我要预约盈科律师
一、立法背景
2021年8月20日, 十三届全国人大常委会第三十次会议正式表决通过《中华人民共和国个人信息保护法》。该法是我国第一部保护个人信息的单行立法,该法已经于2021年11月1日正式施行,共八个章节,74条法规。
二、问题提出
在《中华人民共和国个人信息保护法》出台的背景下,各企业都在积极的学习该法和执行该法,特别是对合规要求比较高的外资企业,经常对律师做出这样的咨询:《个人信息保护法》2021 年11月1日生效, 我们公司要注意些什么事项, 尤其HR?
三、律师研判
以上咨询收到后,律师针对上述问题做了初步整理后,认为《中华人民共和国个人信息保护法》(以下简称“个保法”)出台后,用人单位作为“个人信息处理者”,如何做好针对员工个人信息的保护,将对劳动用工合规产生重大影响。
四、律师建议
用人单位应当结合个保法对于个人信息处理的基本原则(个保法第一章)、具体规则(个保法第二章)、跨境提供规则(个保法第三章)、参与主体的权责(个保法第四、五、六章)等方面,重点考虑以下几点的合规应对:
1、完善公司规章制度的应对:
①建立个人信息保护的内部管理制度和操作规范,并通过适当的方式公开和告知相关制度
②建立个人信息分类管理制度,确定个人信息处理的操作权限
③组织开展个人信息安全教育和培训
④落实个人信息保护安全技术措施
⑤定期开展个人信息处理活动并进行合规审查
⑥其他根据自查自纠后做出的或针对本单位特色做出的措施
2、落实个人信息处理全流程管理(收集、使用、保存、公开、境外提供等):
①在充分告知的前提下取得个人信息主体的同意
②向外提供个人信息的,应向个人充分告知并获取单独同意
③对敏感个人信息的处理应具有特定的目的和充分的必要性,进行充分告知,并采取严格安全保护措施
④收集、处理员工信息是否超出履行劳动合同、实施人力资源管理所必需的范围的审查处理
⑤因业务等需要确需向中国境外提供个人信息的,是否已具备法定的必要条件,并确保境外接收方处理活动达到规定的保护标准
⑥对于向中国境外提供个人信息的,是否向个人进行充分告知,并取得单独同意
⑦对于外国司法或执法机构调取存储于境内个人信息的,是否获得主管机关的批准
⑧其他根据自查自纠后做出的或针对本单位特色做出的措施
以上意见仅为在个保法实施背景下,进行概括性的分析与提示,后续随着监管执法实践的推进,相关问题将得到进一步细化,企业数据合规治理的模式和措施也将愈发成熟。现阶段,用人单位可以对企业自身用工管理需求和场景进行评估与梳理,以便更加完善对员工个人信息保护合规的制度体系。
五、实务举例
某公司要求送货司机必须对其位置进行GPS定位的建议合规要点:
1、律师解析:
GPS定位信息和行程轨迹在个人敏感信息的范围内,用人单位收集上述信息的合理性取决于定位内容的必要性以及员工对被定位的知情同意的权利是否得到保障。前者考量的因素包括员工的具体工种、定位的时间;后者则要求用人单位收集上述信息的程序合法、合理。
2、合规要点:
(1)公司告知送货司机下列事项:个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式,处理的个人信息种类、保存期限、个人行使本法规定权利的方式和程序、处理敏感个人信息的必要性以及对个人权益的影响及法律、行政法规规定应当告知的其他事项。
(2)要求送货司机书面明确公司已经告知上述事项并签署一份“生物识别及个人敏感信息获取同意书”,以允许该公司使用人工智能驱动的摄像头获取司机的位置、运动和生物识别数据,明确这是一种合理收集雇员定位信息的情形。
3、法条索引:
《个人信息保护法》:
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
六、结语
我们惊喜的看到,单位的HR能够在法律颁布后第一时间咨询律师及作出应对实属法治社会的进步。我们接下来要做的是认真学习法律及落实法律的规定,将个人信息保护落到实处,避免给公司、员工及社会带来不良的后果或本可以避免的损失。
备注:若以上回复与现行的法律不一致,或不周延之处,敬请来函13925591684@139.com更正或更新。
我要预约盈科律师