-
行业资讯
INDUSTRY INFORMATION
2021年8月20日,经全国人大常委会会议表决,《个人信息安全法》获得通过。11月1日,《个人信息保护法》将正式施行。HR应该如何解读这部法律?一起来看看——
1
用人单位是法律规定的个人信息处理者吗?
《个人信息保护法》第73条,明确规定了个人信息处理者的定义,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因用人单位在劳动关系管理中必然会涉及自主决定处理员工个人信息的目的和方式,属于法律规定的个人信息处理者。
2
个人信息的处理包括哪些?
《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。相对于《民法典》,《个人信息保护法》在列举个人信息处理的具体环节时又增加了“删除”。
《个人信息保护法》第4条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《民法典》第1035条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
从以上规定来看,用人单位在员工关系管理中,处理员工个人信息也贯彻用工管理的全过程,如入职让员工填写相关信息、将员工个人信息提供给出资方、关联方或合作方、登报送达相关通知会涉及公开员工的个人信息等。
3
处理个人信息必须要经过员工同意吗?
按《民法典》第1035条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
从《民法典》规定来看,处理个人信息的前提一般是要经过自然人“同意”,但法律另有规定的除外。大家也知道,在劳动关系中,用人单位与劳动者存在管理与被管理的关系,如果处理个人信息都需要劳动者同意,那么用人单位的管理权将无法实施,如用人单位要实施人脸识别考勤,劳动者不同意用人单位采集人脸信息,用人单位就无法实施人脸识别考勤。好在《民法典》在强调“同意”的同时,也预留了口子,即“法律另有规定的除外”,现在这个法律就来了,那就是《个人信息保护法》第13条,具体规定如下:
《个人信息保护法》第13条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
……
从以上第二项规定来看,立法者专门点了一下“合同”、“劳动规章制度”、“集体合同”、“人力资源管理”等,即为履行合同或实施人力资源管理所必需而处理个人信息的,不需要取得劳动者同意,如为了管理需要安置监控设施设备、为了委托第三方发工资或缴纳社保需要将员工信息提供给第三方合作伙伴等。有了这一条款的规定,终于可以使HR松一口气了!不过松口气的同时,HR新任务也来了,劳动合同、集体合同、规章制度是否已经有了相关铺垫条款呢?如果没有,是不是该修订、完善自己管理的一套人力管理文本呢?
小编认为,虽然《个人信息保护法》对人力资源管理中的职工个人信息处理有松绑,但“同意”这个要求,仍然会被裁判者看重,并以此判用人单位承担不利后果的可能性也会增加。
4
处理敏感个人信息必须要经过员工同意吗?
《个人信息保护法》第二章第一节第13条规定了处理个人信息的一般规则,但第二章第二节还专门规定了敏感个人信息的处理规则,其中敏感个人信息前面第二个问题已介绍,即:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
对于敏感个人信息的处理,《个人信息保护法》规定较为严格,其第28条第2款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。第29条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。从这一条规定来看,处理敏感个人信息需要经过员工的单独同意。这一规定估计很多HR看了又不淡定了,如考勤管理采集员工指纹或人脸信息,这涉及生物识别信息;安排职工健康体检会涉及健康信息,病假管理中需要员工提供就医资料等,这些都是医疗健康信息,这些都需要员工单独同意才行。如果员工不同意该怎么办?这会给员工关系管理带来新的摩擦和冲突。
