近幾年,監管機構越來越重視對企業在生產、經營過程中涉及數據安全以及個人信息保護性相關的問題;隨著《網絡安全法》、《數據安全法》以及《個人信息保護法》三部數據安全及個人信息保護直接相關的基礎性法律的發布、實施以來;監管重點工作的變化以及多個政府監管部門多管齊下的規制下,數據安全治理及個人信息保護合規落地已初見成效。對於企業的用戶/客戶等個人信息權益保護,企業可以做到基本符合監管要求及法律法規的規定;但對於企業內部員工個人信息保護往往不受重視。
本篇內容將從企業招聘入職離職等三個階段分段闡述企業在觸及員工個人信息的情況下如何能夠做到依法合規。
一、招聘階段
企業在招聘時通常會通過自有官方渠道、專業網絡招聘平臺以及委托給第三方專業招聘服務商等三種方式招聘所需要的人才。
企業自有渠道招聘的,會通過官方網站或自媒體發布招聘內容,如企業官方招聘網站、App、微信公眾號、小程序等)發布招聘信息;並提供注冊途徑。
在應聘過程中企業常會有過度收集個人信息的可能性。筆者認為,企業在招聘、面試環節時收集的候選人的相關個人信息是受到本人默示授權的,從實務角度看其是有合理性的。但即便如此,面試環節企業收集的個人信息也仍應遵循合理、必要、目的明確的原則,即需要企業根據招聘崗位的需要,合理適度的收集相關信息,重點關注跟候選人工作相關的信息,工作經曆、工作經驗、學曆、個人工作能力、個人聯系方式等等。如果超出了必要的限度可能涉及違規。當然,在求職面試時,企業通常給候選人一個《個人信息表》裡面涉及候選人的姓名、電話、住址、戶籍(原籍和現籍)、政治面貌、身高、體重、特長、愛好;個人家庭信息,父母、配偶、子女等;個人工作經曆,如上幾份工作單位、工作崗位、工作內容;個人學曆,如最高學曆,學校,學位證書、學曆證書編號等等;職業證書等等;筆者認為,針對招聘崗位相關個人聯系方式、居住概況,以及工作經曆、學曆信息、個人能力相關信息的獲取是有必要的,如上述信息中,個人戶籍、政治面貌、身高、體重、特長、愛好、個人家庭成員及聯系方式、個人生育情況、個人婚姻狀況等情況為與工作崗位招聘不相關的信息,候選人可以不提供相關信息。
同上,如果個人信息是通過小程序、企業app、企業自己的官方招聘渠道、以及二維碼頁面收集而獲取的,招聘面試階段也同樣要遵循以上最小必要、公開透明的原則,否則可能出現過度收集候選人個人信息的情況。
企業通過網絡招聘平臺招聘的情況下,需要注意選擇正規(資質審核)合法的網絡招聘平臺,在跟招聘平臺合作之初應通過訂立完善的(包含招聘過程中收集信息的合規要求條款)合作協議明確招聘網絡平臺需要按照《個人信息保護法》以及《勞動法》等相關法律法規的要求執行個人信息保護的相關合規要求,並提示平臺在獲取相關應聘者個人信息時應取得授權,並將收集的個人信息在傳輸或共享、合作過程中進行充分的說明,如app或者網站發布的用戶協議、隱私政策等文件中應明確網絡招聘平臺、應聘者各自的職責、權利義務,並將各類收集、使用、存儲、共享等按照相關法律法規要求進行詳細說明,列明“雙清單”已讓應聘者在使用過程中是明確知悉的。同樣的,企業作為網絡招聘平臺的另一類用戶,也同樣需要網絡招聘平臺滿足以上個人信息合規的要求。
企業通過第三方專業招聘公司協助招聘人才的情況,需要跟候選人、代理獵頭企業三者之間產生信息的收集、流轉、處理等。首先,跟獵頭等代理服務公司之間:(1)篩選合適的第三方獵頭公司或人力資源服務公司進行合作。(2)雙方仍需要通過合作協議將相關權利義務、以及各階段對於個人信息如何收集、使用等約定明確。(3)需要根據不同的階段,(如初選合適的候選人或終選合適的候選人)明確收集的信息種類、程度、範圍等;(4)獵頭公司需要跟背調候選人簽署個人信息保護的相關協議,明確在背景調查中雙方各自的權利義務。其次,企業與終選候選人之間關於個人信息收集、使用的相關合規要求,需要在背景調查開始前,征得候選人的同意,並簽署個人信息保護相關協議,明確企業在背景調查階段獲取的信息、以及入職階段獲取的信息、後續如何使用個人相關信息;如雙方未達成一致情況下候選人的信息將如何處理等。此階段仍需注意,僅涉及招聘崗位所要求的必要信息,不應過度收集無關個人信息;如涉及收集、使用個人敏感信息的,需要單獨向候選人告知並征得同意再收集、使用。
二、在職階段
(一)入職階段涉及的個人信息合規義務
在雙方就招聘崗位達成一致,入職前,企業需要向應聘者明確辦理入職需要提供的相關個人信息。通常情況下,需要向企業人力資源部門提供:個人基本信息、學曆信息、家庭住址、家庭人員信息、個人銀行卡、個人身體健康情況、配偶、父母、子女、生育情況、婚姻狀況、知識技能、既往工作經驗等。根據《勞動合同法》第8條,用人單位有權了解員工與勞動合同直接相關的基本情況;且第17條進一步明確了勞動合同中應該有的條款,因此,企業此時獲取員工的姓名、住址、身份證號碼(或其他有效身份證件號碼)、健康狀況、知識技能、工作經曆等與勞動合同直接相關的基本個人信息,是基於訂立、履行勞動合同所必要的信息,不需要單獨另行征得員工同意。
另外,個人的社保卡、銀行卡等為員工繳納社保、公積金、發放薪酬等必須的信息,屬於用人單位為履行法定義務所需要的信息,此部分信息理應屬於必要個人信息範疇。還有部分企業提供員工該相關福利待遇,如企業為員工額外購買的商業保險、員工體檢等會獲取員工健康狀況,獲取員工家庭成員的身份證號碼等敏感信息,也屬於為履行勞動合同所需要的信息,也屬於個人信息收集的合理範疇。但關於個人信息中的婚姻狀況、生育狀況、是否為乙肝表面抗原攜帶者、戶籍地等信息則為履行勞動合同非必要信息,企業應當注意。
(二)在職階段辦公場所涉及的個人信息保護
企業在辦公場所安裝監控攝像頭較為常見,筆者認為,企業的辦公區域分為多種,比如共享辦公區域,會議室,有的企業辦公樓有健身房、更衣室、沐浴室、哺乳室、個人辦公室、洗手間、員工宿舍等多個功能區域。前述更衣室、哺乳室、沐浴室、洗手間、宿舍等不屬於公共區域,應當避免安裝攝像頭。針對公共辦公區域,會議室等辦公場所,安裝攝像頭需要單獨告知攝像區域(如張貼警示標語等作為提示)。
針對辦公區域人臉識別/指紋識別設備獲取員工人臉信息是否為必要?筆者認為,涉及處理人臉信息、指紋信息等個人生物識別信息,屬於敏感個人信息,需要獲取員工的單獨同意的,否則不建議使用。除非企業實施該行為是履行法定職責或法定義務所必需,例如門禁安全或考勤打卡有其他適當方式如卡片式解鎖等形式不涉及收集員工人臉信息或指紋生物信息,不是必須使用人臉識別方式。
企業通常在入職時提供員工辦公電腦、移動電話、工作郵箱或其他信息系統,但通常出於經營管理需要,會對提供給員工的電腦、手機、郵箱、網站等浏覽信息進行技術監控,企業這樣做有其合理訴求,此種情況,需要提前告知員工收集信息種類、目的、方式、範圍、保存期限,並征得員工同意後收集使用,如果獲取了員工銀行卡賬號、交易信息等應單獨取得員工同意。
企業給在職員工提供企業福利,如提供員工額外商業保險、員工團建活動、員工加班打車福利等,服務商會獲取員工個人信息,甚至敏感個人信息,如身份證號碼,健康情況,個人GPS定位信息等。企業應提前告知提供服務需要收集的信息、並將此部分信息在勞動合同中或者員工手冊中進行明確告知或另行單獨告知;另,針對服務商,企業應要求合作方(保險公司等)提供個人信息保護相關措施、制度;並在合作協議中明確要求按照《個保法》要求履行信息保護的義務,雙方的權利義務以及出現個人信息保護違規情況下的責任承擔。
跨國公司或外資企業存在全球多國多地方的員工需要管理,可能存在將境內員工個人信息傳輸至國外公司或國外集團總部的情況。此時應注意:
(1) 企業個人信息出境需要根據《網絡安全法》《數據出境安全評估辦法(征求意見稿)》對於跨境傳輸的合法性、正當性、必要性,規模、範圍、種類、敏感程度;數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;數據出境中和出境後遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等,以及采取的必要措施進行評估審查,評估記錄應當保存至少3年。
(2) 根據《數據出境安全評估辦法(征求意見稿)》,如果企業處理的個人信息達一百萬人、累計向境外提供超過十萬人以上個人信息或一萬人以上的敏感個人信息,那麼企業將員工個人信息傳輸出境前需要經過國家網信部門安全評估並按規定與境外接收方訂立個人信息出境標準合同。
(3) 個人信息跨境傳輸需要單獨獲取員工同意。企業跨境傳輸個人信息時應向員工告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,並應征得員工同意,征得同意的方式可以約定在勞動合同中、或者員工手冊中、或者單獨簽署書面同意書也可。
三、離職階段
企業與員工解除勞動關系時,員工的個人信息如何處理?此時,根據《勞動合同法》第50條規定,企業應將勞動合同文本至少保存2年備查。此規定要求企業將與員工的勞動合同保存至少2年。根據《個保法》規定,處理目的已實現、無法實現或為實現目的不再必要的,應當主動刪除。因此,結合法律規定,筆者認為,可以區分情況處理。對於高級管理者、核心人才的個人信息的留存應該結合企業實際情況留存,如企業認為確有必要的,可以基於履行合同的必要,在入職或在職期間或離職前告知員工並征得員工單獨同意再保留,如員工不同意留存,應當按照規定處理,但遺憾的是,實踐中對於如何判定“基於履行合同的必要“還不明晰,有待觀察;對於普通員工的相關信息,應於員工離職時進行刪除、銷毀處理。
企業與員工解除勞動關系後,員工新入職的公司需要原所在公司配合進行員工工作履曆的調查及詢問,企業可以根自身情況進行回複。根據法律規定,企業應當向員工履行告知+同意義務。可以采取的方式為:入職前、在職期間或離職前,將此背景調查所需要提供獲取的信息告知員工並征得員工同意,實踐中比較便常的做法為,在勞動合同及補充協議、員工手冊等文件中直接明確企業會因配合第三方公司調查提供在職/離職員工的相關信息,並由員工簽署紙質或電子版確認文件。
發表評論 取消回複