首页 / 文章发布 / 君合法评 / 君合法评详情

雇员个人信息合规法律问题研究

2021.03.29 马建军 张婉 卢珍 何婧 何婷婷 朱奕

一、主要当事方及法律关系(以图表方式)

2121212.png


二、现有主要法律环境介绍(包括法律政策、法律学说等)


类型

法律政策

日期

法律

《中华人民共和国民法典》  第四编人格权 第六章隐私权和个人信息保护

2021年01月01日生效

《中华人民共和国个人信息保护法(草案)》

2020年10月21日发布

《中华人民共和国数据安全法(草案)》

2020年07月03日发布

《中华人民共和国网络安全法》

2017年06月01日生效

《全国人民代表大会常务委员会关于加强网络信息保护的决定》

2012年12月28日生效

部门规章

《网络安全审查办法》

2020年06月01日生效

《个人信息出境安全评估办法(征求意见稿)》

2019年06月13日发布

国家规范

《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)

2021年06月01日生效

《信息安全技术 个人信息安全规范》(GB/T 35273-2020)

2020年10月01日生效


三、现实中的主要法律问题及初步结论


  • 个保法出台后,企业处理雇员个人信息是否仍应以员工同意为依据?雇员个人信息概括授权文件今后是否继续有效?

  • 企业如何收集及处理雇员敏感个人信息(例如生物识别信息,行踪轨迹等)? 

  • 企业跨境传输雇员个人信息需如何操作? 

  • 企业如何应对雇员可能提出的个人信息权利要求?

  • 企业如何确定雇员个人信息及材料的保存期限?

  • 企业将可能需要采取哪些雇员个人信息合规工作?


四、现实中的主要法律问题及初步结论(续)


  • 在未来个保法出台后,现有雇员概括授权同意文件可能不足以满足法律要求,企业可能需要准备类似欧洲地区Privacy Notice以及特定场景下的雇员明示同意文件。 

  • 企业收集及处理雇员敏感个人信息,可能须根据最终生效的个保法要求采取相应合规行动,包括准备单独告知同意函,准备风险评估报告及相应记录等。

  • 对一般企业,可考虑继续跨境传输雇员个人信息,但需满足雇员单独同意、与境外接收方签订合同、事前风险评估等合规措施。

  • 对CIIO或个人信息处理达到规定数量的企业,可考虑境内存储,或在满足网信部门安全评估程序,以及其他跨境提供合规要求情况下跨境传输。

  • 雇员个人信息处理告知函应列举雇员享有的个人信息权利的行使方式及程序,关于雇员个人信息的企业规章制度中可细化个人信息权利行使的要求及程序。

  • 雇员个人信息的保存期限应考虑现有法律法规要求,包括但不限于劳动法、档案管理规定及个人信息保护法律中的最小化使用原则。

  • 企业雇员个人信息合规工作包括:准备雇员个人信息处理告知函及同意函;准备与各类第三方(受托方、境外关联方、共同处理者)签订雇员个人信息处理协议;制定雇员个人信息保护及保存期限相关规章制度;采取雇员个人信息安全的技术及管理措施,如分级分类管理、安全技术措施、设置操作权限及人员培训;定期审计;安全事件应急预案;特定场景事前风险评估;申诉机制等。


五、现实中的律师可提供的法律服务


  • 企业雇员个人信息合规尽职调查及报告准备

  • 企业雇员个人信息合规文件起草,包括员工个人信息告知函/同意函、与各类第三方的个人信息处理协议及个人信息保护相关公司规章制度等 

  • 企业雇员特定个人信息处理场景下的事前风险评估报告 

  • 雇员个人信息合规专项培训

  • 雇员个人信息合规定期审计

  • 雇员个人信息合规日常咨询

君合是两大国际律师协作组织Lex MundiMultilaw中唯一的中国律师事务所成员,同时还与亚欧主要国家最优秀的一些律师事务所建立Best Friends协作伙伴关系。通过这些协作组织和伙伴,我们的优质服务得以延伸至几乎世界每一个角落。
北京绿化基金会与君合共同发起的“北京绿化基金会碳中和专项基金”,是中国律师行业参与发起设立的第一支碳中和专项基金。旨在充分利用公开募捐平台优势,积极联合社会力量,宣传碳中和理念,鼓励和动员社会单位和个人参与“增汇减排”、“植树造林”等公益活动。