【序言】
在进入《民法典》时代后,个人信息保护问题已有了明确法律依据,加之全国人大常委会2020年10月21日发布了《个人信息保护法(草案)》这一最新重要立法动态,都反映出了在互联网大数据时代公民个人信息安全已经面临巨大挑战。现如今,个人信息被盗取、滥用已成大众深恶痛绝的普遍现象,因此对于企业来说,在经营管理过程中注重对客户、劳动者的个人信息保护即为互联网大数据时代的合规管理必然要求和题中之意。
【立法沿革】
1、2017年6月生效的《网络安全法》在“网络信息安全”章节中明确了网络运营者收集、使用个人信息应当遵守的规则;
2、2021年1月1日生效的《民法典》将“隐私权和个人信息保护”独立成章;
3、2020年3月,国家标准化管理委员会更新了《信息安全技术个人信息安全规范》(GB/T 35273-2020)对个人数据的收集、存储、使用、共享、转让、公开披露等各个环节,提出了更为细致的合规要求;
4、2020年10月,十三届全国人大常委会第二十二次会议第一次审议了《个人信息保护法(草案)》,该草案一旦通过生效,将以专门立法、严厉处罚的形式全面提升我国个人信息法律保护的水平;
5、2020年12月,最高人民法院对《民事案件案由规定》进行修改,适应《民法典》新规增加个人信息保护、申请人格权侵害禁令等案由。
【法律分析】
企业在招聘入职过程中会涉及对大量的劳动者个人信息的处理,因此在处理个人信息时应当遵循“合法、正当、必要”原则,充分了解相关责任与风险并采取相应措施,达到合规管理。
1、入职背景调查要合法且适度。根据《劳动合同法》第八条之规定,入职背景调查时掌握劳动者基本情况是用人单位的权利,劳动者也负有如实告知的义务,但仅限于与劳动合同直接相关的基本情况,例如:履行劳动合同所必须的知识技能、学历、学位、职业资格、工作经历等;值得注意的是,对于婚姻、生育、子女等问题属于个人隐私,劳动者则没有如实告知的义务,如劳动者在入职时谎报婚育信息,因此类信息明显地与工作无关并且可能违犯《就业促进法》第二十七关于女职工公平就业的权利,故用人单位欲以此解除劳动合同则通常不能得到支持。
法律依据:《劳动合同法》第八条用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。
《就业服务与就业管理规定》第二十七条 国家保障妇女享有与男子平等的劳动权利。用人单位招用人员,除国家规定的不适合妇女的工种或者岗位外,不得以性别为由拒绝录用妇女或者提高对妇女的录用标准。用人单位录用女职工,不得在劳动合同中规定限制女职工结婚、生育的内容。
2、已收集的信息泄露风险。根据《民法典》第一千零三十八条、《就业服务与就业管理规定》第十三条之规定,用人单位在掌握劳动者个人信息后应充分履行数据安全保障义务,尤其在用工过程中涉及对所掌握的劳动者信息转移、公开、对外提供时(如购买商业保险),用人单位应当做到专人专管且避免多部门或多人经手办理,应确保使用途径正当规范,还应当向劳动者履行必要的告知义务,避免未征得同意擅自披露、提供。
案例依据:在(2018)京0105民初2738号一案中,用人单位通过EMS向员工发送通知并将通知原件粘贴在快递信封外部,使员工身份证号处于公开状态,被判侵犯员工隐私权,赔偿员工2000元。
法律依据:《民法典》第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
《就业服务与就业管理规定》第十三条 用人单位应当对劳动者的个人资料予以保密。公开劳动者的个人资料信息和使用劳动者的技术、智力成果,须经劳动者本人书面同意。
3、信息删除不及时。对于因面试入职简历、短期项目需要(如疫情防控需要)等收集与使用的个人信息,在目的实现后(如未录取、员工离职或疫情防控工作完成)时,以及因员工离职等原因应员工要求或信息保存期限届满的,单位应当及时删除相关信息。
【合规管理建议】
1、建立完善单位内部个人信息管理制度。通过规章制度明确对涉及劳动者个人信息的收集、储存、使用、转移、公开、删除的各程序行为应当遵循的原则、操作流程、程序设置等作出明确规定,使个人信息管理有章可循、有可操作性。
2、依法取得相关个人的书面同意。通过签署包含个人信息处理同意的应聘登记表、劳动合同、入职手册、同意声明书、授权书等,在不同场景下依法获取相关个人处理其个人信息的书面同意。
3、加强数据信息安全保密工作。通过去标识化处理、权限设置、加密存储等技术手段,提高企业数据信息安全保护水平。特别应加强针对个人信息存储安全、个人信息泄露应急处理的相关管理工作,确保个人信息安全受到严格保护。
【责任类型】
1、刑事责任。《刑法修正案(九)》明确:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2、民事责任。根据《民法典》,如企业对员工个人信息权益造成侵害,需承担停止侵害、排除妨碍、消除危险、恢复名誉、赔偿损失、赔礼道歉等民事责任。《个人信息保护法(草案)》第六十五条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”此外,侵害众多个人的权益的,还可能触发个人信息公益诉讼,草案规定了“人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织”的诉权。
3、行政责任。《个人信息保护法(草案)》第六十二条规定:“违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。“有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。” 草案还特别明确了对个人信息违法行为人的信用惩戒制度,将对企业声誉造成不利影响
