企业在人力资源管理过程中,不可避免地需要处理员工的姓名、住址、人脸识别、金融账户等个人信息,《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律法规对此提出了严格的合规要求,企业在个人信息的收集、存储、传输等环节都需要充分履行合规义务。基于此背景,本文将为企业提供一份员工个人信息处理的数据合规指引,帮助企业在基于经营、管理需要收集员工信息时,尽可能防范个人信息保护方面的合规风险。
一
数据合规之于企业人力资源管理的重要意义
企业在人力资源管理过程中,不可避免地需要收集大量的员工个人信息,如员工入职时需要收集员工的姓名、身份证号码、住址等基础信息,在为员工购买社保、发放工资时需要收集员工的金融账号信息,在执行考勤制度或安保管理时需收集员工的人脸识别信息等。
此外,对于规模较大、人员较多的大型企业,其所收集、处理的员工个人信息量也随之增加,许多外资企业、跨境设立分公司、子公司的中国企业甚至还需要引入跨境人力资源管理(提请注意,此处还涉及数据出境的合规需要,本文暂不予展开讨论),该类企业在员工个人信息保护、企业自身内部数据合规方面承担着更为严格的义务。
根据中国的司法实务,企业不履行数据合规义务,将面临多重责任风险。如违规收集、存储个人信息,或者处理个人信息未履行规定的个人信息保护义务的,企业可能面临的风险包括但不限于:被责令改正、罚款、停业整顿甚至吊销营业执照等行政风险,员工以企业侵犯个人信息权请求赔偿等民事风险,企业与员工、公众的信任关系受损等企业声誉风险等。
可见,在当前数字时代,为尽可能地保护员工个人信息、维护企业生产经营稳定性与声誉、防范数据合规义务履行不到位带来的多方面风险,企业经营者为实施人力资源管理搭建完整的内部数据合规体系势在必行。
二
数据收集合规要点
1. 收集员工个人信息时注意标识“敏感信息”
公司收集员工信息时,首先应注意的即所收集信息是否属于“敏感信息”,根据《中华人民共和国个人信息保护法》,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身 、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。对此,建议企业在收集员工信息时与员工签订《员工个人信息收集声明》,并将一般个人信息与敏感信息以明显方式进行区分,列在文件的不同区域,对敏感信息部分,进行标黑、加粗等,从而证明公司已明确告知员工将收集哪些个人敏感信息,保障了员工的知情权。
2. 公司在处理个人敏感信息时应注意取得员工的“单独同意”
“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为。与之相对的概念是“一揽子同意”,即个人通过一次授权操作(例如在交互界面上主动勾选同意选项)来同意多种目的或方式的个人信息处理活动。单独同意须同时满足实质和形式的要求。在实质上,需满足《中华人民共和国个人信息保护法》所规定的“知情”“自愿”“明确”三个要件,通过“不同意则无法使用”“与其他授权捆绑同意”等强迫或变相强迫取得的同意无效。在形式上,需以独立弹窗、页面或者在隐私政策内突出文本等方式加以告知,并通过独立的弹窗、页面在告知用户后单独取得同意。对于同意获取的交互方式,可参考《信息安全技术个人信息告知同意指南(征求意见稿)》中列举的六种方式:
(1)设置交互式界面,由个人信息主体做出主动勾选、主动点击“同意”“下一步”“继续”滑动滑块、主动发送等动作表示意愿;
(2)由个人信息主体主动填写、输入个人信息表示意愿;
(3)由个人信息主体开启可收集个人信息的API、权限表示意愿;
(4)个人信息主体通过纸质或电子的书面声明、签字确认表示意愿;
(5)个人信息主体通过电子签名方式表示意愿;
(6)个人信息主体通过电话录音、视频录像等方式表示意愿。
三
数据存储及处理合规要点
1.完成个人信息安全影响评估
根据《中华人民共和国个人信息保护法》第五十五条的规定,处理敏感个人信息必须进行个人信息安全影响评估。敏感个人信息的处理可能对个人权益产生重大影响,因此法律要求在处理这类信息前必须进行事先评估,以确保处理活动的合法性、正当性和必要性,且个人信息保护的影响评估报告和处理情况记录应当至少保存三年。具体流程参考如下:
(1)准备阶段:确定评估对象(如人力资源管理系统涉及的敏感信息)、评估范围(数据类型等)及评估目标(确保数据安全性)。
(2)评估内容:个人信息处理流程分析,梳理各类个人信息在系统中的流转、存储和使用方式。
(3)风险识别:识别可能导致数据泄露、篡改、非法访问等安全风险的内容。
(4)安全措施评估:评估现有的技术措施(如加密、访问控制)和管理措施是否有效。
(5)评估结果处理:评估报告需明确潜在的安全漏洞和改进措施,报告结果需由公司高层签字确认。
2.加强对信息处理人员的合规培训及数据处理监督,防止员工个人信息从内部泄露。
首先,企业应在规章制度中向员工明确告知,企业提供的员工工作电脑、电子邮件系统和内部网络仅限于工作用途,任何员工不应擅自在该等设备中储存或传输隐私信息。
其次,企业应在制订的员工手册、劳动合同、规章制度等文件中对员工使用办公空间、设备、网络等行为进行规范并履行告知义务及其他相关法定程序。同时,企业还可以就数据合规事项制订相应的检查流程,如在录取员工时,请员工自愿签署《同意函/承诺书》,同意企业有权为了维护商业利益/反舞弊/反商业贿赂/内部调查,获取、接触员工的个人信息等,后续通过员工培训或其他合理方式告知员工公司拥有相应对个人信息的处置权限。
四
员工权利保护要点
1. 保障员工的知情权、决定权、查阅复制权等法定权利
《中华人民共和国个人信息保护法》作为保障个人信息权益的基本法,明确规定了个人在个人信息处理活动中的权利,主要包括:
(1)个人信息知情权和决定权——即个人在其个人信息处理中享有知悉包括存储方式、处理目的、处理方式、个人信息种类等事项,有权自由决定其个人信息被何人所处理,以何种目的、何种方式、在何种范围内被处理,除非法律、行政法规另有规定。
(2)个人信息查阅权和复制权——即个人信息主体有权查询并获取其被收集和存储的个人信息。具体而言,个人可以向数据控制者(如企业、机构等)提出查阅请求,了解其个人信息的处理情况,包括信息的种类、用途、共享情况和保存期限等;且个人信息主体在查阅其个人信息时,有权要求数据控制者提供该信息的副本。
(3)个人信息更正权、补充权、删除——即个人有权请求个人信息处理者对其不准确的个人信息进行更正、对不完整的信息进行补充,以及对信息进行删除的权利。
为保障员工的上述权利,企业应当制定清晰的内部政策与沟通渠道、为员工提供查阅和复制的便利条件、设立反馈与申诉机制等。
2. 保障员工知晓行使权利的方式
《中华人民共和国个人信息保护法》要求个人信息处理者建立申请受理和处理机制,以保障个人行使其相关权利,并要求个人信息处理者拒绝个人行权请求时,应说明理由。个人信息处理者应当公开其制定的个人信息处理规则,该规则应当便于查阅和保存,个人有权请求个人信息处理者对其制定的个人信息处理规则予以解释说明。具体包括:
(1)明确个人在向个人信息处理者行使权利时如要求查阅、复制或者要求删除的,应通过何种方式向个人信息处理者中的何人提出申请;
(2)明确个人提出申请时,要提供何种证明材料以证明其属于个人信息被处理的个人并确实享有其主张的权利;
(3)明确个人信息处理者在符合何种条件下于多长时间内受理个人的申请并向个人进行反馈等。
地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,邮编:100022
电 话:(010) 5086 7666
传 真:(010) 5691 6450
地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,邮编:710061
电 话:(029)8836 0129
传 真:
地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,邮编:518046
电 话:(0755)8860 0388
传 真:
地 址: 海口市美兰区碧海大道86号华彩·海口湾广场A座1008、1009,邮编:570208
电 话:(0898)6625 4181
传 真:(0898)6625 5316
地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,邮编:200023
电 话:(021)6390 1100
传 真:
地 址: 广州市天河区珠江东路32号利通广场29层2901室,邮编:510510
电 话:(020)3739 2666
传 真:
地 址: 杭州市上城区西子国际中心2号楼1501-1503室,邮编:310002
电 话:(0571)8577 9929
传 真:
地 址: 沈阳市沈河区友好街10号新地中心40层,邮编:110013
电 话:(024)2250 3388
传 真:
地 址: 南京市建邺区应天大街888号金鹰世界A座26层,邮编:210008
电 话:(025)8411 1616
传 真:
地 址: 天津市河北区海河东路78号茂业大厦2601室,邮编:300141
电 话:(022)2445 9827
传 真:
地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,邮编:274005
电 话:(0530)5566 148
传 真:
地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,邮编:610020
电 话:(028)8774 7485
传 真:
地 址: 苏州市工业园区九章路69号理想创新大厦A幢12层,邮编:215316
电 话:(0512)6758 6952
传 真:(0512)6758 6972
地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,邮编:010050
电 话:(0471)5166 277
传 真:
地 址: 九龍渡船街38號建邦商業大廈1樓5號室
电 话:(00852)2333 9989
传 真:(00852)2333 9186
地 址: 武汉市东湖新技术开发区高新大道766号商务项目(光谷总部中心)1期T1栋17层1710、1711、1712号写字间,邮编:528451
电 话:(027)5926 5991
传 真:
地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,邮编:450046
电 话:(0371)8895 9887
传 真:
地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,邮编:410021
电 话:(0731)8218 3551
传 真:(0731)8218 3551
地 址: 厦门市湖里区高林中路469号新景地大厦23层,邮编:361016
电 话:(0592)5211 009
传 真:
地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,邮编:400020
电 话:(023)6775 9966
传 真:
地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,邮编:230071
电 话:(0551)62930997
传 真:
地 址: 宁波市鄞州区三眼桥街51号宁铸中心5号楼27层(宁波塔-27F),邮编:315199
电 话:(0574)8737 8737
传 真:
地 址: 济南市高新区舜泰北路舜泰广场933号博晶大厦25层2513室,邮编:250101
电 话:(0531)8828 5613
传 真:
地 址: 昆明市西山区融城优郡B幢10楼,邮编:650034
电 话:(0871)6517 9639
传 真:
地 址: 南昌市红谷滩区红谷中大道1391号华皓中心53层,邮编:330038
传 真:
康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。
本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。
本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。
欢迎访问本网站,如有任何问题,请与本所联系。