近几年,监管机构越来越重视对企业在生产、经营过程中涉及数据安全以及个人信息保护性相关的问题;随着《网络安全法》、《数据安全法》以及《个人信息保护法》三部数据安全及个人信息保护直接相关的基础性法律的发布、实施以来;监管重点工作的变化以及多个政府监管部门多管齐下的规制下,数据安全治理及个人信息保护合规落地已初见成效。对于企业的用户/客户等个人信息权益保护,企业可以做到基本符合监管要求及法律法规的规定;但对于企业内部员工个人信息保护往往不受重视。
本篇内容将从企业招聘入职离职等三个阶段分段阐述企业在触及员工个人信息的情况下如何能够做到依法合规。
一、招聘阶段
企业在招聘时通常会通过自有官方渠道、专业网络招聘平台以及委托给第三方专业招聘服务商等三种方式招聘所需要的人才。
企业自有渠道招聘的,会通过官方网站或自媒体发布招聘内容,如企业官方招聘网站、App、微信公众号、小程序等)发布招聘信息;并提供注册途径。
在应聘过程中企业常会有过度收集个人信息的可能性。笔者认为,企业在招聘、面试环节时收集的候选人的相关个人信息是受到本人默示授权的,从实务角度看其是有合理性的。但即便如此,面试环节企业收集的个人信息也仍应遵循合理、必要、目的明确的原则,即需要企业根据招聘岗位的需要,合理适度的收集相关信息,重点关注跟候选人工作相关的信息,工作经历、工作经验、学历、个人工作能力、个人联系方式等等。如果超出了必要的限度可能涉及违规。当然,在求职面试时,企业通常给候选人一个《个人信息表》里面涉及候选人的姓名、电话、住址、户籍(原籍和现籍)、政治面貌、身高、体重、特长、爱好;个人家庭信息,父母、配偶、子女等;个人工作经历,如上几份工作单位、工作岗位、工作内容;个人学历,如最高学历,学校,学位证书、学历证书编号等等;职业证书等等;笔者认为,针对招聘岗位相关个人联系方式、居住概况,以及工作经历、学历信息、个人能力相关信息的获取是有必要的,如上述信息中,个人户籍、政治面貌、身高、体重、特长、爱好、个人家庭成员及联系方式、个人生育情况、个人婚姻状况等情况为与工作岗位招聘不相关的信息,候选人可以不提供相关信息。
同上,如果个人信息是通过小程序、企业app、企业自己的官方招聘渠道、以及二维码页面收集而获取的,招聘面试阶段也同样要遵循以上最小必要、公开透明的原则,否则可能出现过度收集候选人个人信息的情况。
企业通过网络招聘平台招聘的情况下,需要注意选择正规(资质审核)合法的网络招聘平台,在跟招聘平台合作之初应通过订立完善的(包含招聘过程中收集信息的合规要求条款)合作协议明确招聘网络平台需要按照《个人信息保护法》以及《劳动法》等相关法律法规的要求执行个人信息保护的相关合规要求,并提示平台在获取相关应聘者个人信息时应取得授权,并将收集的个人信息在传输或共享、合作过程中进行充分的说明,如app或者网站发布的用户协议、隐私政策等文件中应明确网络招聘平台、应聘者各自的职责、权利义务,并将各类收集、使用、存储、共享等按照相关法律法规要求进行详细说明,列明“双清单”已让应聘者在使用过程中是明确知悉的。同样的,企业作为网络招聘平台的另一类用户,也同样需要网络招聘平台满足以上个人信息合规的要求。
企业通过第三方专业招聘公司协助招聘人才的情况,需要跟候选人、代理猎头企业三者之间产生信息的收集、流转、处理等。首先,跟猎头等代理服务公司之间:(1)筛选合适的第三方猎头公司或人力资源服务公司进行合作。(2)双方仍需要通过合作协议将相关权利义务、以及各阶段对于个人信息如何收集、使用等约定明确。(3)需要根据不同的阶段,(如初选合适的候选人或终选合适的候选人)明确收集的信息种类、程度、范围等;(4)猎头公司需要跟背调候选人签署个人信息保护的相关协议,明确在背景调查中双方各自的权利义务。其次,企业与终选候选人之间关于个人信息收集、使用的相关合规要求,需要在背景调查开始前,征得候选人的同意,并签署个人信息保护相关协议,明确企业在背景调查阶段获取的信息、以及入职阶段获取的信息、后续如何使用个人相关信息;如双方未达成一致情况下候选人的信息将如何处理等。此阶段仍需注意,仅涉及招聘岗位所要求的必要信息,不应过度收集无关个人信息;如涉及收集、使用个人敏感信息的,需要单独向候选人告知并征得同意再收集、使用。
二、在职阶段
(一)入职阶段涉及的个人信息合规义务
在双方就招聘岗位达成一致,入职前,企业需要向应聘者明确办理入职需要提供的相关个人信息。通常情况下,需要向企业人力资源部门提供:个人基本信息、学历信息、家庭住址、家庭人员信息、个人银行卡、个人身体健康情况、配偶、父母、子女、生育情况、婚姻状况、知识技能、既往工作经验等。根据《劳动合同法》第8条,用人单位有权了解员工与劳动合同直接相关的基本情况;且第17条进一步明确了劳动合同中应该有的条款,因此,企业此时获取员工的姓名、住址、身份证号码(或其他有效身份证件号码)、健康状况、知识技能、工作经历等与劳动合同直接相关的基本个人信息,是基于订立、履行劳动合同所必要的信息,不需要单独另行征得员工同意。
另外,个人的社保卡、银行卡等为员工缴纳社保、公积金、发放薪酬等必须的信息,属于用人单位为履行法定义务所需要的信息,此部分信息理应属于必要个人信息范畴。还有部分企业提供员工该相关福利待遇,如企业为员工额外购买的商业保险、员工体检等会获取员工健康状况,获取员工家庭成员的身份证号码等敏感信息,也属于为履行劳动合同所需要的信息,也属于个人信息收集的合理范畴。但关于个人信息中的婚姻状况、生育状况、是否为乙肝表面抗原携带者、户籍地等信息则为履行劳动合同非必要信息,企业应当注意。
(二)在职阶段办公场所涉及的个人信息保护
企业在办公场所安装监控摄像头较为常见,笔者认为,企业的办公区域分为多种,比如共享办公区域,会议室,有的企业办公楼有健身房、更衣室、沐浴室、哺乳室、个人办公室、洗手间、员工宿舍等多个功能区域。前述更衣室、哺乳室、沐浴室、洗手间、宿舍等不属于公共区域,应当避免安装摄像头。针对公共办公区域,会议室等办公场所,安装摄像头需要单独告知摄像区域(如张贴警示标语等作为提示)。
针对办公区域人脸识别/指纹识别设备获取员工人脸信息是否为必要?笔者认为,涉及处理人脸信息、指纹信息等个人生物识别信息,属于敏感个人信息,需要获取员工的单独同意的,否则不建议使用。除非企业实施该行为是履行法定职责或法定义务所必需,例如门禁安全或考勤打卡有其他适当方式如卡片式解锁等形式不涉及收集员工人脸信息或指纹生物信息,不是必须使用人脸识别方式。
企业通常在入职时提供员工办公电脑、移动电话、工作邮箱或其他信息系统,但通常出于经营管理需要,会对提供给员工的电脑、手机、邮箱、网站等浏览信息进行技术监控,企业这样做有其合理诉求,此种情况,需要提前告知员工收集信息种类、目的、方式、范围、保存期限,并征得员工同意后收集使用,如果获取了员工银行卡账号、交易信息等应单独取得员工同意。
企业给在职员工提供企业福利,如提供员工额外商业保险、员工团建活动、员工加班打车福利等,服务商会获取员工个人信息,甚至敏感个人信息,如身份证号码,健康情况,个人GPS定位信息等。企业应提前告知提供服务需要收集的信息、并将此部分信息在劳动合同中或者员工手册中进行明确告知或另行单独告知;另,针对服务商,企业应要求合作方(保险公司等)提供个人信息保护相关措施、制度;并在合作协议中明确要求按照《个保法》要求履行信息保护的义务,双方的权利义务以及出现个人信息保护违规情况下的责任承担。
跨国公司或外资企业存在全球多国多地方的员工需要管理,可能存在将境内员工个人信息传输至国外公司或国外集团总部的情况。此时应注意:
(1) 企业个人信息出境需要根据《网络安全法》《数据出境安全评估办法(征求意见稿)》对于跨境传输的合法性、正当性、必要性,规模、范围、种类、敏感程度;数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等,以及采取的必要措施进行评估审查,评估记录应当保存至少3年。
(2) 根据《数据出境安全评估办法(征求意见稿)》,如果企业处理的个人信息达一百万人、累计向境外提供超过十万人以上个人信息或一万人以上的敏感个人信息,那么企业将员工个人信息传输出境前需要经过国家网信部门安全评估并按规定与境外接收方订立个人信息出境标准合同。
(3) 个人信息跨境传输需要单独获取员工同意。企业跨境传输个人信息时应向员工告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并应征得员工同意,征得同意的方式可以约定在劳动合同中、或者员工手册中、或者单独签署书面同意书也可。
三、离职阶段
企业与员工解除劳动关系时,员工的个人信息如何处理?此时,根据《劳动合同法》第50条规定,企业应将劳动合同文本至少保存2年备查。此规定要求企业将与员工的劳动合同保存至少2年。根据《个保法》规定,处理目的已实现、无法实现或为实现目的不再必要的,应当主动删除。因此,结合法律规定,笔者认为,可以区分情况处理。对于高级管理者、核心人才的个人信息的留存应该结合企业实际情况留存,如企业认为确有必要的,可以基于履行合同的必要,在入职或在职期间或离职前告知员工并征得员工单独同意再保留,如员工不同意留存,应当按照规定处理,但遗憾的是,实践中对于如何判定“基于履行合同的必要“还不明晰,有待观察;对于普通员工的相关信息,应于员工离职时进行删除、销毁处理。
企业与员工解除劳动关系后,员工新入职的公司需要原所在公司配合进行员工工作履历的调查及询问,企业可以根自身情况进行回复。根据法律规定,企业应当向员工履行告知+同意义务。可以采取的方式为:入职前、在职期间或离职前,将此背景调查所需要提供获取的信息告知员工并征得员工同意,实践中比较便常的做法为,在劳动合同及补充协议、员工手册等文件中直接明确企业会因配合第三方公司调查提供在职/离职员工的相关信息,并由员工签署纸质或电子版确认文件。
发表评论 取消回复