《人力資源市場暫行條例》解讀及對外包企業影響[16]

2017年5月9日, 《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 (以下簡稱《解釋》) 發布, 不僅嚴格定義了“個人信息”[17], 且對侵犯公民個人信息的犯罪行為加大了懲治力度, 嚴密了刑事法網, 再次將個人信息保護置于輿論熱點。且《民法總則》 《網絡安全法》以及一系列配套法規的頒布與實施, 昭示了中國加大了個人信息保護法律體系建設的力度。本文謹結合相關法律法規, 試就雇傭關系下的員工個人信息相關四類情形的合規要點進行梳理與探討, 以饗讀者。

一、招聘與錄用

許多企業曾在招聘員工過程中, 對一些員工尤其高管進行背景調查。考慮到背景調查所需的專業性, 用人單位往往會委托第三方服務商進行背景調查。然而, 今后此類委托將可能被認定為非法收集、傳輸、買賣、提供或公開他人信息[18]的違法行為, 會被追究民事責任[19]甚至刑事責任[20]。所以, 用人單位在進行相關員工的背景調查時, 首先, 要格外注意須事先以書面形式獲得待查員工的授權(如在offer、勞動合同里約定明確授權并由員工簽字認可或讓員工簽寫《員工個人信息許可書》 ), 從而使用人單位有權收集及調查該員工個人信息。其次, 用人單位須謹慎使用第三方背景調查服務商進行調查, 避免構成非法買賣個人信息。如必須使用, 應在與第三方服務商的服務協議中約定免責條款, 要求第三方服務商在進行背景調查時必須依法進行, 不得有任何違法違規行為。

此外, 在錄用員工時, 用人單位往往要求員工填寫《個人信息登記表》, 要求員工書面披露其大量個人信息。這既是判斷勞動者是否符合用工需求的需要,也是內部管理需要, 勞動者正常情況下都會配合。但對于此類個人信息搜集, 應局限于《勞動合同法》第八條法定授權的范圍, 即用人單位有權了解勞動者與勞動合同直接相關的基本情況, 勞動者應當如實說明。對此, 一般理解為:

1. 用人單位可以了解勞動者與勞動合同直接相關的基本情況, 包括年齡、性別、學歷、工作經驗等, 根據特定行業要求 (例如食品行業、證券行業), 還可以了解疾病信息、違法記錄等。

2. 與勞動合同不直接相關的信息, 個人有權拒絕提供, 如勞動者宗教信仰、婚姻狀況、子女信息、個人愛好等。但是, 員工個人出于全面介紹自身情況和爭取聘用機會的目的, 自愿提供相關信息的, 不受限制。

3. 用人單位對于了解到的個人信息, 應當只能用于內部用工管理, 除依法披露外, 不得對外透露, 更不得以盈利為目的出售。

二、工作場所各類監控問題

考慮到保護商業秘密, 許多企業都對員工的工作郵箱、工作電腦以及辦公室內局域網使用進行了監控。這樣公司不僅可見員工工作郵箱里的各種內容, 員工通過辦公室網絡處理的個人郵件、個人電商買賣記錄及QQ或微信的聊天記錄,也處于公司監控之下, 筆者曾經代理過某科技公司解除其員工的勞動爭議案件中, 公司就是舉出該員工工作電腦里的大量淘寶瀏覽記錄, 以證明員工“工作時間處理與工作無關事宜”而嚴重違紀解除。員工除了提起勞動爭議之訴外, 又向法院起訴公司侵犯其個人隱私權。

此外, 一些敏感行業如銀行或奢侈品門店, 往往會在工作場所設置攝像頭對員工的言行進行監控, 此類監控也是引起糾紛的焦點之一。

新法律環境下, 上述監控面臨巨大合規風險, 需要用人單位對上述監控行為作出一系列制度化及合理化安排, 以保證監控過程及監控獲取的個人信息使用均合規。

《全國人民代表大會常務委員會關于加強網絡信息保護的決定》明確要求企業“在業務活動中收集、使用公民個人電子信息, 應當遵循合法、正當、必要的原則, 明示收集、使用信息的目的、方式和范圍, 并經被收集者同意, 不得違反法律、法規的規定和雙方的約定收集、使用信息”, 并“應當公開其收集、使用規則”。 《網絡安全法》也強調了必要、公開及事先獲得同意的原則。[21]

例如, 有的單位在規章制度中, 只規定了員工“不得使用工作郵箱處理與工作無關的個人事務”, 或者“不得接收、發送信息”等, 但這并不完善, 為了滿足上述相關法律法規要求的原則, 常見的合規做法是在規章制度單獨設立的“電子資源使用政策”中明確,“單位為了經營管理需要, 將通過特定系統 (或技術)對郵件、辦公電腦及網絡進行監控, 并有權利用技術手段收集相關信息”等, 以此體現制度的公開性和員工的知情權, 并且單位應妥善保管和使用所收集的信息。

一般來說, 用人單位對工作場所監控應注意如下問題:

1. 根據中國勞動法基本原則, 企業有權對員工進行工作管理, 并有權對此進行制度性規定或者合同約定, 員工也有義務遵守公司規定和管理, 監控可以視為管理的一部分。此外, 員工的工作郵箱、工作電腦以及辦公室網絡不應用于處理個人事務。對此原則, 企業在員工手冊中可設“電子資源使用政策”專章規定,對員工在工作時間內使用網絡及工作郵箱給予明確的規定或指導。如對工作場所進行攝像監控, 也應公開告知員工攝像機設立的時間、目的以及位置, 不應秘密監控。

2. 在員工入職培訓時, 可予以說明, 并保留培訓記錄。如有必要, 勞動合同中也可以簡要約定或讓員工簽寫《員工個人信息許可書》以獲得員工事先書面許可。

3. 嚴格保密責任, 公司或接觸人員對監控所取得的信息嚴禁進行傳播或者披露。

三、員工個人信息使用與披露

根據人力資源與社會保障部發布的《就業服務與就業管理規定》第十三條規定:“用人單位應當對勞動者的個人資料予以保密。公開勞動者的個人資料信息和使用勞動者的技術、智力成果, 須經勞動者本人書面同意。”而且, 在筆者代理的勞動爭議案件中, 勞動關系存續期間及之后的個人信息披露往往也是引起爭議的焦點所在。

一些大型集團公司往往有對違紀員工進行公司內部通報批評的制度; 或者在員工不辭而別或拒不接受公司解除勞動合同關系決定時, 用人單位常會采取登報聲明的公告送達方式。一些員工據此認為公司侵犯了其隱私權與名譽權, 從而提起訴訟。雖然我國法律規定企業因內部管理而對員工作出的評價或認定, 而被起訴侵犯名譽權的案件不予受理[22]。但是, 此類評價或認定通知范圍原本應限于員工個人或所在部門, 若用人單位故意擴大, 如常見的群發郵件或微信群發形式,也存在違規公開個人信息的法律風險, 故此用人單位應謹慎處理相關信息或評價的通知范圍。

此外, 在勞動爭議案件中, 無論仲裁還是訴訟程序, 用人單位都經常要向仲裁庭或者法庭提供證據, 就可能需要公開或披露包含大量員工個人信息的證據資料, 以證明特定事實。還有比較常見的如員工不斷提交病假單泡長病假時, 用人單位往往會要求員工提交病歷、掛號及診斷證明等, 而員工以此類文件屬于個人隱私為由予以拒絕。對于此類情形, 可從如下幾點做好合規工作:

1. 通過規章制度或相關文件提前獲得特定情形下披露員工個人信息的授權。如于員工手冊中規定: 員工同意并認可用人單位有權就其病假真實情況進行調查與核實, 且員工有義務提交相關病歷等就診材料等。

2. 如果證據涉及個人隱私, 則用人單位應當主動向司法機關提出, 提示司法機關對案件進行不公開審理, 以限制接觸相關證據的人員范圍, 避免員工就此提出異議。

3. 另外, 對于外資企業和跨國公司, 也要注意向法庭披露有關信息, 是否符合公司內部的相關政策。

四、員工個人信息的存儲與跨境轉移

實踐中, 一些跨國企業的員工入職時就會被要求在諸如EHRS之類全球人事管理電子系統上填寫個人信息以備用人單位之后存儲或使用, 然而外企的此類系統的服務器往往都在境外。此外, 有些企業可能需要將在中國境內收集的個人信息轉移至境外, 例如, 企業需要將國內收集的個人信息傳輸給境外的服務商進行數據處理, 或者跨國公司需要將中國員工個人信息轉至總部以統一處理人事問題。凡此種種, 都與我國一直強調的個人信息存儲本地化[23]以及嚴格控制個人信息跨境轉移的相關法律法規相悖, 存在一定法律風險。

國家互聯網信息辦公室也一直強調個人信息跨境轉移除了要依規定進行安全評估外, 更重要的是一定要獲得本人同意。

從合規和降低法律風險的角度出發, 對于可能需要將個人信息數據轉移至境外的企業, 可考慮在使用條款和隱私政策中對此進行明確規定 (例如, 明確其個人信息可能會轉移至境外, 且其明確同意該跨境轉移), 確保獲得所涉員工的事先明示的書面同意。

綜上所述, 隨著非法獲取、出售、使用個人信息的現象日益增加, 個人信息保護已經成為社會關注焦點, 我國對個人信息保護的監管也會越來越嚴格, 勢必不斷推出新的法律法規, 用人單位需要密切跟蹤這一領域的法律進展和執法趨勢, 建立相關制度與政策以確保其收集和使用員工個人信息合法合規, 避免由此產生的法律風險。