继《民法典》之后,又一直接规制个人信息处理的法律出台。2021年8月20日,《个人信息保护法》(下称“《个保法》”)在第十三届全国人民代表大会常务委员会第三十次会议上通过,将自2021年11月1日起正式实施。由此,我国以立法形式显著加强了对个人信息的保护。从《个保法》设置的罚则力度 [1] 不难看出我国对个人信息侵权行为的惩治决心。
大数据时代下,企业需要处理员工个人信息的场景似乎有增无减,从获取姓名、年龄、身份证号、联系电话、地址等基本信息,到获取健康、行踪轨迹、生物识别等敏感信息。超过一定程度,信息爆炸可能成为负担,无论从法律还是经济成本角度看,用人单位都应寻求处理员工个人信息的合规路径。本文将带领读者从劳动法的角度,对即将实施的《个保法》重点问题进行初步分析以供进一步探讨。
《民法典》《个保法》对个人信息的处理原则性规定是“告知-同意”,如果用人单位在不能取得“员工同意”,特别是对于“敏感个人信息”“个人信息跨境”,应该如何处理?
一、 涉及敏感个人信息时,用人单位可否援引《个保法》第十三条,而无需获得员工“单独同意”?
根据《个保法》第二十八条,所谓“敏感个人信息”即“一旦泄露或者非法使用,容易导致自然的价格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融帐户、行踪轨迹等信息,以及不满十四周岁未成人的个人信息。”《该法第二十九条还规定:“处理敏感个人信息应当取得个人的单独同意。”越来越多的企业进行人事管理时都会涉及到员工敏感个人信息,如使用人脸识别与记录行踪的电子考勤、员工提交病假单同时要求提交病历卡与医药费单据。对于人力资源风险控制,如果此时无法得到员工授权同意,收集信息可否援引《个保法》第十三条(2) [2] “按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”获得合法性? 
1
实践观点不统一
持否定论者认为符合第十三条第二款即无需取得个人单独同意的主要基于如下分析:
(1)从文意解释上看,“单独同意”下位于“同意”,既然第十三条第二至第七款情形明确排除个人“同意”,则理应排除“单独同意”,即“依照本法其他有关规定,处理个人信息应当取得个人同意但是有前款第二项至第七项规定情形的,不需要取得个人同意”。
(2)获取员工单独同意不具现实可能性。与第十三条第二款并列的情形还包括履行法定职责、紧急情况保护自然人生命健康和财产安全、为公共利益实施新闻报道等行为 [2] 。例如员工在休息时间突然昏倒,为提供救治线索,用人单位调取非工作时间的行踪轨迹,要求单位事先获得员工单独同意显然不可能。
而认为需要经过员工“单独同意”才可处理敏感个人信息的观点称,涉及用人单位收集个人敏感信息的情况不符合第十三条第二至第七款的规定。
律师建议:以取得员工同意为宜;如果不能获得但又为人力资源管理之必需,则就当建全规章制度或集体合同。
鉴于《个保法》将于2021年11月1日实施,目前针对第十三条尚无明确判断口径,可能未来也很难划定完全统一的标准。故,现阶段建议用人单位谨慎处理员工敏感个人信息,在可以的情况下,仍以取得员工单独书面同意为宜。但是如果不能获得员工同意,但又必须收集使用,为控制风险,则当根据《个保法》第十三条第二款规定依法制订相应的规章制度或集体合同。
根据笔者研究,现有司法实践倾向“限制”用人单位不经同意即强势获取员工敏感、私密信息的行为,此种裁判口径也具有参考价值。如北京市第三中级人民法院在(2021)京03民终106号案件中引用了《民法典》一千零三十四条个人信息保护条款,认为员工“罹患疾病的细节应属个人隐私”,用人单位“要求提供的病历、心理证明材料、费用凭据等应以必要为限”,而不应“过分求全”。相较于此,上海第一中级人民法院也在(2021)沪01民终3040号就用人单位对员工工作手机进行录音的合法性进行了详细审查并进行了不同认定。上海一中院认为,一方面,用人单位确享有工作手机的所有权,但由于未明确事先向员工告知会对手机通话予以录音并恢复数据,亦未就此取得员工明确同意,故用人单位已超出管理监督劳工的合理限度,该种录音证据违法,法院不予认可。
2
域外经验:GDPR语境下,员工同意亦可能无效
GDPR(General Data Protection Regulation《通用数据保护条例》)限制了用人单位可以通过员工同意这种方式收集个人信息的权利,即如果不满足这些条件而仍采用员工“同意”的法律依据,可能被认定无效。根据GDPR Recital 43,当信息主体与控制者的地位悬殊时,信息主体的同意不构成控制者处理个人信息的有效法律基础 [3] 。为指导适用GDPR,欧盟委员会在问答里指出,通常情况下,员工在劳动关系里较用人单位处于弱势地位。当公司以给予员工或其家人福利为目的时,征得信息主体同意后处理个人信息是合法的。而当公司以生产管理为目的要求员工同意在办公场所之外对其进行监控时,这样的同意则不具备法律基础 [4]
上述观点也在希腊的司法实践中得以确认。2019年,希腊数据保护局因某公司未按正确的法律依据处理员工数据,对其罚款15万欧元并限其整改 [5] 。该监管机构认定,公司应基于GDPR 第六条(1)(f),即“为了控制人或第三方追求的合法利益所必要”处理员工信息,却错误采用了(a)项“同意”条款,并且未将正确的法律依据告知员工,违反了透明原则。
律师建议:鉴于国情之别,GDPR为核心搭建的个人信息保护体系无法直接移植,但它在公平切分雇员雇主权益方面为我们提供了宝贵思路。《劳动合同法》二十六条规定,用人单位排除劳动者权利,免除自己法定责任的劳动合同无效或部分无效。因此,如果只是让员工无条件的签署员工个人信息处理同意书,而排斥《个保法》中个人(员工)对其个人信息拥有的权利,也将很可能被认定为无效授权,员工“同意”也不能随时随地作为用人单位的“避风港”! 
二、如何理解《个保法》第十三条第二款中为履行合同、为实施人力资源管理“所必需”?

1
以《劳动合同法》第八条为参照
《劳动合同法》第八条与《个保法》第十三条第二款直接关联,《劳动合同法》第八条规定:“用人单位有权了解劳工与劳动合同直接相关的基本情况,劳动者应当如实说明。”
上述条文中“与劳动合同直接相关的基本情况”可以作为《个保法》第十三条第二款履行劳动合同或人事管理“所必需”的参考。但何谓“与劳动合同直接相的基本情况”,未见有解释或评判标尺。
一般来说,姓名、年龄、身份证号、联系地址、学历学位、工作经历等在内的个人信息均属于“直接相关的基本情况”。然而基本情况也会因具体案情而异。以年龄为例,在(2021)沪02民终4515号劳动争议中,上海市第二中级人民法院认为员工李某违反了员工的如实告知义务,构成欺诈。李某与公司签订聘用协议时谎称自己56岁,但实际已满59岁,据法定退休年龄60岁不足2个月,故法院认为年龄在本案中构成用人单位招聘员工考察的首要条件。而在“杨某与江苏某公司追索劳动报酬纠纷案中”,员工杨某填写劳动合同时称自己于1980年出生,而非身份证上所载1978年。但法院审理认为,本案中杨某的年龄与其所报人力资源岗招聘条件无关,并不属于“与劳动合同直接相关的基本情况”,故杨某对此无如实告知义务。
律师建议:判断《个保法》第十三条第二款“所必需”时需具备一个相对尺度,但不能脱离具体情境一概而论。因此企业制定劳动合同条款、管理制度时,可结合自身需求,按照司法实践中较为普遍的情况进行设计,既不用“剑走偏锋”,也无需过于保守。我们认为,可以参考有效执行《劳动合同法》第十七条来认定何为劳动合同直接相关的基本情况,即劳动合同就当具备以下条款(一)用人单位的名称、住所和法定代表人或者主要负责人;(二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码;(三)劳动合同期限;(四)工作内容和工作地点;(五)工作时间和休息休假;(六)劳动报酬;(七)社会保险;(八)劳动保护、劳动条件和职业危害防护;(九)法律、法规规定应当纳入劳动合同的其他事项。其次,《个保法》虽然规定了人力资源管理“所必需”,但并不是所有因人力资源管理工作需要的信息均可以不取得员工个人同意,同时还必须满足“按照依法制定的劳动规章制度和依法签订的集体合同”。因此,相关规章制度仍应依据《劳动合同法》第四条与第五十一条的规定制订。
2
域外经验:特定性与比例原则
(1)以疫情防控为例,看个人信息处理目的“特定性”
实践中有观点认为,企业不具有行政管理权限,故无权以疫情防控为由强制员工提供相关个人信息。
中央网络安全和信息化委员会办公室于2020年2月9日专门发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确:“除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行”,故建议用人单位征求员工同意后收集相关信息更为可行。
笔者以为,可以从执行上述政策的背后,探寻处理个人信息“合法目的”或用途的辨析尺度。作为用人单位,即便具备值得理解的目的,也不可肆意侵蚀员工自由决定个人信息的边界。《个保法》第十三条第二款不是一个给用人单位装满利益的“口袋”,而是法律明确豁免企业取得同意的前提,需要坚实基础,应当具体、明确,是可操作、可检验的。
GDPR适用中对“合法利益”的把握值得借鉴。第二十九条工作组(The Article 29 Working Party [6] )在《第2/2017号关于工作中数据处理的意见》(Opinion 2/2017 on data processing at work)中举例阐释,当配有存储商业敏感数据、员工个人数据、用户相关个人数据的服务器机房时,雇主在防止无权获取信息、数据遗失和盗窃上享有合法利益,可以此为合法目的记录雇员进出机房的详细情况。
实践中,很多企业为保护秘密信息等重要数据,不加分辨地监控、审计员工工作电脑与工作邮箱的往来邮件。对此,第二十九条工作组为企业提供了较为严格的操作路径。它指出,雇主为合法利益监控雇员的发件前,需令雇员明确知晓何种邮件构成潜在数据违规,并需事先提示雇员已监测到相关邮件存在违规可能,给予雇员取消传输潜在违规邮件的选择权 [7]
(2)比例原则
此外,目的与手段的合比例同样重要。比例原则最先在行政法领域被采用,用于限制国家权力对公民权利的约束,将国家权力框定在合理范围内。近年来,该原则也越来越多地运用在个人信息保护领域,成为重要的数据安全规则。
根据该原则,公司与员工利益需达到平衡。公司收集员工个人信息,对员工权利的干扰必须与雇主所具备的合法目的成比例。英国信息专员办公室(Information Commissioner's Office)2011年发布的《雇佣实践数据保护准则》(Employment Practices Data Protection Code)用于指导雇主符合数据保护法案(Data Protection Act) [8] 处理雇员信息,其中给出了比例原则的运用场景和方式。该准则建议公司不要仅因劳工的信息与纪律申诉相关就随意获取,否则可能因与调查事件的严重程度不成比例而丧失正当性。在收集和使用劳工健康相关的信息时,《雇佣实践数据保护准则》采用“影响评估”(Impact Assessment)法,雇主从中获得的合法利益需要超过对员工隐私权的侵犯等负面影响。德国联邦劳动法院(The Federal Labor Court)在一起劳资纠纷中认定,某雇主公司通过键盘侧录 [9] (key logging)监控员工的行为不合比例,并且不得作为解雇该员工的依据。
随着《民法典》《个保法》等多部法律的出台、政策方面对数据保护的强调,我国对个人信息安全管控日趋严格,用人单位从合规角度,势必应对员工个人信息,特别是敏感个人信息的收集与使用,做制度化和规范化构建。
[1] 如该法第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[2] 《个保法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件 ,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(民法典一千零三十六条(二)该自然人明确拒绝或者处理该信息侵害其重大利益的除外)(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
[3] Recital 43 EU GDPR: In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation.
[4]https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/can-my-employer-require-me-give-my-consent-use-my-personal-data_en.
[5]https://edpb.europa.eu/news/national-news/2019/company-fined-150000-euros-infringements-gdpr_en.
[6] The Working Party on the Protection of Individuals with regard to the Processing of Personal Data,was an advisory body made up of a representative from the data protection authority of each EU Member State, the European Data Protection Supervisor and the European Commission, https://en.wikipedia.org/wiki/Article_29_Data_Protection_Working_Party.
[7] Opinion 2/2017 on data processing at work, https://ec.europa.eu/newsroom/article29/items/610169/en.
[8] https://ico.org.uk/media/for-organisations/documents/1064/the_employment_practices_code.pdf.
[9] 键盘侧录是一种监视手段,指在使用键盘的人不知情的情况下,通过隐蔽的方式记录下键盘的每一次敲击,以达监控目的的行为。
作者介绍
杨傲霜
大成上海 合伙人
[email protected]
郭 奇
大成上海 律师
[email protected]
点击题目查看本文作者团队其他文章
1. 《关于维护新就业形态劳动者劳动保障权益的指导意见》与《关于落实网络餐饮平台责任切实维护外卖送餐员权益的指导意见》解读
2. 从英国最高法院终审Uber案看:零工经济下用工关系的“去与从”
3. 2020企业与员工“九大”诉讼案件盘点
4. 《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》内容提要
5. 职场性骚扰系列之——职场性骚扰之企业处理措施
6. 职场性骚扰系列之——职场性骚扰之企业预防对策
7. 职场性骚扰系列之——职场性骚扰中雇主责任之辨析
8. 职场性骚扰系列之——职场性骚扰案件概览及解析
9. 不会“沉没”的风险与成本——浅谈《个人信息保护法(草案)》下的员工数据合规
10. 职场性骚扰与用人单位反性骚扰政策示例
11. 实务解读:北上广三地有关疫情劳动争议的司法意见
特别声明:
本文仅代表作者个人观点,不代表大成律师事务所或其律师出具的任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请与我们取得联络,未经同意不得转载或使用。转载或引用时须注明出处。
继续阅读
阅读原文