新闻中心

个人信息保护法实施,企业HR如何合规处理员工信息

2021.11.19

2021年8月20日,第十三届全国人大常委会第三十次会议通过《个人信息保护法》(下文简称《个保法》),于2021年11月1日起正式生效。这是我国首次以专门立法的形式,对于个人信息保护、合理利用个人信息进行全面系统的规定。


图片


企业实施用工管理与处理员工个人信息密不可分,从招聘录用、日常管理到劳动合同解除与终止,员工个人信息保护问题贯穿整个用工管理过程。


如何防范用工在个人信息管理方面的风险,将成为企业在新规下用工管理的重中之重。


01什么是个人信息?


《个人信息保护法》的规定:


  • 个人信息的主体只能是自然人;

  • 个人信息具有可识别性(不包括匿名化处理后的信息);

  • 个人信息必须具有一定形式的载体,即以电子或者其他方式记录(未进行记录的自然人的活动或谈话就不属于个人信息)。


在用工场景下,常见的个人信息中的私密信息包括婚育信息、健康信息、银行账户信息、工作时间以外的位置信息、性取向、未公开的犯罪记录等。


02
员工个人信息保护的“关键节点”
  • 收集应聘者或员工信息的范围
  • 留存简历建立公司人才库
  • 使用自动化工具筛选简历
  • 使用新技术新设备监控员工
  • 员工信息的公开展示
  • 向关联公司或供应商传输员工信息
  • 跨国公司实施人力资源集中管理
  • 留存和使用离职员工的个人信息
  • 员工行使个人权利


图片


03
收集的员工个人信息的“不能”
  • 不能收集询问妇女婚育情况及法律规定的其他信息

  • 不能将妊娠测试作为入职体检项目

  • 一般岗位不能收集传染病信息,如非法律规定的情形外,不得将乙肝检查作为体检项目

  • 不能强制收集家庭成员信息

  • 不能收集星座、血型、生辰八字等与工作无关的信息

  • 不能通过诱导、胁迫、欺诈等不正当方式收集员工个人信息

  • 不能单纯依赖员工同意作为收集员工信息的合法事由


04
处理个人信息的注意事项
  • 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

  • 公开处理信息的规则;

  • 明示处理信息的目的、方式和范围;

  • 不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。


05HR如何合规收集信息

01员工档案信息的收集

员工入职后,根据用工需求,都需要建立花名册或者详细档案,会涉及到员工姓名、性别、身份证号码、户籍地址、现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。

根据《民法典》第111条规定,自然人的个人信息受法律保护。企业依法收集、使用、加工、传输个人信息当然不违法,所谓依法是指,在招聘订立劳动合同阶段,企业有权根据《劳动合同法》了解员工与履行劳动合同相关的信息,比如基本信息、健康情况、知识技能、学历、职业资格、工作经历、家庭住址、家庭成员构成等。


所以企业在员工在职期间,应该谨慎收集、妥善保管,并在员工离职后2年后,进行合理销毁。


02遵守“告知-同意”规则

《个人信息保护法》第五条至第九条规定了处理个人信息应当遵循合法、正当、必要和诚信原则、明确性和相关性原则、最小程度原则、公开透明原则、完整性和准确性原则、安全保障原则等一整套基本原则;以及个人信息处理的“告知-同意”规则。

其中,“告知-同意”规则是《个人信息保护法》中的核心内容,在个人信息处理规则中处于核心地位。

“告知同意规则”,亦称“知情同意规则”,是指任何组织或个人,在处理个人信息时,应当对信息主体即其个人信息被处理的自然人进行告知,在取得同意后方可从事相应的个人信息处理活动,否则所涉处理行为构成违法,除非法律另有规定。

处理个人信息应当在事先充分告知的前提下取得个人同意。建立该规则的目的,在于信息处理者需将处理个人信息的目的、用途、后果告知信息主体,使信息主体出于自身的真实、完整意志,同意信息处理者的请求,以此彰显对信息主体人格独立性与自主性的尊重。

关于“告知-同意”这一核心规则,《个人信息保护法》第13条第(2)项至第(7)项规定了基于个人同意以外的可以合法处理个人信息的六种情形(下称“六种法律许可情形”)。

也就是说,在以下情形下,我们不必须遵循“告知-同意”的规则:


情形一:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

情形二:为履行法定职责或者法定义务所必需。

情形三:为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。

情形四:为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。

情形五:依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

情形六:法律、行政法规规定的其他情形。




个保法作为中国第一部专门保护个人信息的法律,其重要意义不言而喻。用人单位以及HR现阶段,可以对企业自身用工管理需求和场景进行评估与梳理,以便更加完善对员工个人信息保护合规的制度体系。