大陆个人信息保护法专题文章(五)—个人信息保护法下企业处理员工个人信息的合规问题(中国大陆)

温坚坚 律师、黃郁婷 顧問[1]

 《中华人民共和国个人信息保护法》(以下简称“《个保法》”)的出台对于企业在劳动用工过程中处理员工个人信息提出了新的要求,企业也将面临个人信息保护的合规风险。本文旨在針对与劳动法相关法律、法规及个保法中涉及企业员工个人信息部分进行梳理,以提示企业对员工个人信息保护的相关责任。 

一、企业处理员工个人信息之合法依据

个保法第十三条第一款第(二)項明确规定,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需情形下,个人信息处理者可处理个人信息。

依據《中华人民共和国劳动合同法》(以下简称“《劳动合同法》”)第八条规定,用人单位招用劳动者时应当如实告知劳动者工作内容……;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。又按《中华人民共和国劳动合同法实施条例》第八条规定,劳动合同法第七条[2]规定的职工名册,应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。

因此,企业收集与劳动合同直接相关的员工个人信息系有明确的法律依据,员工无正当理由不得拒绝提供该类信息。然须特别注意员工应提供的个人信息范围仅限于与劳动合同直接相关的基本情况,通常为姓名、性别、身份证号码、住址、联系方式等。员工其余个人信息较难以个保法第十三条第一款第(二)項为合法依据予以处理。

 二、企业仍应取得员工单独同意之情形

除上述提及的信息外,企业若需处理员工的其他信息,原则上应取得员工个人的同意。个保法特别规定了以下五种需要取得个人(包括员工)单独同意的情形。

法律形式要求 法律规定
单独同意 向第三方提供其处理的个人信息(第23条)
公开其处理的个人信息(第25条)
将在公共场所安装图像采集、个人身份识别设备所收集的个人图像、身份识别信息,用于维护公共安全目的以外的其他目的(第26条)
处理敏感个人信息(第29条)
向境外提供个人信息[3](第39条)


三、企业处理员工个人信息应遵循的规则

个保法第三条规定,在中华人民共和国境内处理自然人个人信息的活动,适用该法规定。因此企业在处理员工个人信息时也应遵照个保法之相关规定。个保法第五条至第九条针对个人信息的处理亦作出了明确的规定,企业应遵循下列归纳之原则对员工的个人信息进行妥善处理。

第五条:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 诚信原则
第六条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 目的明确合理、最小必要原则
第七条:处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 公开透明原则
第八条:处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 信息准确原则
第九条:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。 信息处理可归责原则


四、企业应采取的应对方式

企业违反个保法相关规定将会承担相应行政责任、民事责任、刑事责任,建议企业从以下几方面针对员工个人信息的处理进行把控。

1. 制定内部管理制度和操作流程,可按实际情况修订《员工个人信息使用同意书》、《劳动合同》、《员工手册》等有关个人信息的协议书。

2. 对员工个人信息实行分类管理,尤其注意把握敏感信息的处理。

3. 在实务可操作的前提下,采取相应的加密、去标识化等安全技术措施,加大员工个人信息的安全保障。

4. 明确个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。

5. 制定并组织实施个人信息安全事件应急预案。

6. 注意保留企业内部履行员工个人信息保护义务的相关证据[4]


[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。

[2] 《劳动合同法》第七条,用人单位自用工之日起即与劳动者建立劳动关系。用人单位应当建立职工名册备查

[3] 企业向境外提供个人信息涉及信息的跨境流通问题,可参考【理慈特辑】《个人信息保护法》对信息跨境传输之特殊规定要求,https://www.leetsai.com/%e7%89%b9%e8%bc%af/feature-articles-on-chinas-personal-information-protection-law-3-special-regulations-and-requirements-on-cross-border-data-transmission-mainland-china?lang=zh-hant)

[4] 个保法第六十九条:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。