劳动者个人信息保护的企业用工风险与合规策略论文

　　摘要：《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)已于2021年11月1日起施行，其中可以看出将个人信息分为两大类，即一般个人信息与敏感个人信息。对劳动者个人信息进行保护，不仅是劳动者权益保障的诉求，更是企业防范用工风险，保障正常生产经营的必然要求。鉴于劳动者个人信息保护的企业风险点主要集中于招聘、日常管理和劳动者离职后等环节，企业应对的合规策略除了在规章制度上对劳动者个人信息使用、救济等进行规定外，还应关注对于招聘、日常管理和劳动者离职后等环节的劳动者个人信息使用与保护。

 

　　关键词：个人信息保护法；个人信息；企业；劳动者

 

 

　　个人信息的具体含义指用电子信息的形式和其他形式保存下来的已然识别过的或即将可以进行识别的自然人相关的各类信息，同样劳动者属于自然人的领域内，基于此用人单位即企业扮演着对劳动者个人信息收集、存储、使用这一角色，在处理劳动者个人信息时应当严格根据法律规定的内容进行操作，对此，企业在实行以上操作之时会面对着巨大的风险。[1]这是由于在企业用工的过程中，劳动者的姓名、性别、身份证号码等等一般个人信息以及相应的敏感个人信息皆会暴露于外，鉴于此，企业更应当将劳动者个人信息保护的重视程度加以提升。

 

 

　　(一)劳动者个人信息的具体界定

 

　　在《个人信息保护法》中表明了劳动者的个人信息即用电子信息的形式和其他形式将其保存下来的已然识别过的或即将可以进行识别的和劳动者息息相关的各类信息(在此不含匿名化处理后的信息)。就具体类型来说，劳动者的个人信息应当包含一般个人信息和敏感个人信息。

 

　　首先，一般个人信息是指可独立识别的信息或者和其他相关的信息相配合来识别的信息，通过电子的形式或者其他形式来加以收集、储存、收藏的信息。其主要包括一些基础个人信息，例如姓名、性别、出生年月日、身份证号码、地址、手机号码、电子邮箱、健康状况等等。

 

　　其次，敏感个人信息中所包含的具体种类也很多，例如有关生物识别的信息、宗教信仰相关的信息、特殊身份的信息、行踪轨迹信息以及不满14周岁未成年人的信息等等。

 

　　(二)劳动者个人信息保护的意义所在

 

　　在我国，目前通过众多案例不难看出所谓的劳动关系其实并不是双方主体地位相平等的法律关系，在企业与劳动者之间存在很强的人身从属性，是劳动者从属于企业的一层被动关系。[2]一方面，劳动者对自身的个人信息拥有掌控的权利，可以对自身的个人信息是否置之于企业之中具有选择的权利，就好比每日工作的出勤方式是否同意使用“刷脸”“刷指纹”等方式；另一方面，企业也需征得劳动者的同意。基于此，企业如往常一样对于劳动者的个人信息处置仅仅凭借企业的想法去管理，这种做法也会给企业带来巨大的风险。

 

　　综上所述，对于企业来讲，生产经营过程中处理客户、用户个人信息的合规性往往受到高度的关注，通常会忽略作为企业员工的劳动者个人信息的保护问题。现实生活中，对劳动者信息的保护就企业而言至关重要。首先，企业对劳动者个人信息的合规保护有利于减少违规违法行为，防范企业的用工风险；其次，有利于企业节省法律纠纷成本，将资金更好地投入到正常的生产经营活动中，这不但是企业在经济市场稳步发展的必然要求，这更是有利于建立规范诚信企业文化的内生需要。

 

 

　　《个人信息保护法》的出台对于违法违规的用人单位或个人在法律责任的承担上均有加重。

 

　　第一，民事责任：如若企业无法证明自身或者企业内部人员没有过错的，则企业应当承担损害赔偿责任。损害赔偿责任应当根据劳动者由于此次民事侵权所遭受的财产损害或企业作为个人信息的处理者所获得的财产利益进行计算，或者根据无法确定的客观存在来对赔偿数额进行最后的决定。

 

　　第二，行政责任：违反《个人信息保护法》的，应当由所监管的行政机关采取以下措施：首先，给予责令改正并警告，同时需要对违法所得进行没收；其次，对违法处理了个人信息的相关APP应当采取责令卸载或者终止进行服务的处罚，如若不加以改正，则应当处以100万元以下的罚款，同时，如果涉及到主管人员和其他相关的责任人时，应当对其处以1万元以上10万元以下的罚款。

 

　　第三，刑事责任：对于违反个保法规定的，不但需要在民事以及行政上承担责任，如若构成犯罪的，也须依法上升为追究刑事责任。

 

 

　　(一)企业招聘过程中的风险点

 

　　根据《中华人民共和国劳动合同法》(以下简称《劳动合同法》)的第八条规定，不难看出主体双方即企业与劳动者之间皆有知情权，此知情权是指与劳动合同有直接关系的一些基本资料(即个人信息)，用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。同时，在《个人信息保护法》的第十三条第二款也同样规定了企业作为劳动者的信息处理者可以在一定条件下对劳动者的个人信息进行处理。根据上述法律规定不难发现，除了与订立劳动合同相关的必需信息(姓名、性别、年龄、学历等)之外，其他非必要的信息(家庭成员、成员职务、联系方式、婚育状况等)，必须取得劳动者的同意后才可以进行信息收集。[3]基于此，企业所面临的困境即如若企业以劳动者拒不提供个人信息为由拒绝录用劳动者，企业很大程度上会面临被以侵权为由遭到劳动者起诉的风险。

 

　　(二)企业日常管理中的风险点

 

　　劳动者的个人信息贯穿于用工管理的全过程，例如，企业为了保证劳动者的工作能力和个人背景的信息真实，会对劳动者进行背景调查。企业通常会通过第三方机构来对劳动者进行背景调查，在一定程度上会在劳动者完全不知情的情况下进行背景调查，也即易产生“暗地调查”的风险，就好比企业以调查结果与劳动者的陈述不相符合为由不予录用，将很有可能被劳动者提起劳动仲裁，甚至会面临遭到行政处罚的风险。

 

　　再如劳动者入职后，首先，电子设备(监控、电脑等)很可能与劳动者的隐私权产生冲突，企业由此将会承担相应的民事责任的风险。其次，企业因业务或日常管理的需要会将劳动者信息交由第三方，由此也会引发相应的风险，例如，因体检需要将劳动者个人信息交给医疗机构；因代发工资需要将劳动者个人信息交给人力资源公司；或因法律需求需要将劳动者个人信息交给相关法律机构等等。若事前没有与劳动者约定，或者没有征求劳动者的同意，将很有可能面临劳动者知情后进行举报进而遭到行政处罚的问题。

 

　　(三)企业在劳动者离职后的风险点

 

　　在《劳动合同法》第五十条规定中表明企业应当对已经解除或者终止的劳动合同的文本保存至少两年留作备查。在《工资支付暂行规定》中还明确提出，企业支付给劳动者的工资金额以及劳动者的劳动时间、收款者姓名和签字盖章均应当记入记录内，并且保存两年以上留作备份。根据以上规定可以看出，企业与劳动者的劳动合同文本、工资支付记录等应当保存两年以上，一旦发现劳动者离职，企业对于劳动者的人脸识别、指纹等信息的继续存留，则将会使其面临对劳动者个人信息保护不佳的法律问题。[4]

 

 

 

　　(一)规章制度层面对劳动者信息保护的合规对策

 

　　《个人信息保护法》第五章明确阐述了信息处理者应尽的义务，企业应当积极地在制度层面对个人信息的保护予以规范。[5]首先，在规章制度中应当规定以下内容：第一，个人信息保护组织机构的设立，以及明确该机构与机构人员责任的规定；第二，对劳动者个人信息的收集、存储、使用、加工、传输、提供乃至公开等管理处理的规定；第三，违反劳动者信息保护规章制度的处罚规定等等。首先，企业还亟需构建一套成熟有效的劳动者信息保护的申诉机制，此申诉机制直接面向劳动者，使其在受到侵权后存在有效合理的救济方式。其次，企业也应当对劳动者定期进行个人信息保护的安全教育培训，使劳动者在自身层面提升对其信息保护的安全意识。最后，企业还需制定一系列如若劳动信息泄露后如何处理的应急措施，以便更好地解决相应的问题。

 

　　(二)企业在招聘中对个人信息保护的合规对策

 

　　第一，在企业的招聘过程中，应当要求劳动者自行填写个人信息材料，并且在相应的招聘文件中让劳动者同意自愿提供个人信息用于应聘，同时承诺所提交个人信息的真实性。

 

　　第二，企业在对劳动者的背景调查前应当征求劳动者的同意并且授权，需要劳动者签署劳动者背景调查的授权委托书，并且在授权委托书中表明若劳动者虚假陈述的后果，这样一来也有利于企业对提供虚假履历的劳动者的有效处理。

 

　　(三)企业在日常管理中对劳动者信息保护的合规对策

 

　　在日常管理中，企业对劳动者的个人信息应当担负起保密的义务，并且需要安全妥善地保管。在现实生活中，众多企业的签到以指纹、面部识别为主要方式，这些都应当归属于敏感的个人信息，企业应当采取加密措施进行去标识化处理，确保企业在收集、存储的个人信息安全，进而加以防止个人信息丢失、篡改及泄露等问题的发生。在对于第三方处理企业劳动者信息的问题，企业需对预期合作的第三方的资质、能力、合法性、必要性进行审查，要求第三方作出不侵犯劳动者个人信息的书面保证，而当第三方与企业需要共同处理劳动者个人信息时，需要订立书面协议明确彼此的权利义务。

 

　　对于电脑、邮箱、电话等办公电子设备，应当做到“公私分明”，因为劳动者在使用电子设备时，个人信息的痕迹非常容易留存于其中，这也便成为企业侵犯劳动者信息高风险的重要原因。基于此，企业应当提前将“不能将办公所用的电子设备用来解决私人的事务”这一情况明确向劳动者表明，同时企业应当对劳动者办公所用的电子设备的信息检查权、监控权和存储权有所保留，有利于避免在日常管理中企业产生侵权的风险。

 

　　(四)企业对劳动者离职后个人信息保护的合规对策

 

　　劳动者离职后的个人信息管理同样重要，为避免可能的风险与纠纷，对离职后的劳动者的个人信息的处理，首先应当及时与劳动者本人进行协商、约定并及时对用人单位掌握的劳动者个人信息库进行更新、删除。其次，企业应在制度上对离职劳动者的个人信息保护、销毁等具体措施进行规定，并且规定超过一定期限的个人信息的销毁方式；在接受第三方对离职劳动者进行背景调查时，是否评估过有无违反个人信息保护政策，例如在劳动者离职时要求劳动者签署接受第三方调查时单位的信息披露权等。

 

　　鉴于《个人信息保护法》刚刚出台，执法部门的具体职责范围、个人信息权益的性质以及在劳动用工领域权益冲突情况下如何适用等问题均有待相关的法律法规予以进一步明确。[6]在此情况之下，企业应当紧跟《个人信息保护法》后续的立法动向，在具体的要求与标准出台后，及时建立个人信息处理的制度与机制，合法采取相应措施，掌握个人信息保护的主动权。一般来说，通过合理监控得到的证据可能是有效的，但企业频繁遇到的类似取证问题也将面临不确定性。我们看到有一些案例对于相关证据合法性不再采信，例如某劳动者和其他公司洽谈销售业务并亲口承认自己要“飞单”，企业给劳动者的手机录制了录音并将录音记录作为证据保存，对于此项证据，法院表明除非在法律有明确规定或在劳动者的授权下，否则不允许出现有关窃听他人、偷偷观察他人或者私自处理他人信息的举动，企业对劳动者履行工作职责进行管理监督无可厚非，但应当在合法合理的限度内行使权力。

 

 

　　在《个人信息保护法》正式实施后，企业从劳动者招聘开始到劳动者离职结束这一过程中经常会涉及劳动者相关个人信息的处理问题，对此问题一旦处理不当，对企业而言，其将会面临巨大的法律风险，同时也可能需要承担相应的法律责任。对此企业需严守《个人信息保护法》的相关内容并建立相应合规对策，同时着重关注司法实践，平衡劳动管理权与劳动者个人信息保护的关系，努力推动和谐劳动关系逐渐形成。

 

 

　　[1]张珍星．《民法典》背景下雇员个人信息保护的劳动法进路[J]．西安交通大学学报(社会科学版)，2021，41(6)：146-158．

 

　　[2]谢增毅．职场个人信息处理的规制重点——基于劳动关系的不同阶段[J]．法学，2021(10)：167-180．

 

　　[3]石佳友．个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系[J]．比较法研究，2021(5)：14-32．

 

　　[4]谢增毅．劳动者个人信息保护的法律价值、基本原则及立法路径[J]．比较法研究，2021(3)：25-39．

 

　　[5]王亦君，焦敏龙．个人信息保护法出台将带来哪些改变[J]．公民与法(综合版)，2021(9)：6-8．

 

　　[6]刘宇晗．个人信息权的民法保护范式之研究[D]．济南：山东大学，2014．