雇员个人信息合规法律问题研究
2021.03.29 马建军 张婉 卢珍 何婧 何婷婷 朱奕
一、主要当事方及法律关系(以图表方式)
二、现有主要法律环境介绍(包括法律政策、法律学说等)
类型 | 法律政策 | 日期 |
法律 | 《中华人民共和国民法典》 第四编人格权 第六章隐私权和个人信息保护 | 2021年01月01日生效 |
《中华人民共和国个人信息保护法(草案)》 | 2020年10月21日发布 | |
《中华人民共和国数据安全法(草案)》 | 2020年07月03日发布 | |
《中华人民共和国网络安全法》 | 2017年06月01日生效 | |
《全国人民代表大会常务委员会关于加强网络信息保护的决定》 | 2012年12月28日生效 | |
部门规章 | 《网络安全审查办法》 | 2020年06月01日生效 |
《个人信息出境安全评估办法(征求意见稿)》 | 2019年06月13日发布 | |
国家规范 | 《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020) | 2021年06月01日生效 |
《信息安全技术 个人信息安全规范》(GB/T 35273-2020) | 2020年10月01日生效 |
三、现实中的主要法律问题及初步结论
个保法出台后,企业处理雇员个人信息是否仍应以员工同意为依据?雇员个人信息概括授权文件今后是否继续有效?
企业如何收集及处理雇员敏感个人信息(例如生物识别信息,行踪轨迹等)?
企业跨境传输雇员个人信息需如何操作?
企业如何应对雇员可能提出的个人信息权利要求?
企业如何确定雇员个人信息及材料的保存期限?
企业将可能需要采取哪些雇员个人信息合规工作?
四、现实中的主要法律问题及初步结论(续)
在未来个保法出台后,现有雇员概括授权同意文件可能不足以满足法律要求,企业可能需要准备类似欧洲地区Privacy Notice以及特定场景下的雇员明示同意文件。
企业收集及处理雇员敏感个人信息,可能须根据最终生效的个保法要求采取相应合规行动,包括准备单独告知同意函,准备风险评估报告及相应记录等。
对一般企业,可考虑继续跨境传输雇员个人信息,但需满足雇员单独同意、与境外接收方签订合同、事前风险评估等合规措施。
对CIIO或个人信息处理达到规定数量的企业,可考虑境内存储,或在满足网信部门安全评估程序,以及其他跨境提供合规要求情况下跨境传输。
雇员个人信息处理告知函应列举雇员享有的个人信息权利的行使方式及程序,关于雇员个人信息的企业规章制度中可细化个人信息权利行使的要求及程序。
雇员个人信息的保存期限应考虑现有法律法规要求,包括但不限于劳动法、档案管理规定及个人信息保护法律中的最小化使用原则。
企业雇员个人信息合规工作包括:准备雇员个人信息处理告知函及同意函;准备与各类第三方(受托方、境外关联方、共同处理者)签订雇员个人信息处理协议;制定雇员个人信息保护及保存期限相关规章制度;采取雇员个人信息安全的技术及管理措施,如分级分类管理、安全技术措施、设置操作权限及人员培训;定期审计;安全事件应急预案;特定场景事前风险评估;申诉机制等。
五、现实中的律师可提供的法律服务
企业雇员个人信息合规尽职调查及报告准备
企业雇员个人信息合规文件起草,包括员工个人信息告知函/同意函、与各类第三方的个人信息处理协议及个人信息保护相关公司规章制度等
企业雇员特定个人信息处理场景下的事前风险评估报告
雇员个人信息合规专项培训
雇员个人信息合规定期审计
雇员个人信息合规日常咨询
