前沿观察,

图解人力资源管理中的个人信息保护

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

2021年11月《个人信息保护法》(以下简称“《个保法》”)实施以来,个人信息保护成为企业合规的重要议题。本文以思维导图的方式梳理总结了人力资源管理视角下企业对员工个人信息处理全流程的合规要点,为企业厘清建立健全个人信息保护管理体系的全貌及不同场景项下的合规注意事项。

一、企业搭建个人信息处理合规体系的总思路及要点

《个保法》与《民法典》《数据安全法》《网络安全法》等诸多法律、法规、司法解释、各类强制性标准,共同构建起了个人信息保护的法律体系。随着监管力度的不断加强,企业员工个人信息合规保护义务趋严,违规成本加大。企业需基于人力资源管理的各个环节及典型场景,建立健全个人信息处理合规体系,完善各环节的制度设计与管控措施,做好个人信息保护风险的识别与应对。

图1:企业构建个人信息处理合规体系的整理思路及要点

1. 实现个人信息的分级分类管理

基于法定要求,也为了更好地对企业庞大体量的个人信息进行管理,企业应对本企业所有员工个人信息开展分类分级工作,重点梳理出可能涉及的员工个人信息、敏感个人信息,明确需要向第三方或境外提供的个人信息、需要进行公开的个人信息等情形。对不同类级的个人信息,根据具体场景实施分类分级管理,采取相应安全技术措施和人员管理措施,合理确定信息处理的操作权限。

2. 设置个人信息保护部门及人员

在组织及人员上,企业在现有组织框架下完善负责个人信息保护的部门及人员,以统筹员工个人信息有关政策制订与修改、个人信息保存管理、员工个人信息主体权利的响应与实现、个人信息专题合规培训、个人信息措施检查与危机事件应对等工作。在达到法定条件时,企业还应当设置专门的部门及负责人员。

3. 完善个人信息管理的制度文件

企业在人力资源管理中应构建一套清晰、系统的个人信息管理制度,通过制定和完善基本制度、专项制度及各类合同协议中与员工个人信息处理相关的条款,明确“实施人力资源管理所必需”的具体内容,厘清员工个人信息主体权利、隐私权与企业用工管理权、商业秘密等权益的边界,为合规处理员工个人信息提供制度保障。

4. 开展事前评估与跨境安全申报

在进行可能对员工个人权益有重大影响的个人信息处理活动前,如涉及员工敏感个人信息的处理、委托第三方处理员工个人信息、向第三方提供员工个人信息、公开员工个人信息、向境外提供员工个人信息等情况,企业应事前开展个人信息保护影响评估,并对处理情况进行记录。而对于向境外提供员工个人信息的情况,建议企业同时开展数据出境风险自评估,若达到数据出境安全申报情形则应及时通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

5. 履行告知义务并获得员工同意

企业开展个人信息处理前,应当以显著方式和清晰易懂的语言,真实、准确、完整地向员工告知个人信息处理的具体情况。在订立、履行与员工签订的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,以及为履行法定职责或者法定义务所必需的情况下,企业无需取得员工同意即可处理员工个人信息。目前,前述法定豁免情形边界尚不明晰,出于降低合规风险的考量,企业在处理个人信息前应尽量获得员工的同意或单独同意。

6. 坚持最小必要、目的限制原则

企业应严格遵守“最小化”原则,仅限于实现处理目的的最小范围收集个人信息。对于收集的员工个人信息,应当严格限制在合理合法的目的范围内进行处理,与法定或授权处理目的直接相关,并采取对个人权益影响最小的方式。

二、HR管理典型场景个人信息处理全流程及合规要点

从招聘、面试、入职,到员工在职管理,再到离职、档案转出,企业在日常管理过程中会涉及个人信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理生命周期的全流程。

图2:企业HR管理典型场景下的个人信息处理全流程

1. 招聘阶段

在招聘阶段,企业一般会收集应聘者简历、职位申请表等材料,联系合适的应聘者开展笔试或面试,并开展背景调查核实候选人简历或陈述是否真实。在各类应聘材料及与应聘者的接触过程中,可能涉及对应聘者个人信息及敏感个人信息的收集和使用,如应聘者姓名、性别、年龄、联系方式、教育经历、实习经历以及工作经历等个人信息,以及身份证号码等个人敏感信息;背景调查阶段,则可能涉及与第三方背调机构的合作。在此阶段中,企业应当遵循最小必要、知情同意及目的限制等原则,遵循以下合规要点:

图3:招聘阶段的个人信息处理行为及合规要点

2. 入职阶段

在员工拟入职阶段,企业为与拟入职员工订立劳动合同、协助其顺利完成体检并办理入职手续,期间可能涉及体检报告、劳动合同、员工登记表等材料,涉及对员工身份证号、家庭住址、家庭信息、社保信息、入职体检、紧急联系人、银行账号、刑事犯罪记录及健康情况等收集和存储,以及与第三方医疗机构的合作。在此阶段,对超出订立或履行劳动合同、履行法定职责或者法定义务、或依照公司劳动规章制度规定的人力资源管理所必需的个人信息处理,企业需遵循的个人信息保护合规要点如下:

图4:入职阶段的个人信息处理行为及合规要点

3. 日常管理阶段

从每日上下班考勤,到月底、年终的工作考核,日常人事管理离不开对员工个人信息的使用,如:

  • 出于企业考勤管理中对员工出勤率及出勤时间的准确记录、统计与评价的需要,要求员工进行定位打卡、人脸或指纹识别进行考勤;
  • 出于差旅报销、审批休假等需要,要求员工提供行踪轨迹、医疗记录等个人信息;
  • 出于设备保护、安全保障等考虑,在办公场所特定区域安装摄像头进行监控,涉及员工人脸信息等个人信息;
  • 出于网络安全、监督员工工作、保护商业秘密等目的,对办公网络、办公设备的使用情况进行监控;
  • 出于业务经营和管理等需要,在对外宣传、业务合作、采购服务时使用、加工员工个人信息,将信息提供给第三方;
  • 出于企业所在集团内部人力资源统一管理的需要,在关联公司范围内传输甚至跨境提供员工个人信息等。

在上述环节中,企业应遵循的个人信息保护合规要点具体如下:

图5:日常管理阶段的个人信息处理行为及合规要点

如图所述,总体而言,企业在日常管理阶段需遵循的合规要点包括但不限于:充分履行告知义务、获得合法有效的员工同意、依照法定或授权范围处理个人信息、采取必要的安全措施、合理设置保存期限等。在开展日常管理工作并收集个人信息之前,建议企业通过制定明确的规章制度、统一宣贯培训并组织员工签收告知同意确认函等方式,充分履行告知义务并获得员工的明示同意。

4. 离职阶段

员工离职后,企业与员工之间的劳动关系不复存在,“实施人力资源管理所必需”原则上不能再作为处理员工个人信息的合法性基础。出于法定义务或后续纠纷处理的需要,企业一般不会立即删除离职员工的全部个人信息,而是在合理必要期限内进行保存。在此阶段,企业应遵循的个人信息保护合规要点如下:

图6:离职阶段及离职后的个人信息处理行为及合规要点

企业管理所涉场景纷繁复杂,个人信息处理的详细要求有赖于各个具体场景下的动态分析。企业在全面梳理企业人力资源管理所涉的个人信息后,应根据人力资源管理各个环节的不同情况,落实告知同意、保护措施等具体的个人信息保护义务,确保各环节的员工个人信息处理合规。

感谢实习生段唐子煜对本文作出的贡献。

 扫码下载文章
最新文章
前沿观察
2024年10月28日,美国财政部正式发布了基于第14105号总统行政令——《关于解决美国对受关注国家的特定国家安全技术和产品投资的行政令》(“E.O.14105”)的最终规则“关于美国在受关注国家投资有关国家安全技术和产品的规定”(“最终规则”)。相关最终规则将于2025年1月2日生效。自2023年8月9日拜登政府正式发布E.O.14105后,经过一年多紧锣密鼓的准备,美国政府最终完成了对外投资审查的基本立法工作,进入全面实施阶段。从内容上来看,最终规则基本保留了3个多月前美国财政部所发布的拟议规则(“NPRM”)的主要内容,仅进行了部分条款的调整和细化。但是,正如我们在过去一年多时间内所多次提示的那样,新的对外投资审查机制将对半导体、量子计算和人工智能(“AI”)等关键领域的投融资活动带来深远影响,全面改变相关的投资业态。在此,我们结合本次最终规则的调整内容和相关业务场景,以及我们所了解的后续立法动态,就相关外国投资审查机制在未来实施中的注意要点进行展望,希望能对大家有所帮助。合规业务-海关与贸易合规,电信、传媒、娱乐与高科技-高科技

2024/11/04

前沿观察
2024年10月19日,中国国务院正式对外发布《中华人民共和国两用物项出口管制条例》(下称“两用物项条例”),该条例将于2024年12月1日起正式实施。《两用物项条例》的上位法是《中华人民共和国出口管制法》(以下简称“《出口管制法》”),《两用物项条例》的推出进一步完善了中国出口管制法律体系,也标志着中国在规范两用物项管理,构建中国出口管制法律组合拳方面迈出了重要一步。具体而言,《两用物项条例》更加详细、完善地从管制物项的范围、适用的管制行为、两用物项管制具体措施、市场主体的权利与法定义务以及相关法律责任等方面进行了规范,共6章50条,提出了中国对两用物项监管的总体要求、介绍了中国两用物项出口管制的管理体制,明确了许可等便利化措施。 与此同时,本次两用物项条例提出了诸多项对中国出口管制影响深远的改革创新举措,包括创设管控名单(黑名单)、关注名单(灰名单)、加强规范许可管理,创设出口凭证的报备制度,重申两用物项最终用户与最终用途的管理,循序渐进的设置了两用物项条例的域外管辖权限。我们将根据《两用物项条例》的内容,逐章逐节地详细解读,并将深入对比中国其他相关条例的规定与美国出口管制条例的规定,旨在帮助读者企业全面了解该条例,为落实企业合规措施提供建设性意见。公司与并购-出口管制与制裁-海关与外汇

2024/11/01

前沿观察
在上篇文章《未经批准的境外上市药品合规谈之(一):违法进口的法律性质认定》中我们详细梳理了未经批准的境外上市药品是否可以进口,以及违法进口的法律责任,本篇文章将进一步介绍合法合规进口未经批准的境外上市药品的各类路径,供相关企业参考。公司与并购-海关与外汇,医疗健康与医药-医药与医疗器械

2024/10/31