APP推广合作
联系“鸟哥笔记小乔”
《个人信息保护法》实施后,HR该如何修改员工手册?
2022-01-07 17:37:32


《个人信息保护法》将于2021年11月1日实施,可以合理地预见伴随未来员工对用工场景下个人私密信息权利意识的逐渐觉醒,企业将可能更加频繁地遇到员工个人信息保护的争议。

作为一名法律工作者,在日常的劳动法律关系处理中,我们和HR经理作为共同体,深刻体会到一份合规、完善的员工手册在处理公司日常员工问题时的重要作用,以及在劳动仲裁时可以有效的避免和减少公司重大损失。

因此,企业HR经理需要及时修改员工手册,应对《个人信息保护法》的合规落地。

本文将从人力资源管理的视角,梳理《个保法》中与人力资源管理相关的合规要点,并结合实际的办案手记为HR提供实操性的建议,以及在HR如何修改企业的员工手册,以应对《个保法》带来的合规性挑战。

《个人信息保护法》将于2021年11月1日实施,可以合理地预见伴随未来员工对用工场景下个人私密信息权利意识的逐渐觉醒,企业将可能更加频繁地遇到员工个人信息保护的争议。

作为一名法律工作者,在日常的劳动法律关系处理中,我们和HR经理作为共同体,深刻体会到一份合规、完善的员工手册在处理公司日常员工问题时的重要作用,以及在劳动仲裁时可以有效的避免和减少公司重大损失。

因此,企业HR经理需要及时修改员工手册,应对《个人信息保护法》的合规落地。

本文将从人力资源管理的视角,梳理《个保法》中与人力资源管理相关的合规要点,并结合实际的办案手记为HR提供实操性的建议,以及在HR如何修改企业的员工手册,以应对《个保法》带来的合规性挑战。


01/

什么是个人信息

要想规避风险,我们首先需要清楚法律规定的“个人信息”的范畴是什么,它和我们通常认知中的个人信息存在什么差异。《个人信息保护法》的规定:

(1)个人信息的主体只能是自然人;

(2)个人信息具有可识别性(不包括匿名化处理后的信息);

(3)个人信息必须具有一定形式的载体,即以电子或者其他方式记录(未进行记录的自然人的活动或谈话就不属于个人信息)。

与HR最相关的是用工管理场景下的私密个人信息,它又包括哪些呢?

法律规定用工管理场景下的私密个人信息是兼具“私密性”和“可识别性”两项特征的信息。

《民法典》第1034条第4款的规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这一规定确立了个人信息中的私密信息应优先适用隐私权规则的制度。用人单位宜采取谨慎的态度处理这一问题,以避免面临潜在法律风险。

在用工场景下,常见的个人信息中的私密信息包括婚育信息、健康信息、银行账户信息、工作时间以外的位置信息、性取向、未公开的犯罪记录等。

02/

《个保法》之后,用工管理可能面临的挑战

通过上述个保法的新规定,用人单位处理员工的个人信息必然需要符合一系列要求,在用工场景下,个人信息也纷繁复杂。

可以预见在个保法实施后,HR将面临多重人力资源合规管理方面的挑战。从用工管理的几个阶段出发,我们可以预见的一些典型挑战和问题。

1. 招聘环节

如何保证用人单位收集简历是合规的?

如何处理未被录用的候选人的简历、预防简历泄漏?

如何保证视频面试录屏的合规性?

如何取得候选人对于用人单位处理其个人信息的同意?

如何妥善确认内推人提供的简历是经过被推荐人授权的?

如何与第三方平台划分个人信息的管理权责?

2. 入职前后

如何合规获得员工的体检报告?

如何合规进行员工背景调查?

如何妥善保存员工提交的毕业证书、身份证、资格证书等入职材料?

如何妥善告知员工,在劳动合同履行过程中,处理其个人信息的必要性和相关场景?

3. 在职期间

如何合规获取即时定位打卡、人脸打卡、指纹打卡等涉及个人信息的考勤打卡信息?

如何合规获取病假申请信息及其他医疗文件?

如何合规获取员工违规违纪信息?

如何确保有权限接触员工个人信息的管理者谨慎履职、如何制定个人信息泄露时应急预案?

4.离职后

如何合规处理新雇主背景调查时涉及的离职员工个人信息?

如何合规处理员工离职后的个人信息限期删除事宜?


03/

用工管理场景下,处理私密个人信息的基本原则

《个保法》出来之后,我们会发现HR工作可能处处是坑,一不小心就深陷其中,上文中,我们尝试列举了人力资源管理场景下,HR可能会面临合规风险的一些个人信息或可能的管理挑战,但仍无法穷尽,相信你在阅读的过程中也有新的补充或疑问。

那么,如何面临这种复杂的情况呢?

《个人信息保护法》第五条至第九条规定了处理个人信息应当遵循合法、正当、必要和诚信原则、明确性和相关性原则、最小程度原则、公开透明原则、完整性和准确性原则、安全保障原则等一整套基本原则;以及个人信息处理的“告知-同意”规则。

其中,“告知-同意”规则是《个人信息保护法》中的核心内容,在个人信息处理规则中处于核心地位。

“告知同意规则”,亦称“知情同意规则”,是指任何组织或个人,在处理个人信息时,应当对信息主体即其个人信息被处理的自然人进行告知,在取得同意后方可从事相应的个人信息处理活动,否则所涉处理行为构成违法,除非法律另有规定。

也就是说,我们处理个人信息应当在事先充分告知的前提下取得个人同意。

建立该规则的目的,在于信息处理者需将处理个人信息的目的、用途、后果告知信息主体,使信息主体出于自身的真实、完整意志,同意信息处理者的请求,以此彰显对信息主体人格独立性与自主性的尊重。“告知同意规则”包含了“告知规则”与“同意规则”,二者相辅相成、紧密联系。

关于“告知-同意”这一核心规则,《个人信息保护法》第13条第(2)项至第(7)项规定了基于个人同意以外的可以合法处理个人信息的六种情形(下称“六种法律许可情形”)。

也就是说,在以下情形下,我们不必须遵循“告知-同意”的规则。

情形一:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

情形二:为履行法定职责或者法定义务所必需。

情形三:为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。

情形四:为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。

情形五:依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

情形六:法律、行政法规规定的其他情形。

但需要特别注意的是:

(1)无论是基于个人同意还是基于法律许可处理个人信息,用人单位都应当遵循公开透明原则,向员工告知处理目的、方式和范围等内容。

(2)缺乏必要性的前提下,用人单位仍然应当在取得员工同意后,方可处理员工个人信息。

04/

如何修改员工手册,应对《个保法》的合规性

基于上述介绍和讨论,我们建议用人单位在处理员工个人信息时应注意在员工手册中预先明确以下主要问题,以避免法律风险,实现合规。

(一)在员工手册中对用工管理所需要处理的员工个人信息进行梳理和分类识别

用人单位在员工手册中可以对其在用工管理全过程中的所需要处理的各个环节、各类人员个人信息进行全面梳理和分类识别,我们建议把员工个人信息分为以下四类:

(1)不允许收集的员工个人信息(下称“第一类信息”);

(2)法律明确允许收集的员工个人信息(下称“第二类信息”);

(3)可以划入用工管理所必需的员工个人信息(下称“第三类信息”);

(4)难以划入用工管理所必需的员工个人信息(下称“第四类信息”)。

我们建议:

用人单位在员工手册中新增对用工管理常见的、包括但不限于以下情形中涉及的员工个人信息进行列举加概括式分类管理:

(1)要求员工提供支持其病假申请的诊断证明和完整病历;

(2)用人单位在办公场所使用监控录像;

(3)用人单位搜查员工的在办公场所使用的储物空间;

(4)员工考勤打卡的钉钉位置信息、人脸识别信息;

(5)用人单位收集、监控或分析员工在工作电脑、在公司电子邮件系统、或在公司内部网络中储存或传输的信息;

(6)用人单位的工作手机、工作微信、工作QQ中的信息;

(7)用人单位采取登报公告方式向“失联”员工送达解聘通知;

(8)用人单位在公司内部和外部通报员工的违纪行为;

(9)用工场景下其他重要的涉及私密个人信息的用工管理行为。

(二)在员工手册中划定员工私密个人信息的合理范围用人单位可以采取有效措施避免员工对特定信息形成隐私期待,进而避免特定信息落入隐私的范畴。

用人单位可以在员工手册中向员工明确告知:

员工的工作电脑、工作手机、工作微信、工作QQ、公司电子邮件系统、和公司内部网络等公司的IT设备、账号仅可用于工作用途,任何员工不应对在该等设备或账号中储存或传输的信息存在任何隐私期待。公司有权对该等信息进行收集、监控或分析。

我们建议:

用人单位应在员工手册中新增“隐私保护政策”章节并落实上述内容。

(三)在员工手册中明确同时使用基于员工同意和基于法律许可作为处理员工个人信息的法律基础,而不仅依赖其中之一

在现行法律下,用人单位目前难以对能否适用《个人信息保护法》第13条第(2)至(7)项的规定基于法律许可处理个人信息中的私密信息一事做出确定结论。

为避免潜在法律风险,用人单位宜以谨慎的态度对待此事,在员工手册中明确把取得员工同意作为处理个人信息中的私密信息首选方案。对于第四类信息,用人单位应当在取得员工同意后方可处理。

我们建议:

作为员工手册的配套文件,用人单位应定制适用于不同用工场景的个人信息处理告知及同意书。

(四)在员工手册中明确向员工告知用工管理中涉及私密个人信息的处理目的、方式和范围等。

无论基于何种法律基础处理员工私密个人信息,用人单位都应当遵循公开透明原则,向员工告知私密个人信息的处理目的、方式和范围等内容。

因此,我们建议用人单位可以通过员工手册中明确规定的方式履行告知义务;告知事项应当涵盖《个人信息保护法》第14条第1款所规定的所有内容

我们建议:

用人单位应在员工手册中新增“个人信息处理规则和流程”章节并针对不同分类个人信息安全事件列明应急预案。

(五)通过培训使员工知晓和理解员工手册中划定员工私密个人信息的合理范围。

绝大多数员工对于私密个人信息保护问题缺乏完整、准确的理解。员工对此问题的片面或错误理解容易引发争议。

因此,用人单位应当向员工提供培训,以尽量避免因误解而引发的争议。

我们建议:

用人单位对员工手册中新增的“个人信息保护”相关条款在履行民主程序的同时,就相关内容制作员工培训PPT并留下员工培训过程。

04/

两则律师办案手记

案情一

天天公司是一家设备销售公司,员工小王曾是天天公司录用的销售员工(已主动离职)。

天天公司为小王在职期间配发了工作手机及工作手机号码,小王自行通过该手机号码申请了私人微信用于工作(非企业微信)。

小王离职后交还公司手机;天天公司通过微信数据恢复从该手机中导出了员工小王在职期间的微信记录(微信支付功能因为需要小王人脸识别而无法恢复)。

天天公司打印了小王和客户的微信记录作为员工小王“飞单”的证据(“飞单”指销售员工拿到订单后,不将订单交由自己公司做,却将订单交由其他公司做)。天天公司据此向劳动仲裁委员会申请仲裁要求员工小王赔偿因“飞单”给其造成的损失30万元。

双方为此发生争议,员工小王主张,天天公司在未事先告知的情况下获取了自己和客户的微信聊天记录,侵犯了其隐私权,故违法取得的微信聊天记录不具有证据效力。

律师分析

虽然工作手机和手机号码确实属于公司所有,并配发给员工使用,但是公司既没有把提前告知员工应当使用企业微信而非个人微信与客户沟通,也没有就恢复储存在工作手机上的个人微信聊天记录一事取得员工的同意。

员工对于个人微信内容具有合理的隐私期待,故该等信息具有不愿为他人知晓的私密性,进而应当属于以私密信息形式存在的隐私。

由于该等证据是通过侵犯员工隐私权的方式而取得,公司无权收集并处理该等信息,法院没有认可该份证据的合法性

案情二

鑫公司是一家电商公司,员工小张曾是鑫鑫公司录用的跨境电商部门经理(已被公司解除)。

员工小张在职期间作为鑫鑫公司的部门经理,负责在外维系客户和开发潜在客户,实行弹性工作制且不需要到公司办公室坐班。公司HR部门发现该工作模式下无法每月汇总该部门经理的有效工作时间作为绩效考核工资的评定系数之一(不影响基本工资的发放)。

于是鑫鑫公司修改员工手册要求全体员工(包括员工小张在内的部门经理)采用手机应用程序钉钉进行考勤打卡,未按要求打卡的将按旷工处理。员工小张未按要求用钉钉打卡,被鑫鑫公司以严重违纪为由解聘。

双方为此发生争议,员工小张主张,鑫鑫公司要求其在个人手机上开放手机定位后使用钉钉打卡,侵犯了其隐私权,故该项考勤制度违法无效。

律师分析

虽然员工主张“钉钉打卡的位置信息属于私密信息”,但用钉钉进行考勤打卡的隐含要求是:员工应当在工作时间内用钉钉汇报其所在位置,以证明其已正常出勤。

因此,公司通过这一方式收集的信息只是员工在工作时间内的位置信息。任何员工对于在工作时间内的位置信息不应具有合理的隐私期待,该等信息不具有不愿为他人知晓的私密性,不属于员工隐私权范畴,这一点我们建议公司应在员工手册中进行明示。


个保法作为中国第一部专门保护个人信息的法律,其重要意义不言而喻;我们也会密切关注个保法的后续配套规定,这些规定中可能包括更多具有实践指导意义的规定。

后续我们也会发布一系列个保法相关的问题与合规建议文章,敬请关注。


盖雅学苑
分享到朋友圈
收藏
收藏
评分

综合评分:

我的评分
Xinstall 15天会员特权
Xinstall是专业的数据分析服务商,帮企业追踪渠道安装来源、裂变拉新统计、广告流量指导等,广泛应用于广告效果统计、APP地推与CPS/CPA归属统计等方面。
20羽毛
立即兑换
超级nice便签砖
超级超级超级奈斯!
1000羽毛
立即兑换
一书一课30天会员体验卡
领30天VIP会员,110+门职场大课,250+本精读好书免费学!助你提升职场力!
20羽毛
立即兑换
盖雅学苑
盖雅学苑
发表文章141
与愿意思考的HR一同成长
确认要消耗 0羽毛购买
《个人信息保护法》实施后,HR该如何修改员工手册?吗?
考虑一下
很遗憾,羽毛不足
我知道了

我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。


一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
    1)反对宪法所确定的基本原则;
    2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
    3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
    4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
    5)煽动民族仇恨、民族歧视,破坏民族团结;
    6)破坏国家宗教政策,宣扬邪教和封建迷信;
    7)散布谣言,扰乱社会秩序,破坏社会稳定;
    8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
    9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
    10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
    11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
    12)危害未成年人身心健康的;
    13)含有法律、行政法规禁止的其他内容;


2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
    1)轻蔑:贬低、轻视他人及其劳动成果;
    2)诽谤:捏造、散布虚假事实,损害他人名誉;
    3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
    4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
    5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
    6)谩骂:以不文明的语言对他人进行负面评价;
    7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
    8)威胁:许诺以不良的后果来迫使他人服从自己的意志;


3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
    1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
    2)单个帐号多次发布包含垃圾广告的内容;
    3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
    4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
    5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
    6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
    7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
    8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。


4. 色情低俗信息,主要表现为:
    1)包含自己或他人性经验的细节描述或露骨的感受描述;
    2)涉及色情段子、两性笑话的低俗内容;
    3)配图、头图中包含庸俗或挑逗性图片的内容;
    4)带有性暗示、性挑逗等易使人产生性联想;
    5)展现血腥、惊悚、残忍等致人身心不适;
    6)炒作绯闻、丑闻、劣迹等;
    7)宣扬低俗、庸俗、媚俗内容。


5. 不实信息,主要表现为:
    1)可能存在事实性错误或者造谣等内容;
    2)存在事实夸大、伪造虚假经历等误导他人的内容;
    3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。


6. 传播封建迷信,主要表现为:
    1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
    2)求推荐算命看相大师;
    3)针对具体风水等问题进行求助或咨询;
    4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;


7. 文章标题党,主要表现为:
    1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
    2)内容与标题之间存在严重不实或者原意扭曲;
    3)使用夸张标题,内容与标题严重不符的。


8.「饭圈」乱象行为,主要表现为:
    1)诱导未成年人应援集资、高额消费、投票打榜
    2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
    3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
    4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
    5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序


9. 其他危害行为或内容,主要表现为:
    1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
    2)不当评述自然灾害、重大事故等灾难的;
    3)美化、粉饰侵略战争行为的;
    4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。


二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。


三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)

我知道了
恭喜你~答对了
+5羽毛
下一次认真读哦
成功推荐给其他人
+ 10羽毛
评论成功且进入审核!审核通过后,您将获得10羽毛的奖励。分享本文章给好友阅读最高再得15羽毛~
(羽毛可至 "羽毛精选" 兑换礼品)
好友微信扫一扫
复制链接