■ 四川省委党校法学教研部讲师
赵爱华
随着网络信息技术和数字经济的不断发展,有关个人信息保护的问题持续引发社会的关注和讨论。我国第一部专门的《个人信息保护法》已于2021年8月20日经十三届全国人大常委会第三十次会议表决通过,自2021年11月1日起施行。至此,就个人信息保护问题,我国建立了一套较完善的规则体系。在法律层面,制定有《民法典》《个人信息保护法》《网络安全法》等法律;在部门规章层面,制定或即将制定《网络安全审查办法》《网络招聘服务管理规定》《个人信息出境安全评估办法(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》等规章;在国家标准层面,已专门制定了《信息安全技术个人信息安全规范》(GB/T 35273-2020)。
在个人信息保护的讨论中,员工的个人信息保护问题受到广泛地关注。有学者认为,雇员个人信息和隐私保护是21世纪劳动关系最核心的问题之一。企业实施人力资源管理过程中,随时涉及员工个人信息的处理,从收集应聘者的简历到保存离职员工的个人档案,员工个人信息保护问题贯穿企业用工管理全过程。实践中存在大量单位是否侵害员工的隐私或个人信息问题的争议及纠纷。如“入职过程中单位能否收集婚姻、生育信息”、“用人单位能否对配发给员工的电脑实施监控”、“可否通过GPS监控员工位置信息”、“企业从员工工作手机中恢复通话录音作证据是否合法”、“向员工送达文书时暴露了员工的身份证号,是否属于侵犯员工个人隐私或个人信息”等等。
《个人信息保护法》实施后,员工比如会对个人信息和隐私权越来越重视,企业也将更加频繁地遇到员工个人信息保护问题。本文围绕以下三个问题展开讨论:个人信息的分类及企业收集员工信息范围、企业处理员工个人信息应遵循的原则、如何平衡员工个人信息受保护权与企业正当管理权的关系。
一、个人信息及分类
什么是个人信息?《个人信息保护法》第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”结合《民法典》第1034条的规定,个人信息就是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
什么是敏感个人信息?《个人信息保护法》第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”法律对敏感个人信息保护更为严格,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”在企业实际管理中,企业一般会接触员工大量的敏感个人信息,如指纹、人脸识别信息、健康信息、银行账号、行踪信息等。企业必须学会依法依规处理好这些员工个人信息。
企业可以收集的员工个人信息有哪些?《劳动合同法》第7条规定,“用人单位应当建立职工名册备查”;第8条规定,“用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明”。《劳动合同法实施条例》第8条明确,劳动合同法第7条规定的职工名册,应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。但在企业实际管理过程中,企业往往会倾向于收集更细致、更全面的员工的个人信息,存在踩法律红线的情形。
二、企业处理员工个人信息应遵循的原则
个人信息的处理方式包括哪些?根据《个人信息保护法》的第4条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
企业是个人信息处理者吗?《个人信息保护法》第73条规定,“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”企业在劳动关系管理中,会按照企业管理制度和流程收集、存储、使用员工个人信息,必然会涉及自主决定处理员工个人信息的目的和方式,很显然企业属于法律规定的个人信息处理者。
个人信息处理应遵循的基本原则有哪些?《民法典》第1035条规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。《个人信息保护法》第5条至第9条详细规定了处理个人信息应遵循的各项原则。归纳起来,个人信息处理应遵循的原则包括:合法原则、正当原则、必要原则、诚信原则、公开透明原则、最小限度原则。在这些原则中,比较难以把握的是必要原则和最小限度原则。所谓必要原则,指的是企业在处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,有一定的必要性;所谓最小限度原则,指的是不得过度收集个人信息,应当限于实现处理目的的最小范围,应采取对个人权益影响最小的处理方式,对于获得个人信息,应当注意知悉范围或传播范围的限制,应限定最小的知悉范围。在企业人力资源管理实践中,极易突破必要性原则和最小限度原则,过度收集员工的个人信息,由此引发争议和纠纷。如某知名电商曾要求职工申报同学关系,自小学同学开始申报,这个是否属于符合必要和最小限度原则,是否属于过度要求?如企业要求请病假的员工除提供挂号单、病假证明单外,要求提供病历、心理证明、凭证等资料,存在违反必要性原则和最小限度原则的嫌疑,已有法院判决企业该行为违法。
三、如何平衡员工个人信息受保护权与企业合法管理权的关系
在劳动关系中,企业的管理权与员工的隐私和个人信息权利是存在冲突的。在具有从属性的劳动关系中,企业在人力资源管理中需要处理员工个人信息,也具有处理员工个人信息的动力和便利。如在招聘阶段,企业需要充分了解求职者的相关信息,而且信息越充分越有利于其作出适当的决定,因此企业具有充分收集员工个人信息的冲动;为了维护职场秩序和企业利益,防止企业的财产被盗或遭破坏,企业可能在工作场所实施监控;为了维护职场纪律,防止员工从事与工作无关的个人行为或其他不当行为等,企业可能对员工的电脑安装“超级眼电脑监控软件”进行监控;此外,企业还会对特殊岗位的员工实行监控,收集实时定位信息,等等。企业上述处理员工个人信息的行为,可能侵害员工的隐私和个人信息权利。
如何平衡企业正当管理权和员工个人信息受保护权利?如前所述,企业作为个人信息处理者,关键在于企业应依法约束自己行为,守住行为界限,严格遵守信息处理的必要性原则和最小限度原则。第一,企业处理个人信息方式应当合法,如企业将从员工工作手机中恢复通话录音作证据的行为,显然就违反了《民法典》关于隐私权的规定;第二,企业应具有处理个人信息的正当目的,如某企业在招聘时,要求应聘人员填写“谈过几次恋爱”、“最长的一次多久”等信息,就不具有正当目的;第三,应考虑企业的行为对员工个人信息的侵害程度,如公司向员工邮寄通知时,将含有个人信息的通知原件粘贴于EMS信封外部的行为,该行为既无必要,同时侵害员工隐私权;第四,总之,企业采取的信息处理方式应具有合理性,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
