2021年11月《个人信息保护法》(以下简称“《个保法》”)实施以来,个人信息保护成为企业合规的重要议题。本文以思维导图的方式梳理总结了人力资源管理视角下企业对员工个人信息处理全流程的合规要点,为企业厘清建立健全个人信息保护管理体系的全貌及不同场景项下的合规注意事项。
一、企业搭建个人信息处理合规体系的总思路及要点
《个保法》与《民法典》《数据安全法》《网络安全法》等诸多法律、法规、司法解释、各类强制性标准,共同构建起了个人信息保护的法律体系。随着监管力度的不断加强,企业员工个人信息合规保护义务趋严,违规成本加大。企业需基于人力资源管理的各个环节及典型场景,建立健全个人信息处理合规体系,完善各环节的制度设计与管控措施,做好个人信息保护风险的识别与应对。
图1:企业构建个人信息处理合规体系的整理思路及要点
1. 实现个人信息的分级分类管理
基于法定要求,也为了更好地对企业庞大体量的个人信息进行管理,企业应对本企业所有员工个人信息开展分类分级工作,重点梳理出可能涉及的员工个人信息、敏感个人信息,明确需要向第三方或境外提供的个人信息、需要进行公开的个人信息等情形。对不同类级的个人信息,根据具体场景实施分类分级管理,采取相应安全技术措施和人员管理措施,合理确定信息处理的操作权限。
2. 设置个人信息保护部门及人员
在组织及人员上,企业在现有组织框架下完善负责个人信息保护的部门及人员,以统筹员工个人信息有关政策制订与修改、个人信息保存管理、员工个人信息主体权利的响应与实现、个人信息专题合规培训、个人信息措施检查与危机事件应对等工作。在达到法定条件时,企业还应当设置专门的部门及负责人员。
3. 完善个人信息管理的制度文件
企业在人力资源管理中应构建一套清晰、系统的个人信息管理制度,通过制定和完善基本制度、专项制度及各类合同协议中与员工个人信息处理相关的条款,明确“实施人力资源管理所必需”的具体内容,厘清员工个人信息主体权利、隐私权与企业用工管理权、商业秘密等权益的边界,为合规处理员工个人信息提供制度保障。
4. 开展事前评估与跨境安全申报
在进行可能对员工个人权益有重大影响的个人信息处理活动前,如涉及员工敏感个人信息的处理、委托第三方处理员工个人信息、向第三方提供员工个人信息、公开员工个人信息、向境外提供员工个人信息等情况,企业应事前开展个人信息保护影响评估,并对处理情况进行记录。而对于向境外提供员工个人信息的情况,建议企业同时开展数据出境风险自评估,若达到数据出境安全申报情形则应及时通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
5. 履行告知义务并获得员工同意
企业开展个人信息处理前,应当以显著方式和清晰易懂的语言,真实、准确、完整地向员工告知个人信息处理的具体情况。在订立、履行与员工签订的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,以及为履行法定职责或者法定义务所必需的情况下,企业无需取得员工同意即可处理员工个人信息。目前,前述法定豁免情形边界尚不明晰,出于降低合规风险的考量,企业在处理个人信息前应尽量获得员工的同意或单独同意。
6. 坚持最小必要、目的限制原则
企业应严格遵守“最小化”原则,仅限于实现处理目的的最小范围收集个人信息。对于收集的员工个人信息,应当严格限制在合理合法的目的范围内进行处理,与法定或授权处理目的直接相关,并采取对个人权益影响最小的方式。
二、HR管理典型场景个人信息处理全流程及合规要点
从招聘、面试、入职,到员工在职管理,再到离职、档案转出,企业在日常管理过程中会涉及个人信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理生命周期的全流程。
图2:企业HR管理典型场景下的个人信息处理全流程
1. 招聘阶段
在招聘阶段,企业一般会收集应聘者简历、职位申请表等材料,联系合适的应聘者开展笔试或面试,并开展背景调查核实候选人简历或陈述是否真实。在各类应聘材料及与应聘者的接触过程中,可能涉及对应聘者个人信息及敏感个人信息的收集和使用,如应聘者姓名、性别、年龄、联系方式、教育经历、实习经历以及工作经历等个人信息,以及身份证号码等个人敏感信息;背景调查阶段,则可能涉及与第三方背调机构的合作。在此阶段中,企业应当遵循最小必要、知情同意及目的限制等原则,遵循以下合规要点:
图3:招聘阶段的个人信息处理行为及合规要点
2. 入职阶段
在员工拟入职阶段,企业为与拟入职员工订立劳动合同、协助其顺利完成体检并办理入职手续,期间可能涉及体检报告、劳动合同、员工登记表等材料,涉及对员工身份证号、家庭住址、家庭信息、社保信息、入职体检、紧急联系人、银行账号、刑事犯罪记录及健康情况等收集和存储,以及与第三方医疗机构的合作。在此阶段,对超出订立或履行劳动合同、履行法定职责或者法定义务、或依照公司劳动规章制度规定的人力资源管理所必需的个人信息处理,企业需遵循的个人信息保护合规要点如下:
图4:入职阶段的个人信息处理行为及合规要点
3. 日常管理阶段
从每日上下班考勤,到月底、年终的工作考核,日常人事管理离不开对员工个人信息的使用,如:
- 出于企业考勤管理中对员工出勤率及出勤时间的准确记录、统计与评价的需要,要求员工进行定位打卡、人脸或指纹识别进行考勤;
- 出于差旅报销、审批休假等需要,要求员工提供行踪轨迹、医疗记录等个人信息;
- 出于设备保护、安全保障等考虑,在办公场所特定区域安装摄像头进行监控,涉及员工人脸信息等个人信息;
- 出于网络安全、监督员工工作、保护商业秘密等目的,对办公网络、办公设备的使用情况进行监控;
- 出于业务经营和管理等需要,在对外宣传、业务合作、采购服务时使用、加工员工个人信息,将信息提供给第三方;
- 出于企业所在集团内部人力资源统一管理的需要,在关联公司范围内传输甚至跨境提供员工个人信息等。
在上述环节中,企业应遵循的个人信息保护合规要点具体如下:
图5:日常管理阶段的个人信息处理行为及合规要点
如图所述,总体而言,企业在日常管理阶段需遵循的合规要点包括但不限于:充分履行告知义务、获得合法有效的员工同意、依照法定或授权范围处理个人信息、采取必要的安全措施、合理设置保存期限等。在开展日常管理工作并收集个人信息之前,建议企业通过制定明确的规章制度、统一宣贯培训并组织员工签收告知同意确认函等方式,充分履行告知义务并获得员工的明示同意。
4. 离职阶段
员工离职后,企业与员工之间的劳动关系不复存在,“实施人力资源管理所必需”原则上不能再作为处理员工个人信息的合法性基础。出于法定义务或后续纠纷处理的需要,企业一般不会立即删除离职员工的全部个人信息,而是在合理必要期限内进行保存。在此阶段,企业应遵循的个人信息保护合规要点如下:
图6:离职阶段及离职后的个人信息处理行为及合规要点
企业管理所涉场景纷繁复杂,个人信息处理的详细要求有赖于各个具体场景下的动态分析。企业在全面梳理企业人力资源管理所涉的个人信息后,应根据人力资源管理各个环节的不同情况,落实告知同意、保护措施等具体的个人信息保护义务,确保各环节的员工个人信息处理合规。
感谢实习生段唐子煜对本文作出的贡献。
扫码下载文章