企业合规之人力合规丨劳动用工过程中的个人信息保护

「声明」本文系树人律师事务所律师及职员撰写原创文章，同步公开发表在树人律师事务所微信公众号及网站上，

            文章著作权属树人律师事务所所有，在其他平台或媒体发布、转载需经树人律师事务所许可。

            取得许可在文末扫码关注“树人律师”进行联系。

---

2021年8月20日，中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”），并决定自2021年11月1日起实行。《个人信息保护法》的出台对用人单位在劳动用工过程中的个人信息保护有了新的要求。树人律师在本文中将以《个人信息保护法》的实施为切入点，梳理总结用人单位在劳动用工过程中对劳动者个人信息保护的责任。

 

一、个人信息与用人单位

 

（一）个人信息的界定

 

根据《中华人民共和国民法典》第一千零三十四条第二款的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

 

（二）用人单位在个人信息保护中的角色

 

在《个人信息保护法》中，个人信息的处理主要包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

 

用人单位在员工招聘、劳动合同履行过程中，依照《中华人民共和国劳动合同法》第八条“……；用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明”及其他相关法律、法规的规定，有权收集、存储、使用、加工、传输、提供、公开与劳动合同直接相关的员工个人信息，从而成为个人信息处理者。

 

二、用人单位处理员工个人信息应遵循的原则

 

（一）合法、正当、必要和诚信原则。用人单位在处理员工个人信息过程中应当符合法律、行政法规等相关的规定、符合社会的政策或行为规范的要求、符合员工利益或社会公共利益，并具有必要性。用人单位不得通过误导、欺诈、胁迫等方式处理个人信息。

 

（二）严禁过度收集个人信息。诚如上述，用人单位在员工招聘过程中有权了解员工与劳动合同直接相关的基本情况。处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。实践中，用人单位经常性借此过度收集员工个人信息，如用人单位过度收集劳动者父母职务、收入、劳动者婚姻状况、生育情况等与劳动合同无直接关联性的信息。

 

（三）公开、透明原则。用人单位在处理个人信息时应当事先充分告知（包括处理的目的、方式和范围）并取得个人同意，同时，保障个人撤回同意或拒绝或限制性提供个人信息的权利。

 

（四）保证个人信息准确的原则。用人单位在处理员工个人信息过程中，应当保证个人信息准确，避免因个人信息不准确、不完整对个人权益造成不利影响。

 

（五）采取必要保障措施。用人单位应当对处理员工个人信息活动负责，采取必要措施保障员工个人信息在处理活动中的安全。

 

三、用人单位处理员工个人信息应当遵循的规则

 

（一）一般规则

 

1.“告知—同意”是核心

 

用人单位在处理员工个人信息时应当及时充分告知员工本人，并取得员工的同意。同时，员工享有撤回同意的权利。

 

2.不需要员工同意的特殊情形

 

（1）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

 

（2）为履行法定义务所必需，如人民法院、人民检察院、公安机关要求提供的；

 

（3）为应对突发公共卫生事件，或紧急情况下为保护自然人的生命健康和财产安全所必需；

 

（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

 

（5）在合理范围内处理个人自行公开或者其他已经合法公开的个人信息。

 

需要注意的是：法律虽然未要求员工个人同意，但是，法律也未免除用人单位在作为个人信息处理者处理员工个人信息时的告知义务。

 

（二）敏感个人信息处理规则

 

敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。

 

根据《个人信息保护法》的要求，只能在具体特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理敏感个人信息。因此，用人单位在收集到有关上述敏感个人信息后应当妥善保管，非有关有权机关调查或其他特定目的和充分必要的情况下，均不应公开或随意处置。

 

（三）告知内容

 

用人单位在告知员工个人信息处理时，应当采用显著方式、清晰易懂的语言真实、准确、完整地告知。主要内容包括：

 

●用人单位作为个人信息处理者的姓名、联系方式；

●处理目的、处理方式、处理的种类、保存期限；

●个人针对用人单位处理个人信息的权利和程序。

 

用人单位在特殊情形下履行告知义务：

 

1.告知员工的部分事项发生变更的，应当将变更部分告知个人。

 

2.紧急情况下为保护自然人的生命健康和财产安全无法及时告知的，应当在紧急情况消失后及时告知。

 

3.若根据法律、行政法规规定应当保密或者不需要告知的情形的，可以不告知。

 

4.对于处理敏感个人信息，除告知上述内容外，还应告知必要性及对个人权益的影响。

 

5.用人单位若存在因合并、分立、解散、被宣告破产等需要转移个人信息的，应当告知个人接受者的名称或姓名及联系方式。接受者应当继续履行相关义务。

 

若需要变更处理方式、目的的，应当经过个人的重新同意。

 

四、合规建议

 

1.提高员工个人信息保护意识。用人单位作为个人信息处理者应当有意识地去保护员工个人信息，思考员工个人信息保护的方式、方法。

 

2.建立健全员工个人信息保护制度并落地执行。建立健全员工个人信息保护制度的目的在于确保个人信息保护有所依据，员工个人信息保护制度应当包括个人信息保护的目的、处理的方式、处理的机构、审批流程、保护措施、员工个人享有的权利及履行的程序、责任追究等。

 

3.充分了解个人信息保护的合规义务。合规义务是指用人单位在处理员工个人信息过程中的法律、行政法规、行业规范、公序良俗等所要求必须履行的义务，若不履行或怠于履行义务将会受到包括民事、行政、刑事责任的追究。

 

---