?

?

根據(jù)《個(gè)保法》第4條規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。從該定義出發(fā)進(jìn)行理解，員工個(gè)人信息的范圍非常廣泛：

?

1、在形式上，不僅包括電子記錄，如工作系統(tǒng)對(duì)員工基本信息的記錄，還包括非電子的記錄，如員工提供的學(xué)歷、學(xué)位證書復(fù)印件。

?

2、在內(nèi)容上，與員工本人相關(guān)的各種信息都屬于個(gè)人信息范疇，比如員工的教育經(jīng)歷、工作經(jīng)歷、所獲得的資格證書等等。

?

此外，個(gè)人信息不包括匿名化處理后的信息。但根據(jù)《個(gè)保法》的規(guī)定，匿名化處理的要求較高。經(jīng)過匿名化處理的個(gè)人信息必須無法被用于識(shí)別特定自然人，且不能被復(fù)原。對(duì)于人力資源管理來說，匿名化處理后的員工信息一般不能再被用于員工管理，利用價(jià)值較低。

?

?

企業(yè)用工的過程存在不同階段，企業(yè)的用工管理需求也多種多樣。在企業(yè)日常經(jīng)營中，許多場景都涉及到對(duì)員工個(gè)人信息的處理。例如：

?

1、招聘階段通過獵頭公司、招聘網(wǎng)站等各種渠道獲取的求職人員簡歷中的各項(xiàng)信息，如姓名、手機(jī)號(hào)，郵箱地址，學(xué)歷學(xué)位，工作經(jīng)歷。

?

2、背景調(diào)查過程中，自行或委托第三方對(duì)求職人員的工作經(jīng)歷、資格、資歷等信息進(jìn)行收集和核實(shí)。

?

3、在建立勞動(dòng)關(guān)系階段，用人單位可能會(huì)要求員工提交體檢報(bào)告，或通過信息表的形式收集員工的身份證號(hào)、住址、緊急聯(lián)系人、民族、婚姻狀況等信息，以及為了發(fā)放工資的需要，還會(huì)收集員工的銀行賬號(hào)。

?

4、在對(duì)員工進(jìn)行管理過程中：

?

a. 對(duì)員工的打卡考勤過程中可能涉及人臉、指紋、虹膜等個(gè)人生物識(shí)別信息及實(shí)時(shí)定位信息的收集使用。

?

b. 對(duì)員工進(jìn)行內(nèi)部調(diào)查時(shí)，可能調(diào)取員工在用人單位提供的IT系統(tǒng)、提供的辦公設(shè)備中留存的個(gè)人信息。

?

c. 跨國企業(yè)向境外母公司提供員工個(gè)人信息。

?

d. 將員工的聯(lián)系信息提供給供應(yīng)商或客戶。

?

e. 企業(yè)委托第三方發(fā)放員工工資、對(duì)員工進(jìn)行培訓(xùn)、管理人事檔案、扣繳稅款、進(jìn)行內(nèi)部違規(guī)事項(xiàng)調(diào)查等過程中涉及對(duì)外提供員工個(gè)人信息。

?

?

?

《個(gè)保法》第13條規(guī)定了處理個(gè)人信息的合法性基礎(chǔ)。值得關(guān)注的是，除取得個(gè)人同意以外，個(gè)人信息處理者還可基于其他五種事由處理個(gè)人信息。

?

以"履行個(gè)人作為一方當(dāng)事人的合同所必需"為例，如果企業(yè)在勞動(dòng)合同中約定為員工辦理補(bǔ)充商業(yè)保險(xiǎn)，則企業(yè)可以依據(jù)該約定將員工相應(yīng)的個(gè)人信息用于辦理商業(yè)保險(xiǎn)，無需取得員工的同意。

?

?

?

除規(guī)定了豁免信息處理者取得個(gè)人同意的五種合法事由以外，《個(gè)保法》還規(guī)定了五種需要取得個(gè)人"單獨(dú)同意"的情形。下表中我們對(duì)這五種情形做了場景化舉例：

?

?

雖然《個(gè)保法》并未明確規(guī)定取得個(gè)人單獨(dú)同意的具體形式。但一方面，"單獨(dú)同意"至少需要達(dá)到取得同意的基本標(biāo)準(zhǔn)，也即，應(yīng)基于"個(gè)人的充分知情"，并由"個(gè)人自愿和明確作出"；另一方面，根據(jù)立法原意，"單獨(dú)同意"是為了讓個(gè)人對(duì)個(gè)人信息處理更具有發(fā)言權(quán)，充分感知到個(gè)人信息在特定情形下將被如何處理，并充分地參與到同意、限制或拒絕的決策當(dāng)中。因此，"單獨(dú)同意"應(yīng)當(dāng)在《個(gè)保法》第13條"取得個(gè)人的同意"規(guī)定的基礎(chǔ)上，由個(gè)人信息處理者另行、單獨(dú)地向個(gè)人進(jìn)行征求。

?

另參照《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》，取得單獨(dú)同意不得：(i)以與其他授權(quán)捆綁等方式要求自然人同意，以及(ii)以其他方式強(qiáng)迫或變相強(qiáng)迫同意。因此，企業(yè)在需要取得員工單獨(dú)同意的情況下，應(yīng)避免相應(yīng)方式構(gòu)成"捆綁授權(quán)"和"強(qiáng)迫授權(quán)"，比如通過《員工隱私聲明》"一攬子"取得對(duì)員工個(gè)人信息處理的全部授權(quán)，或者員工不同意的就辭退員工。

?

《個(gè)保法》與相關(guān)司法解釋對(duì)"單獨(dú)同意"的嚴(yán)格要求勢必會(huì)增加企業(yè)的合規(guī)成本，而人力資源管理過程中對(duì)于企業(yè)員工個(gè)人信息的處理也會(huì)變得更為復(fù)雜。這樣就自然產(chǎn)生了一個(gè)問題：要求取得個(gè)人單獨(dú)同意的場景能否適用豁免取得個(gè)人同意的五種合法事由？

?

對(duì)于該問題，目前行業(yè)內(nèi)主要由三種觀點(diǎn)：

?

第一，主流觀點(diǎn)認(rèn)為"單獨(dú)同意"屬于"同意"的一種。處理者已根據(jù)其他五種合法性事由豁免取得個(gè)人同意的，就無需再取得個(gè)人單獨(dú)同意。這也是筆者較為認(rèn)同的觀點(diǎn)。在此我們?nèi)匀灰詾閱T工購買商業(yè)保險(xiǎn)為例：如果企業(yè)在勞動(dòng)合同中約定為員工辦理補(bǔ)充商業(yè)保險(xiǎn)，則企業(yè)可以依據(jù)該約定將員工相應(yīng)的個(gè)人信息用于辦理商業(yè)保險(xiǎn)，包括將員工的個(gè)人信息提供給保險(xiǎn)公司——這屬于向其他個(gè)人信息處理者提供個(gè)人信息，但無需再取得員工的單獨(dú)同意。

?

第二，另一觀點(diǎn)認(rèn)為"單獨(dú)同意"是一種更高標(biāo)準(zhǔn)的"同意"。處理者根據(jù)其他五種合法性事由豁免取得個(gè)人同意的，并不能豁免取得個(gè)人單獨(dú)同意的要求。這種觀點(diǎn)關(guān)注了"單獨(dú)同意"的立法原意——為了讓個(gè)人對(duì)個(gè)人信息處理更具有發(fā)言權(quán)。如果"單獨(dú)同意"被豁免，個(gè)人就無法充分地參與到其個(gè)人信息被處理的決策當(dāng)中。

?

第三，認(rèn)為是否需要取得"單獨(dú)同意"需要根據(jù)相關(guān)情形是集中于個(gè)體利益還是公共利益作具體判斷。具體來說，對(duì)于僅涉及私人利益的情形，如"訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需"，此種情況主要為集中在個(gè)人或企業(yè)利益，仍然需要取得個(gè)人單獨(dú)同意。而對(duì)于涉及公共利益的，如"為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件"，則可以豁免取得個(gè)人單獨(dú)同意。

?

上述三種觀點(diǎn)各有合理的解釋空間，但也為處理個(gè)人信息帶來了一定的不確定性。具體應(yīng)采用哪種觀點(diǎn)有待立法或相關(guān)執(zhí)法、司法實(shí)踐的進(jìn)一步澄清。

?

?

企業(yè)需要明確的是，即使具備處理員工個(gè)人信息的合法性基礎(chǔ)，企業(yè)仍然需要遵守《個(gè)保法》的其他規(guī)定，比如其中較為重要的 "最小必要原則"和"公開透明原則"。

?

?

根據(jù)《個(gè)保法》第6條及第28條的規(guī)定，遵守最小必要原則意味著企業(yè)不論是在取得員工個(gè)人同意后處理個(gè)人信息、還是基于其他合法性事由（如履行勞動(dòng)合同所必需）處理員工的個(gè)人信息，都需要逐項(xiàng)審視：

?

a. 對(duì)員工個(gè)人信息的處理是否具有明確、合理的目的；

?

b. 處理行為是否與處理目的直接相關(guān)；

?

c. 是否采取對(duì)員工個(gè)人權(quán)益影響最小的方式；

?

d. 是否過度收集員工個(gè)人信息；以及

?

e. 對(duì)于員工敏感的個(gè)人信息，還需評(píng)估是否具有特定的目的和充分必要性，以及能否采取嚴(yán)格的保護(hù)措施。

?

以招聘階段用人單位可處理的員工個(gè)人信息為例，下表中的相關(guān)文件提供了一些法律依據(jù)：

?

?

地方勞動(dòng)合同規(guī)章更為具體地規(guī)定了哪些信息屬于《勞動(dòng)合同法》的"勞動(dòng)者與勞動(dòng)合同直接相關(guān)的基本情況"。各個(gè)地方文件略有差異，但一般包括員工身份基本信息（姓名、住址、有效證件號(hào)碼）、健康狀況、知識(shí)技能、工作經(jīng)歷、競業(yè)限制情況。

?

企業(yè)需要注意把握"勞動(dòng)者與勞動(dòng)合同直接相關(guān)的基本情況"的范圍。比如，在企業(yè)收集"健康狀況"時(shí)，應(yīng)審查相關(guān)信息是否擬招聘的崗位職責(zé)履行有關(guān)。例如，企業(yè)無正當(dāng)理由收集女性的生育狀況信息就可能會(huì)違反最小必要原則。今年6月網(wǎng)友爆料某知名文化產(chǎn)品公司在招聘中要求女性求職人員填寫"生育計(jì)劃"，此舉被質(zhì)疑用工性別歧視和個(gè)人信息的過度收集。

?

此外，企業(yè)應(yīng)避免招聘過程中收集、處理相關(guān)信息的行為構(gòu)成用工歧視。我國的《勞動(dòng)法》、《就業(yè)促進(jìn)法》及《就業(yè)服務(wù)與就業(yè)管理規(guī)定》均禁止依據(jù)應(yīng)聘人員的性別、民族、種族、宗教信仰、殘疾情況、攜帶傳染病情況、是否為農(nóng)村勞動(dòng)者進(jìn)行用工歧視。 例如，《就業(yè)促進(jìn)法》第30條要求，除非是招聘的是傳染病易擴(kuò)散的崗位員工，否則不得拒絕錄音傳染病攜帶者。也即，對(duì)于一般的企業(yè)的普通崗位，并無充分理由收集員工的乙肝、艾滋病等傳染病信息，否則不僅可能涉及過度收集員工個(gè)人信息，還可能涉嫌就業(yè)歧視而受到行政處罰。

?

?

《個(gè)保法》第7條規(guī)定了"公開透明原則"，要求個(gè)人信息處理者公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。遵守"公開透明原則"，具體到行為就是處理者應(yīng)履行"告知義務(wù)"。對(duì)于用人單位來說，不論對(duì)員工信息處理是基于同意還是基于其他五種合法性事由，除有例外情況，都有義務(wù)在處理之前向員工告知處理規(guī)則。告知義務(wù)的履行需要注意兩個(gè)方面，分別為告知的內(nèi)容和告知的形式：

?

第一， 在告知的內(nèi)容上，企業(yè)處理員工個(gè)人信息需要向員工告知下列事項(xiàng)：

?

a. 處理員工個(gè)人信息的用人單位的名稱和聯(lián)系方式；

?

b. 對(duì)員工個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；

?

c. 員工行使關(guān)于其個(gè)人信息相關(guān)權(quán)利（如查閱、復(fù)制、更正、補(bǔ)充其個(gè)人信息，請(qǐng)求刪除個(gè)人信息，撤回授權(quán)同意）的方式和程序；

?

d. 此外，根據(jù)《個(gè)保法》的規(guī)定，在如下情形中還需要告知特定事項(xiàng)：

?

• 1) 涉及對(duì)員工個(gè)人敏感信息處理的，還需要告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響；
• 2) 涉及向他人提供員工個(gè)人信息的，需要告知員工接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類；
• 3) 因企業(yè)的合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移員工個(gè)人信息的，應(yīng)當(dāng)向員工告知接收方的名稱或者姓名和聯(lián)系方式；以及
• 4) 涉及向境外提供個(gè)人信息的，需要告知員工境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及員工向境外接收方行使個(gè)人信息相關(guān)權(quán)利的方式和程序等。

?

第二， 在告知的形式要求上，告知需要滿足如下要求：

?

a. 原則上應(yīng)在處理員工個(gè)人信息前進(jìn)行告知。在緊急情況下為保護(hù)員工的生命健康和財(cái)產(chǎn)安全無法及時(shí)告知的，應(yīng)在緊急情況消除后及時(shí)告知；

?

b. 告知應(yīng)當(dāng)是顯著的。不易為員工所察覺的告知方式可能不被視為有效的告知；

?

c. 告知應(yīng)當(dāng)是清晰易懂的?？鐕踞槍?duì)不同國家和地區(qū)的員工，應(yīng)當(dāng)使用相應(yīng)國家和地區(qū)的語言進(jìn)行告知；

?

d. 告知應(yīng)該是真實(shí)、準(zhǔn)確和完整的。企業(yè)實(shí)際上對(duì)員工信息的處理情況不得與告知的事項(xiàng)不一致；

?

e. 告知事項(xiàng)發(fā)生變更的，應(yīng)及時(shí)向員工告知變更的內(nèi)容。這要求企業(yè)在內(nèi)部建立良好的聯(lián)動(dòng)機(jī)制，及時(shí)識(shí)別與告知內(nèi)容不一致的事項(xiàng)，并及時(shí)向員工履行變更告知義務(wù)；以及

?

f. 通過制定個(gè)人信息處理規(guī)則的告知的，該規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存。

?

同時(shí)，《個(gè)保法》也規(guī)定了豁免告知的情形：

?

a. 國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的，無需告知；以及

?

b. 法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，無需告知。

?

?