前沿观察,

不执一端求其圆——人力资源管理与员工信息保护的冲突与平衡

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

企业人力资源管理离不开对员工大量个人信息的处理以及对员工工作过程的监督和管理。随着《个人信息保护法》(“《个保法》”)的颁布,我国个人信息保护的力度得到了空前的加强。企业在行使人力资源管理权的过程中,应同时遵守《个保法》对于个人信息保护的规定。

与外部个人信息主体(如消费者、品牌会员、合作伙伴联系人等)不同,企业在收集、使用或以其他方式处理员工的个人信息时,往往伴随着劳动关系中的从属性、人身依附性与个人隐私以及个人信息保护之间的张力甚至冲突,而目前人力资源管理权与隐私权以及个人信息保护的边界尚不清晰。

在企业人力资源管理过程中,如果仅从劳动事务领域或隐私/个人信息保护单一领域进行管理或决策,将很可能导致劳资关系中双方权益的失衡,从而引发合规问题。本文拟基于我们对该两方面领域的实务经验和观察,为企业作为用人单位开展与员工信息相关的活动提供参考。

一、总体观察

《个保法》生效至今已有将近一年的时间,在人力资源管理领域的讨论中,员工的个人信息保护与用人单位管理权的边界始终是绕不开的话题。《个保法》对用工管理带来的挑战与影响,可以说让每一位人力资源从业者都深有感触。在进一步的实施细则、司法解释和审判案例出台之前,《个保法》如何在用工管理领域具体实施尚不够清晰,这也给企业的人力资源管理方式带来了一些不确定性。

通过我们的观察,用工管理场景目前尚不是《个保法》监管或处罚的“主战场”,但这并不应当成为心存侥幸的理由,企业应珍惜目前的窗口期,积极完善其合规体系。关于劳动管理领域的个人信息保护执法,我们可以从域外个人信息保护执法经验中得到借鉴:在GDPR全面实施两年后,德国汉堡数据保护局通过为期一年的调查,发现某公司存在大范围的调查员工假期、就医症状以及病情诊断等详细信息等隐私侵犯行为,该公司因此面临3530万欧元罚款[1]。如果我们将目前国内《个保法》的执法路径与GDPR全面实施后的处罚案例进行简单对比,不难发现劳动用工领域对个人信息保护的严格执法,很可能只是时间问题。

二、用人单位对员工信息日益增强的处理需求

在高速发展的人力资源管理体系中,用人单位基于其所在行业和业务、员工类型和角色、劳资关系等多方面因素在诸多场景下可能会不断扩大对员工信息的收集和使用,以寻求更好的用工管理效果。

用人单位收集和使用员工信息的目的具有多样性,且该等目的通常内嵌于企业安全管理、运营管理、员工福利、合规经营等不同场景中。如劳资关系中的双方不存在分歧,则用人单位收集和使用员工信息的过程是顺畅的。但现实往往并非如此,由于双方利益出发点不同,员工未必愿意牺牲其个人权利来配合用人单位。而对于用人单位而言,一旦员工不配合用人单位处理其信息,甚至恶意 “钻空子”,则用人单位的人力资源管理效果或秩序会或多或少出现不同程度的折扣。

实践中,两类场景尤其可以体现该等冲突:

1. 考勤场景

考勤是人力资源管理中最为典型的管理行为,其涉及对员工出勤率及出勤时间的记录、统计与评价。如果单从考勤管理收集统计员工工作时间的角度来看,传统的打卡、签到似乎都可以满足这一用工管理的需求,而并不一定要涉及收集员工个人敏感信息。但是,考勤的现实应用场景通常会较复杂。我们在实践中可能遇到的具体场景如:

(1) 用人单位为防止员工代为打卡之目的,要求员工提供人脸识别/指纹等个人敏感信息作为考勤方式;

(2) 用人单位为加大对销售人员、外勤人员的监督力度,要求其提供行踪轨迹、特定地点位置打卡以判断其实际工作情况;

(3) 在员工病假期间,如用人单位怀疑员工从事其他工作或外出旅游的,从核查病假真实性的目的出发,收集员工此阶段的行踪轨迹;

(4) 为疫情防控目的,用人单位要求员工下班后佩戴监测手环获取员工行踪轨迹信息,并结合疫情公开信息比对降低密接风险;

(5) 用人单位为了核实员工产假、陪产假、育儿假等假期申请,要求员工提供婚姻、生育状况等个人信息。

2. 调查场景

为获取员工违约、违纪证据或核验员工信息的真实性,内部/外部调查是用人单位在劳动管理中的另一典型行为。用工管理中的调查行为主要包括员工入职前的背景调查、在职期间的违规违纪调查以及离职后义务遵守情况(如竞业限制义务履行情况)的核查。在职期间或离职期间的调查场景中,由于用人单位和员工通常可能已存在潜在争议,因此在职员工或离职员工愿意接受用人单位收集和使用其信息的可能性较低。例如:

(1) 用人单位配发的笔记本电脑可能存有员工个人银行转账信息,但该内容可能涉及员工收受供应商回扣,用人单位对其中存储的全部数据要求进行调取;

(2) 用人单位为了准备举证材料,在与员工调查访谈的沟通中暗中进行录音录像;

(3) 为收集离职员工违反竞业限制的证据,用人单位跟拍离职员工以获取其上下班的行踪轨迹。

三、法律法规对员工隐私和个人信息的保护

随着国家对个人信息保护的日趋重视,近几年涌现的多部法律法规,包括《民法典》、《个保法》等,均对个人信息处理行为进行了不同程度的规范。该等法律法规的落地和实施,使得用人单位自主收集和使用员工信息时受到了限制,甚至遇到“阻碍”。

在人力资源管理过程中,除了个人信息保护问题外,往往还交织着隐私保护的问题,这使得用人单位对员工信息的收集和处理面临更多的限制。

1. 法律对员工隐私权的保护

根据《民法典》规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[2]。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定[3]。由此可见,隐私和个人信息虽为不同的法律概念,但存在一定的关联性。

隐私权被归为人格权的范畴,其保护建立在权利主体隐私遭受侵害的前提下,即行为人主观上具有过错、实施了不法行为、存在损害事实、不法行为与损害事实之间存在因果关系,同时不存在法定的免责事由。

用人单位如未经员工事先同意而超出合理范围收集个人信息,则可能构成对员工隐私权的侵犯。目前司法实践中,对该等“合理范围”的判断尚未形成统一标准,这给用人单位带来了不小的困扰。

一方面,某些法院在处理劳动相关纠纷时,对员工隐私权的保护予以更多的支持。例如:

(1) 在北京某公司与谢某劳动争议一案中,在员工已经向用人单位提交相关诊断证明书的情况下,用人单位仍不认可员工的病假证明文件,要求其按照《员工手册》提交病历、心理治疗凭证单据、心理治疗材料、精神分析治疗材料等。法院认为,员工提交的诊断证明书能够反映其存在抑郁状态且有建议休息的医嘱。同时,员工罹患疾病的细节应当属于《民法典》中规定的个人隐私,用人单位要求提供的病历、心理材料证明、费用凭据等应以必要为限,能够反映员工患病就诊事实即可,但不应过分求全,以免侵犯个人隐私,侵害员工权益。

(2) 在苏州某公司与殷某竞业限制纠纷一案中,用人单位提交了视频证据,显示员工多次出入同业竞争者的办公地点,并有停车相关记录辅证,由此认为员工违反了竞业限制协议。一审法院认为,用人单位提交的视频虽未经员工同意,但直接表明了员工在竞业限制期内的工作情况,可以作为认定是否违反竞业限制义务的依据。而二审法院认为,视听资料作为定案证据加以采信,必须慎重。其拍摄场所、取镜范围、收集程序方式以及证据原始完整性等问题均需全面审查,以判断证据是否以严重侵犯他人合法权益、违反法律禁止性规定或严重违反公序良俗的方法形成或者获取,同时避免引导不当侵害个人信息安全的行为发生。对此,一审裁判未作分析的情况下径行作为定案证据,是欠妥的。

但是,在另一方面,亦存在不少法院判决倾向于支持用人单位的合理诉求。例如:

(1) 在山东烟台某公司与修某隐私权纠纷一案中,用人单位在没有取得员工同意的情况下,私自在其办公电脑上安装监控软件,窥探其聊天记录。法院认为,用人单位使用的是公司的电脑,而就办公电脑而言,其内部使用空间对于公司来说是公开的,不构成秘密。其次,公司在办公电脑中安装监控软件属于自我管理行为,其目的正当,并不具有窥探员工个人隐私的主观故意,并非违法行为。

(2) 在南京市某公司与王某隐私权纠纷一案中,用人单位在单位职工宿舍区斜对面安装了监控摄像头,正对员工家的房间。用人单位主张其安装监控摄像头是出于社区治安需要,为了协助公安机关调查某失窃案所设,监控的是公共区域,主观上并无窥视员工隐私的故意。法院认为,判断是否构成侵害隐私权,应当根据受害人确有隐私权被损害的事实、行为人行为违法、违法行为与损害后果之间有因果关系、行为人主观上有过错来认定。本案中,法院表示,员工未举证用人单位安装的监控摄像头拍摄了涉及员工个人隐私的视频资料,无法证明用人单位实施了侵害员工个人隐私的行为。其次,员工亦未举证证明用人单位将涉及员工个人隐私的视频资料擅自公布、公开宣传,对员工的名誉等造成实际损失。再次,员工未举证用人单位具有侵害员工个人隐私的主观故意。因此,用人单位的行为不构成对员工隐私的侵犯。

(3) 在广东某公司与赖某劳动合同纠纷一案中,用人单位提供了其委托调查公司以偷拍、偷录方式取得的视频截图、光盘等,以证明员工离职两年后在同业竞争者任职或为其提供服务。一审法院认为,视频截图、光盘内容系针对员工是否到同业竞争者上班进行的录像,该视频内容中对话当事人确系员工本人,虽然该视频录制并未经员工同意,但其中的对话内容并未涉及员工任何隐私内容,且基于对竞业限制取证困难的现实困境,认为用人单位采取该方式取证且取证内容未侵犯员工隐私的情形下,该证据不属非法证据,予以采信。二审法院同样认为,由于在竞业限制纠纷案件中,用人单位要调查取得员工违反竞业限制的证据难度较大,委托专业机构调查取证、获取相关资料信息符合客观实际的需要。

由上可见,法院对员工隐私权保护的边界存在不同理解。用人单位在判断某项收集员工信息的行为是否侵犯员工隐私时,宜采取审慎的态度,权衡该等收集行为可能带来的利弊后果后再做决定。

2. 特殊合法性基础的适用条件

《个保法》的亮点之一在于其突破了《网络安全法》所提出的“告知-同意”[4]的单一合法性基础,对《民法典》有关“告知-同意”条文[5]中的但书条款进行了细化和补充。对于用人单位,《个保法》专门提出了“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的合法性基础(“人力资源管理基础”)[6]。

人力资源管理基础是《个保法》在第三次送审稿中才提出的合法性基础,在此之前并未出现。有关人力资源管理基础的适用范围,在《个保法》颁布初期就已多有讨论。

对于人力资源管理基础中“实施人力资源管理所必需”的范围判断,需要从多维度理解和考虑:

(1) 个人信息类型维度

人力资源管理基础在一定程度上呼应了《劳动合同法》的规定,即用人单位有权了解劳动者与劳动合同直接相关的基本情况[7]。尽管存在个案差异(需结合用人单位类型和具体岗位进行判断),但在一般实践中,“与劳动合同直接相关的”信息范围可能相对有限。

《劳动合同法》提到,劳动合同应包含劳动者的基本信息,包括劳动者的姓名、住址和居民身份证或者其他有效身份证件号码等[8]。在上海某公司与李某劳动合同纠纷一案中,法院认为劳动者一方与劳动合同履行密切相关的情况通常还包括劳动者的工作经历、学历、年龄及健康状况等。而对于一些规模较大或人力管理体系较为完整的企业所收集的员工子女信息(用作子女商业医疗保险)、家庭联系人信息(用作紧急情况下联络)等,是否可能落入人力资源管理基础的适用范畴存在不确定性。对于一些相对“激进”的用工管理行为(如入职背景调查、内部合规调查等),是否能适用人力资源管理基础的不确定性则更大一些。

(2) 处理行为维度

即使某类员工信息落入了“与劳动合同直接相关”的范围,人力资源管理基础的适用往往限于订立劳动合同、常规用工管理等典型场景,而并非适用于用人单位对员工个人信息开展的所有处理活动。

《个保法》对涉及个人敏感信息、公开处理、跨境传输、提供至第三方等多项可能对个人信息主体权益产生重大影响的处理活动提出了特殊要求,其中包括要求该等处理活动需征得个人信息主体的单独同意。

在《个保法》颁布初期,曾出现关于单独同意是否可在适用人力资源管理基础和其他(“告知-同意”以外的)特殊合法性基础时豁免的不同理解。该等分歧在之后的实践中较少提及,我们理解这其中的原因可能在于单独同意要求所涉及的个人信息处理活动(尤其是跨境传输、提供至等三方、公开处理)并不完全属于每一用人单位出于用工管理的目的均需采取的行为。因此,诸多用人单位采纳了较为保守的“告知-同意”合法性基础并根据《个保法》的要求征集员工的单独同意。

(3) 适用对象维度

《个保法》对人力资源管理基础设置了形式要求,在符合“实施人力资源管理所必需”的同时,用人单位还需“按照依法制定的劳动规章制度和依法签订的集体合同”来开展相关个人信息处理活动。这里的“依法制定”对于劳动规章制度而言,要求用人单位按照《劳动合同法》的规定[9]履行民主协商程序与公示程序。类似地,对于“集体合同”而言,相关条款的制定需要履行职工讨论程序,由工会代表职工与企业订立,并报送劳动行政部门生效[10]。

相较于集体合同,用人单位制定和颁布劳动规章制度更为常见。除了以上提及的法定程序,用人单位还需留意劳动规章制度对非正式员工(如退休返聘人员、实习生等)的适用性。实践中的通常做法是,用人单位在与该等非正式员工的合同(如服务合同、实习合同等)中设置相应的条款,要求非正式员工认可并同意遵守用人单位的劳动规章制度。虽然该等条款在绝大多数情况下会被非正式员工所接受,但从性质而言,合同作为双方合意的结果,体现的是非正式员工对用人单位劳动规章制度的“同意”,这从某些程度上表明,人力资源管理基础并不一定适用于非正式员工。

基于上述分析,在进一步的相关实施细则或官方指导意见出台之前,为保险起见,我们建议用人单位慎用人力资源管理基础这一合法性基础,尽量遵循“告知-同意”的路径,以降低合规风险。

3. 员工作为个人信息主体的权利

《个保法》赋予了员工作为个人信息主体广泛的权利。这些权利主要包括查阅权、复制权、更正权、删除权、知情权、决定权、可携带权、补充权以及要求用人单位对其个人信息处理规则进行解释说明的权利。员工对该等权利的行使,势必会对企业人力资源管理权带来限制。

当然,员工所享有的个人信息主体权利也并非没有边界,但目前该边界仍较为模糊。在员工与用人单位发生劳动争议的过程中,员工可能会在劳动争议中主张其个人信息主体权利,从而使劳动争议变得更为复杂。(可参见金杜研究院文章《四边界至,故是分明:员工个人信息主体权利的边界讨论》)。

4. 繁复的配套合规义务

在合理适用的前提下,人力资源管理基础可以帮助用人单位在未获得员工同意的情况下收集和使用员工个人信息,但该等特殊合法性基础并不能豁免用人单位对《个保法》项下诸多合规要求的总体适用。

除了《个保法》提出的合法、正当、必要和诚信等在内的诸多基本原则外[11],用人单位作为个人信息处理者还需留意《个保法》项下的其他合规要求,包括但不限于:

(1) 告知义务:适用“告知-同意”以外的其他合法性基础并不意味着用人单位无需向员工披露其个人信息处理规则。换言之,除非存在法律、行政法规规定应当保密或者不需要告知的情形,用人单位仍需告知员工其处理个人信息的目的、方式、所处理的个人信息种类、保存期限以及员工的行权方式等事项[12]。

(2) 个人信息保护影响评估:《个保法》明确了触发个人信息保护影响评估(PIA)的应用场景,例如处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、向境外提供个人信息等[13]。用人单位在扩大收集和使用员工信息的范围时很可能会涉及该等场景,这将使得用人单位触发个人信息保护影响评估变得更为频繁。个人信息保护影响评估工作通常需要用人单位多个部门(例如HR,IT,合规、法务等)以及外部法律顾问的参与和支持,对用人单位而言,这是一项必须完成却又耗费精力的合规义务。

(3) 内部管理制度和安全措施:《个保法》要求个人信息处理者制定内部管理制度和操作规程(如访问权限管理、操作人员守则等)并采取充分的安全技术措施(如加密、去标识化等)。扩大收集和使用员工信息的范围无疑会加大用人单位建立内控制度和部署安全措施的难度。用人单位需要建立更完善的合规体系并引入更加安全的技术措施,以确保其处理员工信息的可控性和安全性。

综上,个人信息保护合规要求与用人单位收集和使用员工信息的范围成正比,用人单位需要在投入和收益中寻求合理平衡。

5. 较为高昂的违规成本

用人单位如被认定为违规收集或以其他方式处理员工个人信息,可能会面临员工或其他利益相关方提起的诉讼。

《个保法》设置了多项行政处罚措施和高额的罚款[14],以使包括用人单位在内的个人信息处理者谨慎、合规地开展相关活动。《个保法》项下的行政处罚主要有两档:

(1) 对于普通违法情形,个人信息处理者可能会被处以责令改正、给予警告、没收违法所得、责令暂停或终止相关服务(适用于应用程序)等处罚;在拒不改正的情况下,会被处以人民币一百万元以下罚款;

(2) 对于严重违法情形,在第一档的基础上,处罚金额可能会被提高至人民币五千万元或上一年度营业额的5%。

就我们截至目前的观察,用人单位暂不太可能因违规处理员工等内部主体的个人信息而受到《个保法》项下“严重违法情形”的处罚。但即使对于普通违法情形,相关行政处罚(尤其是罚款)仍较为严厉。因此,用人单位需在开展相关员工信息收集或其他处理活动之前,对潜在法律风险预先进行分析和判断。

四、结论与建议

由上可见,人力资源管理与员工信息保护存在着张力和冲突。在目前阶段,用人单位可以采取哪些措施,对两者进行平衡,尽可能降低处理员工信息的合规风险?我们认为可以考虑从两方面着手:

一方面,建议将“告知-同意”的合法性基础以最合理的方式嵌入相关人力资源管理文本,这方面可以包括对员工手册、劳动合同、员工隐私政策(及相关设置)、员工授予同意文件(及相关设置)的提升和修改。

另一方面,建议加快员工个人信息保护合规体系的建设,包括更新和修改内部管理制度、制定与第三方(包括关联方)交互员工个人信息的数据处理协议、建立个人信息保护影响评估制度(包括流程的制定、相关工具/模板的设计)等,为应对来自员工甚至监管部门对用人单位合规实践的质疑提供有力支持。

感谢实习生徐虹宇对本文作出的贡献。

https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_en

《民法典》第1032条

《民法典》第1034条

《网络安全法》第41条

《民法典》第1035条

《个人信息保护法》第13条。

《劳动合同法》第8条

《劳动合同法》第17条

《劳动合同法》第4条

《劳动合同法》第51和54条

《个人信息保护法》第5条

《个人信息保护法》第17和18条

《个人信息保护法》第55条

《个人信息保护法》第66条

参考资料

  • [1]

    https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro-data-protection-violations_en

  • [2]

    《民法典》第1032条

  • [3]

    《民法典》第1034条

  • [4]

    《网络安全法》第41条

  • [5]

    《民法典》第1035条

  • [6]

    《个人信息保护法》第13条。

  • [7]

    《劳动合同法》第8条

  • [8]

    《劳动合同法》第17条

  • [9]

    《劳动合同法》第4条

  • [10]

    《劳动合同法》第51和54条

  • [11]

    《个人信息保护法》第5条

  • [12]

    《个人信息保护法》第17和18条

  • [13]

    《个人信息保护法》第55条

  • [14]

    《个人信息保护法》第66条

  • 展开
最新文章
前沿观察
在商业、办公地产项目的运营法律实务中,国有企业持有的不动产租赁项目一直备受关注。如何依法规范并强化此类项目的管理,是国有企业实践中频繁面临的课题。考虑到上海市国资委对其监管企业(下称“市管企业”)已有较为成熟的制度规定且监管操作较为规范,我们特基于过往丰富的实务经验,对市管企业持有的不动产租赁项目管理的若干要点进行总结与解读,主要从不动产招租程序的合规管理、减免承租方等相关方违约责任涉及的国有资产流失风险把控、不动产租赁项目运营中的招投标合规操作以及在公开招租程序中保护现有承租人的优先承租权这四个维度展开,旨在为相关企业提供借鉴,助力其在不动产租赁管理领域稳健前行。公司与并购-房地产业务,房地产-房地产租赁

2025/02/11

前沿观察
千帆竞发,百舸争流。经历了早期探索、制度建设和创新发展数个阶段后,紧握“一带一路”政策机遇,中国企业出海已经成为全球国际化力量的一部分。中国企业的出海,有些是应对大国博弈的供应链攻防战,是新时代长征反围剿,更多的则是逐渐成熟和自信起来的中国企业家在全球视野下主动战略布局、重塑供应链、提升竞争力、更全面融入世界。 相较于已多年征战南北东西的大型央国企巨轮,中国的中小企业,尽管胸怀四海之志,很多仍是初次身临陌生海域。有的望洋兴叹,海岸线太长,想去的地方太多,不知从何起步;有的随风启航,随浪起落,漂到哪里算哪里,目的性不强;有的全局在胸,远景在望,但困于先后、主次、轻重、取舍不明。 本系列境外投资文章以法律为主视角,从出海战略布局规划、架构搭建、国别择选、出海经验谈等方面,为出海远征的中国企业提供管窥之见,以期能协助中国企业谋定后动、行稳致远。 继《境外投资系列丨兵法视角下之出海战略布局(一)》类比孙子兵法中用兵主要战略要素和出海战略布局考虑因素,介绍出海战略布局(庙算)重要性、回顾企业出海政策发展(道)、出海愿景目标(胜)之后,本文对在出海战略布局中如何进行“地利”的规划进行探讨。一带一路国际法律业务-国际投融资与工程

2025/02/11

前沿观察
继我们2021年初发布《“带路”俄语国家法律ABC》系列文章,随着俄乌冲突爆发、美欧对俄制裁升级以及国际地缘政治局势和经济形势的变化,中国企业在俄语国家的投资布局也在悄然发生改变。为便于投资者了解俄语国家热点投资国别最新的投资法律框架,我们特对此前发布的系列文章予以更新,以飨读者。 本系列将涵盖吉尔吉斯斯坦、乌兹别克斯坦、哈萨克斯坦、俄罗斯和乌克兰等国别。本文为本系列的第一篇——吉尔吉斯斯坦篇。一带一路国际法律业务-国际投融资与工程

2025/02/10