当前位置:首页> 科技发展
《个人信息保护法》施行在即,HR关心的这些问题有答案了
来源:西部法治在线 发布时间:2021-10-29 15:24:42 111

11月1号《个人信息保护法》正式施行。对于企业,特别是人力资源部门而言,做好员工的信息管理尤为关键。在近期举行的上上签电子签约“企业数据合规体系建设分享会”上,世辉律师事务所合伙人王新锐律师、张洪源律师就个人信息安全保护进行了分享。

以下内容整理自现场企业HR与王新锐律师、张洪源律师的互动答疑,以帮助企业更直观地了解《个人信息保护法》的落地细节。

问题1:员工应聘时会填写一些信息表,比如以前的工作单位、月薪等信息,《个人信息保护法》生效之后,还能让员工填写吗?如果需要这些信息,企业应该做什么?

张洪源律师:

要分情况讨论,如果问了一些特别不该问的信息,比如女员工是否生育,一旦获取了信息,即使其同意了,如果最后没有录取这位员工,她可能会去劳动仲裁,诉讼的理由是就业歧视,尽管就业歧视在我们国家对责任的规定并不明确,但是对企业的声誉会有巨大影响。

根据《劳动合同法》的规定和劳动合同履行有关的信息,我认为您刚才提的那些信息没有问题。如果涉及一些与劳动合同履行无关的信息,比如家庭成员是谁,他们的姓名住址,这些可能属于敏感信息,即使取得了员工同意,我们也不建议收集。

在此提醒一点,员工在入职之前并非公司的员工,严格意义上员工手册并不适用于这些人员,只有当其签署劳动合同并且开始工作时,才是员工。

所以在其入职以后,如果想取得对方的个人同意,并且定义一下什么是人力资源管理所必须是没问题的。在此之前可能会有一些风险。

问题2:怎样才能有效地存储、传输、删除员工信息做到合规?

张洪源律师:

首先企业要能控制可以接触员工信息的内部员工的权限,这样就能够比较有效地防止风险发生。

比如财务员工,只能了解员工的一些财务信息;人力员工,只能看到人力相关的信息。我们一般建议企业设立申请机制,如果内部人员,因为工作需要希望看到其他员工的一些敏感信息,这时应该提交内部申请获得批准。这样可以有效减少对不必要信息的访问,再就是需要获得员工的同意。

另外,传输分为境内传输和境外传输。境内传输的场景有:

由人事代理公司发放工资时的信息共享,具体表现在:

如果企业找了另外一家人力资源公司代发工资,以企业的名义给员工缴纳社保,这时人力资源管理公司可能需要知道这些员工的信息。此时企业会将自己的员工信息给到另外一个实体,相应就会产生信息的境内传输。

我们一般建议企业在内部规章制度中写清楚,比如在员工手册中注明,因为我要给某某发工资、交社保,报销等,基于这些人力资源管理目的,需要知道你的某项信息。在员工同意的情况下,拿到个人信息是比较保险的。

IMG_262


关于境外传输,比如企业的一个服务器部署在国外,如果需要将员工个人信息从境内传到境外总部的服务器上,上述境内传输的原则也适用。

除此之外,《个人信息保护法》还规定了在境外传输时,企业需要满足一些额外条件。比如以下四点,企业可以任选其一进行:

  1. 依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估;

2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;

3. 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

4. 法律、行政法规或者国家网信部门规定的其他条件。

后续在员工离职阶段,主要涉及个人信息的删除及背景调查。

删除个人信息分为以下部分:

  1. 明确可以保留的员工信息

根据《劳动合同法》,企业在与员工解除或终止劳动关系之后的两年之内可以继续保存其劳动合同文本,其中涉及员工的姓名、住址、户籍、联系方式等。

2. 建议删除的员工信息
包括为了考勤而设置的一些人脸、指纹识别信息,员工一旦离职,基于必要性原则应该马上将其删除。
其他信息,比如员工的绩效表现、奖惩记录、休假记录等,我们建议用人单位在员工离职之后保留至少一年的时间。
因为劳动仲裁有一年的诉讼时效,一年以后就不能再申请劳动仲裁,如果用人单位能够保留一年的时间,相对风险会小一些。

3. 特殊规定:针对特殊行业及人群
有些特殊规定是针对特殊行业的,比如根据《网络餐饮服务食品安全监督管理办法》,快递的送货信息:订货人是谁、订单地址、货物名称等需要保存6个月以上。

另外是背景调查,在背景调查当中,企业可以提供的信息非常有限。

通常企业可以帮助第三方核实当初员工离职证明上的信息,比如员工的姓名、身份证号码、职位、劳动合同期限等。

但是除此以外的信息,比如对员工的一些主观评价,绩效这些不建议向第三方提及,因为违反了必要性原则。

我们建议企业的相关人员在接受背调时,让第三方出示员工已经同意接受背调的文件,获得员工的同意,可以有效地降低风险。

问题3:我们是跨国企业,人事系统的服务器在境外。当中涉及两个问题,一个是存有敏感信息,比如银行卡、体检报告;另外一个涉及跨境传输,要将个人信息提供给境外第三方(个人信息处理者)。如果涉及以上信息,应该如何操作?

另外,关于信息存储,有一条提到处理个人信息达到国家网信部门规定数量的,要储存在境内,如果出境则要满足一些要求。从《个人信息保护法》角度讲,它并没有明确具体的量级,这点该如何解读?

IMG_263

王新锐律师:

我已经被超过50家公司问到这样的问题,基本上全球跨国企业的员工管理都是一种天然的出境场景。
这个部分最后可能还要进行数据出境的备案,但是员工数据出境的情况比较容易通过。
在这种情况下,企业有两层义务:
一层是基于获得员工同意的环节,另一层将来会涉及政府,现在国家互联网研究中心有一个统一的系统,会在该系统中做备案。在备案以及中国的标准合同等事项落地之前,目前不用做太多工作。

但是建议在员工填入信息时,告知员工因为是在一家跨国公司,所以会对部分信息进行上传,刚才有提到员工处于哪个阶段,如果是企业员工,就会受制于该规则,如果还不是员工,就需要有告知的环节。
另外一个问题涉及对数据跨境的理解,目前关于数据本地化有多种理解。一种是数据只能存储在本地,境外不能访问;一种是存储在本地,境外也可以访问。
甚至在一些极端的情况下,我们跟监管讨论“一家跨国公司的CEO来中国访问,要求看数据,这种情况是否属于跨境?这种在广义上依然算跨境。”
所谓跨境是数据被境外的组织或个人所掌握到,虽然刚才这种情况是一种假想情况。当时听起来很奇怪,但确实曾经在会议中被拿来讨论过。

所以跨境是一种广义理解,通常如果我们提到数据出境或者跨境提供时,关注的是对境外组织或者个人能够接触到数据同时失去控制的问题。

跨境规则分为两种,一是个人信息,另一种是重要数据。个人信息出境原则上都是可以的,届时根据监管要求可能需要办理相关备案,重要数据出境则非常困难。

另外关于“敏感个人信息单独同意与前面的合法性事由是何关系”,在问过几位起草者后得出了一致的结论:前面的合法性事由贯穿始终,换言之如果走了合同流程就不用再说敏感个人信息需要单独同意。

无论是一般信息还是敏感信息,同意这条与合法性事由是并列关系,所以即使是敏感信息,仍然可以通过同意的方式,履行法律职责义务。并非任何情况下处理敏感信息都需要单独同意。以下7个条款贯穿于《个人信息保护法》始终。

IMG_264


责任编辑:管理员
视频聚焦