個人信息保護(hù)實務(wù)

李偉

最近，一款軟件登上了熱搜榜，引起了很多人的注意。這是一款號稱“能監(jiān)控員工離職傾向”的行為感知系統(tǒng)，據(jù)網(wǎng)友爆料，該系統(tǒng)可以通過監(jiān)控員工的上網(wǎng)行為，獲取其瀏覽招聘網(wǎng)站和投送簡歷等短期行為偏好，以此判別員工是否具有離職傾向。

不久，知乎回應(yīng)了網(wǎng)上稱其使用了該系統(tǒng)的傳聞，聲明中提到了“違規(guī)收集個人信息”的行為嚴(yán)重背離知乎的價值觀。作為普通個體，我們看到這類軟件的第一反應(yīng)是或許會很反感，會想到個人隱私受到侵犯；而作為用人單位，看到這類軟件可能更多地應(yīng)該要去反思：企業(yè)該如何依法保護(hù)員工的個人信息。

近年來，媒體報道的國際上因忽視員工信息保護(hù)而被罰的企業(yè)不少。

2020年10月，據(jù)英國廣播公司報道，知名瑞典服裝公司H&M因非法監(jiān)視數(shù)百名員工而被罰款3530萬歐元。據(jù)稱，這是歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）史上第二大罰單。

2021年1月，據(jù)《南方都市報》消息，德國知名電商巨頭Notebooksbilliger.de AG因在無合法依據(jù)的情況下視頻監(jiān)控員工，被處罰1040萬歐元。

2021年6月，根據(jù)《環(huán)球時報》綜合報道，法國法院作出終審判決，宣布法國宜家非法收集、儲存員工資料罪名成立，對其處以100萬歐元罰款。

視線回到國內(nèi)，雖然《個人信息保護(hù)法》才剛剛實施，國內(nèi)尚無類似的因非法處理員工個人信息而被處罰的案例，但自從我國將個人信息納入刑法保護(hù)的法益范圍時起，與個人信息保護(hù)的有關(guān)案例還是有的。例如，2017年5月蘭州市中級人民法院宣判的雀巢（中國）有限公司旗下員工非法獲取公民個人信息案（詳見〔2021〕京03民終106號判決）。

那么，對于員工個人信息保護(hù)，《個人信息保護(hù)法》之后，用人單位需要做到哪些呢？如有違反，罰則又是如何？根據(jù)《個人信息保護(hù)法》的有關(guān)規(guī)定，用人單位在處理員工個人信息時，需要做的，概括下來就是：

第一，需遵循包括合法、正當(dāng)、必要和誠信原則在內(nèi)的所有個人信息處理原則。

第二，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向員工告知有關(guān)法定事項。

第三，需要在充分知情的前提下，員工自愿、明確表示同意用人單位對相關(guān)個人信息進(jìn)行處理，用人單位才可以對其個人信息進(jìn)行處理。當(dāng)然，不需要員工同意的有關(guān)場景除外。

第四，處理員工敏感個人信息、向第三方提供員工個人信息、跨境提供員工個人信息等情形下，需依法告知特定事項，并取得員工的單獨同意。

第五，保護(hù)員工個人信息相關(guān)的權(quán)利，履行個人信息處理者相關(guān)法定義務(wù)。

《個人信息保護(hù)法》規(guī)定了很多相應(yīng)的罰則，根據(jù)情節(jié)，用人單位將可能會被責(zé)令改正、警告、罰款、停業(yè)、影響征信、賠償損失、治安處罰、刑事處罰。此外，《個人信息保護(hù)法》還借鑒了歐盟GDPR的規(guī)定，罰款可能會按照營業(yè)額的百分比罰，這是很容易讓用人單位感到疼的數(shù)額。

從《個人信息保護(hù)法》出臺伊始，很多人就意識到用人單位勞動用工的整個過程，都將伴隨著員工個人信息的處理。因此，大家也都很重視這個問題。但筆者發(fā)現(xiàn)，現(xiàn)在很多用人單位操作依然存在著不少問題，囿于篇幅，本文只就其中兩個比較容易被忽視的問題進(jìn)行闡述：

●告知事項流于形式

在《個人信息保護(hù)法》出臺后，一波普法宣傳讓大家初步意識到了，對于個人信息處理需遵循“告知+同意”這一核心規(guī)則。

筆者在處理有關(guān)咨詢時，雖然不少用人單位采取了相應(yīng)的應(yīng)對措施，但很多應(yīng)對措施只是讓員工簽收一份簡單的《授權(quán)書》或者《同意書》，內(nèi)容大致就是授權(quán)同意公司在任何情形下處理自己的個人信息。詳細(xì)一些的，會概括性提及場景有哪些，個人信息包含哪些，但是都不會具體列舉各個場景對應(yīng)的處理目的、處理方式和具體的個人信息種類，更不會提到存儲期限。

不少人認(rèn)為，員工既然已經(jīng)概括性授權(quán)同意了，就包含了所有的情形、信息了，也就符合了《個人信息保護(hù)法》的要求。但是，《個人信息保護(hù)法》要求的是“應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向員工告知有關(guān)法定事項”，上述做法顯然不符合法律的這一要求。而在未充分告知的情況下所獲得的同意，也是不符合法律要求的。

●管理理念相對滯后

目前對于《個人信息保護(hù)法》比較重視的，在很多用人單位還只是局限于人力資源管理部門和一些接觸到消費者個人信息的部門，其他大多數(shù)用人部門還沒有意識到《個人信息保護(hù)法》對于用人單位管理工作的影響。一直以來，由于“家長式管理”“官本位思想”的影響，很多用人單位的中層管理人員對于員工個人信息保護(hù)并沒有很強的意識，過度處理個人信息的情況在管理實踐中比較普遍。

前不久，筆者曾經(jīng)接到電話咨詢，某公司要處理一個員工，理由是該員工利用職務(wù)之便，私下承攬業(yè)務(wù)謀取高額利潤。這是一種很嚴(yán)重的違規(guī)行為，原則上法律不保護(hù)這類行為，所以處理起來風(fēng)險并不會很大。但是，這件事的處理難點在于，之所以發(fā)現(xiàn)員工這一行為，是因為他的直接主管未經(jīng)員工本人和公司同意，擅自登錄員工的辦公郵箱，查看員工往來郵件后發(fā)現(xiàn)的。這個直接主管還認(rèn)為，對于辦公郵箱，領(lǐng)導(dǎo)和公司就是有權(quán)查看的。

根據(jù)相關(guān)法律法規(guī)和規(guī)范的規(guī)定，通信記錄和內(nèi)容屬于個人信息中的敏感個人信息，如果要對這類信息進(jìn)行處理，除了前面提到的一些告知事項，更需要告知當(dāng)事人處理的必要性和對個人權(quán)益造成的影響，還得經(jīng)過個人單獨同意，才可以進(jìn)行處理。可見，前述直接主管的做法已經(jīng)違反了《個人信息保護(hù)法》的相關(guān)規(guī)定，但類似的做法和想法在實務(wù)中并不少見。

針對上述兩個問題，筆者建議廣大用人單位重點做好以下兩方面工作：

●細(xì)化告知事項

不能圖省事，還是應(yīng)該詳細(xì)列舉具體的場景進(jìn)行相對應(yīng)的事項告知。這類告知可以通過表格的形式進(jìn)行具體的列舉。例如：

表述時，再注意通俗易懂，那么就基本符合《個人信息保護(hù)法》對“告知”的要求了。而有了符合條件的告知，再獲得員工明確的同意，也就問題不大了。

當(dāng)然，很可能有人會提出，對于已經(jīng)既定的、已知的一些場景，可以通過上述表格形式告知并獲得同意，對于那些工作中出現(xiàn)的需要處理員工個人信息的新情形，又該怎么辦？難不成，每次都得去做這些手續(xù)？

這就是技巧性問題了，對于“告知+同意”的形式，法律并沒有說一定要書面的，更沒說一定要紙質(zhì)文件。所以，用人單位完全可以通過短信、電子郵件、辦公系統(tǒng)等無紙化信息手段來解決這類問題，只要能留下足以讓他人相信用人單位履行了有關(guān)法定義務(wù)的證據(jù)即可。

●強化管理理念“升級”

更新意識，重視個人信息保護(hù)，不能只是停留于紙面，更不能只針對高層、人力資源管理者、對接客戶的人員，對于從上到下的員工，都需要去做這樣的工作。畢竟，根據(jù)《民法典》的有關(guān)規(guī)定，員工在履行工作職責(zé)時侵害他人權(quán)益的，是由用人單位承擔(dān)責(zé)任的。因此，增強個人信息保護(hù)意識，是所有人都應(yīng)當(dāng)做到的。而且，不僅僅是保護(hù)自己的個人信息，更需要注意因工作原因而接觸的其他個人信息的保護(hù)。

這需要用人單位通過多樣化宣傳、培訓(xùn)來實現(xiàn)。而且，得具象化場景，只是泛泛而談，很難起到較好的效果。

員工個人信息保護(hù)，是未來一段時間內(nèi)用人單位人力資源管理需要重點關(guān)注的問題之一。因為種種原因，目前這方面具體實操性的規(guī)定、判例還比較少，建議大家嚴(yán)格按照法律的要求，并結(jié)合單位的實際情況，設(shè)計出適合于本單位的員工個人信息保護(hù)風(fēng)控體系。然后不斷在實踐中，完善這個體系，以避免單位的員工關(guān)系管理在員工個人信息保護(hù)方面出現(xiàn)風(fēng)險。

作者 勞達(dá)laboroot 高級咨詢顧問、高級合伙人