人信息處理的條款。

?

《個(gè)人信息保護(hù)法》11月1日正式生效施行，因此，企業(yè)需要針對(duì)自身業(yè)務(wù)是否合規(guī)進(jìn)行自檢，如果存在風(fēng)險(xiǎn)，在11月前需要盡快彌補(bǔ)相關(guān)風(fēng)險(xiǎn)。相對(duì)來(lái)說(shuō)，大型企業(yè)的業(yè)務(wù)數(shù)據(jù)更多、業(yè)務(wù)類型更加復(fù)雜，所以風(fēng)險(xiǎn)也會(huì)更大。

?

?

04.

《個(gè)人信息保護(hù)法》實(shí)施在即

HR要做哪些具體工作？

?

?

1.學(xué)習(xí)新法律。

善世建議，最起碼應(yīng)該關(guān)注或?qū)W習(xí)一下最新頒布的《個(gè)人信息保護(hù)法》，在人力資源管理中增強(qiáng)個(gè)人信息保護(hù)的法律意識(shí)。

?

?

2.修訂勞動(dòng)合同文本。

《民法典》以及《個(gè)人信息保護(hù)法》的頒布，也是用人單位修訂、完善勞動(dòng)合同文本的契機(jī)，尤其是《個(gè)人信息保護(hù)法》第13條對(duì)用人單位通過(guò)勞動(dòng)合同、集體勞動(dòng)合同文本實(shí)施人力資管理所必需處理個(gè)人信息作為可以不經(jīng)個(gè)人同意的法定情形，更提醒用人單位在修訂勞動(dòng)合同、集體勞動(dòng)合同文本時(shí)注意增加處理個(gè)人信息的相關(guān)條款。最后再提醒一下，別傻乎乎再用政府提供的勞動(dòng)合同示范文本了，也不要百度上隨便下載勞動(dòng)合同文本了！

?

?

3.修訂《員工手冊(cè)》。

通過(guò)前面分析，可以看出在用工管理的各個(gè)環(huán)節(jié)都可能涉及員工的個(gè)人信息，用人單位在行使知情權(quán)、管理權(quán)、調(diào)查取證權(quán)時(shí)，需要注意避免侵犯員工的個(gè)人信息權(quán)益。筆者認(rèn)為，為避免相應(yīng)的風(fēng)險(xiǎn)，用人單位重視員工個(gè)人信息保護(hù)，有必要制定相應(yīng)的政策，有關(guān)政策內(nèi)容應(yīng)至少包括個(gè)人信息收集、個(gè)人信息保管、個(gè)人信息使用、個(gè)人信息傳輸、個(gè)人信息刪除等各個(gè)環(huán)節(jié)，有關(guān)政策規(guī)定要達(dá)到的目的應(yīng)當(dāng)滿足以下幾點(diǎn)：

1）用人單位在處理員工個(gè)人信息時(shí)應(yīng)注意避免侵犯員工的個(gè)人信息；

2）為用人單位處理個(gè)人信息設(shè)定合理的鋪墊性條款；

3）規(guī)范職場(chǎng)上員工與員工之間涉及個(gè)人信息的不當(dāng)行為，如不能在公司內(nèi)傳播他人的個(gè)人信息等。

?

?

4.設(shè)計(jì)相關(guān)表單。

要全流程分析用工管理各環(huán)節(jié)涉及處理個(gè)人信息的具體事項(xiàng)、所隱藏的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)規(guī)避的措施，如在招聘環(huán)節(jié)對(duì)候選人進(jìn)行背景調(diào)查的，應(yīng)當(dāng)設(shè)計(jì)“背調(diào)個(gè)人信息的授權(quán)書”，并讓應(yīng)聘者簽字確認(rèn)；再如入職環(huán)節(jié)，應(yīng)當(dāng)設(shè)計(jì)“個(gè)人信息授權(quán)使用聲明”等，并讓員工簽收等。

?

?

5.日常管理注意員工個(gè)人信息保護(hù)問(wèn)題。

以上幾個(gè)方面更多側(cè)重于文本的完善，文本的完善可以為日常管理提供很好的工具，但在日常管理中也應(yīng)注意員工個(gè)人信息的保護(hù)，如對(duì)于員工提交的病假材料，HR要注意限定知悉范圍，否則，就有違安全保障原則；再如向員工公告送達(dá)解除勞動(dòng)合同通知書時(shí)，應(yīng)注意員工敏感個(gè)人信息的處理等。