单位需注意《个人信息保护法（草案）》下的员工数据合规操作

2020年10月21日，《中华人民共和国个人信息保护法（草案）》全文公布，向社会公开征求意见。草案全文公布后立即引起较大社会反响，有业界人士将其比作中国版“GDPR”（General Data Protection Regulation，《通用数据条例》的简称，该条例由欧盟颁布，于2018年5月25日出台）。

近年来，随着《网络安全法》、《电子商务法》、《民法典》等多部法律及规范性文件的出台，个人信息收集、存储、使用、传输、转移（跨境转移）、提供、公开等安全问题倍受关注。

聚焦劳动法领域，司法实践中，个人信息安全问题早已通过名誉权、隐私权纠纷案件凸显：

案件一，2016年，陈某以其前用人单位招商银行将其姓名、身份证号、离职事由公布在银监会平台上，导致其在后一份工作中遭解雇为由，认为招商银行严重侵犯其名誉权，将银行诉至法庭（(2016)沪0115民初79329号），后法院判决银行赔偿员工被解雇的工资损失、律师费以及精神损害赔偿等；

案件二，2017年，某公司将写明员工身份证号等个人信息的“解雇通知书”贴于信封外进行快递，后被员工以侵犯隐私权、名誉权为由诉至法院（(2018)京0105民初2738号）。   

在“5G信息战论”甚嚣尘上的今天，《个人信息保护法》的问世意味着我国员工数据安全亦将成为企业合规的重中之重。

将本次《个人信息保护法（草案）》（以下称：《人个信息保护法》）比作GDPR这部全球最严个人数据保护法或许并非夸大其词。根据该法第六十二条[1]，违法企业最高将被行政部门处以5000万元或上一年度营业额5%的罚款。由此，侵犯个人信息的行政责任罕见地大幅提升，这不得不让人产生《个人信息保护法》欲比肩GDPR的联想。因为根据GDPR，违法企业最高面临2000万欧元或全球营业额4%的罚款（取较高者）。2020年10月1日，H&M因违规收集及泄露大量员工信息，遭德国汉堡“数据保护及信息自由委员会”罚款3526万欧元。

面对GDPR“天价”罚款，各大企业在数据保护上花费的成本越来越大。据《福布斯》报告，在美中型企业两年间产生的合规成本平均为55万美元。另据普华永道统计， 68%的公司将对此投入100万到1000万美元。

可以想见，《个人信息保护法》正式颁布实施后，我国企业的合规成本也将显著增加。 

根据GDPR，欧盟的企业若要在雇佣关系中获取员工信息，其合法性来源于条例第六条的“履行契约”（the performance of contracts），而非“自由给予的同意”（freely-given consent）。2019年，普华永道就因获取员工信息时采用的合法性基础错误，被希腊数据保护机构以违反GDPR罚款15万欧元。

在我国劳动关系视角下，企业收集员工信息的法律依据除《劳动合同法》外，将主要来源于《个人信息保护法》和《民法典》。《劳动合同法》第八条规定：用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。然而，实践中很多企业会在《劳动合同法》第八条限定的范围之外收集员工数据，要求劳动者提供与履行劳动合同不直接相关的个人信息，例如：要求员工提供体检报告（非国家特殊要求身体卫生岗位）、家庭成员信息、户籍信息、实际住址信息、前公司薪酬收入等；在员工入职后，又会因工作关系，主动或被动的不断收集到员工个人信息，例如：员工银行卡号、员工报销医药费、员工病情证明单、员工指纹及人脸生物信息、公司监督员工使用的工作邮箱、工作手机、各类报销等。而且，企业往往不会根据信息敏感程度区分存储方式，对于已离职员工的信息，企业通常随意处置、读取。凡此种种都可能踏入《个人信息保护法》的“雷区”。所以，企业应当从该法的关键内容中找寻员工数据合规的有效路径。

对于收集个人信息，《个人信息保护法》[2]与《民法典》[3]同样建立了一般性的“告知—同意”规则。值得注意的是，对告知义务远不止于告诉员工哪些信息将要被收集，更要明确规定，让员工清楚了解收集的目的、处理方式，处理个人信息的种类和保存期限。充分掌握这些情况后，员工的同意才被视作“有效”。

H&M一案中，员工在与公司进行休假谈话，告知公司私生活相关情况时，当然能意识到公司正在“获取”这些信息，但对于公司这样做的目的、持续的监控、长期保存行为，和利用这些信息进行人事管理的行为等却一概不知，故德国监管机构依据GDPR认定公司侵犯了员工隐私，违法收集个人信息。

所以企业在向员工获取信息，落实“告知——同意”这一基本规则时，应当达到合理的透明度。

《个人信息保护法》第二十九条首次以法律形式对“敏感个人信息”做出界定：该类信息为“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。

  对于上述敏感信息，企业在处理前应当取得员工的“单独同意”或“书面同意”。与《民法典》一致，这里的处理包括“收集、存储、使用、加工、传输、提供、公开等活动”。据此，企业以往将一般个人信息与敏感信息一揽子征得员工签字同意的行为将存在较大法律风险。合规建议是，对于敏感信息，取得员工单独、明示同意，法律及行政法规另有书面同意要求的，应同时遵循。

对于跨国集团的境内实体，将员工数据作跨境传输，用于全球组织架构管理前，务必符合《个人信息保护法》第三十八条规定，即满足通过国家网信部的安全评估、经专业机构认证、与境外接收方订立合同监督个人信息保护标准等具体条件之一。其次，根据第三十九条，不同于先前在《员工信息授权书》中将跨境使用场景及接收方一笔带过，企业应向员工本人告知境外接收方的身份、联系方式、处理目的等信息，取得员工单独同意。

同时，由于《个人信息保护法》的规制对象延伸至境外经营主体、国家或地区，且在第四十三条中设置了反制措施，接收员工信息的境外实体亦应对我国个人信息保护法予以重视，不能轻易置身事外。

依据《个人信息保护法》第六十五条，个人信息侵权行为人以因侵权行为获得利益或受害方受损额承担赔偿责任，都无可参考时由法官酌定。在举证分配上，适用举证责任倒置，即只有当企业能够证明自己没有过错的，才可以减轻或免除责任。

劳动争议实践中，根据证据规则，法院因企业本身的优势地位或有证据证明该等信息材料系企业掌握，即要求举证责任倒置并令其承担举证不力的后果。未来，相关个人信息纠纷案件将与日俱增，企业想要免除责任，更要主动证明行为的“合义务”。在法律只作框架性规定时，如何确保“合理有度”地处理员工个人信息，是企业应当思考的。只有在日常事务中合规管理员工数据，争议发生时才能拿出有力证据。

不是每家企业都是互联网科技型公司，很多时候处理员工数据必须引入第三方支持。疫情期间最典型的考勤方式是利用“钉钉”监督员工们在家办公及网络办公的工作时间，这时，员工的很多数据已为企业之外的主体掌控。《个人信息保护法》回答了很多用人单位的疑问：将员工信息接入第三方为其掌握时，发生纠纷后，责任如何分担？企业有无可能被第三方的独立侵权行为“无辜伤及”？

该法第六十六条规定了共同侵权行为人的连带责任。首先，如员工的信息遭到企业及第三方的非法处理，他们可以向其中任何一方主张权利。其次，对于真正由两个或两个以上主体共同实施的侵权行为，该数个主体对外承担连带责任，对内可依约分担。

即便将如人事管理这类工作整体外包，作为用人单位的企业也很可能与外部主体构成共同行为，因此，一定要注意防范将员工数据转移至第三方的法律风险。一方面，注重在约定中为第三方设置数据保护技术措施、定期评估机制、外部监督机制来健全外部主体的数据管理体系，尽可能减少其侵权可能性；另一方面，要注意与第三方约定共同侵权发生后，内部分担责任的方式，及因对方侵权使自己承担连带责任后的追偿。

注释：

[1] 《草案》第62条：有前款规定的违法行为，情节严重的，由履行个人信息保护的职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责管理人员和其他直接责任人员处一万元以上十万元以下罚款。

[2] 《个人信息保护法》第13条：符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人同意；（二）为订立或履行个人作为一方当事人的合同所必需；（三）为履行法定职责或法定义务所必需… …。

[3] 《民法典》第1035条：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。

来源：威科先行