近期,《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)在中国人大网上公布,并向全社会公开征求意见。《草案》基于国内个人信息保护的监管实践,并借鉴GDPR等外国法的先进经验,协调《民法典》《网络安全法》《电子商务法》等规范,搭建了个人信息保护的框架,明确了处理个人信息的基本原则,个人信息处理者和个人信息的权利义务等。用人单位在劳动用工过程中需要处理大量的劳动者个人信息,如何同时保障自己的用工自主权与劳动者的个人信息权益,是一个现实的难题。笔者试以《草案》规定为例,结合劳动领域和数个劳动用工具体场景,谈谈对劳动者个人信息保护的注意事项,以期帮助用人单位找到适当的解决途径,预防法律风险。
一、《草案》定义的“个人信息”
《草案》第4条规定,“个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。
在《草案》之前的《网络安全法》第76条第5款规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于:自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。今年上半年颁布的《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。
笔者认为,三部法律对个人信息的定义在语言表述上略有差异,但《草案》没有改变我国现行法律保护个人信息所遵循的“可识别性”的定义思路。“可识别性”被广泛认为是个人信息的核心的、本质的特征。所谓“可识别性”,举例来说,一个单独的手机号码可能无法识别到一个特定的个人,但由于我国手机号码实行身份证号码实名登记,通过手机号码可以很容易查询到机主身份信息,由此可以识别某一个特定个人的身份,因此,手机号码应认定为具有可识别性的个人信息。
二、《草案》对劳动用工领域的个人信息处理提供了合法基础
由于《网络安全法》明确了收集使用个人信息必须经“被收集者同意”,这使得“同意”是收集使用个人信息的唯一合法基础成为一种共识,也导致目前实践中过于依赖和滥用同意的情况。《民法典》第1035条第1款第1项在沿用“同意”这一合法基础外,也规定了“法律、行政法规另有规定的除外”。现在,《草案》第13条在《民法典》的基础上扩充了处理个人信息的合法基础,新增了四种情形:为订立或者履行个人作为一方当事人的合同所必需(第2项);为履行法定职责或者法定义务所必需(第3项);为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需(第4项);为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息(第5项)。
笔者理解,《劳动合同法》明确用人单位与劳动者建立劳动关系,应当订立书面劳动合同。由此,劳动用工过程中的对劳动者大部分个人信息处理行为都可援用“为订立或者履行个人作为一方当事人的合同所必需”这一合法基础。毕竟,大多数情况下,用人单位收集、使用“与劳动合同直接相关的基本情况”,是为满足其与劳动者订立或履行劳动合同的基本需求。即便用人单位原则上不需要为大部分的个人信息处理行为征求劳动者的同意,但笔者建议用人单位仍需注意把握尺度,将被处理的劳动者个人信息严格控制在“必需”的范围内。这实质上也是近年来争论较多的用人单位用工自主权的边界问题之一。
简要举两个例子加以说明。第一个例子:用人单位要求请病假的员工提供医院诊断证明、病历册、缴费记录、病假单等。但随着劳动者对其个人信息保护意识提高后,有些劳动者提供资料时对资料上的病名、药物名称、化验单、检查项目等进行遮挡或涂抹,这导致用人单位为了核实劳动者的病假情况,不得不前往医疗机构进行调查。用人单位拥有内部的用工管理权,其对劳动者病假进行调查并将其从医疗机构获知的信息仅用于对劳动者进行考勤及医疗期管理,没有不当公开或滥用的话,通常不被认定为侵犯劳动者的个人信息或个人隐私。第二个例子:如在一些以外勤活动为主的销售企业,不少用人单位使用手机定位考勤,要求劳动者开启手机定位功能,收集劳动者的行踪轨迹信息,如果用人单位要求劳动者24小时(包括非制度工作时间)开启定位,就有可能侵犯劳动者的个人信息或个人隐私。
三、劳动用工具体场景下的个人信息保护
场景一:入职
根据《劳动合同法》第8条,用人单位有权了解劳动者与劳动合同直接相关的基本情况。《草案》第6条规定了“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理”,两者其实都要求用人单位收集劳动者个人信息应遵循“最小必要”的基本原则。
通常情况下,用人单位可向劳动者收集的个人信息,有:劳动者的姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人或主要家庭成员(一些用人单位向劳动者提供的福利待遇或补充商业保险包括其家庭成员)等。但用人单位务必注意,在目前的司法实践,劳动者是否为乙肝表面抗原携带者、劳动者的宗教信仰、性取向、婚育状况等一般不被认为与劳动合同直接相关,用人单位不宜进行收集,如果劳动者自愿提供,用人单位也要避免不当使用、处理或疏于管理而被泄露。
在“与劳动合同直接相关的基本情况”范围内收集个人信息时,用人单位可以不用征求劳动者的同意,但要确保劳动者的知情权。根据《草案》第18条,用人单位应以显著方式、清晰易懂的语言向劳动者告知个人信息处理者的身份和联系方式、个人信息的处理目的、处理方式、处理的个人信息、个人行使法定权利的方式和程序等事项。实务上,可以参考一般内部规章制度的方式,制定“个人信息保护政策”等个人信息处理规则,并告知劳动者或公开供劳动者查阅。
《草案》第30条规定:“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”笔者认为,“敏感个人信息”与“个人信息”是特殊与一般的关系。《草案》第13条适用于“个人信息”的合法基础“为订立或者履行个人作为一方当事人的合同所必需”能否适用于用人单位收集敏感个人信息的情形,《草案》中并未予以明确。对用人单位而言,采集的劳动者个人生物特征(如劳动者的指纹、面部特征等用于考勤、门禁)、医疗健康(如用于禁忌岗位、投保而收集的个人疾病史等)、金融账户(用于发放工资、报销款项等)等,都属于敏感个人信息。审慎起见,用人单位应在收集前取得劳动者的单独同意。
“单独同意”在现行个人信息相关立法中未予以释明,《信息安全技术个人信息安全规范》(简称“安全规范”)规定的是“明示同意”与“授权同意”。笔者认为,“单独同意”是一种“明示同意”,但法律对其形式要求应略严于“明示要求”。因此建议,在采集前述敏感个人信息时,用人单位应向劳动者说明所要采集信息的具体内容,并解释采集的必要性、该等信息的敏感性特征、以及信息处理规则等。劳动者在完全知情的情况下,自主、清晰明确地同意用人单位采集、处理其具体敏感个人信息的意思表示,应当认为是“单独同意”。
场景二:内部调查
用人单位在对涉嫌违纪的劳动者进行调查时,一般会调取公司邮箱的电子邮件及公司设备的相关记录。用人单位通常在IT或公司设备使用规则中明确,劳动者不应使用公司IT系统或设备处理个人事务,也会告知劳动者,用人单位基于内部调查的需要可以检查、复制、使用IT系统或设备中的所有信息。
尽管如此,用人单位在调查中收集到被调查者的个人信息(如私人写真、聊天记录等)后如果直接删除或随意公开,将会导致用人单位的管理权与劳动者的个人信息保护发生冲突。实践中,调查的事项对用人单位利益危害程度越大,用人单位对于劳动者个人信息的介入程度可能越深,冲突也就越激烈。而随着国家对个人信息保护立法的完善和强化,可以预见到,将来裁审机构会愈加倾向于保护劳动者个人信息。用人单位要采取一定的措施,对公司邮箱或设备中存储的个人信息加以区分,进行必要隔离,并避免个人信息散播等。
此外,用人单位在对劳动者作出违纪处分时,一般应将公开范围限于劳动者本人或所在部门,若通过群发邮件或微信群发等形式大范围公开,可能引起违法处理个人信息的法律风险。
场景三、离职劳动者的个人信息
劳动者离职后,用人单位是否还有权保留、持有、使用其个人信息?这是所有用人单位都要处理的问题。随着劳动者离职,劳动者与原单位之间的劳动合同已经解除或终止,这里不讨论后合同的相关权利义务,如竞业限制等。在此前提条件下,笔者认为,《草案》第13条第2项的合法基础不能适用于原单位向新单位提供劳动者个人信息的情形。但《劳动合同法》第50条规定,用人单位对已经解除或者终止的劳动合同的文本至少保存二年备查。因此,用人单位对离职劳动者的劳动合同文本或相关数据信息在法定期间内予以保存备案,符合《草案》第13条第3项的“为履行法定职责或者法定义务所必需”的合法基础,但处理行为仅限于保存备案。基于这一原因,劳动者跳槽后,原单位在未取得劳动者同意的情况下,向第三方提供劳动者的个人信息以供对方进行背景调查的行为,可能存在法律风险。
用人单位在劳动者离职后两年内应当妥善保管其个人信息,不得随意公开或使用。根据《草案》第20条规定:“个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。”用人单位在超过两年期后,应在满足相关法律规定的条件下将离职劳动者的个人信息及时删除或作匿名化处理。“匿名化处理后的信息”被排除在“个人信息”的范围外。《草案》第69条第1款第4项对“匿名化”进行了定义,应当满足“无法识别且无法复原”的标准。但“匿名化”仍有许多不清晰的地方,比如“无法复原”的具体程度要求等等,需要新的立法或相关标准来界定。
四、结语
劳动者的个人信息不仅承载了劳动者的人格利益,具有人格属性,又是一种重要的经济资源,具有商业价值和财产属性。用人单位应主动关注我国在个人信息保护方面的立法动向与司法实践,在处理劳动者个人信息时,要在遵守有关个人信息保护法律法规下的相关义务的前提下,平衡其用工管理权与劳动者个人信息保护之间的权利冲突。
本文作者为申骏律所劳动法律事务部郑慧卿律师。
