石先廣

向境外提供員工個(gè)人信息有哪些要求

對于外資企業(yè)來說，在中國境內(nèi)的公司出于人事管理的需要向境外母公司或關(guān)聯(lián)公司或合作伙伴提供員工個(gè)人信息的現(xiàn)象也屢見不鮮，有很多企業(yè)的服務(wù)器甚至直接放在了境外。這就涉及個(gè)人信息的跨境提供，也有很多問題值得外企關(guān)注。

●個(gè)人信息跨境提供的前提條件

雖然對大部分外企來說，達(dá)不到服務(wù)器必須放在中國境內(nèi)的觸發(fā)條件。服務(wù)器放在境外就屬于向境外提供個(gè)人信息了，需要滿足個(gè)人信息出境的前提條件，參見圖1、圖2：

這幾個(gè)前提條件，如同處理敏感個(gè)人信息，需要注意相關(guān)義務(wù)的履行。這里同樣存在“單獨(dú)同意”的理解與適用問題，就不再重復(fù)。個(gè)人信息跨境提供的，需要事前開展個(gè)人信息保護(hù)影響評(píng)估，并保存3年。

●個(gè)人信息跨境提供所需的條件

即便外企向境外提供個(gè)人信息滿足了前提條件，如單獨(dú)同意、影響評(píng)估報(bào)告也做好了等等，但個(gè)人信息跨境提供還需要滿足所需的條件，參見圖3。

估計(jì)外企HR看了以上條條框框比較頭疼，這也是最近不少外企HR、法務(wù)委托我們出具法律意見書，盡量說服外國人將涉及中國員工個(gè)人信息的服務(wù)器盡量放回中國境內(nèi)的原因。畢竟，服務(wù)器放回中國境內(nèi)，可以一勞永逸地解決上述問題，否則，今后可能面臨不少的溝通成本、涉及個(gè)人信息保護(hù)的事務(wù)性工作等等。

與第三方合作開展員工關(guān)系管理工作，應(yīng)注意哪些事項(xiàng)

在企業(yè)人力資源管理中，還經(jīng)常會(huì)出現(xiàn)與第三方合作的問題，如人事代理中的委托招聘、委托背景調(diào)查、委托代發(fā)工資、委托代繳社保、委托購買商業(yè)保險(xiǎn)；再如推行電子勞動(dòng)合同的，將勞動(dòng)者個(gè)人信息存儲(chǔ)在第三方平臺(tái)上等等。這些委托事項(xiàng)的處理，也涉及職工個(gè)人信息的處理。對此，《個(gè)人信息保護(hù)法》也有相應(yīng)的規(guī)范，參見圖4。

因此，用人單位與第三方合作，涉及處理職工個(gè)人信息的（處理的含義前面已介紹，包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除），雙方的商務(wù)合同中也應(yīng)注意按照《個(gè)人信息保護(hù)法》的規(guī)定，增加相關(guān)個(gè)人信息處理的條款。

《個(gè)人信息保護(hù)法》第二十三條規(guī)定，個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。

這里又出現(xiàn)了“單獨(dú)同意”的情形，如何理解和適用，如同前面的論述，這里不再贅述。

處理個(gè)人信息應(yīng)遵循哪些原則

用人單位處理員工的個(gè)人信息，即便獲得了員工的同意或?yàn)閷?shí)施人力資源管理所必需，在處理員工個(gè)人信息時(shí)也應(yīng)注意法律規(guī)定的原則，《個(gè)人信息保護(hù)法》第五條至第九條規(guī)定了處理個(gè)人信息應(yīng)遵循的原則，具體總結(jié)如下：

●合法性原則

處理個(gè)人信息必須依法進(jìn)行，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

●正當(dāng)性原則

處理自然人個(gè)人信息應(yīng)當(dāng)具有正當(dāng)性目的，不能出于窺探個(gè)人隱私或其他非法目的。

●必要性原則

處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，有一定的必要性。

●誠信原則

誠實(shí)守信是所有民事活動(dòng)的基本原則，處理個(gè)人信息，尤其是用人單位處理員工的個(gè)人信息更應(yīng)注意誠實(shí)信用原則。

●最小限度原則

不得過度收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍；應(yīng)采取對個(gè)人權(quán)益影響最小的處理方式；對于獲得個(gè)人信息，應(yīng)當(dāng)注意知悉范圍或傳播范圍的限制，應(yīng)限定最小的知悉范圍，尤其是在用工管理中，應(yīng)當(dāng)僅限于有關(guān)的管理層知悉，不能擴(kuò)大至其他員工；應(yīng)保存最短的期限，《個(gè)人信息保護(hù)法》第十九條規(guī)定，除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。

●公開透明原則

應(yīng)公開處理信息的規(guī)則，明示處理信息的目的、方式和范圍。

●質(zhì)量保證原則

處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對個(gè)人權(quán)益造成不利影響，例如員工工作年限不準(zhǔn)確會(huì)影響醫(yī)療期、年休假的計(jì)算。

●安全保障原則

個(gè)人信息的使用與處理必須建立在保證信息安全的基礎(chǔ)上。筆者認(rèn)為，必要原則、最小限度原則是不易把握、易引發(fā)糾紛的，如用人單位為預(yù)防職場舞弊讓員工申報(bào)親朋好友關(guān)系，某知名電商曾要求職工申報(bào)同學(xué)關(guān)系，自小學(xué)同學(xué)開始申報(bào)，這個(gè)是否屬于符合必要和最小限度原則，是否屬于過度要求？

再如，病假管理中，要求員工除提供掛號(hào)單、病假證明外，還要提供病歷，是否屬于過度收集個(gè)人信息？這些問題，肯定是仁者見仁智者見智了，且一旦發(fā)生勞動(dòng)爭議，不同的價(jià)值取向會(huì)導(dǎo)致案件結(jié)果的天壤之別。

員工在個(gè)人信息處理中有哪些權(quán)利

《個(gè)人信息保護(hù)法》與《民法典》的有關(guān)規(guī)定相銜接，明確在個(gè)人信息處理活動(dòng)中個(gè)人的各項(xiàng)權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)、轉(zhuǎn)移權(quán)、刪除權(quán)（又稱被遺忘權(quán)）、要求解釋權(quán)、代行使權(quán)等。

有關(guān)員工的這些權(quán)利體現(xiàn)在《個(gè)人信息保護(hù)法》第四章中的個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，不再具體展開介紹。員工的權(quán)利行使也會(huì)面臨不少問題，如離職員工要求用人單位刪除個(gè)人信息、歸還入職登記資料等，用人單位應(yīng)保管多久？這涉及離職員工個(gè)人信息保管時(shí)間問題，有些信息還涉及勞動(dòng)爭議處理，不能立即刪除，否則，會(huì)影響用人單位的舉證能力。09379C87-2122-40DD-844C-9C183688E497

用人單位在處理員工個(gè)人信息時(shí)有哪些義務(wù)

如前所述，用人單位也是法律規(guī)定的個(gè)人信息處理者，個(gè)人信息處理者的義務(wù)主要體現(xiàn)在《個(gè)人信息保護(hù)法》第五章中的個(gè)人信息處理者的義務(wù)，具體可以歸納為以下幾點(diǎn)：

1.制定內(nèi)部管理制度和操作規(guī)程；

2.分類管理個(gè)人信息；

3.采取安全技術(shù)措施；

4.管理培訓(xùn)內(nèi)部人員；

5.制訂應(yīng)急預(yù)案；

6.其他相關(guān)措施。

以上規(guī)定為用人單位在個(gè)人信息管理的建章立制方面提供了指引，用人單位的勞動(dòng)規(guī)章制度中也應(yīng)增加個(gè)人信息處理的相關(guān)條款。

員工的個(gè)人信息受保護(hù)權(quán)與用人單位哪些權(quán)利會(huì)產(chǎn)生沖突

按《民法典》和《個(gè)人信息保護(hù)法》的規(guī)定，自然人的個(gè)人信息權(quán)益受法律保護(hù)。但是，用人單位與勞動(dòng)者之間存在管理與被管理的關(guān)系，員工的個(gè)人信息權(quán)益必然會(huì)與用人單位的相關(guān)權(quán)利產(chǎn)生碰撞、摩擦，具體而言，筆者認(rèn)為主要有以下幾個(gè)沖突：

●員工個(gè)人信息權(quán)益 VS.用人單位知情權(quán)

《勞動(dòng)合同法》第八條規(guī)定，用人單位有權(quán)了解勞動(dòng)者與勞動(dòng)合同直接相關(guān)的基本情況，勞動(dòng)者應(yīng)當(dāng)如實(shí)說明。

由此可見，員工有個(gè)人信息受保護(hù)的權(quán)利，但用人單位有對勞動(dòng)者相關(guān)信息知情的權(quán)利，這兩個(gè)權(quán)利就容易產(chǎn)生沖突。因兩個(gè)權(quán)利的邊界不容易把握，什么是與勞動(dòng)合同直接相關(guān)的基本情況也存在爭論。

●員工個(gè)人信息權(quán)益VS.用人單位管理權(quán)

勞動(dòng)者與用人單位建立勞動(dòng)關(guān)系之后，應(yīng)當(dāng)接受用人單位的管理，但勞動(dòng)者在接受用人單位的管理中也有獨(dú)立的人格，在勞動(dòng)關(guān)系領(lǐng)域就會(huì)產(chǎn)生員工個(gè)人信息受保護(hù)權(quán)與用人單位管理權(quán)的沖突，如用人單位將指紋考勤切換為人臉識(shí)別考勤，員工若拒絕用人單位采集人臉信息就會(huì)產(chǎn)生爭議；再如用人單位要為外勤、銷售人員配備具有定位功能的手機(jī)或電子產(chǎn)品，員工不同意的，也會(huì)產(chǎn)生爭議。

●員工個(gè)人信息權(quán)益VS.用人單位調(diào)查權(quán)

勞動(dòng)者與用人單位有發(fā)生勞動(dòng)爭議的苗頭時(shí)，用人單位需要調(diào)查、搜集證據(jù)，在調(diào)查取證時(shí)有可能涉及調(diào)取監(jiān)控視頻、對為員工配備的電子產(chǎn)品進(jìn)行監(jiān)控或恢復(fù)收據(jù)，這個(gè)過程中就會(huì)涉及員工的個(gè)人信息受保護(hù)權(quán)與用人單位調(diào)查取證權(quán)的沖突。

處理個(gè)人信息不當(dāng)有哪些風(fēng)險(xiǎn)

《民法典》《個(gè)人信息保護(hù)法》的相繼實(shí)施，將個(gè)人信息保護(hù)提到了前所未有的高度，用人單位在人力資源管理中也應(yīng)提高處理個(gè)人信息的合規(guī)意識(shí)，否則，處理個(gè)人信息不當(dāng)，會(huì)帶來相應(yīng)的風(fēng)險(xiǎn)，參見圖5。具體風(fēng)險(xiǎn)點(diǎn)有以下幾類：

●被曝光的風(fēng)險(xiǎn)

現(xiàn)代社會(huì)自媒體比較發(fā)達(dá)，每個(gè)人都是一個(gè)媒體人，這就要求HR在人力資源管理各環(huán)節(jié)處理個(gè)人信息時(shí)應(yīng)注意法律的規(guī)定，否則，有被曝光的風(fēng)險(xiǎn)。如在招聘錄用環(huán)節(jié)讓員工填寫戀愛信息、婚育信息、計(jì)劃生育信息等，都有企業(yè)被求職者曝光的典型案例。

●被信用懲戒的風(fēng)險(xiǎn)

《個(gè)人信息保護(hù)法》第六十七條規(guī)定，有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

●承擔(dān)行政責(zé)任的風(fēng)險(xiǎn)

違反法律處理個(gè)人信息，按《個(gè)人信息保護(hù)法》第六十六條和第七十一條的規(guī)定，應(yīng)承擔(dān)相應(yīng)的行政責(zé)任。

需要注意的是，若用人單位侵犯個(gè)人信息，除了對單位罰款外，還會(huì)對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人罰款，若情節(jié)嚴(yán)重的，還有“禁止”的處罰措施，即禁止一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的“ 董事、監(jiān)事、高級(jí)管理人員 ”和個(gè)人信息保護(hù)負(fù)責(zé)人。

●民事責(zé)任的風(fēng)險(xiǎn)

違反《個(gè)人信息保護(hù)法》處理個(gè)人信息，給員工造成損害的，應(yīng)當(dāng)承擔(dān)賠償責(zé)任，對此《個(gè)人信息保護(hù)法》的第六十九條有明確規(guī)定。

●勞動(dòng)爭議敗訴的風(fēng)險(xiǎn)

如前所述，員工的個(gè)人信息受保護(hù)權(quán)與用人單位的知情權(quán)、管理權(quán)、調(diào)查取證權(quán)會(huì)產(chǎn)生沖突，在員工的個(gè)人信息受保護(hù)權(quán)與用人單位知情權(quán)、管理權(quán)、調(diào)查取證權(quán)發(fā)生沖突時(shí)，如何取舍就決定了勞動(dòng)爭議的輸贏。這一點(diǎn)需要引起HR的注意，在處理有關(guān)事項(xiàng)時(shí)，應(yīng)注意個(gè)人信息保護(hù)的有關(guān)規(guī)定，避免踏入其中的雷區(qū)。

●刑事責(zé)任的風(fēng)險(xiǎn)

對此，《個(gè)人信息保護(hù)法》第七十一條規(guī)定，違反本法規(guī)定，構(gòu)成犯罪的，依法追究刑事責(zé)任。其實(shí)，侵犯公民個(gè)人信息早已入刑，而且還有配套的司法解釋：

職場上與個(gè)人信息相關(guān)的糾紛有哪些

根據(jù)已經(jīng)發(fā)生或可能發(fā)生的糾紛情況，筆者認(rèn)為，職場上涉及個(gè)人信息權(quán)益的糾紛大致有以下幾類，參見圖6。

●用人單位VS.勞動(dòng)者

此類糾紛下又可以分為用人單位侵犯員工的個(gè)人信息權(quán)益糾紛，員工拒不配合用人單位處理個(gè)人信息糾紛和員工侵犯其他員工的個(gè)人信息權(quán)益，用人單位給予違紀(jì)處理糾紛這三類。

●勞動(dòng)者VS.勞動(dòng)者

此類糾紛下又可以分為勞動(dòng)者處理工作有關(guān)事務(wù)侵犯其他員工個(gè)人信息權(quán)益和勞動(dòng)者侵犯與工作無關(guān)的其他員工的個(gè)人信息權(quán)益兩類。

●勞動(dòng)者VS.其他第三人

此類糾紛下又可以分為勞動(dòng)者處理工作有關(guān)事務(wù)侵犯其他第三人的個(gè)人信息權(quán)益和勞動(dòng)者侵犯與工作無關(guān)的其他第三人的個(gè)人信息權(quán)益兩類。

HR應(yīng)做哪些落地工作

●學(xué)習(xí)新法律

最起碼應(yīng)該關(guān)注或?qū)W習(xí)一下最新頒布的《個(gè)人信息保護(hù)法》，在人力資源管理中增強(qiáng)個(gè)人信息保護(hù)的法律意識(shí)。

●修訂勞動(dòng)合同文本

《民法典》以及《個(gè)人信息保護(hù)法》的實(shí)施，也是用人單位修訂、完善勞動(dòng)合同文本的契機(jī)。勞動(dòng)合同文本不能僅僅局限于勞動(dòng)法律規(guī)定的內(nèi)容，為了拓展用工自主權(quán)，也為了降低涉?zhèn)€人信息處理的風(fēng)險(xiǎn)，用人單位需要在勞動(dòng)合同文本中增加涉?zhèn)€人信息的相關(guān)條款。

●修訂《員工手冊》

通過前面分析可以看出，在用工管理的各個(gè)環(huán)節(jié)都可能涉及員工的個(gè)人信息。筆者認(rèn)為，為避免相應(yīng)的風(fēng)險(xiǎn)，用人單位應(yīng)重視員工個(gè)人信息保護(hù)，有必要制定相應(yīng)的規(guī)章制度，有關(guān)制度內(nèi)容應(yīng)至少包括個(gè)人信息收集、個(gè)人信息保管、個(gè)人信息使用、個(gè)人信息傳輸、個(gè)人信息刪除等環(huán)節(jié)。

●設(shè)計(jì)相關(guān)表單

要全流程分析用工管理各環(huán)節(jié)涉及處理個(gè)人信息的具體事項(xiàng)、所隱藏的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)規(guī)避的措施，如在招聘環(huán)節(jié)對候選人進(jìn)行背景調(diào)查的，應(yīng)當(dāng)設(shè)計(jì)“背調(diào)個(gè)人信息的授權(quán)書”，并讓應(yīng)聘者簽字確認(rèn)；再如入職環(huán)節(jié)，應(yīng)當(dāng)設(shè)計(jì)“個(gè)人信息授權(quán)使用聲明”等，并讓員工簽收。

●依法要求開展個(gè)人信息保護(hù)評(píng)估（PISIA）

按法律規(guī)定，用人單位在員工管理中處理員工敏感個(gè)人信息、跨境提供個(gè)人信息、委托處理個(gè)人信息、向他人提供員工個(gè)人信息等，需要開展個(gè)人信息保護(hù)影響評(píng)估。

●日常管理注意員工個(gè)人信息保護(hù)問題

以上幾個(gè)方面更多側(cè)重于文本的完善，文本的完善可以為日常管理提供很好的工具，但在日常管理中也應(yīng)注意員工個(gè)人信息的保護(hù)，如對于員工提交的病假材料，HR要注意限定知悉范圍，否則，就有違安全保障原則；再如向員工公告送達(dá)解除勞動(dòng)合同通知書時(shí)，應(yīng)注意員工敏感個(gè)人信息的處理等。

個(gè)人信息不明朗問題處理策略

如前所述，涉及“單獨(dú)同意”的事項(xiàng)，實(shí)施人力資源管理所必需是否可以依據(jù)《個(gè)人信息保護(hù)法》第十三條第二款不需要取得員工的“單獨(dú)同意”？個(gè)人信息處理的必要性原則的“度”如何把握？這些問題目前沒有答案，若遇到此類問題，如員工拒絕采集人臉信息，建議用人單位暫時(shí)采取保守化處理策略，不建議給予違紀(jì)解除激進(jìn)化處理。待相關(guān)規(guī)則、裁判案例進(jìn)一步明確后，再根據(jù)情況進(jìn)行適度調(diào)整。畢竟，法律剛實(shí)施時(shí)，對于不明朗問題，裁判者也是偏保守思維者居多，如《勞動(dòng)合同法》剛實(shí)施時(shí)，不管什么原因沒有簽訂書面勞動(dòng)合同的，都判用人單位支付未簽訂勞動(dòng)合同的2倍工資，后來裁判實(shí)踐又開始糾偏，大部分省市認(rèn)為能證明是勞動(dòng)者不愿意簽訂勞動(dòng)合同的，可不支付2倍工資。

（本文完）

作者 勞達(dá)laboroot副主任律師、高級(jí)合伙人09379C87-2122-40DD-844C-9C183688E497