個(gè)人信息保護(hù)實(shí)務(wù)大全（上）

石先廣

大數(shù)據(jù)時(shí)代，信息、數(shù)據(jù)已經(jīng)成為熱點(diǎn)話題。對(duì)微觀個(gè)體而言，個(gè)人信息和個(gè)體利益密切相關(guān)；對(duì)宏觀整體而言，眾多個(gè)人信息匯集在一起涉及國(guó)家安全。因此，個(gè)人信息保護(hù)的立法、執(zhí)法、司法工作成為各國(guó)重點(diǎn)關(guān)注事項(xiàng)。

自《個(gè)人信息保護(hù)法》2021年11月1日正式施行以來(lái)，筆者接到了很多關(guān)于員工關(guān)系管理中的個(gè)人信息保護(hù)方面的咨詢，為此筆者還專(zhuān)門(mén)開(kāi)發(fā)了實(shí)務(wù)類(lèi)課程，開(kāi)始為一些企業(yè)提供與《個(gè)人信息保護(hù)法》相關(guān)的人力資源管理文本梳理、修訂、完善的專(zhuān)項(xiàng)服務(wù)。結(jié)合近期的工作和思考，筆者現(xiàn)將這些問(wèn)題較為全面地梳理成文，以期對(duì)HR的工作有所幫助和啟發(fā)。

人力資源管理是否屬于規(guī)制的對(duì)象

這是很多HR關(guān)注的前提問(wèn)題，如果這部法律和人力資源管理無(wú)關(guān)，HR自然不用花時(shí)間和心思學(xué)習(xí)它；如果這部法律和人力資源管理有關(guān)，HR才需要了解和學(xué)習(xí)它。

根據(jù)《個(gè)人信息保護(hù)法》第七十三條，個(gè)人信息處理者是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。顯然，《個(gè)人信息保護(hù)法》保護(hù)的對(duì)象是自然人的個(gè)人信息，規(guī)制對(duì)象是處理自然人個(gè)人信息的主體。順著這個(gè)思路往下分析，誰(shuí)會(huì)是處理自然人的個(gè)人信息的主體呢？大概有以下幾類(lèi)：公共事務(wù)管理者、服務(wù)提供者、人力資源管理者、其他涉及處理個(gè)人信息者。所以，因用人單位在勞動(dòng)關(guān)系管理中必然會(huì)涉及自主決定處理員工個(gè)人信息的目的和方式，用人單位對(duì)內(nèi)員工關(guān)系管理，也屬于法律規(guī)定的個(gè)人信息處理者。

從以上分析來(lái)看，人力資源管理屬于這部法律規(guī)制的對(duì)象。所以，這就決定了HR在今后的工作中要和這部法律經(jīng)常打交道。

如何識(shí)別某項(xiàng)信息是否屬于個(gè)人信息

這是HR要了解的基本問(wèn)題，即在日常管理中要能識(shí)別哪些屬于員工的個(gè)人信息。對(duì)此，《個(gè)人信息保護(hù)法》第四條對(duì)個(gè)人信息有明確的界定，明確了個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。與《民法典》對(duì)個(gè)人信息采取具體列舉式的定義不同，《個(gè)人信息保護(hù)法》采取抽象化概況式的定義（如圖1）。

結(jié)合以上兩部法律規(guī)定可知，一項(xiàng)信息是否構(gòu)成個(gè)人信息，關(guān)鍵看該項(xiàng)信息是否具有“識(shí)別性”。從《民法典》的列舉來(lái)看，HR在員工關(guān)系管理的各個(gè)環(huán)節(jié)都會(huì)涉及大量的員工個(gè)人信息（如圖2）。

什么是敏感個(gè)人信息

需要注意的是，《個(gè)人信息保護(hù)法》在第二章第二節(jié)專(zhuān)門(mén)規(guī)定了敏感個(gè)人信息的處理規(guī)定。《個(gè)人信息保護(hù)法》第二十八條規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

除法律對(duì)此有一定的列舉外，我國(guó)的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2020）對(duì)敏感個(gè)人信息還有更為具體的列舉（如圖3）。

從以上列舉來(lái)看，在員工關(guān)系管理中，用人單位會(huì)接觸到員工大量的敏感個(gè)人信息，如指紋、人臉識(shí)別信息、健康信息、銀行賬號(hào)甚至行蹤信息等。

個(gè)人信息、敏感個(gè)人信息與個(gè)人隱私是什么關(guān)系

隨著社會(huì)的進(jìn)步，大家對(duì)個(gè)人信息、隱私越來(lái)越看重，那么個(gè)人信息、敏感個(gè)人信息、隱私之間是什么關(guān)系呢？從時(shí)間軸來(lái)看，在個(gè)人信息這個(gè)概念沒(méi)有出現(xiàn)之前，司法裁判中對(duì)涉及個(gè)人信息的保護(hù)一般歸類(lèi)為隱私范疇，并按隱私權(quán)的相關(guān)規(guī)定進(jìn)行保護(hù)。因?yàn)椋凑针[私權(quán)的定義，私密信息屬于隱私保護(hù)的范疇。

《民法典》第一千零三十二條規(guī)定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。

在個(gè)人信息權(quán)益未被法律保護(hù)前，只有個(gè)人信息中的私密個(gè)人信息才能獲得隱私權(quán)保護(hù)。如今，“個(gè)人信息”的出現(xiàn)，并上升為法律規(guī)定的權(quán)益。正如《個(gè)人信息保護(hù)法》第二條所述，自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。

其實(shí)，《民法典》中也有個(gè)人信息權(quán)益受保護(hù)的規(guī)定（《民法典》第一千零三十四條：個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定）。這樣，個(gè)人信息權(quán)益就進(jìn)入“隱私權(quán)”和“個(gè)人信息權(quán)益”的二元保護(hù)時(shí)代。

由此可見(jiàn)，個(gè)人信息權(quán)益受損害，涉及個(gè)人私密信息的，可以適用隱私權(quán)的規(guī)定進(jìn)行救濟(jì)；不涉及個(gè)人私密信息的，可以用個(gè)人信息權(quán)益進(jìn)行托底保護(hù)。值得思考的是，“私密信息”是否等于“敏感個(gè)人信息”，這個(gè)問(wèn)題還有待進(jìn)一步研究。

個(gè)人信息的處理包括哪些環(huán)節(jié)

《個(gè)人信息保護(hù)法》第四條第二款規(guī)定，個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等。相對(duì)于《民法典》，《個(gè)人信息保護(hù)法》在列舉個(gè)人信息處理的具體環(huán)節(jié)時(shí)又增加了“刪除”（如圖4）。

從以上規(guī)定來(lái)看，用人單位在員工關(guān)系管理中，處理員工個(gè)人信息也貫穿用工管理的全過(guò)程，如入職讓員工填寫(xiě)相關(guān)信息，將員工個(gè)人信息提供給出資方、關(guān)聯(lián)方或合作方，登報(bào)送達(dá)相關(guān)通知會(huì)涉及公開(kāi)員工的個(gè)人信息等都屬于處理個(gè)人信息的范疇。