企业日常用工管理当中,员工个人信息的收集、存储、使用是人力资源管理中非常重要的一环。工资的发放、日常的考勤、无纸化办公需要、员工违纪行为的处理、规章制度的送达、紧急联系人的确认等均涉及员工个人信息的收集、使用,在人力资源管理中有其必要性和意义。
而另一方面,《个人信息保护法》的出台,使得企业收集员工信息的难度、风险增加,过往想当然可以收集和使用的员工个人信息,放在《个保法》背景下,我们需要重新思考其必要性和目的。
如何在人力资源管理和个人信息保护中取得平衡,是每一位企业管理者要去思考的问题。为此,广悦律师事务所互联网与数字经济部、劳动法律部联合推出“人事管理中的个人信息保护”系列文章,聚焦招聘录用、日常管理、员工离职、合规体系完善四个维度,以人力资源管理及个人信息保护的双重视角,系统梳理人力资源管理各个环节中的个人信息保护问题,为企业提供合规指引和建议。
大数据时代下,企业的员工个人信息处理场景不断增加,其中,招聘与录用环节可谓是企业收集个人信息最频繁的阶段。无数份满载个人信息的求职简历、入职信息表堆砌在HR的案头,员工个人信息究竟该如何保护?为此,我们梳理了招聘与录用阶段的个人信息种类、合规要点及典型场景,与读者一同探讨个中的合规处理方案。
一、招聘、录用阶段所涉个人信息盘点
分析企业在用工过程中的个人信息收集是否合规,首先要确定企业在招聘和录用过程中的个人信息收集场景和信息具体类型。
在招聘和录用阶段,用工企业通常会在下述场景收集个人信息:
-
应聘者投送个人简历,个人简历为“个人信息密集型”载体;
-
面试、笔试阶段记录应聘者信息;
-
猎头输送应聘者信息;
-
拟录用员工背景调查;
-
新员工入职时提供银行账户、体检报告等信息;
-
新员工考勤所需信息采集……
在这些场景下,涉及的求职者/员工信息包括以下类型及内容:
(某一类型的个人信息是否属于敏感个人信息,可能因具体情况不同而发生变化,该表格中所列举的个人信息分类仅供参考)
上述信息均属于“与已识别或者可识别的自然人有关的各种信息”,落入《个人信息保护法》(下称《个保法》)的规制范围。同时,按照《个保法》第二十八条的规定,其中不乏生物识别、医疗健康、金融账户等敏感个人信息,用工企业应当在具有特定目的和充分必要性,并采取严格保护措施的情形下方可处理。
二、员工个人信息处理的合法性基础和最小必要原则
应聘者或入职员工个人信息的处理者,用工企业在招聘和录用阶段应具备处理个人信息的合法性基础,即属于法定的个人信息处理情形;同时,用工企业还应注意处理员工个人信息是否符合最小必要原则。
1
个人信息处理的合法性基础
《个保法》第十三条规定了个人信息处理者合法处理个人信息的七类情形,除“取得个人同意”这一基础规则外,《个保法》第十三条第(二)项和第(七)项提供了人力资源场景下的另两种合法性基础,即“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,或在“法律、行政法规规定的其他情形”下,用人企业无需获得员工同意即可处理个人信息。
如适用“实施人力资源管理”的合法性基础,按照《个保法》的规定,用工企业需满足两大条件。一方面,用工企业应当已有劳动规章制度、集体合同的相关条款明确约定员工信息处理规则,且规章制度和集体合同需符合职工代表大会讨论、公示报送等法定程序。另一方面,基于本条处理员工个人信息应符合“实施人力资源管理所必需”这一条件,采取对员工权益影响最小的方式,在收集个人信息种类、范围、数量上达到最小化。
用工企业基于“法律、行政法规规定的其他情形”处理个人信息的,首先需注意此项合法性基础仅指向法律和行政法规,行政规章或地方性法规并不适用。目前《劳动合同法》及《劳动合同法实施条例》对员工信息收集有相应规定。《劳动合同法》第八条规定,用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。《劳动合同法实施条例》第八条则规定,“与劳动合同直接相关”的员工信息可涉及职工名册应记载的“姓名、性别、公民身份号码、户籍地址及现住址、联系方式等内容”。因此在录用阶段,如员工信息与“与劳动合同直接相关”,用工企业有权要求员工予以提供。
2
最小必要原则
《个保法》第六条要求处理个人信息“采取对个人权益影响最小的方式”,收集时仅限于“实现处理目的的最小范围”。最小必要原则作为《个保法》的原则之一,贯穿个人信息处理的方方面面,同时也内化于具体条款中。如前述《个保法》第十三条第(二)项接连提到“必需”,其本质是贯彻对个人信息处理的最小必要原则。如何界定“最小必要”的范围,我们认为用工企业可以参照《深圳经济特区数据条例》第十一条的规定,如“不处理该个人数据则处理目的无法实现”,则可认为满足“最小必要”标准。
三、招聘、录用阶段个人信息处理的典型场景与合规建议
企业收集应聘者或入职员工个人信息的场景各有不同,但合规要求是一以贯之的。例如,根据《个保法》第十七条的要求,用工企业需要在收集个人信息前,以显著方式和清晰语言,真实、准确、完整地向求职者或员工告知自己的联系方式、个人信息的处理情况、员工行使权利的途径等。如何将合规步骤植入员工招录的管理流程中,这是《个保法》背景下人力资源管理的痛点问题。对此,我们挑选了企业招录流程中几个典型场景,探讨其中的合规要点。
典型场景一
怎样合规处理个人简历?
简历作为用工企业了解应聘人员基本情况、考量与企业符合度的主要依据,属于招聘这一环节不可或缺的必要流程。简历收集有两种情形,一是求职者主动投递,二是从第三方途径获取,如猎头推荐、求职招聘网站等。前者一般认为已获得求职者的授权同意,而后者则需要用人单位关注简历来源的合规性。
针对简历收集处理场景,我们提出如下建议:
要点①:通过第三方途径获取简历的,需注意与招聘网站签订的会员协议、与猎头公司签订的合作协议是否明确界定个人信息来源的合规义务与责任。
要点②:未入职人员的简历理论上已无继续处理的必要,建议企业应及时删除。
要点③:企业利用求职者简历建立人才库的,应事先告知求职者并取得授权同意。企业可以通过邮件、短信告知简历留存目的与期限,获取求职者的回复与确认。
典型场景二
如何合规开展背景调查?
出于确认应聘者或入职员工的简历或陈述是否真实的正当目的,部分企业会对员工展开背景调查。当企业委托第三方对拟入职员工进行背景调查时,企业需注意两方面风险。一方面,背景调查的目的不同于求职者信息收集的原始目的,同时涉及第三方向背调机构或企业提供个人信息等与收集简历时不同的个人信息相关法律关系,另一方面,企业与背调机构一般属于委托处理关系,如背调机构侵犯求职者的个人信息权利,企业很可能承担连带责任。
针对背景调查场景,我们呢提出如下建议:
要点①:企业在与背调机构签署委托协议时,应明确背调机构的个人信息保护义务,如背调机构通过第三方获得应聘者个人信息,应协议约定背调机构自负责任,同时,有必要要求背调机构在完成委托后立即删除个人信息,企业还应对受托机构的处理活动持续监督。
要点②:企业应与应聘者或入职员工签订背调信息使用授权书,明确授权用工企业使用应聘者信息进行背调,同时基于背调的目的,授权了解相关情况的第三方用工企业如实披露有关情况。授权书应获得应聘者的签字确认,或通过邮件、即时通讯工具取得其明确同意,企业应妥善留存纸质授权书或线上沟通记录。
典型场景三
怎样合规收集入职信息?
在新员工入职阶段,用工企业往往会要求员工填写入职信息收集表,要求员工提供入职所需个人信息。在这一环节,收集个人信息的类型和范围很容易受到正当性的挑战,除了需要关注个人信息处理的正当性,企业往往会忽视对员工的个人信息相关权利行使保障或忽略对敏感个人信息的特殊处理。
针对收集新员工入职信息的场景,我们提出如下建议:
要点①:企业收集的个人信息应与员工的入职、就业相关且必要,如餐饮行业可向求职者收集额外的健康状况信息(如痢疾、伤寒、甲肝等疾病情况)。
要点②:对于必要性较弱的个人信息,如家庭成员、宗教信仰等,我们建议企业事先说明信息收集的必要性。例如,因向员工提供家庭福利所需,企业可向员工说明收集家庭成员信息的必要性,或在员工申请婚假、育儿假的过程中,再向员工收集相关信息。
要点③:入职信息收集表建议一式两份,并在表中补充个人信息使用条款,提供企业信息管理人员的联系方式、信息更新路径,由员工签字确认。
要点④:针对敏感个人信息的处理,企业应取得员工单独同意。例如,企业可以在入职信息表中单独列出各类敏感个人信息,由员工逐个确认、勾选同意;对于身份证复印件、入职体检报告等文件,可由员工在文件上手写“同意提供该文件用作人力资源管理”并签名确认。
员工信息保护始自招聘、录用环节,贯穿于企业人力资源管理的全流程,是《个保法》项下企业用工合规的新要求。对企业而言,保护员工个人信息不仅是为了避免侵犯员工权益,更是为了建立良好的企业形象,有利于企业招贤纳士、网罗人才。下一篇文章中,我们将聚焦企业日常管理过程中的数据处理场景,为企业提供合规用工的实务建议。
特别声明
本文仅为交流探讨之目的,不代表广东广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
