靜思勞社178——收集使用員工個人信息的合規要點

繼《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、《民法總則》和《網路安全法》之後，中華人民共和國國家質量監督檢驗檢疫總局與中國國家標準化管理委員會於2017年12月29日發布了《個人信息安全規範》（以下簡稱「《規範》」）。雖然《規範》僅為國家推薦標準，並無強制執行力，但《規範》明確了「本標準也適用於主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。」從規避風險的角度出發，我們建議，涉及個人信息收集、加工、共享、轉讓活動的企業參照《規範》，制定完善的個人信息政策。本文旨在對人力資源管理過程中可能面臨的個人信息合規問題進行剖析。

首先，需要把握「個人信息」和「個人敏感信息」這兩個定義。

根據《規範》，「個人信息指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息」。根據該定義，個人信息不僅包括可單獨識別或者與其他信息結合可識別出特定個人的信息，還包括已知特定自然人，由該特定自然人在其活動中產生的信息（如位置信息、通話記錄、瀏覽記錄等）。

「個人敏感信息指一旦泄漏、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬於個人敏感信息」。另外，可從以下角度判定是否屬於個人敏感信息：1、是否可能導致喪失對個人信息的控制能力，如身份證複印件；2、是否可能對個人信息主體權益帶來重大風險，如存款信息、傳染病史、健康信息等。

其次，需要明確，用人單位向員工收集個人信息是否必須經其同意？

《刑法》第二百五十條之一第三款規定，「竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰」；《民法總則》第一百一十一條規定，「任何組織和個人需要獲取他人個人信息的，應當依法取得並確保信息安全」；《網路安全法》第四十四條規定，「任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息」。從以上規定可看出，用人單位獲取個人信息必須通過合法途徑，而用人單位依法獲取的途徑不外乎：1、應用人單位要求，員工主動提供；2、經員工同意，用人單位自行收集；3、從經員工授權的第三方獲取員工個人信息；4、從合法公開披露的信息中收集。從上述途徑可看出，途徑一和途徑二是用人單位獲取員工個人信息的主要途徑，用人單位依法獲取員工個人信息基本依賴於員工直接或間接同意。

但用人單位出於管理需要獲取員工個人信息，與其他組織或個人獲取個人信息存在本質不同。勞動關係有其特殊性，用人單位對員工享有管理權，用人單位在管理過程中，不可避免地需要收集必要的個人信息以進行管理，維護經營活動的正常運轉。如要求獲取所有個人信息必須經員工同意，無疑將會給用人單位的正常管理秩序造成一定的障礙。

對此，筆者認為，有關個人信息的保護規定，旨在解決對個人信息的非法收集、濫用、泄露等問題，強調個人信息主體對其個人信息被收集、使用狀況的知情同意權以及個人信息的安全保障。用人單位收集使用員工個人信息，也應遵守法律規定，維護個人信息主體的知情同意權這一基本權益。但考慮到勞動關係的特殊性，後續應出台相關規定，對用人單位獲取員工個人信息方面進行細化，對員工的同意權進行限制，如「同意為基本原則，不同意為特殊例外」。從目前規定來看，用人單位獲取員工個人信息仍需經員工同意，但可參考《規範》，如個人信息為簽訂和履行合同所必需的，則無需徵得員工同意，但用人單位收集個人敏感信息必需獲得員工的明示同意。

再次，人力資源管理過程中可能面臨的員工個人信息合規問題有哪些？

一、員工個人信息的收集方面。員工個人信息的收集方式主要包括員工主動提供和用人單位主動收集兩種。員工主動提供的情形下，已構成明示同意。用人單位主動收集應取得員工的同意。需獲得員工同意的重要情形有：1、員工入職前的背景調查。如用人單位委託第三方進行調查，也應核查第三方是否是依法獲取，且是否已獲得員工同意第三方提供給其他方的授權；2、員工入職後，用人單位對員工電子郵箱、電腦、監控等所抓取的個人信息；3、員工涉嫌違紀時的調查活動；4、日常管理所必需的個人信息。

另外，用人單位需注意，違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，構成以其他方法非法獲取公民個人信息，情節嚴重的，將構成侵犯公民個人信息罪。

二、個人信息的存儲方面。用人單位應採取必要的措施確保個人信息的安全。另外，建議用人單位與可能接觸個人信息的人員簽署保密協議，以明確責任主體。此外，個人信息出境應經個人信息主體同意。

《個人信息和重要數據出境安全評估辦法（徵求意見稿）》（以下簡稱「《安全評估辦法（意見稿）》」）第四條規定，「個人信息出境，應向個人信息主體說明數據出境的目的、範圍、內容、接收方及接收方所在的國家或地區，並經其同意。未成年人個人信息出境須經其監護人同意」；第十一條規定，「個人信息出境未經個人信息主體同意，或可能侵害個人利益的，數據不得出境」。雖然《安全評估辦法（意見稿）》還未生效，但仍具有重要的參考價值。

三、個人信息的使用方面。用人單位應注意，所收集的個人信息僅能用於與員工約定的使用用途，一般來說，僅限於管理用途。違反國家有關規定，委託他人處理、共享、提供或公開員工個人信息，情節嚴重的，可能構成侵犯公民個人信息罪。

綜上所述，用人單位收集、使用員工個人信息，應取得員工的同意。為避免糾紛，筆者建議，用人單位在勞動合同中，明確約定收集、使用個人信息的相關條款，該條款應涵蓋前述所列明的收集員工個人信息時所需獲得員工同意的重要情形。此外，建議將該條款加粗，提示員工仔細閱讀。用人單位在收集、使用員工個人信息時，也應遵守知情同意原則、最少夠用原則和確保安全原則這三個基本原則。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！