《个人信息保护法》时代,用人单位收集员工信息的11个问题【惟胜会·数字安全】

惟胜道律师事务所     2021 年 9 月 1 日

+ 更多信息  后退

陈万莉.jpg

  陈万莉 
 数字安全研究小组  组长

贵州省优秀律师,贵州大学、贵州财经大学《法律检索》《法律文书写作》等实务课程导师。在数字安全领域,长期为某上市公司信息技术部提供法律服务,具有为多家互联网及科技公司提供法律服务的经验。

自2021年8月起,惟胜道数字安全研究小组将推出《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。




1.对劳动者的个人信息处理具体包括哪些行为?


个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。


2.劳动者个人信息具体包括哪些?


1.png

3.用人单位可以处理个人信息的情形有哪些?


2.png


4.劳动合同所必需的信息包括哪些?


一般情况下,劳动合同必需信息仅包括劳动者的国籍、姓名、住址和居民身份证或者其他有效身份证件号码、个人邮箱、联系电话、紧急联系人及联系电话、教育及工作经历、基础健康状况,用人单位收集该等信息无需另行取得应聘者或劳动者的同意。


婚育状况、宗教信仰、非基础健康信息(如传染性疾病、病史)、家庭情况,一般不会认定为与劳动合同直接相关或必需的信息,该等信息若须收集,则应当取得应聘者及个人同意,且不得因为对方不同意而拒绝录用或解除劳动合同。


但在特殊职业、岗位以及劳动合同履行的不同情形下,劳动合同所必需的信息会发生一定扩展。如厨师岗位,对应的传染性疾病及病史就应当属于直接相关的必需信息范围,在此情况下应聘者或劳动者则应当提供,否则用人单位有权拒绝录用。另外,若员工请产假,则要求该员工提供相关证明亦属于履行劳动合同所必需的信息范围。


5.如何收集非劳动合同必需信息?


对于敏感个人信息,建议用人单位单独书面告知收集敏感个人信息的必要性及对其个人权益的影响,然后取得员工的书面同意;涉及各项敏感个人信息的,应当明确列明并一一对应说明必要性和权益影响。若涉及在多个场景中收集同一敏感个人信息的,建议就单独场景进行单独告知并取得同意。


对于其他非敏感个人信息,建议统一取得提供者同意。


6.疫情防控期间,用人单位能否收集员工其他个人信息?


突发事件应对法》 第22条规定,“所有单位应当建立健全安全管理制度,定期检查本单位各项安全防范措施的落实情况,及时消除事故隐患;掌握并及时处理本单位存在的可能引发社会安全事件的问题,防止矛盾激化和事态扩大;对本单位可能发生的突发事件和采取安全防范措施的情况,应当按照规定及时向所在地人民政府或者人民政府有关部门报告。”


根据该规定,用人单位是防疫责任单位。因此,结合疫情防控的一般方法,用人单位可以搜集员工个人行动轨迹、身体情况、密接人员情况信息。另外,对法定的有权机构要求或授权用人单位进行收集的,用人单位亦可以根据授权进行收集。但我们建议应当向员工明示告知收集信息的目的或所依据的授权,以及评估收集信息的合理必要范围。


7.收集应聘信息或简历应注意什么问题?


收集应聘信息或简历一般包括如下几种渠道:自行向用人单位投递简历;在招聘单位的网站/app等填写应聘信息并提交;与第三方平台或主体合作查看获取求职信息/简历(如BOSS直聘、58同城、猎头等);自己或委托第三方(猎头)寻找调查目标人才所获信息。


对于求职者自行向用人单位投递简历的,已经实际得到了本人同意,但需注意的是,对提交纸质版本简历的,建议要求求职者签字;


对于在用人单位自身网站/app设置的求职信息窗口,建议特别增加隐私政策并征得同意,对于涉及提交敏感个人信息的,应当单独提示敏感个人信息收集的目的和必要性,并单独征得同意;


对与第三方平台或主体合作查看获取求职信息/简历(如BOSS直聘、58同城、猎头等),建议签订协议明确第三方平台或主体收集信息的合法性义务、以及上传、提供信息已经征得信息提供者同意等条款。同时,在与平台求职者取得联系后,建议要求求职者另行单独向用人单位提供简历。


8.公司能否收集员工邮箱、办公电脑、手机内信息?


收集该等信息一般是为监督员工是否存在违法规定等情形,上办公时间利用办公电脑打游戏等,实践中还有公司通过员工手机信息举证证明员工窃取公司商业机会的案例。我们认为,员工邮箱、办公电脑及收集内信息无疑属于敏感个人信息,因此,应当严格按照敏感个人信息进行合规收集。


首先,建议由公司向员工分配分发邮箱、办公电脑、工作手机,即不建议对员工私人邮箱、电脑、手机内信息进行收集;其次在分发分配前明确告知该等办公工具仅限于工作,不得利用办公工具进行非工作事项;最后单独出具说明书,说明收集该等信息的目的和对其权益影响,取得员工单独同意。


9.用人单位能否对特殊岗位人员进行行踪轨迹收集?


近期我们遇到某企业咨询,鉴于其销售人员常年在外出差,拟对其进行行踪轨迹信息的时时收集,以确定其是否在进行工作、按工作计划拜访经销店铺等。我们认为,行踪轨迹属于敏感个人信息,而企业前述关于收集行踪轨迹的需求可以合理解释收集的必要性,但仍然应当对信息合理范围进行界定,即工作时间(打卡时间)段内的行踪轨迹信息收集为合理范围,超工作时间不应进行收集。


因此,我们建议企业:对行踪轨迹收集软件进行调整,在打卡期间内开启行踪轨迹收集功能,非打卡期内应自动关闭收集功能。另外,应单独提前向员工说明收集目的、使用范围及对其权益影响,获得单独同意。


10.用人单位能否进行进场(办公室)人脸识别?


为了实现进出管理、尤其在疫情期间管控职责的落实,公司可能进行进场(办公室)人脸识别。我们认为,人脸属于生物识别信息,依法应当按照敏感个人信息进行合规收集。另外,用人单位进出管理、进出人员实名登记等,人脸识别并非唯一的管理方法,还可以使用身份证等信息识别方式。在此情况下我们建议:

(1)提供除人脸识别方式以外的其他出入认证方法;

(2)明确告知人脸识别的目的、使用范围和权益影响以及其他出入认证方法;

(3)获得对采集人脸信息、使用人脸识别方法的书面单独同意。


11.用人单位能否在办公区域进行监控?


一般情况下,对公司进出口、过道、以及对工作区域在非工作时间进行监控,是用人单位对一般安全义务(盗窃等)的责任履行,还有对特殊岗位办公区域(银行柜台、内部财务柜台)的监控,其合理必要性基本无争议,但建议应当安装监控提示牌。


除此之外,关于在其他工作区域工作时间进行监控的问题,谨慎起见,我们建议用人单位告知监控目的后征得员工同意。另外,对装有监控设备的会议室,不应在未征得来访人员同意下进行监控。