资讯洞见
2021年8月20日,《中华人民共和国个人信息保护法》(“《个人信息保护法》”)经中国内地立法机关审议通过,并将于2021年11月1日起施行。《个人信息保护法》共8章74条,以严密的制度、严格的标准、严厉的责任,构建了权责明确的个人信息处理和保护制度规则。作为中国内地首部个人信息保护方面的专门法律,《个人信息保护法》进一步为个人信息权益提供了全面的保障。
与香港特别行政区有关个人信息保护的法例《个人资料(私隐)条例》(香港法例第486章)相比,《个人信息保护法》有如下特点:
雇主有必要了解该部法律对人力资源管理的影响,考虑并采取相应的应对措施。
第一部分:《个人信息保护法》实施后对人力资源管理的几大影响
1. | 雇主处理员工个人信息需要明确依据 雇主在日常管理过程中处理员工个人信息,必须具备明确依据,包括: 获得员工的事先同意;或 处理信息的行为是根据有效的规章制度(或集体合同)执行人力资源管理的需要。 |
2. | 处理员工个人信息需满足“正当、必要”原则 即使已经获得了员工的相关授权,雇主在处理员工个人信息的过程中仍然需要满足“目的正当”、“手段合理”的原则。比如,雇主在招聘时收集员工的“婚姻情况”及“生育情况”,此类信息属于与建立劳动关系无关的事项,缺乏目的正当原则。实际执行中存在被认定为个人信息侵权的风险。 |
3. | 雇主作为“个人信息处理者”对员工个人信息承担“安全保障”义务 根据《个人信息保护法》的相关规定,雇主需要通过制定相关规章制度、对个人信息分类管理、采取保护措施、进行培训等措施建立个人信息保护体系。在个人信息侵权的争议中,如果雇主不能提供证据证明已经采取安全保障措施,则可能需要承担赔偿责任。 |
4. | 雇主有义务保障员工的个人信息相关权利 《个人信息保护法》规定了个人在信息保护领域的诸多权利,包括知情权、决定权、更正权和复制权等,雇主有义务保障员工享有相关权利。比如,雇主在办公场所安装监控,应当确保员工的知情权,通过书面告知等方式履行通知义务。 |
第二部分: 人力资源管理过程中的个人信息处理规则解读
1. | 以“告知”、“同意”规则为核心原则 雇主在处理个人信息前应充分告知并获得员工同意。具体而言,雇主需要以显著并且清晰易懂的方式进行充分告知,并且取得员工自愿的、明确的同意。在取得同意后,如果重要事项发生变更的还应当重新取得个人同意。 |
2. | 处理敏感个人信息应符合“单独同意”的严格要求 敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。雇主只有在具备特定的目的与充分的必要性的情形下,才可以处理员工的敏感个人信息(同时需要采取严格的保护措施)。请注意,雇主在处理员工的个人敏感信息时,需要获得员工单独的同意,并且应当告知员工处理其个人敏感信息的必要性,以及对其个人的影响。 |
3. | 存储个人信息不应超过必要时间 雇主所存储的员工个人信息应当为所必需的最短时间,且应当符合相关法律规定。雇主应当建立定期删除个人信息的内部流程和制度(例如,定期检查并及时删除已离职多年的前员工的个人信息)。 |
4. | 委托第三方处理个人信息应当遵循委托约定 雇主如果将员工的个人信息委托给第三方(例如,人力资源服务机构)进行处理,应当做好事前的风险评估。雇主有义务对第三方的信息处理活动进行监督,确保处理活动不超出委托约定的范围。 |
5. | 共同处理个人信息应当承担连带责任 如果雇主与第三方机构共同处理员工个人信息,应当通过书面合同等形式与第三方共同确定应满足的个人信息安全要求,确定分别承担的责任和义务。同时还应将与第三方共同处理个人信息的情况向员工进行明确的告知。 |
6. | 转移、对外提供个人信息须取得单独同意 如果雇主需要进行员工个人信息的转移,或将员工的个人信息对外提供给第三方,均需要向员工履行不同程度的告知义务,并且取得员工的同意。 |
7. | 公开个人信息须取得单独同意 雇主如果要公开员工的个人信息,必须单独获得该员工的个人同意。 |
8. | 员工享有撤回同意的权利 雇主应当注意,员工有权撤回先前对雇主处理其个人信息的相关事项所作出的同意。 |
第三部分 违反《个人信息保护法》的相关法律责任
1. | 行政责任 雇主 一般违法情形 责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。 记入信用档案并予以公示。 拒不改正的 并处一百万元以下罚款。 情节严重的 责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。 直接负责的主管人员和其他直接责任人员 处一万元以上十万元以下罚款。 情节严重的,处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 |
2. | 民事责任 民事赔偿数额 个人因此受到的损失,或信息处理者因此获得的利益。 无法确定的 法官综合各种因素酌定。 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。 |
3. | 刑事责任 非法取得、出售个人信息等行为 有可能构成“侵犯公民个人信息罪” 相关违法行为 可能涉及“非法获取计算机信息系统数据罪”、“拒不履行信息网络安全管理义务罪”等罪名。 |
第四部分 雇主应当进行的相关雇佣合规工作
面对更严格的个人信息保护合规要求,的近建议各雇主:
1. | 对用工管理个人信息保护现状全面自查 自查内容举例: – 企业内部个人信息保护合规意识及观念; – 员工个人信息保护的制度建设的完善程度; – 人力资源管理流程中员工个人信息保护的实际情况;及 – 对负责处理员工个人信息的供应商的监督管理情况等。 |
2. | 数据跨境传输合规风险评估 有向境外总部或关联公司传输员工个人信息需求的雇主应进一步评估数据跨境传输的合规风险; |
3. | 建立健全个人信息保护机制 建立完善的个人信息保护、监督、投诉机制并形成相关制度性文件; |
4. | 法律文本审阅及起草 审阅并完善《劳动合同》、《员工手册》,起草或修订《个人信息收集、使用授权同意书》、《个人信息保护政策》及相关指引。通过完善的雇佣法律文本体系进一步提升公司内部个人信息管理的合规化水平。 |