作者:刘琦 连煜雄 
近期,国家互联网办公室发布的《数据安全管理办法(征求意见稿)》再次引发了对个人信息保护的讨论热潮。本文旨在探讨我国目前涉及员工个人信息保护的法律框架及最新立法动态,并针对用人单位在收集和使用员工个人信息的不同典型情形下如何合规提出建议。
何为个人信息
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等[1]
判定某项信息是否属于个人信息可以考虑两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,则其在活动中产生的信息即为个人信息。符合上述之一,均应判定为个人信息[2]
此外,还应注意个人信息、个人敏感信息[3]以及个人隐私[4]的范围均不同。总体而言,个人信息的范围广于个人敏感信息的范围,而个人敏感信息又包含个人隐私。用人单位不仅应当关注员工隐私的保护,而且应对侵害员工任何个人信息的行为进行全面的防范与规制。
我国关于员工个人信息保护的法律规定
(一) 一般性规定
《中华人民共和国民法总则》包含了对个人信息保护的基本规定,即任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息[5]。此外,《全国人民代表大会常务委员会关于加强网络信息保护的决定》中也对在业务活动中收集、使用公民个人电子信息的行为进行了相应规定,即应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意[6];还应对收集的信息严格保密,防止泄露、损毁和丢失[7]
而在刑法层面,根据《中华人民共和国刑法》的规定,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,可能构成侵犯公民个人信息罪,并将被从重处罚[8]
对用人单位而言,其获取、收集、保存、处理以及使用其员工个人信息时,理应遵守上述基本规定。
(二) 劳动法领域相关规定
目前,中国尚未针对员工个人信息保护制定专门的法律法规。
在传统的劳动法领域中,与员工个人信息保护相关的规定主要包括如下内容:
1)《中华人民共和国劳动合同法》赋予用人单位了解员工与劳动合同直接相关的基本情况的权利[9],即劳动者应将与劳动合同直接相关的个人信息向用人单位进行说明;当然,对于前述“基本情况”的范围,不同地区的规定有所不同。以上海和北京为例,《上海市劳动合同条例》中规定用人单位有权了解劳动者健康状况、知识技能和工作经历等情况[10];而《北京市劳动合同规定》中则规定用人单位有权要求劳动者提供本人的身份证和学历、就业状况、工作经历、职业技能等证明[11],未对了解劳动者的健康状况进行明确要求。
2) 此外,《就业服务与就业管理规定》中规定用人单位公开员工个人资料信息需经员工本人书面同意[12]
(三) 网络安全、数据安全方面的规
近几年,与网络安全、数据安全相关的法律规定和各类文件逐渐增多,主要包括《中华人民共和国网络安全法》(下称“网安法”)及最新发布的《数据安全管理办法(征求意见稿)》(其一旦正式生效则具有部门规章的效力)。此外,《信息安全技术——个人信息安全规范》作为国家推荐性标准,与《互联网个人信息安全保护指南》一同在个人信息保护工作中发挥参考和借鉴的作用。 
总体而言,上述针对个人信息保护的法律规定及文件主要是为了规制网络运营者的行为,对员工个人信息保护的影响相对而言比较有限和间接。但是,如果用人单位设有内部局域网用于企业内部管理,则其通过内部局域网收集和使用员工个人信息的行为也适用上述法律规定及文件这是因为,根据网安法对“网络”的界定[13],应将其理解为广义的“网络”,即不仅指互联网,也包括局域网和工业控制系统[14]。因此,对于企业内部局域网而言,用人单位即是上述法律规定及文件项下的“网络运营者[15]”,应遵循个人信息保护方面的相关规定。 
具体来说,用人单位在利用企业内部局域网收集和使用员工个人信息时作为“网络运营者”可能需要遵循的法律规定主要包括:首先,根据网安法的相关规定,网络运营者对其收集的个人信息负有保密义务[16],网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则[17],并且网络运营者不得泄露、篡改、毁损其收集的个人信息,且未经被收集者同意,不得向他人提供个人信息[18]。另外值得注意的是,《数据安全管理办法(征求意见稿)》分别在数据收集与处理使用进行了细化规定,如个人有权请求网络运营者查询、更正、删除或注销其账号[19];以及网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案[20]等内容。当然,由于该办法目前尚未正式出台,最终的规定内容还不确定,但用人单位应对此持续关注,到时应注意遵循正式出台的办法中对各类数据活动的规定。
此外,网安法项下还存在着一般性条款,适用于包含网络运营者在内的所有业务经营者(如不得以窃取等其他非法方式获取个人信息、非法出售或非法向他人提供个人信息[21]等)。用人单位在涉及处理其员工的个人信息时,即便不作为“网络运营者”,也应受到这些一般性条款的约束。
注释:
[1]:该定义来自《中华人民共和国网络安全法》第76条及《数据安全管理办法(征求意见稿)》第38条。
[2]:见《信息安全技术——个人信息安全规范》附录A。
[3]:根据《个人信息出境安全评估办法(征求意见稿)》第21条,个人敏感信息是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。此外,根据《信息安全技术——个人信息安全规范》附录B,通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。
[4]:个人隐私又称私人生活秘密或私生活秘密,是指私人生活安宁不受他人非法干扰,私人秘密不受他人非法搜集、刺探和公开(参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载于《中国法学》,2015年03期);此外,鉴于我国目前立法对隐私尚无明确定义,可参考2002年《民法典草案》(第一稿)第4编“人格权法”第25条中对隐私范围的界定,即“隐私的范围包括私人信息、私人活动和私人空间”。
[5]:见《民法总则》第111条。
[6]:根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
[7]:根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第3条,网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。第4条进一步规定,网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
[8]:根据《中华人民共和国刑法》第253条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
[9]:见《劳动合同法》第8条。
[10]:见《上海市劳动合同条例》第8条。
[11]:见《北京市劳动合同规定》第10条。
[12]:见《就业服务与就业管理规定》第13条。
[13]:根据《网络安全法》第76条,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
[14]:参见杨合庆主编:《中华人民共和国网络安全法解读》,中国法制出版社,2017年。
[15]:根据《网络安全法》第76条,网络运营者,是指网络的所有者、管理者和网络服务提供者。
[16]:见《网络安全法》第40条。
[17]:根据《网络安全法》第41条,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
[18]:根据《网络安全法》第42条,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
[19]:见《数据安全管理办法(征求意见稿)》第21条。
[20]:见《数据安全管理办法(征求意见稿)》第15条。
[21]:见《网络安全法》第44条。
劳动法专栏往期文章
1. 谈谈企业规章制度民主程序的“是与非” ——以《劳动合同法》第四条第二款的司法实践解读为视角
2. 防止被收购企业股东另起炉灶,竞业禁止条款如何巧妙设置?
3. 用人单位是否需要为非全日制员工缴存住房公积金
4. 董事与高级管理人员的法定竞业限制义务——用人单位救济障碍与应对策略分析
5. Directors and Senior Management's Non-Compete Obligations
6. 从劳动法视角看“996工作制”
7. 离职员工递延奖金发放的法律风险分析
作者介绍
 刘琦  
合伙人
021- 2613 6125
[email protected]
刘琦律师毕业于华东政法大学和德国法兰克福大学,分别获得法学学士和法学硕士学位。刘律师具有超过10年的法律从业经验,主要业务领域为劳动与雇佣法律和外商投资并购。
刘律师拥有丰富的涉外法律服务经验,曾在一流国际、国内律师事务所工作十余年。刘律师擅长为跨国企业提供高质量的人力资源法律服务,包括提供日常法律咨询,高管解雇谈判,法律风险评估,人力资源合规,劳动合同、规章制度及其他雇佣相关的法律文件的起草与修订,劳务派遣与人力资源外包,员工安置及遣散,外国人在华就业和居留相关事宜,劳动争议解决等方面的法律服务。
 连煜雄  
顾问
021- 2613 6129
[email protected]
连煜雄律师毕业于中南财经政法大学和厦门大学,分别获得法学学士和法学硕士学位。连律师具有超过10年的法律从业经验,主要业务领域为劳动与雇佣法律和外商投资并购。
连律师擅长为各类内外资企业提供高质量的人力资源法律服务,包括日常法律咨询,法律风险评估,提供合规整体方案,审查、起草和修改劳动合同、规章制度及其他劳动法律文件,处理外国人在华就业和居留的相关事宜,为客户及其员工提供培训服务,设计员工安置方案,高管解雇/离职等。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.
继续阅读
阅读原文