大陸《個人信息保護法》對臺商的影響及人資管理上的因應對策
- 資料發布日期:111-02-23
- 最後更新日期:111-02-23
文/蕭新永
遠通國際經營管理顧問公司總經理
海基會臺商財經法律顧問
壹、前言
中國大陸的《個人信息保護法》(以下簡稱《個保法》)已於2021年11月1日生效實施。大數據時代下,企業為執行人資管理,需要處理員工個人基本信息,從收集姓名、年齡、身份證號、聯繫電話、地址、學經歷證書等等,甚至獲取醫療健康、行蹤軌跡、金融帳戶、家庭婚育等敏感信息,就管控及證據掌握來講是企業管理需要的,但也涉及到個人隱私及權益的保護。因此《個保法》規範了個人信息保護的條件,包括個人信息處理的告知、取得個人同意、不需取得個人同意、單獨同意或書面同意、敏感個人信息的處理、個人信息的跨境處理、向第三方(協力廠商機構)提供個人信息的規定以及違反《個保法》的法律責任等等。
個人信息保護領域,除了以《個保法》為主體外,並與《數據安全法》、《網絡安全法》共同構成企業應該遵循的信息保護合規體系。本文僅就《個保法》予以探討。企業是《個保法》所定義的「個人信息處理者」,合法合規地處理員工的個人信息,才能符合《個保法》的規定。對在大陸投資設廠的臺商而言,只要是處理大陸境內的個人信息,就包含境內處理與跨境傳輸處理,這將是未來臺商必須重視的課題。
《個保法》中有哪些強制性規定對企業管理產生影響?企業在人資管理過程(招聘任用、在職考勤、終止離職)中如何合規因應?本文擬簡要提出見解分析,以及建議的因應對策。
貳、「告知+同意」的模式
根據《個保法》第4條第2款的規定,個人信息的處理包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動或行為。取得個人的同意,是個人信息處理者可以處理個人信息的法律基礎之一。因此,處理個人信息應當遵從「告知+同意」的模式,說明如下:
一、告知
臺商企業做為員工個人信息處理者,要取得及處理員工的個人信息,按規定要依照《個保法》第17條第1款規定,個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯繫方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
如若第17條第1款規定的事項發生變更的,應當將變更部分告知個人。企業在取得個人信息之前,口頭或書面的告知程序是必要的前置動作,這是處理個人信息最基本的原則。
二、同意
根據《個保法》第13條第1項的規定,取得個人的同意,個人信息處理者方可處理個人信息。又據本法第14條規定,基於個人同意處理個人信息的,該同意應當由個人在充分知情的前提下自願、明確作出(即前述的第17條第1款4項內容)。另外,本法第14條又指出,法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。
綜上分析,臺商必須了解《個保法》所規定的同意條件,是普遍的原則,但如果法律、行政法規規定某些種類的個人信息應當取得「單獨同意或者書面同意」,也就是只有在基於個人「同意」處理個人信息的情況下,才會進一步牽涉到「單獨同意或者書面同意」的程序與內容。
「單獨同意」是《個保法》新創設的一個概念。包括下列五種情形:
(一)第23條:個人信息處理者向其他個人信息處理者提供其處理的個人信息的。例如,用人單位為員工購買商業保險,向保險公司提供員工的個人身份信息、個人健康信息等。
(二)第25條:個人信息處理者公開其處理的個人信息。例如,用人單位將員工個人信息儲存在公司共用的儲存空間。
(三)第26條:個人信息處理者在公共場所安裝圖像採集、個人身份識別設備,所收集的個人圖像、身份識別信息用於維護公共安全以外的目的。例如,用人單位在辦公區域安裝攝像頭(監控攝影機)、使用人臉識別與記錄行蹤的電子考勤。
當前在大數據、AI等相關數位科技下,利用廠內攝影機拍攝到的員工的影像,作為員工出勤或績效考核的工具,甚至追蹤員工在公司內部的行動軌跡,進而做出人資管理的決策,並非用於「維護公共安全」的目的,就必須取得單獨同意。
(四)第29條:個人信息處理者處理敏感個人信息。主要指本法第28條所列的生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息,必須取得單獨同意。例如,企業收集、儲存員工的人臉和指紋信息、個人婚育狀況、員工請病假被要求提交病歷卡與醫藥費單據等等。
(五)第39條:個人信息處理者向境外提供個人信息。例如,外資企業將大陸員工的個人信息傳輸到境外的母公司或關聯公司進行共用。[1] 另外,外資企業如果處理的個人信息達到中國大陸規定的數量,原則上只能將信息儲存境內,不可傳出到境外的母公司,若要傳輸境外,必須通過中國大陸網信部門的安全評估。(詳本法第38條)
「個人同意」是指有針對性的,向特定的個人取得同意。「單獨同意」則指針對某一特定事項的同意,可以理解為單項同意,以區別於概括性同意。例如,企業在需要徵求員工個人同意的事項時,應當把包括處理敏感個人信息、跨境處理的個人信息在內的特殊事項逐一列出,逐項徵求員工個人同意。[2]
參、「告知+不需個人同意」模式
本法第13條第1款第2項規定,為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人資管理所必需,以及同條同款第3項的規定,為履行法定職責或法定義務所必需。在這些情形下處理個人信息,不需要個人的同意。這就為人資管理所需的個人信息處理留下了一定空間,利於企業的人資管理操作。
唯需注意的是,上述的條款並未明確規定「實施人資管理所必需」的具體要件,目前難以確定用人單位可以在何種程度上不經員工同意就可處理其個人信息,而且尚未見有關的立法解釋或司法解釋。因此,用人單位在處理員工個人信息前,取得員工的同意仍然是關鍵。
肆、臺商在人資管理過程中的因應對策
臺商在處理日常人資管理作業時,可從招聘任用、在職考勤和離職解雇等3個管理階段做到個人信息保護的合法、合規。
一、招聘任用階段
(一)招聘面試:企業通知應徵者面試時,應當告知其要收集的個人信息的種類,並取得應徵者的同意。其收集的信息是應徵者未來如獲得錄用,需要簽訂勞動合同與集體合同或其他相關協議有關的信息種類時,依照《個保法》規定,可以不需個人同意。但從風險防範的角度出發,建議還是要經由個人同意,從嚴把關為要。
此外,企業不得收集法律禁止在招聘階段收集的信息,例如女性求職者的婚育情況、宗教信仰等等信息,因為這些屬於敏感個人信息(醫療健康),按照《個保法》第29條的規定,應當先取得個人的「單獨同意」。
(二)背景調查:一般比較正規的企業都會在入職前(或在入職後的試用期內)委託第三方的背景調查公司對應徵者進行背景調查,根據《個保法》第21條的規定,企業應當與受託人約定委託處理個人信息的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利義務。企業應當確保上述內容均涵蓋在和受託人的服務協議中,並要求受託人保證其在受託展開背景調查工作時應當合法、合規。
一般而言,調查的個人信息的種類可集中在身份、學歷證件、職業技術證書、工作經歷是否屬實?是否存在潛在的疾病或職業病? 年齡是否達到16歲?是否與其他用人單位有未到期勞動合同?是否對其他用人單位負有競業限制義務?如果是特殊崗位還涉及到金融類信息、訴訟記錄等等,其中如有個人敏感信息,更要取得個人的單獨同意。
(三)入職體檢:由於入職體檢可能會涉及應徵者的敏感個人信息,企業應當取得應徵者的單獨同意。另外,為了避免就業歧視,企業不得將乙肝病毒血清學指標作為職檢標準、不得將女性妊娠測試作為職檢項目。
(四)勞動合同:「勞動合同」的內容是依據《勞動合同法》第17條規定制定的,同法的第8條規定「用人單位有權瞭解勞動者與勞動合同直接相關的基本情況,勞動者應當如實說明。」意即企業需要收集與了解應徵者的一些信息,例如年齡、學歷履歷、知識技能以及就業現狀等情況,這些信息是必須知悉的基本情況,且按《個保法》第17條的規定,企業要告知員工收集處理這些個人信息的目的、期限、方式、種類,但基於實施人資管理的需要,程序上「不需個人同意」,所以員工要如實說明。因此企業可在「勞動合同」內增加個人信息處理的條款,並說明《個保法》的規定。
再者,員工入職時要填寫《個人人事信息表》,企業對於個人信息的收集應當符合最小限度、合目的、合法等原則,並符合企業的規章制度;由於《個保法》規定「生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡」等敏感信息的處理有「單獨同意」之要求,但敏感信息是否涵蓋在「不需個人同意」的範圍之中,目前法律法規尚不明確,需要立法解釋或司法解釋,因此仍有需要該員工對於敏感信息簽署單獨同意的必要,以避開法律風險。
綜上,目前一些企業應對《個保法》的實施,採取的作法是在員工入職任用時請員工簽署《個人信息處理同意書》。但在《個保法》規定下,該類同意書並不能一勞永逸地保證此後所有個人信息處理行為的合法、正當,因為《個保法》第14條第2款規定,個人信息的處理目的、方式、種類發生變更的,應當重新取得個人的同意。[3] 因此,企業人資管理部門應當隨時就已簽屬的《個人信息處理同意書》檢討修改。
二、在職考勤階段
(一)規章制度:企業可在 (員工手冊)裡面增加個人信息保護章節以及《個人信息保護隱私政策》。規章制度應當明確收集個人信息的範圍、使用目的以及處理規則,並且不違反法律規定,方能成為「不需個人同意」,作為處理個人信息的依據。
再者,規章制度中還需要明確個人信息保護職責,企業要設置個人信息保護負責人以及員工行使查閱、複製等個人信息權利的規則等具體內容。還要注意的是,新訂或修訂的規章制度,尚須依照《勞動合同法》第4條的規定,完成通知討論與公示的程序,方屬合法。
(二)人事代理:有些企業會委託第三方的人力資源公司處理員工薪資等事宜。同上述背景調查的情況類似,企業應當與人力資源公司約定委託處理個人信息的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利義務。
(三)監控攝像:根據《個保法》的規定,企業安裝監控攝像設備應當為維護公共安全所需,並且設置顯著的提示標識。如果監控攝像收集的個人信息非用於上述目的,是用於人臉識別來進行考勤,則應當取得員工的單獨同意。
(四)跨境傳輸:臺商有可能將員工個人信息傳輸給境外母公司或相關企業,《個保法》對這一類的個人信息處理有更嚴格的規定,企業只能基於「業務等需要」向境外傳輸個人信息,並應當取得個人的單獨同意。同時應當參考網信部門所制定的標準合同,與境外的母公司或相關企業訂立合同,約定雙方的權利義務。
三、離職解雇階段
當勞雇雙方解除或終止勞動關係後,企業應當預防及降低員工離職後可能衍生的風險。從人資管理立場,企業應當制定相關的文件和文件保存機制,確保在個人信息的保存和刪除方面合法合規。如果相關個人信息沒有實際留存的必要,企業可以考慮刪除。
根據實務的處理經驗,員工離職以後可能會有不履行競業限制協議的情形,也可能發生工資、加班費等等勞動爭議案件。有些法律法規對於會計文件(例如工資憑證等信息)有保存期限的規定;因此在《員工個人信息處理授權書》中對於授權期限的設置,需要涵蓋離職後的一定期限,並且在規章制度中明確離職後個人信息的處理或者個人信息刪除的相關規則。[4]
伍、結論
《勞動合同法》第8條提到勞動者在應徵入職時,用人單位有權瞭解勞動者與勞動合同直接相關的基本情況,勞動者應當如實說明。臺商有必要對日常人資管理流程中涉及到個人信息處理的場合,依據《個保法》的規定調整因應之。雖然《個保法》第13條有規定「為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人資管理所必需」的企業,允許收集和處理個人資訊的情形,「不需個人同意」之規定,但還是不能忽視「依法制定的勞動規章制度和依法簽訂的集體合同」這一前提,將規章制度作為處理個人資訊的合法依據。
再者,目前《個保法》還沒有相關立法解釋、司法解釋或實施細則,對於部分條文的邏輯以及用語的內涵尚待明確,臺商或人資部門應當隨時注意法律動態,隨時更新。
[1] 《個人資訊保護法》中的"同意"在人力資源管理中的適用 - Law Practice Management - China (mondaq.com)
[2] 《個人資訊保護法》中的"同意"在人力資源管理中的適用 - Law Practice Management - China (mondaq.com)
[3] 員工個人資訊保護要點淺析——《個保法》實施在即,企業如何應對?_處理 (sohu.com)
[4] HR場景下如何落實《個人資訊保護法》-上海大邦律師事務所 (debund.com)