在這里，我們首先要給企業(yè)一顆定心丸?！秱€(gè)保法》的出臺(tái)非但不是為了給企業(yè)增加更多繁復(fù)的義務(wù)，反而在法律上首次給予了企業(yè)在人事管理場(chǎng)景下無(wú)需“同意”即可處理員工個(gè)人信息的合法性基礎(chǔ)——《個(gè)保法》第十三條（二）。

縱觀《個(gè)保法》出臺(tái)前，《網(wǎng)絡(luò)安全法》中“同意”是個(gè)人信息處理的唯一合法性基礎(chǔ)，《民法典》雖規(guī)定了“同意”的例外情形，但也未明確企業(yè)用工場(chǎng)景，2020年1月12日發(fā)布的《信息安全技術(shù) 個(gè)人信息告知同意指南（征求意見(jiàn)稿）》以及2020年10月1日實(shí)施的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》雖規(guī)定了免于同意的若干情形，其中有“為簽訂、履行合同所必需”，但無(wú)“為實(shí)施人力資源管理所必需”。

故此次《個(gè)保法》的出臺(tái)可謂順應(yīng)實(shí)踐所需，正如全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶先生在9月18日關(guān)于《個(gè)人信息保護(hù)法》宣介會(huì)（下稱(chēng)“宣介會(huì)”）上的講話“為平衡與其他利益之間的關(guān)系，《個(gè)人信息保護(hù)法》在之前法律規(guī)定的同意這一合法性基礎(chǔ)之上，放寬了合法處理的條件，企業(yè)可以對(duì)照規(guī)定做好相關(guān)合規(guī)工作”。

什么是個(gè)人信息？（個(gè)人信息VS隱私）

圖示：隱私和個(gè)人信息交叉之處是私密信息，敏感個(gè)人信息屬于個(gè)人信息，私密信息和敏感個(gè)人信息存在交叉，但不完全相同

處理個(gè)人信息應(yīng)當(dāng)遵循哪些基本原則？

處理個(gè)人信息包括對(duì)個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等，應(yīng)遵循下述原則：

處理員工個(gè)人信息，需要同意嗎？

根據(jù)《個(gè)保法》第十三條，（二）-（七）規(guī)定情形和“（一）取得個(gè)人同意”并列為處理個(gè)人信息的合法性基礎(chǔ)，也就說(shuō)（二）-（七），不需要取得個(gè)人同意，其中，第（二）項(xiàng)尤其適用于企業(yè)人事管理中的諸多場(chǎng)合，（三）、（四）、（六）項(xiàng)也可能涉及。

（一）取得個(gè)人的同意；

（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

（三）為履行法定職責(zé)或者法定義務(wù)所必需；

（四）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；

（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；

（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；

（七）法律、行政法規(guī)規(guī)定的其他情形。

依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意?！?/p>

為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，在企業(yè)用工場(chǎng)景下，最顯著的就是在員工入職階段訂立勞動(dòng)合同。根據(jù)《勞動(dòng)合同法》第八條規(guī)定：“用人單位有權(quán)了解勞工與勞動(dòng)合同直接相關(guān)的基本情況，勞動(dòng)者應(yīng)當(dāng)如實(shí)說(shuō)明。” 結(jié)合勞動(dòng)合同法和地方性勞動(dòng)合同條例，企業(yè)通常有權(quán)獲取員工的姓名、年齡、性別、身份證號(hào)碼、戶籍地址、現(xiàn)住址、聯(lián)系方式、健康情況、知識(shí)技能、學(xué)歷、職業(yè)資格、工作經(jīng)歷等個(gè)人信息。但是“基本情況”也會(huì)因具體勞動(dòng)合同“所必需”而異，企業(yè)也需結(jié)合崗位判斷相關(guān)信息是否屬于“與勞動(dòng)合同直接相關(guān)的基本情況”，不過(guò)度收集。

哪些情形屬于“實(shí)施人力資源管理所必需”，要遵守處理個(gè)人信息的基本原則，結(jié)合個(gè)人信息處理目的，充分考慮合理性和必要性，根據(jù)不同場(chǎng)景來(lái)判斷，采取對(duì)個(gè)人權(quán)益影響最小的方式2。我們理解，本條落腳點(diǎn)在于“實(shí)施人力資源管理所必需”，而并非要求企業(yè)必須在規(guī)章制度或集體合同中納入處理個(gè)人信息的相關(guān)規(guī)定，但是考慮到對(duì)一些是否為“所必需”可能存在異議的情形，如能按照《勞動(dòng)合同法》第四條3通過(guò)民主協(xié)商、公示程序在規(guī)章制度中固定下來(lái)，則更能避免爭(zhēng)議風(fēng)險(xiǎn)。

處理員工個(gè)人信息，是否還要單獨(dú)同意？

《個(gè)保法》一共規(guī)定了五種需要取得單獨(dú)同意的情形（處理敏感個(gè)人信息、向他人提供個(gè)人信息、向境外提供個(gè)人信息、公開(kāi)其處理的個(gè)人信息、在公共場(chǎng)所安裝圖像采集/個(gè)人身份識(shí)別設(shè)備所收集的個(gè)人圖像/身份識(shí)別信息用于維護(hù)公共安全以外的目的），這五種情形在企業(yè)用工場(chǎng)景下也都十分常見(jiàn)。

那么問(wèn)題來(lái)了，在《個(gè)保法》第十三條第（二）-（七）項(xiàng)處理員工個(gè)人信息不需取得個(gè)人同意的情形下，涉及上述五種情形是否還需要“單獨(dú)同意”？《個(gè)保法》出臺(tái)以來(lái)有關(guān)這個(gè)問(wèn)題的爭(zhēng)論從未休止，我們認(rèn)為，基于第十三條（二）-（七）所必需（符合合理性、必要性、最小程度等基本原則）的情況下，無(wú)需取得員工單獨(dú)同意；如果并非（二）-（七）項(xiàng)所必需，則需取得員工單獨(dú)同意，對(duì)此企業(yè)應(yīng)謹(jǐn)慎判斷處理，理由如下：

第13條（二）-（七）項(xiàng)是并列于第（一）項(xiàng)“取得個(gè)人同意”的合法性基礎(chǔ)，在一些特殊情形下，如第（四）項(xiàng)“緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全”，根本來(lái)不及也不可能取得個(gè)人“單獨(dú)同意”，也就可以理解為不要求“單獨(dú)同意”，而第（二）項(xiàng)“為人力資源管理所必需”是并列于第（四）項(xiàng)的合法性基礎(chǔ)，自然也可以解釋為不要求“單獨(dú)同意”。

其次，11月14日剛出臺(tái)的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》中也對(duì)需要“單獨(dú)同意”的部分情形作出進(jìn)一步明確。其中第十二條第一款第（一）項(xiàng)明確了“向第三方提供個(gè)人信息時(shí)”，“符合法律、行政法規(guī)規(guī)定的不需要取得個(gè)人同意的情形”無(wú)需取得個(gè)人“單獨(dú)同意”4；第二十一條規(guī)定“敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意”的前提是“處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意的”情形5。此可以看出對(duì)這一問(wèn)題的立法導(dǎo)向。

最后，宣介會(huì)上楊合慶先生針對(duì)公司代表提問(wèn)的回答也能看出“單獨(dú)同意”立法背后的邏輯。就企業(yè)代表的提問(wèn)，楊合慶先生表示：“《個(gè)保法》第13條核心是提供合法性基礎(chǔ)。人力資源管理非常復(fù)雜，要結(jié)合個(gè)人信息處理目的，考慮合理性和必要性，并根據(jù)不同場(chǎng)景來(lái)判斷。如果涉及到敏感信息和信息出境要更加慎重，合法性依據(jù)要更充足?！?/p>

企業(yè)需要注意謹(jǐn)慎判斷處理，不排除主管機(jī)關(guān)出于加強(qiáng)保護(hù)之目的，在細(xì)則的制定和執(zhí)法層面對(duì)這一問(wèn)題做出不同解釋和規(guī)定。例如，根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第三十六條的規(guī)定，企業(yè)向中國(guó)境外總部、關(guān)聯(lián)公司、境外第三方傳輸員工個(gè)人信息，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，但收集個(gè)人信息時(shí)已單獨(dú)就個(gè)人信息出境取得個(gè)人同意，且按照取得同意的事項(xiàng)出境的，無(wú)需再次取得個(gè)人單獨(dú)同意。對(duì)此，我們也會(huì)關(guān)注后續(xù)相關(guān)立法和執(zhí)法實(shí)踐。

涉及私密信息，是否需要同意？

在企業(yè)用工管理場(chǎng)景下，不同表現(xiàn)形式的個(gè)人隱私問(wèn)題均會(huì)有所涉及，例如企業(yè)在員工入職或?qū)徍藛T工病假時(shí)處理員工的健康信息、搜查員工在工作場(chǎng)所中存放私人物品的空間（即私密空間)。根據(jù)《民法典》第1033條，在“處理他人的私密信息”時(shí)，應(yīng)有“權(quán)利人明確同意”或“法律另有規(guī)定”；第1034條規(guī)定“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定，沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?！?/p>

如此一來(lái)，企業(yè)即面臨在處理員工私密信息時(shí)能否適用《個(gè)保法》第十三條第（二）至（七）項(xiàng)而無(wú)需取得員工同意這一關(guān)鍵問(wèn)題。根據(jù)現(xiàn)有法律規(guī)定，目前難以對(duì)此問(wèn)題給出確定結(jié)論，企業(yè)應(yīng)謹(jǐn)慎判斷處理。后續(xù)我們也會(huì)就相關(guān)問(wèn)題出文詳述。

不用同意，是否需要告知？

根據(jù)《個(gè)保法》第十七條的規(guī)定，“個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知”，且《個(gè)保法》僅在第十八條規(guī)定了豁免告知的兩種情況，因此我們理解，即使不基于或不需要員工同意處理員工信息，也需要告知，包含一般和特定事項(xiàng)：

告知可通過(guò)制定具體的個(gè)人信息處理規(guī)則的方式告知（規(guī)則應(yīng)當(dāng)公開(kāi)并便于查閱和保存），或通過(guò)單獨(dú)的書(shū)面形式告知（如采用告知函、郵件等，并留存相應(yīng)的告知記錄）。原則上告知應(yīng)在處理員工個(gè)人信息前進(jìn)行告知，在緊急情況下為保護(hù)員工的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)告知的，應(yīng)在緊急情況消除后及時(shí)告知。

合規(guī)建議

對(duì)本企業(yè)員工個(gè)人信息進(jìn)行分類(lèi)，重點(diǎn)梳理出本企業(yè)需要處理員工哪些敏感個(gè)人信息、是否可能涉及到私密信息、是否涉及將員工個(gè)人信息向第三方提供、向境外提供、公開(kāi)員工未自行公開(kāi)或合法公開(kāi)的個(gè)人信息等情形，并謹(jǐn)慎判斷哪些情形需要經(jīng)過(guò)員工的單獨(dú)同意。

如本文所述，按照《勞動(dòng)合同法》第四條通過(guò)民主協(xié)商、公示程序在規(guī)章制度中將企業(yè)合理處理員工個(gè)人信息的范圍固定下來(lái)，能夠在一定程度上避免爭(zhēng)議風(fēng)險(xiǎn)。企業(yè)可以制定員工個(gè)人信息處理專(zhuān)項(xiàng)政策，也可以在員工手冊(cè)中增加關(guān)于員工個(gè)人信息保護(hù)的章節(jié)。

企業(yè)應(yīng)牢牢遵循公開(kāi)透明原則，制定并公開(kāi)個(gè)人信息處理規(guī)則。無(wú)法通過(guò)規(guī)則告知的，及時(shí)在事前書(shū)面告知。并從職責(zé)、分工、制衡等角度梳理涉及個(gè)人信息處理的人員，加強(qiáng)管理，定期對(duì)相關(guān)人員（甚至全體員工）進(jìn)行安全教育和培訓(xùn)，并明確相關(guān)人員違法處理員工信息的懲罰措施。

可以采取防火墻、匿名化6、加密、去標(biāo)識(shí)化7等技術(shù)手段保護(hù)企業(yè)數(shù)據(jù)系統(tǒng)中的員工個(gè)人信息，防止泄露。

注釋及參考文獻(xiàn)：

1、參考國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》GB/T 35273—2020附錄A。

2、參考宣介會(huì)上國(guó)家網(wǎng)信辦網(wǎng)絡(luò)法治局局長(zhǎng)華清先生對(duì)公司代表提問(wèn)的回答：“楊主任已經(jīng)介紹了這部法律的原則，就是處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，要有明確、合理的目的，并且采取對(duì)個(gè)人權(quán)益影響最小的方式。企業(yè)的個(gè)人信息處理行為，包括人力資源管理等，都要遵守這些原則?！?/p>

3、《勞動(dòng)合同法》第四條：“用人單位應(yīng)當(dāng)依法建立和完善勞動(dòng)規(guī)章制度，保障勞動(dòng)者享有勞動(dòng)權(quán)利、履行勞動(dòng)義務(wù)。用人單位在制定、修改或者決定有關(guān)勞動(dòng)報(bào)酬、工作時(shí)間、休息休假、勞動(dòng)安全衛(wèi)生、保險(xiǎn)福利、職工培訓(xùn)、勞動(dòng)紀(jì)律以及勞動(dòng)定額管理等直接涉及勞動(dòng)者切身利益的規(guī)章制度或者重大事項(xiàng)時(shí)，應(yīng)當(dāng)經(jīng)職工代表大會(huì)或者全體職工討論，提出方案和意見(jiàn)，與工會(huì)或者職工代表平等協(xié)商確定。在規(guī)章制度和重大事項(xiàng)決定實(shí)施過(guò)程中，工會(huì)或者職工認(rèn)為不適當(dāng)?shù)?，有?quán)向用人單位提出，通過(guò)協(xié)商予以修改完善。用人單位應(yīng)當(dāng)將直接涉及勞動(dòng)者切身利益的規(guī)章制度和重大事項(xiàng)決定公示，或者告知?jiǎng)趧?dòng)者?！?/p>

4、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第十二條第一款第（一）項(xiàng)：“數(shù)據(jù)處理者向第三方提供個(gè)人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守以下規(guī)定：（一）向個(gè)人告知提供個(gè)人信息的目的、類(lèi)型、方式、范圍、存儲(chǔ)期限、存儲(chǔ)地點(diǎn)，并取得個(gè)人單獨(dú)同意，符合法律、行政法規(guī)規(guī)定的不需要取得個(gè)人同意的情形或者經(jīng)過(guò)匿名化處理的除外?！?/p>

5、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第二十一條第一款第（二）項(xiàng)：“處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意的，數(shù)據(jù)處理者應(yīng)當(dāng)遵守以下規(guī)定：（二）處理個(gè)人生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意?！?/p>

6、《個(gè)人信息保護(hù)法》第73條：“（四）匿名化，是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程?！?/p>

7、《個(gè)人信息保護(hù)法》第73條：“（三）去標(biāo)識(shí)化，是指?jìng)€(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程。”

相關(guān)知識(shí)

發(fā)展不忘合規(guī)，健康醫(yī)療大數(shù)據(jù)合規(guī)注意事項(xiàng)
健康醫(yī)療數(shù)據(jù)跨境流動(dòng)合規(guī)分析
從最新標(biāo)準(zhǔn)看“大數(shù)據(jù)”如何合規(guī)？
醫(yī)療數(shù)據(jù)跨境傳輸法律合規(guī)實(shí)務(wù)指引
可穿戴設(shè)備就健康大數(shù)據(jù)的合規(guī)分析
健康醫(yī)療行業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)分析
促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定
國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑
健康醫(yī)療數(shù)據(jù)的法律與合規(guī)問(wèn)題探析（上）
互聯(lián)網(wǎng)醫(yī)院及健康醫(yī)療大數(shù)據(jù)合規(guī)分析

網(wǎng)址: 數(shù)據(jù)合規(guī) http://www.gysdgmq.cn/newsview1907566.html