用人单位是法律规定的个人信息处理者吗?《个保法》第73条,明确规定了个人信息处理者的定义,个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。因用人单位在劳动关系管理中必然会涉及自主决定处理员工个人信息的目的和方式,属于法律规定的个人信息处理者。
哪些企业可能面临《个保法》的合规法律责任风险?对于谁需要考虑个人信息处理的合规问题,有一种错误的理解,即只有互联网公司才应关注数据信息合规。但事实上,无论是传统行业还是新兴行业、新型商业模式,几乎任何一个企业都会涉及个人信息。举个简单的例子,公司聘用员工时收集的员工信息、提供产品和服务时收集的客户资料,均属于对个人信息的处理行为,因此,绝大多数企业都将会落入《个保法》的管辖范围。
那么企业在管理员工的个人信息时应该关注哪些要点?首先要清楚什么是个人信息。
什么是个人信息及敏感个人信息?
《个保法》第4条对个人信息有明确的界定,即:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。公司在员工关系管理中必定会涉及员工的个人信息,而且在人力资源管理的各个环节中都涉及员工的个人信息。
《个保法》第28条,对敏感个人信息有明确的界定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。照此规定,在员工关系管理中,用人单位会接触员工大量的敏感个人信息,如指纹、人脸识别信息、健康信息、银行账号甚至行踪信息等。
个人信息处理中企业有哪些义务?
个人信息处理者的义务主要体现在《个保法》第五章的个人信息处理者的义务,具体可以归纳为以下几点:
1.制定内部管理制度和操作规程
2.分类管理个人信息
3.采取安全技术措施
4.管理培训内部人员
5.制定应急预案
6.其它相关措施
从以上规定来看,也为用人单位在个人信息管理的建章立制方面提供了指引。
企业处理个人信息的原则
《个保法》第五条至第九条明确了处理个人信息的基本原则,该等原则是贯穿个人信息处理活动的总体指引。这些原则包括:
1.合法、正当、必要和诚信原则。个人信息处理者应当遵循合法、正当、必要和诚信原则,不得以误导、欺诈、胁迫等方式处理个人信息(第五条)。该原则作为《个保法》的首要原则,是个人信息处理者实施处理活动的前提。
2.明确性和相关性原则。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关(第六条)。该原则在第五条的基础上,为处理目的设定了评价标准,并将处理活动控制在“与直接处理目的相关”的范围内。
3.最小程度原则。《个保法》第六条从两个层面对个人信息处理的程度进行了限制:一是要求处理活动对个人权益产生的影响最小;二是不得过度收集个人信息,限于满足处理目的的最小范围(第六条)。
4.公开透明原则。处理个人信息应当遵循公开、透明原则。该条要求个人信息处理者应当对外公开处理规则,并向个人明示处理的目的、方式和范围(第七条)。公开透明原则保障了个人信息主体的知情权和同意权,是个人信息处理者履行“告知同意义务”的前提。
5.完整性和准确性原则。《个保法》第八条对处理个人信息的质量设定了评价标准,具体可从个人信息的完整性和准确性两方面切入。个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。
6.安全保障原则。《个保法》第九条明确了处理者是个人信息处理活动的直接责任人,由个人信息处理者承担个人信息处理的法定义务和责任。个人信息处理者应当采取必要措施保障个人信息的安全。
企业处理个人信息不当有何风险?
处理个人信息不当,会带来相应的风险,具体风险点有以下几类:
1.被信用惩戒的风险。《个保法》第67条规定:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
2.行政责任的风险。违反法律处理个人信息,按《个保法》第66条和第71条的规定,应承担相应的行政责任。
针对拒不改正的处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
情节严重时处以五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
3.民事责任的风险。违反《个保法》处理个人信息,给员工造成损害的,应当承担赔偿责任,对此该法的第69条有明确规定。
4.劳动争议败诉的风险。当员工的个人信息受保护权与用人单位知情权、管理权、调查取证权发生冲突时,处理方式不当就会面临败诉。
5.刑事责任的风险。对此,《个保法》第71条规定,违反本法规定,构成犯罪的,依法追究刑事责任。
企业该如何接招?
对于不同行业及领域的企业存在很多共性的要求,包括建立合规体系、梳理数据处理和收集的要求,同时他们也可能面临不同的风险点及合规挑战。对于企业来说,需要根据《个保法》上述各方面的新要求来制定合规的策略和体系。一些共性的需要考虑的重点要求及合规步骤包括:
1. 梳理个人信息收集、使用场景。了解自身收集、存储、处理、转让、共享信息的各种情况和场景,对于每种情况下的合规状况全面、细致的掌握。
2. 修改相应个人信息收集同意函及隐私政策。真实、准确、完整的向个人信息主体告知信息收集的细节及其他法定事项,根据自身收集处理实践的调整完善更新相关的法律文件。
3. 完善信息收集同意的流程,并增加单独同意机制。对自身的线上(如网站、App以及小程序等)、线下的各种收集场景进行评估,考虑是否修改相应的流程和同意的获得机制。
4. 设置敏感信息、特殊收集情形保护的特别机制。对敏感个人信息,或采用人像识别或身份识别设备收集、使用、存储情况进行特别的评估、记录、满足法律要求的要件。
5. 防范信息传输及分享可能涉及多重的潜在法律风险。重点关注并采取预防措施。对于涉及转让、获取个人信息的情况,需重点核查合规性,并注意权利义务的界定。
6. 设计相应机制保证个人信息主体权利的行使。保障个人信息主体的权利可以便捷的行使,包括为死亡自然人亲属行使个人信息权利提供方式及渠道。
7. 评估个人信息影响应成为企业决策重要维度。建议将个人信息保护影响评估纳入产品及服务设计阶段,在信息收集前对相关信息收集的必要性、对个人权益的影响及安全风险以及安全保护措施的合法、有效性进行评估。
8. 谨慎使用自动化决策工具用于信用评估、商业营销等活动。对于使用通过自动化决策方式对个人进行经济、信用状况等方面进行评估,需在使用前进行安全影响评估,并应个人要求进行说明、提供替代性方案等。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
9. 加强个人信息保护内控管理。梳理已存储的个人信息类型及相关内部系统,加强信息的技术及管理方面的保护措施。对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施,合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训,确定个人信息保护负责人。
10. 完善修订员工信息收集的情形。根据《个保法》,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的个人信息收集无需取得个人同意,但企业需考虑员工个人信息收集的必要性及合法性,并需将个人信息收集、使用情况告知个人。
作为风险防范的源头和防线,企业必须时刻考虑如何在法律政策监管允许范围之内合规经营,因此如何在企业内部建立个人信息保护的合规体系制度,变得尤为重要。
