《个人信息保护法》时代员工个人信息保护问题的梳理和解析(一)

实施用工管理与处理员工个人信息密不可分。从收集应聘者的简历到保存离职员工的个人档案，员工个人信息保护问题贯穿用工管理全过程。在此前较长的一段时间内，员工个人信息保护相关规定散见于众多法律、行政法规、部门规章、地方性法规以及各类规范性文件中。其内容庞杂，可操作性不强。2021 年 1 月 1 日起施行的《民法典》对个人信息和个人信息的处理做出定义，并对个人和个人信息处理者各自的主要权利和义务做出了规定。由于种种原因，在《民法典》实施之后员工个人信息保护问题仍未引起用工单位的足够关注和重视。伴随着《个人信息保护法》（下称“《个保法》”）的颁布，这一情形将发生根本性的变化。员工个人信息保护问题在用工管理中的重要程度将很快得到显著提升。

在 2021 年 8 月 20 日闭幕的十三届全国人大常委会第三十次会议中，全国人大常委会审议并通过了《个保法》。这是我国在个人信息保护领域的首部专门法律。一方面，这部法律通过大幅提升与个人信息保护问题有关的法律规范的系统性、针对性和可操作性，将在这一领域提供更加有力的法律保障。另一方面，这部法律将唤醒个人对其个人信息的权利意识，促使其敢于维护其个人信息权益。

《个保法》共有八章 74 条。其内容涵盖个人信息从产生到被删除的完整生命周期内可能涉及的所有重要问题，包括基本概念和适用范围，个人信息处理的原则和规则，个人信息跨境提供的规则，在个人信息处理活动中个人的权利和处理者义务，履行个人信息保护职责的部门，以及违法行为的法律责任等。

《个保法》在正式实施后将对用工管理的几乎所有环节产生重大影响。具体包括以下十一个方面的影响：

• 用人单位在处理员工个人信息时应当始终遵循以下基本原则：采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等。

  
  

• 用人单位应当厘清基于法律许可（比如按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需）处理员工个人信息的范围，基于个人同意处理员工个人信息的范围，以及法律禁止处理的个人信息范围。

  
  

• 用人单位应当注意识别员工的敏感个人信息（比如包括指纹和人脸信息等在内的生物识别信息，健康信息，银行账户信息，行踪轨迹等），遵守关于处理敏感个人信息的特殊要求。

  
  

• 用人单位应当制定一整套员工个人信息保护相关政策和制度，包括个人信息处理规则，个人信息保护内部管理制度和操作规程、个人信息安全事件的应急预案。

  
  

• 用人单位在遇到共同处理（比如与猎头公司共同收集和处理候选人的个人信息）、委托处理（比如委托人力资源服务机构向员工代发工资）或向第三方提供（比如向外部审计师和律师提供员工个人信息）员工个人信息等情形时应当符合相应的法律要求，并与相关方签订协议约定各自权利和义务。

  
  

• 用人单位在遇到跨境提供员工个人信息的情形时（比如基于人力资源管理需要向境外的集团总部提供境内员工的个人信息，以及提供涉及境内员工的合规调查报告等）应当具备法定条件，并且取得员工的单独同意。

  
  

• 用人单位应当通过制定专项政策的方式建立有效机制受理和处理员工对其个人信息行使权利的申请，比如查阅复制权、可携带权、更正补充权、删除权、要求解释权等。

  
  

• 用人单位应当采取有效的安全保护措施确保员工个人信息的安全，包括对个人信息实行分类管理，采取安全技术措施，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训，组织实施个人信息安全事件应急预案，在发生个人信息安全事件时及时采取补救措施并履行通知义务。

  
  

• 用人单位应当对其个人信息处理活动实施合规审计和个人信息保护影响评估。合规审计包括主动审计和被动审计。前者是指用人单位应当定期自行或者委托专业机构对其处理员工个人信息的合规情况主动进行审计。后者是指监管部门在特定情况下，有权要求用人单位委托专业机构对其个人信息处理活动进行审计。此外，用人单位在处理员工敏感个人信息等五种特定情形下，应当进行事前的个人信息保护影响评估并留存记录。

  
  

• 用人单位在处理员工个人信息方面将可能面临两方面的法律风险，即用人单位自身的违法行为所带来的法律风险，以及员工的违法行为（即员工侵害其他同事、客户或合作伙伴的个人信息权益）所带来的法律风险。前述法律风险将可能体现在行政责任、民事责任和刑事责任等三个层面。还需要指出的是，《个保法》所规定的行政责任是采用“双罚制”，既包括对单位的处罚也包括对相关个人的处罚（即直接负责的管理人员和其他直接责任人员）。对个人的处罚不仅包括罚金，还包括市场准入限制（即在一定期限内不得担任董事、监事、高级管理人员和个人信息保护负责人）。对于情节严重的违法行为，单位所面临的罚金高达五千万元以下或者上一年度营业额百分之五以下。

  
  

• 用人单位中所有负责用工管理的人员（包括从事人力资源管理的一线员工、中层管理人员和高级管理人员，负责员工关系管理的专业人员，负责支持人力资源管理相关法律事务的专业人员，以及工作职责中包括用工管理的业务主管）将面临更高的从业要求。该等人员需要熟悉《个保法》中关于处理个人信息的原则、规则和要求，需要具备个人信息保护合规意识，需要掌握与个人信息保护相关的专业术语和常用表述。

鉴于《个保法》对用工管理所带来的上述影响，用人单位应当对其所采取的用工管理措施进行全面梳理和评估，以便对照《个保法》的具体要求识别可能存在法律风险的管理措施，进而制定相应的解决方案。为制定解决方案时，用人单位可以考虑采用《财新周刊》在 2021 年第 29 期的社论中提出的策略，即“消除痛点和难点不可能一蹴而就，要制定科学、有效率的策略，可以考虑根据轻重缓急和难易程度的基础上，采取分出层次有节奏地推进。”基于该等策略，清晰且容易的问题可以考虑先行解决（比如组建个人信息保护合规项目组核心团队并向核心团队成员提供培训）；复杂或者存疑的问题可以考虑暂缓解决，等规则更加明确或市场上出现有共识的解决方案之后再行动。

我们在未来一段时间内将陆续发表关于员工个人信息保护问题的系列研究简讯。我们的研究简讯将结合《个保法》的具体规定和典型案例，对用工管理全过程中的涉及员工个人信息保护的常见问题进行梳理和解析，以便帮助我们的客户和朋友了解《个保法》的具体规定并制定实现合规的解决方案。