下载掌阅APP,畅读海量书库
立即打开
用人单位可以收集和处理哪些个人信息?用人单位处理个人信息应当履行哪些法定义务?如何通过员工的生物识别信息进行劳动用工管理?在跨境处理员工个人信息时需要履行哪些法定义务?个人信息侵权可能承担哪些法律责任?
《劳动合同法》第八条规定:“用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”《劳动合同法实施条例》第八条规定:“劳动合同法第七条规定的职工名册,应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。”《个人信息保护法》第十三条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
根据上述条款,用人单位可以要求劳动者提供如下信息:(1)取得劳动者个人同意的相关信息;(2)订立及履行劳动合同、为进行劳动用工管理所必要的信息,如姓名、性别、身份证号、户籍地址及现住址、联系方式、资格资质证书、工作经历、健康状况等;(3)为用人单位履行法定义务所必需的信息,如为劳动者缴纳社会保险、住房公积金所必要的信息;(4)其他按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息。
用人单位在要求劳动者提供相关信息时,应当遵循目的明确和最小化处理原则,维护劳动者的知情权,尽到安全保障义务,避免通过用人单位强势地位收集非必要的员工个人信息。
《个人信息保护法》第十三条第二款规定,依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意,其中,与劳动用工相关的第二项规定为“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。按照法律的文意解释,用人单位按照依法制定的规章制度或者依法签订的集体合同实施人力资源管理所必需的个人信息无需再经过劳动者同意。
从《个人信息保护法》立法目的以及法律整体规定看,即使通过规章制度和集体合同就个人信息处理进行了规定,但有三种情况仍然需要用人单位特别注意。
1.用人单位合并、分立、解散等需要转移劳动者个人信息
根据《个人信息保护法》第二十二条的相关规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
2.用人单位需要向第三方提供劳动者个人信息
根据《个人信息保护法》第二十三条的相关规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。为履行法定职责或者法定义务所必需的除外。
3.在公共场所安装图像采集设备
根据《个人信息保护法》第二十六条的相关规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
用人单位在考勤管理中,常使用指纹打卡、人脸识别、行踪轨迹等方式进行考勤监督管理。上述个人信息属于敏感个人信息。此时会出现对于《个人信息保护法》第十三条第二款关于个人信息的一般处理规则与第二十九条关于敏感个人信息处理规则是否存在冲突的理解与适用问题。
上述两条法律规定处于同一部法律,从上下文的体系解释来看,如果第二十九条关于处理个人敏感信息需要取得个人单独同意的规定属于特别规定的话,那么,第十三条关于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息不需取得个人同意就应当有一个除外的规定。但实际上第十三条并没有除外规定,说明用人单位在处理员工敏感个人信息(如生物识别信息)的时候可以依据第十三条进行处理。此外,第二十九条规定的个人单独同意本身也应当明确其含义,个人单独同意是基于个人一揽子同意而言,强调的是不能混杂在各种信息中一揽子同意,而是单独列明,一事一议,对于需要取得个人同意才能处理的个人信息,涉及敏感个人信息的,还需要就每一项敏感个人信息一事一议地单独同意,而不能把多项个人信息混杂在一起要求一并同意。因此,如日常管理中用人单位需要采取刷脸、指纹或地理位置进行考勤管理的,用人单位应当在实施人力资源管理必需的范围内,按照依法制定的劳动规章制度和依法签订的集体合同处理员工的敏感个人信息。
个人信息出境需要满足相关的条件和程序,具体如下。
1.出境条件
根据《个人信息保护法》第三十八条第一款、第二款规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
2.出境程序
(1)告知并取得个人同意
《个人信息保护法》第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
(2)应当进行个人信息保护影响评估
《个人信息保护法》第五十五条第四项和第五十六条规定,向境外提供个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
(3)符合一定条件的,应当进行安全评估
关键基础设施运营者向境外提供个人信息的,应当进行安全评估。根据《个人信息保护法》第四十条规定,用人单位掌握的劳动者的个人信息通常不属于该类情况。
1.用人单位违法处理劳动者个人信息的,将涉及侵权责任
《最高人民法院关于印发修改后的〈民事案件案由规定〉的通知》将“人格权纠纷”下的“侵权纠纷”修改为“隐私权、个人信息保护纠纷”,新增了“个人信息保护纠纷”案由。根据《民法典》第一百七十九条规定,用人单位如涉及违法处理劳动者个人信息的,劳动者可以主张用人单位承担停止侵害、排除妨碍、消除危险、赔偿损失、消除影响、恢复名誉及赔礼道歉等侵权责任。
2.用人单位违法处理劳动者个人信息的,将会由履行个人信息保护职责的部门进行行政处罚
《个人信息保护法》第六十六条规定,根据违法行为的情节,最高可以处五千万元以下或者上一年度营业额百分之五以下罚款,并可以由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。同时,对直接负责的主管人员和其他直接责任人员可以最高处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
3.用人单位违法处理劳动者个人信息的,可能构成刑事犯罪
根据《个人信息保护法》第七十一条规定,违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
原告吴某某诉称,其下载某电商购物App并使用个人手机号注册了账号。登录App后,原告发现某电商购物App“个人中心”栏项下有“某钱包”选项,遂按照App界面要求,在输入原告本人真实姓名及身份证号码后开通了“某钱包”。在使用“某钱包”提供的“免输卡号添加银行卡”功能时,原告原本打算选择自己有卡的银行进行关联,但误触了列表中的某银行,得到了“暂无银行卡可以绑定”的反馈。原告认为,其并未授权某电商购物平台经营方告知某银行自己真实姓名及身份证号码,某银行能够得知原告本人并无银行卡在该行开具,系案涉App泄露原告的敏感个人信息所致,而某银行亦因此非法获得了原告的敏感个人信息。其后,原告在某电商购物App内查阅了相关用户协议内容后还进一步发现,App的运营主体上海某公司与“某钱包”经营主体某付费通公司的运营主体并不一致,而在原告并未明确知情同意的情况下,其真实身份信息还由上海某公司传输给了某付费通公司,并极可能又由某付费通公司传输给了某银行。原告自觉权利受损,遂决定注销“某钱包”,但竟然无法注销。故向法院提起诉讼。
经查,案涉电商购物平台(App)系由被告上海某公司运营的电商平台。某电商购物App在应用程序个人用户界面上线了名为“某钱包”的支付服务应用功能,用户可通过“某钱包”的支付功能在平台内购物交易时进行充值、支付及提现等应用。“某钱包”的实际运营主体为某付费通公司。被告某付费通公司为实现用户“某钱包”账户绑定银行卡并具备银行卡快捷支付功能,与包括某银行在内的多家银行机构开展银行卡快捷支付合作。原告吴某某使用案涉账号首次进入某电商购物App“某钱包”界面填入的个人姓名、公民身份证号码等信息,先由上海某公司收集、存储,在原告不知情的情况下,再由上海某公司提供给某付费通公司。当原告进入“某钱包”添加银行卡界面选择免输卡号进行银行卡绑定操作时,某付费通公司则会将其姓名、公民身份证号码信息提供给选定绑卡的银行,银行获取前述信息后根据提供的信息验证该信息主体是否为该银行的持卡人,若为该行持卡人则留存该信息并进入后一步绑卡操作流程;若非为该行持卡人亦留存该信息并向某付费通公司反馈结果。
本案是《个人信息保护法》施行后颇有代表性的案例,个人信息权益属于人格权益,但是个人信息权益不等同于人格权,个人信息权益只是一种民事权益,不具有绝对权的保护强度,侵害个人信息权益并不必然导致人格尊严受损等精神损害后果,特别是尚未发生实质性损害的情况下更是如此。
因此,在案件审理的过程中,关键是在尚未发生实质性损害的情况下,违法处理信息主体的个人信息是否造成人格尊严等精神损害,应充分考虑处理行为的特点、量级、违法性和个人信息类型等因素,判断信息主体是否因违法处理行为陷入可能预见的风险和焦虑中,若答案为肯定,则应认定构成对人格尊严、人格自由的精神损害。
1.关于某电商购物平台向某付费通公司提供其收集的吴某某个人信息的行为
某电商购物平台向某付费通公司提供其收集的吴某某个人信息的行为属于未明示信息处理的目的、方式、范围的行为,吴某某是在未充分知情的情况下实施对其个人信息披露的同意。
首先,某电商购物平台的行为既违反了其与吴某某之间的合同约定,也不符合个人信息处理活动应遵循的知情同意规则。其次,在某付费通公司收集吴某某个人信息时,某电商平台App并没有以任何形式告知吴某某,某付费通公司将获取其个人信息,更没有以任何形式征求过吴某某的同意,因此,其做法没有合法性基础的支持。
综合上述分析,某电商购物平台经营者、某付费通公司对吴某某个人信息的处理行为不合法,某电商购物平台经营者、某付费通公司的信息处理行为侵害了吴某某的个人信息权益。
2.关于某电商购物平台经营者、某付费通公司违法处理吴某某的个人敏感信息的行为
首先,吴某某在未被充分告知的情况下披露了个人敏感信息,作为个人信息被披露者,吴某某对自身的个人信息风险会产生一定的担忧焦虑,这种担忧焦虑可能会引发对其个人生命健康、人格尊严或经济利益的损害,且这种损害的程度不可轻易估计,因此,可以认定为遭受到精神利益的损害。
其次,某电商购物平台经营者、某付费通公司作为行业内具有较大影响力的公司,应该严格依照法律法规处理用户个人信息,对于平台中违法处理个人信息的设置应予以及时发现、改进,并对相关的个人信息处理活动采取更加审慎、周密的方式。但是在本案中,我们可以清晰地判断某电商购物平台经营者、某付费通公司明显没有尽到上述分析的注意义务,因此,可以判断某电商购物平台经营者、某付费通公司二者存在明显的过错。
最后,法院在审理判决过程中考虑到某电商购物平台经营者、某付费通公司对吴某某个人信息的处理行为存在意思联络,故判令两被告向吴某某进行书面道歉并赔偿相应合理维权支出。
本案最后宣判,被告上诉,二审法院驳回上诉,维持原判。
3.关于对个人信息处理行为的合法性基础、个人信息处理规则的规定
《个人信息保护法》第十三条对个人信息处理行为的合法性基础、个人信息处理规则作出了原则性的规定,并构建了以取得同意为原则,以豁免同意为例外的个人信息处理合法性基础的二元结构。
以上表明,知情同意规则并非信息处理行为的唯一合法性基础,为了在保护个人信息权益的同时,也能实现个人信息的合理利用,同时维护公共利益、国家利益等,通常对于信息处理者为订立、履行个人作为一方当事人的合同所必需以及为履行法定职责或者法定义务所必需的处理行为等情形,也可认定为法定许可的情形,具有合法性基础,不属于违法处理行为。但信息处理者将订立、履行合同,履行法定职责或法定义务等作为其信息处理行为的合法性基础时,需确保其处理行为符合对应规则的要求。
为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息,无需取得员工个人同意。这里有两个前提,其一为实施人力资源管理所必需;其二为应当通过依法制定的劳动规章制度和依法签订的集体合同作出规定。劳动规章制度应当根据《劳动合同法》履行民主和公示程序,集体合同应当按照有关规定签订。
必要性原则是用人单位在处理个人信息的过程中所应当遵循的基本原则之一,用人单位在实践中较为可能出现风险的情形之一就是难以恰当把握收集个人信息范围的尺度,导致过度收集个人信息。用人单位在处理员工个人信息的过程中,应当严格遵循最小限度的原则,在确保信息处理目的能够实现的情况下,将需要处理的员工个人信息的范围缩至最小,尽可能降低对员工个人权益的影响。
用人单位向第三方机构提供其个人信息的情形通常发生在用人单位委托第三方机构对劳动者进行背景调查的情况下,是否属于人力资源管理所必需容易出现见仁见智的争议。在这种情况下,建议用人单位取得员工的同意,向员工告知个人信息接收方(即受托第三方机构)的名称、处理目的、处理方式和个人信息的种类。此外,用人单位还应当注意与受委托的第三方机构在其合作协议中明确约定相关个人信息处理和保护的条款,对信息处理的目的、期限、方式及个人信息的种类、保护措施等进行明确约定。