雇佣关系中是否存在个人信息保护问题?|互联网法律观察

01-03 11:59

先广而告之一下,专注互联网法律的享法团队开知乎问答号了!!在这里我们关注互联网、法律和创业的话题,对热点问题有独道回答,欢迎您关注和点赞!!

前两日,知乎问答上有苏宁的实习生遇到被人事要求填写个人基本资料的情形,求助知乎询问这是否涉及个人信息保护?

企业日常人事管理中要求员工填写个人基本信息,在日常生活中已经司空见惯,难得有提问者这么认真思考问题的,享法小编在对提问者的态度点赞之余,跟随问题,也简单调研了有关企业处理雇员个人信息的相关法律规定。

对个人信息的定义做出了界定的最新最热法律当属2017年6月1日生效实施的《网络安全法》(简称“《网安法》”)。

个人信息: “指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。

员工被收集的相关信息明确属于个人信息范畴。 然而 ,网安法项下个人信息收集和保存的规则的调整对象为「网络运营者」(也就是「网络的所有者、管理者和网络服务提供」)在日常经营活动中取得的用户个人信息的保护。显然,用户人单位根据其与劳动者之间的劳动劳务关系而获取个人信息的行为,似乎不在《网络安全法》的调整范围之内。

根据实践中我们的总结和经验,就用人单位在其内部管理中收集到的员工个人信息,以及对该等信息的处理方式,国内尚没有明确的法律法规规定。

但是,针对一般业务经营者(包含网络运营者的概念在内), 网安法和其他相关法律法规项下存在一些一般性条款,需要该等一般业务经营者遵守。用人单位应当归属于一般业务经营者的范畴 。例如:

网安法第四十四条: “任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”。

《民法总则》第一百一十一条: “自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”

因此,用人单位收集和处理员工个人信息仍应遵循该等一般性规则。

另外,参考欧盟《一般数据保护条例》("GDPR", 国内个人信息保护立法的标杆和走向 ,2018年5月将正式施行)的对企业内部雇员信息的规定,也能够看出国际上对于企业内部雇员个人信息保护的重视以及划定的规则底线:

欧盟《一般数据保护条例》第88条 人事领域的数据处理:

1. 成员国可以在法律上或者集体协议中规定更加明确的规则,确保在人事领域处理员工个人数据时其权利和自由能够获得保护,特别是为了招聘、履行劳动合同,包括在法律上和在集体协议中确立的义务履行、经营管理、计划和组织工作、工作场所的平等和多样性、工作中的健康和安全、员工和客户财产的保护;或者是为了个人或集体行使和享有雇员的权利和权益;或者为了雇佣关系终止的目的;

2. 这些规则应当包含合适和特定的措施以保护数据主体的人格尊严、合法利益和基本权利,特别是关于处理的透明性,企业集团内的个人数据的转移,或者参与联合经济活动和在工作场所从事系统监测的企业。

综上,员工的个人信息被企业收集是出于企业内部管理所需,且是员工自愿提供(否则员工可以不填表、不提交),企业收集员工个人信息并未违反法律规定。

但是,如果企业未经员工同意,对外出售、提供、加工、传输(包括跨境传输)员工个人信息的,则将被视为侵犯员工个人信息权的行为 当然,如果企业(用人单位)在收集和处理员工个人信息时,已经做好企业内部风险防控,获得员工对于企业收集和处理其个人信息的明确同意的,那么企业之相关行为不会违反法律法规的现有规定。 前述内部风险防控工作应当至少包括

◆在招聘和录用时,收集、使用和提供个人信息的行为应当经过应聘者明确同意;

◆规范用人单位内部制度,明确员工利用用人单位内部系统及权限实施侵犯个人信息的行为;

◆明确获取员工同意其个人信息在关联企业之间共享,或在并购重组项目中予以披露和使用;

◆跨国公司应该就跨境传输获得员工的事先同意。

原文链接:https://zhuanlan.zhihu.com/p/32385150?utm_source=tuicool&utm_medium=referral
标签: 互联网
© 2014 TuiCode, Inc.