数据合规背景下,企业员工个人信息合规要点(一)

发表时间:2022-01-24 所属分类:诺臣原创

《个人信息保护法》(以下简称“《个保法》”)出台后,新的个人信息保护时代已然来临,企业合规,尤其是外资企业的个人信息保护合规,在实务中面临着诸多难点。基于当下法律法规背景,结合近期处理的个人信息合规项目经验,笔者整理了若干合规要点,拟作系列文章,分享如下:

一、个人信息合规的立法背景

谈及个人信息保护时,大家往往重点关注《个保法》,但从数据合规的大背景下看,《个保法》仅仅是数据合规法律体系中的一环,从法律层面而言,尚有《网络安全法》、《数据安全法》两部针对性法律,三者的关系,从调整对象而言,可以说是你中有我,我中有你;从对市场主体的影响而言,三者又存在着一种递进关系。

从调整对象而言,三部法律的关系:

从对市场主体的影响而言,三者的关系:

除了三部针对性法律外,近年来,在数据合规领域,尚有数部法律、法规、司法解释甚至是部分法规、标准的征求意见稿,均对实务产生了重要影响,在开展个人信息合规业务时,应当对相关法律法规有较为全面的掌握。

与个人信息合规相关的最新法律(部分)

与个人信息合规相关的最新法规或标准(部分)

二、《个保法》界定的若干概念与原则

相较过往的法律法规,《个保法》对部分概念进行了重新界定,并明确了个人信息保护的若干原则,我们在处理个人信息合规前,首先应厘清相关概念与原则。

(一)“个人信息”定义的演变

“个人信息”概念的界定与发展,在我国立法与司法实践中,存在着一个持续发展的过程。

2009年2月28日公布实施的《刑法修正案(七)》明确规定侵犯公民个人信息罪和出售、非法提供公民个人信罪(注:《刑法修正案(九)》已将两罪融合为“侵犯公民个人信息罪”一罪),首次在立法层面明确提及“个人信息”,但在该修正案中,并未对“个人信息”进行明确的定义。

2017年6月1日生效的《网络安全法》首次对“个人信息”进行了明确界定,该法76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”。

《民法典》1034条对“个人信息”界定如下:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

《个保法》第4条第1款对“个人信息”定义如下:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

对比欧盟GDPR(General Data Protection Regulation)第4条第1款的规定:“personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person(个人信息:是指与已识别或者可识别的自然人(数据主体)相关的任何信息;可识别的自然人尤其是指通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份的自然人)”

对比可知,《个保法》对“个人信息”概念的界定,受欧盟GDPR的影响较大,从实践层面看,界定特定信息是否属于个人信息,笔者建议结合《信息安全技术 个人信息安全规范》附录中的指引,进行综合判断:

一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。

二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。

如特定信息符合二者之一的,即可理解为现有法律框架下的“个人信息。

(二) “个人信息处理”的内涵

根据《个保法》第4条第2款规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”该规定列明了个人信息处理可能涉及的种类和内容,但并未对其个人信息处理本身给出更为明确的界定,为进一步理解,笔者建议参考GDPR(General Data Protection Regulation)第4条第2款有关个人信息处理的定义,即:“‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction(个人信息处理是指对个人信息进行的任何操作或者一系列操作,无论其是否通过自动化手段进行,过自动化手段进行,如数据收集、记录、组织、建构、存储、改编或修改,恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人信息可被他人获得、排列或组合、限制、清除或销毁的操作)”。

对比研究可知,不论是 GDPR还是《个保法》,均对个人信息处理采用了宽口径的定义方式,这意味着二者所调整的范围亦十分宽泛,在合规领域,意味着个人信息合规涉及企业经营的方方面面,不可不察。

此外,不论是GDPR还是《个保法》,均提到了“删除”或“destruction/销毁”属于个人信息处理的一种方式,结合《个保法》47条的规定,个人信息处理者的主动删除义务,亦应纳入企业合规范畴。

(三)《个保法》项下个人信息保护的若干原则

除了准确把握“个人信息”的概念外,《个保法》亦就个人信息把握确立了若干原则,考虑到现行有关个人信息合规或数据合规领域法律体系尚在构建中,合规中理解并灵活运用此类原则显得尤为重要。从内容上看,这些原则包括:

1.合法、正当、必要和诚信原则

《个保法》第5条:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”

2.明确、合理目的原则

《个保法》第6条第1款:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”

3.最小必要原则

《个保法》第6条第2款:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”

4.公开、透明原则

《个保法》第7条:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。”

5.完整性、准确性原则

《个保法》第8条:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”

6.安全保障原则

《个保法》第9条:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”

三、《个保法》项下,劳动合规领域的新变化

《个保法》出台前,对于个人信息处理的合法性基础,主要是通过:同意;但《个保法》13条,对个人信息处理的合法性基础进行了扩大规定:

“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”

根据《个保法》13条第1款第2项的规定可知,就劳动人事领域而言,基于合法有效的公司规章制度或基于签订集体合同实施人力管理所必需的个人信息的处理,不需要经过信息持有者的同意。进一步看,该合法性基础需要以下几个要件:

1.有关劳动人事方面的公司规章制度或集体合同合法且生效,即该规章制度或集体合同应当符合《劳动合同法》等规定,符合法定程序和内容要求;

2.基于合法有效的规章或合同所收集的信息是必要的,符合《个保法》确立的若干原则,即公司处理个人信息应基于最小必要,合法、正当,合理目的等原则,不应扩大收集员工信息。

在合规实操中,笔者建议应根据项目公司劳动人事方面处理员工个人信息的实际情况,在考虑规章制度有效性、收集信息必要性等角度进行具体分析,不应当然的认为在劳动人事领域处理员工个人信息的已豁免同意,也不应当然的认为提供一份征得员工同意处理其个人信息即可履行合规义务。

综上,对于企业员工个人信息合规项目,应基于数据合规立法背景下进行通盘考虑;同时,考虑到数据合规法律体系尚在构建之中,准确把握《个保法》确立的若干概念和原则显得尤为重要;最后,《个保法》项下,劳动合规领域发生了新变化,打破了单一合法性基础,尤其是在劳动人事领域,但合规中应密切注意其适用条件。

本文系数据合规背景下,企业员工个人信息合规中宏观层面要点的阐述,微观层面的合规要点,笔者拟在下一篇文章中进一步阐述。

 

 

 

 

供   稿 | 车天驰律师团队

排   版 | 董丽娜

核   稿 | 苏慧英

审   定 | 张   扬