即将于2021年11月1日起施行的《个人信息保护法》是第一部全方位针对个人信息保护的立法。《个人信息保护法》出台之前,我国法律对于个人信息的定义与保护散见于《民法典》、《刑法》、《网络安全法》、《数据安全法》、《信息安全技术个人信息安全规范》(征求意见稿)等。在前述法律法规的基础上,《个人信息保护法》("《个保法》")系统地对个人信息的定义、个人信息处理规则、个人信息跨境处理、个人对个人信息享有的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任等进行了全面的梳理和规定。

在企业人力资源管理中,必然涉及劳动者的个人信息处理,用人单位作为劳动者的个人信息处理者,如何合法处理劳动者的个人信息,以符合新法要求,是用人单位普遍关注的问题。本文将聚焦"同意",和大家探讨用人单位在处理员工个人信息时,如何通过合法有效的劳动规章制度、个人知情同意书等来满足新法对于用人单位的要求。

一、关于" 按照依法制定的 劳动规章制度和依法签订的集体合同实施人力资源管理所必需 "

《个保法》第十三条第一款第(二)项规定:"为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,"个人信息处理者可处理个人信息。该条第二款进一步明确:"依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。"

相比《个保法》二次审定稿中仅规定了"为订立、履行个人作为一方当事人的合同所必需"的第十三条第二项,正式颁布的《个保法》增加了"按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需"这一情形下,用人单位作为个人信息处理者无须个人同意即可处理个人信息。

从《个保法》第十三条第一款第(二)项可以看出,法律许可了用人单位为了实施人力资源管理,无需取得员工同意就可以处理员工个人信息,但是为了避免用人单位滥用该规定、任意扩大处理员工个人信息的范围,又对实施人力资源管理做出了合理的限定,即:用人单位应当通过制定合法有效的劳动规章制度或依法签订集体合同的方式,确定实施人力资源管理所必需处理的员工个人信息的范围。对于绝大多数企业,相比较于签订集体合同,制定合法有效的劳动规章制度在操作方面具有明显优势,将成为多数用人单位的首选方案。

需要注意的是,用人单位在制定劳动规章时,对于员工个人信息的处理应当特别注意遵循必要原则和最小范围原则。如果用人单位的规章制度中对于员工个人信息的处理违反了法定原则,有可能被裁审机构以违反《个保法》为由认定为无效。

二、关于" 个人单独同意 "

《个保法》第十四条第一款规定:"基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。"

根据上述规定,只有在基于个人同意处理个人信息的情形下,才涉及单独同意或者书面同意的要求。如果并非基于个人同意处理个人信息,比如基于实施人力资源管理所必需,则不应涉及单独同意或者书面同意的要求。因此,笔者倾向于认为对于需要单独同意的情形,只要在满足法定适用条件情形下,用人单位就无需取得员工的同意。但是,需要注意的是,劳动行政部门和裁审机构出于对个人信息的保护,有可能在执行层面对《个保法》中的前述规定做出不同解释,将处理敏感个人信息和向境外提供个人信息的法律基础限定为基于个人单独同意。

《个保法》明确了五种需要"个人单独同意"的情形,人力资源管理中的较多场景被涵盖,具体如下:

  1. 个人信息处理者向其他个人信息处理者提供其处理的个人信息的。例如,用人单位为员工购买商业保险,向第三方保险公司提供员工的个人身份信息、个人健康信息等。
  2. 个人信息处理者公开其处理的个人信息。例如,用人单位将员工个人信息存储在集团公司共享的存储空间。
  3. 在公共场所安装图像采集、个人身份识别设备,所收集的个人图像、身份识别信息用于维护公共安全以外的目的。例如,用人单位在办公区域安装摄像头、采用人脸识别方式进行考勤。
  4. 处理敏感个人信息。例如,用人单位收集、存储员工的人脸和指纹信息、医疗健康信息等。
  5. 个人信息处理者向境外提供个人信息。例如,外资企业将员工个人信息在境外的关联公司进行共享。

《个保法》并未对"个人单独同意"做出具体规定。从文义来解释,"个人"指有针对性的,向特定一个人取得同意。"单独"则指针对某一特定事项的同意。然而,"单独"的要求在实务中应当细致到何种程度仍然有待明确。

目前实践中的主流观点认为,单独同意可以理解为单项同意,区别于概括性同意或一揽子同意。例如,用人单位在需要征求员工个人同意的事项时,应当把包括处理敏感个人信息、跨境处理的个人信息在内的特殊事项逐一列出,逐项征求员工个人同意。对于获取"单独"同意时应以个人信息的类别为基础事项,还是以个人信息处理的方式为基础事项,还是需要进行更细致的划分都需要在后续实践和配套法规中摸索出答案。

三、"人力 资源管理所必需 "" 个人单独同意 "

基于劳动关系的人身性,员工的较多个人信息,包括敏感个人信息都属于人力资源管理所必需处理的个人信息,如收集员工的银行卡账号信息以发放工资是显而易见的人力资源管理所必需,员工的学历、工作经验、职业资格等个人信息处理也属于人力资源管理所必需,但对于许多其它人力资源管理中的情形,必需的程度则存在争议。

对于前文第二点中所列举的五个场景,笔者倾向于认为并非为实施人力资源管理所必需,用人单位在处理该类个人信息时,仍需要取得员工个人同意。结合前述列举,我们对以下三个人力资源管理中的常见场景,具体分析如下:

  1. 招聘阶段 用人单位处理候选人的个人 信息需取得个人同意。

在招聘阶段,用人单位通过自己的平台渠道或第三方获取候选人的个人信息,在多轮筛选中,一些用人单位还会要求候选人提供敏感个人信息。

在招聘阶段,候选人尚未与用人单位形成劳动关系,"按照依法制定的劳动规章制度和依法签订的集体合同"的人力资源管理基础尚未形成,用人单位无法根据《个保法》第十三条第二项在处理候选人的个人信息时免除取得个人同意的义务。所以,在招聘阶段,用人单位处理候选人个人信息应取得候选人的同意。

  1. 用人单位在向第三方提供员工个人信息时 是否需要取得个人同意 视情况而定

用人单位需向第三方提供员工个人信息的常见情形可能包括:用人单位依据法律义务需向第三方提供员工个人信息,如履行纳税义务时向税务部门提供员工个人信息;用人单位通过第三方处理个人信息,如签订电子劳动合同;在突发情况下向政府或其它机构提供员工信息,如因新冠疫情防控,向政府相关部门提供员工健康信息等。

上述列举的场景需根据个案具体分析,具体处理。比如,纳税属于用人单位需承担的法定义务,也是劳动管理中用人单位需履行的职责,在实践中普遍认为所涉及的个人信息属于无须经过员工的同意即可由用人单位处理范畴。通过第三方平台订立电子劳动合同,或是购买第三方服务的情形下,用人单位与第三方平台之间的协议对个人信息保护的约定则至关重要。而因新冠疫情防控需要处理员工个人信息并提供给政府或其它机构时,提供个人信息的充分必要性以及所提供的个人信息的种类和形式等在实践中存在争议,仍需探讨。

  1. 用人单位将员工 个人信息存储在境外服务器需取得员工的单独同意。

实践中,人力资源管理中涉及到的个人信息境外管辖常见情形为个人信息传输到境外关联公司以及个人信息存储在境外服务器。根据《个保法》的规定,用人单位在境外处理个人信息不仅要具备法定要件,如按照国家制定的标准合同与用人单位的境外关联公司订立合同约定双方的权利和义务,且需要征得员工个人的单独同意。

从《个保法》的体系构建来看,"个人信息跨境提供的规则"独立成章,平行于个人信息处理的一般规则,属于《个保法》中的特别规定。且境外传输可能触及国家安全,涉及关键信息基础设施运营者和处理较大数量个人信息的需要经过国家网信部门的评估。这些都说明了境外传输是法律上需要特别防控的风险。个人单独同意的必要性远超越了人力资源管理的必需性。

国家互联网信息办公室在2019年发布了《个人信息出境安全评估办法(征求意见稿)》。随着《个保法》的出台,连同此征求意见稿的一系列配套法规相信也会陆续出台。用人单位可以持续关注个人信息保护法相关的法规,及时根据新法做好个人信息保护合规。

四、实务建议

综合前文,在人力资源管理的维度,就员工知情同意问题,建议用人单位采用组合拳双保险策略处理员工个人信息。所谓组合拳双保险策略,是指用人单位同时使用员工同意和法律许可(如合法有效的劳动规章制度)作为处理员工个人信息的基础。只基于合法有效的劳动规章制度等法律许可处理员工个人信息难以全面解决劳动用工中的员工个人信息保护问题,且"基于实施人力资源管理所必需"等法律许可处理员工个人信息的界定不明确,需要经过时间的考验和司法实践的检验。

基于此,对于员工个人信息知情同意问题,用人单位可结合人力资源管理的各模块和流程,从员工个人信息隐私政策、员工个人信息表、录用信、劳动合同、日常办公管理系统、员工手册等多维度,增加和完善员工个人信息知情同意等内容,对于涉及敏感个人信息处理和跨境个人信息处理的,增加和完善个人单独同意。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.