企业日常用工管理当中,员工个人信息的收集、存储、使用是人力资源管理中非常重要的一环。工资的发放、日常的考勤、无纸化办公需要、员工违纪行为的处理、规章制度的送达、紧急联系人的确认等均涉及员工个人信息的收集、使用,在人力资源管理中有其必要性和意义。
而另一方面,《个人信息保护法》的出台,使得企业收集员工信息的难度、风险增加,过往想当然可以收集和使用的员工个人信息,放在《个保法》背景下,我们需要重新思考其必要性和目的。
如何在人力资源管理和个人信息保护中取得平衡,是每一位企业管理者要去思考的问题。为此,广悦律师事务所互联网与数字经济部、劳动法律部联合推出“人事管理中的个人信息保护”系列文章,聚焦招聘录用、日常管理、员工离职、合规体系完善四个维度,以人力资源管理及个人信息保护的双重视角,系统梳理人力资源管理各个环节中的个人信息保护问题,为企业提供合规指引和建议。
一
如何制定合适的员工个人信息处理政策?
员工个人信息处理政策是用工企业内部个人信息处理的“纲领”,统筹着员工个人信息全生命流程管理。该政策既是对企业的约束,也是对企业的保护,一方面,该政策作为用工企业与员工关于个人信息处理的约定,企业应严格遵循该政策的规定,不得作出超范围收集、使用员工个人信息的行为;另一方面,通过形成内部制度文件,可以书面固定员工个人信息的处理场景和处理方式,大幅降低企业因员工个人信息问题而与员工发生争议的可能性。
员工个人信息处理政策的制定,应遵循《个保法》第十七条的要求,说明员工个人信息处理部门、员工个人信息的处理目的与方式、员工个人信息种类、范围与保存期限、员工行使个人信息相关权利的方式程序等。具体制度起草的形式和整体架构,可以参照《信息安全技术 个人信息安全规范》附录D中的个人信息保护政策模板。
1、由于员工个人信息处理政策属于直接涉及劳动者切身利益的劳动规章制度,因此,该政策应通过企业民主程序,满足经职工代表大会或全体职工讨论、形成方案和意见、与职工代表协商确定、公示并告知员工等程序性要求,并保留相关记录,避免因程序瑕疵而影响政策效力。
2、企业应注意将该政策在适当的位置予以公示,建议企业在员工录用阶段向员工出示政策文件,员工在详细阅读政策内容后签署文件,公司有必要保留员工签署的政策文件,以证实员工已经知晓并同意具体政策。
3、对于员工招聘、入职等大批量收集个人信息的关键节点,或收集员工身份证件、银行账户、指纹等生物识别信息等敏感个人信息,或需要向第三方提供员工个人信息等特殊情况,应配合特定的个人信息收集表或个人信息收集同意书使用,以更好地说明个人信息收集使用情况,以及完成特定情况下个人信息单独同意的合规要求。
二
如何构建员工个人信息内部管理制度?
在企业员工个人信息管理场景下,企业应采取的这些措施包括但不限于:
1、设定内部管理制度和操作规程,包括明文规定个人信息的使用规则与使用后销毁规则,设置销毁提醒以及巡查机制等。
2、对个人信息实行分类管理,主要是对员工的敏感个人信息、其他非敏感个人信息以及其他非个人信息数据进行鉴别与分别存储,同时配套设置更为严格的访问机制。
3、采取相应的加密或去标识化等安全技术措施,对于电子化的员工信息档案,用工企业应采用包括文档加密、设备访问加密等方式进行保存,纸质档案则应定点存放、上锁保存、限制查阅。
4、设置个人信息处理的操作权限,主要是对不同部门、不同级别的人员,根据其工作需求,在最小范围内,设置不同的员工个人信息访问权限,并配套访问权限索取机制与操作留痕机制。
5、定期对相关人员进行培训教育,这种培训可以是针对能接触大量个人信息的人员的专项培训,如人力资源管理人员、信息技术与数据管理人员等,也可以在正常的员工培训中安排相应教育内容。
6、实施个人信息安全事件应急预案,应急预案包括出现员工个人信息被泄露、篡改、丢失的技术应对措施,对员工的告知以及决定是否应当告知监管部门。
三
是否应当设置员工个人信息保护部门?
如企业本身有对外的个人信息保护部门,亦可由该部门统一负责对内的员工个人信息保护。若企业本身未设置相关部门,在业务上可以考虑由人力资源主管部门牵头设立相关部门,也可考虑聘请专业的法律人士完成员工信息保护的具体职能。
四
如何保障员工的个人信息主体权利?
首先,企业应提供员工个人信息主体权利的响应渠道,例如安排反馈窗口或对接人员,接收员工提出的申请、建议、投诉或举报,并向员工告知具体的处理时限。参考《网络数据安全管理条例(征求意见稿)》的规定,我们建议企业在收到员工的申请后,在十五个工作日内进行处理并反馈。对于员工具体的权利主张,例如删除权的行使,如果企业是基于员工同意而处理其个人信息,在员工表示撤回同意,且此类信息不属于实施人力资源管理所必需时,我们建议企业及时删除员工的相关个人信息。对于查阅权和复制权,一般而言,员工要求企业协助查阅、复制其个人信息的,企业应当予以配合。但按照《个保法》的规定,如果存在法律、行政法规规定应当保密或不需要告知的情形,或告知将妨碍国家机关履行法定职责的,企业可以拒绝响应员工查阅、复制个人信息的请求。例如A公安机关在办理涉及B员工的刑事案件,如果B员工请求企业提供其涉案个人信息,会妨碍A公安机关的案件办理,企业依法可以不响应B员工的查阅、复制请求。
五
如何保障员工的个人信息主体权利?
-
处理员工的敏感个人信息,例如收集和使用员工的身份证件、银行账户、指纹等生物识别信息等;
-
利用员工个人信息进行自动化决策,例如系列文章中曾提到的自动绩效考评;
-
将员工个人信息委托处理、向他人提供或进行公开,例如使用第三方管理软件或外包企业服务涉及员工部分个人信息的委托处理或对外提供,企业公布内部奖惩等;
-
向境外提供员工个人信息,例如对外业务往来过程中主动向境外业务伙伴提供员工个人信息,以及跨国集团企业中不同地区企业主体间的员工个人信息流通。
由于企业在用工过程中必然涉及员工身份证件、银行账户等敏感个人信息的处理,因此,按照《个保法》的规定,用工企业应当进行个人信息保护影响评估。我们曾就如何进行个人信息保护影响评估撰写专业文章(《一文读懂:企业如何落地个人信息保护影响评估?》),详细讲解如何完成相关评估工作,企业可以参照《信息安全技术 个人信息安全影响评估指南》中的要求进行,或寻求专业人士的协助。
六
跨国企业如何应对个人信息跨境传输?
尽管目前未有完整的正式政策出台,但基于正常业务需求,跨国企业仍可参照已有的法律实践以及监管部门尚未正式实施的征求意见稿以及各类行业规范或标准,对其员工个人信息跨境传输进行合规自评估,以降低合规风险。例如,全国信安标委于2022年6月24日发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》,对境外主体接受境内个人信息的个人信息保护认证提供了指引;而网信办于2022年6月30日公布的《个人信息出境标准合同规定(征求意见稿)》,则为个人信息跨境传输双方的个人信息保护权利义务划分提供了参考。前述两份政策文件均为现阶段跨国企业落实员工个人信息跨境传输合规工作提供了借鉴,为当前的个人信息跨境提供谋划了合规边界。
结 语
企业的合规体系建设并不是简单的单点击破,而是需要采取科学、有效率的策略,建立完整的合规体系以规范化应对企业在营运中可能面对的不断产生的新问题。在本系列文章中,我们由点及面,对企业员工个人信息全流程管理中的合规要点以及典型场景进行了梳理与剖析,并从企业顶层制度设计层面阐述了整体员工个人信息合规建设的重心工作,为各用工企业带来实用的操作指南。未来我们将会为广大读者带来更多行业资讯与专业观点,敬请期待。
特别声明
本文仅为交流探讨之目的,不代表广东广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
