無論單位規模大小�,無論從事線上業務與否���,無論處於什麼行業領域����,用人單位都是收集�、存儲��、使用�����、chulihezhuanyigerenxinxishujudejibenshehuizhuti。juedaduoshuyongrendanweijibenshangdoushiyongjisuanjixinxixitongzuoweishoujiheshiyongyuangongjiqiuzhizhegerenxinxidezaiti。yongrendanweizuoweimijishouji��、使用����、處理個人信息的主體�,日常的人力資源管理工作流程涵蓋了個人信息的整個生命周期�,因此����,用人單位應當遵從《中華人民共和國網絡安全法》(以下簡稱“網絡安全法”)及《中華人民共和國民法總則》(以下簡稱“民法總則”)等法律法規確定的合規要求。
一�����、個人信息保護的基本法律原則
民法總則第一百一十一條規定����,任何組織和個人需要獲取他人個人信息的����,應當依法取得並確保信息安全�����,不得非法收集����、使用���、加工�、傳輸他人個人信息�,不得非法買賣����、提供或者公開他人個人信息。
網絡安全法第四十一條規定�,網絡運營者[1]收集�����、使用個人信息����,應當遵循合法�、正當����、必要的原則���,公開收集����、使用規則�����,明示收集�����、使用信息的目的����、方式和範圍�,並經被收集者同意。
二����、用人單位人力資源管理中哪些環節需要確保個人信息合規
用人單位的日常人力資源管理中����,凡是涉及個人信息收集�、處理等個人信息生命周期的環節�����,都是需要關注的合規點。總體而言�,用人單位有必要調整相關合同文本(勞動合同及/或保密協議�、與人力資源供應商���、外部IT供應商之間的服務協議等)yijineibuguizhangzhidu�,bingcongzhidushangquelineibuheguiliuchengbingyuyiyangezhixing���,baohuhaogerenxinxi���,jianshaoheguifengxian。xiawennijiehezuozhezailaodongrenshifangmiandefalvfuwujingyan�����,weiqiyeshulirenliziyuanguanligegehuanjiesuoyingzunxundegerenxinxibaohuheguiyaoqiu。
1. 用人單位收集個人信息的範圍
《中華人民共和國勞動合同法》第十七條規定�����,勞動合同應當具備的條款包括勞動者的姓名��、住(zhu)址(zhi)和(he)居(ju)民(min)身(shen)份(fen)證(zheng)或(huo)者(zhe)其(qi)他(ta)有(you)效(xiao)身(shen)份(fen)證(zheng)件(jian)號(hao)碼(ma)。因(yin)此(ci)�,為(wei)履(lv)行(xing)勞(lao)動(dong)合(he)同(tong)��,用(yong)人(ren)單(dan)位(wei)依(yi)法(fa)可(ke)獲(huo)得(de)勞(lao)動(dong)者(zhe)的(de)前(qian)述(shu)信(xin)息(xi)。如(ru)果(guo)前(qian)述(shu)信(xin)息(xi)發(fa)生(sheng)變(bian)更(geng)�,需(xu)要(yao)勞(lao)動(dong)者(zhe)提(ti)供(gong)的(de)��,需(xu)要(yao)在(zai)勞(lao)動(dong)合(he)同(tong)或(huo)內(nei)部(bu)規(gui)章(zhang)製(zhi)度(du)中(zhong)作(zuo)出(chu)相(xiang)應(ying)規(gui)定(ding)。如(ru)用(yong)人(ren)單(dan)位(wei)需(xu)要(yao)獲(huo)得(de)員(yuan)工(gong)的(de)其(qi)他(ta)個(ge)人(ren)信(xin)息(xi)��,應(ying)評(ping)估(gu)信(xin)息(xi)需(xu)求(qiu)��,僅(jin)收(shou)集(ji)履(lv)行(xing)勞(lao)動(dong)合(he)同(tong)所(suo)必(bi)需(xu)的(de)個(ge)人(ren)信(xin)息(xi)��,且(qie)與(yu)員(yuan)工(gong)就(jiu)收(shou)集(ji)的(de)其(qi)他(ta)個(ge)人(ren)信(xin)息(xi)作(zuo)出(chu)明(ming)確(que)的(de)約(yue)定(ding)����,取(qu)得(de)員(yuan)工(gong)的(de)書(shu)麵(mian)同(tong)意(yi)。
2. 招聘階段的個人信息保護
用人單位獲取候選人簡曆等個人信息的途徑���,大致包括:(a)候選人通過電子郵件��、寄送紙質簡曆等方式將簡曆及其個人信息直接提供發給用人單位��;(b)用人單位通過各大招聘網站瀏覽����、獲取候選人簡曆�����;(c)獵頭公司或其他主體將候選人簡曆發送給用人單位。
候(hou)選(xuan)人(ren)自(zi)行(xing)向(xiang)用(yong)人(ren)單(dan)位(wei)提(ti)供(gong)簡(jian)曆(li)等(deng)個(ge)人(ren)信(xin)息(xi)����,一(yi)般(ban)而(er)言(yan)����,用(yong)人(ren)單(dan)位(wei)無(wu)需(xu)擔(dan)心(xin)個(ge)人(ren)信(xin)息(xi)來(lai)源(yuan)合(he)法(fa)性(xing)問(wen)題(ti)����,但(dan)如(ru)果(guo)用(yong)人(ren)單(dan)位(wei)通(tong)過(guo)自(zi)己(ji)的(de)信(xin)息(xi)網(wang)絡(luo)係(xi)統(tong)要(yao)求(qiu)求(qiu)職(zhi)者(zhe)填(tian)寫(xie)簡(jian)曆(li)個(ge)人(ren)信(xin)息(xi)的(de)��,仍(reng)需(xu)要(yao)設(she)置(zhi)簡(jian)潔(jie)�����、明確���、清晰易懂的隱私政策��,告知求職者為招聘目的需要收集的個人信息範圍�����、保存期限以及是否涉及將個人信息提供給其他主體等�����,取得求職者的同意�����;涉及收集個人敏感信息(如身份證號)��,必須通過求職者自行填寫或勾選“同意”收集�、處理此類敏感信息的明確同意。求職者向用人單位發送電子郵件投遞簡曆的��,可在後續麵試環節時�,書麵形式告知求職者收集�����、保存期限�����、如何使用個人信息並且用人單位將予以保密等為宜����,取得求職者同意。
用人單位通過招聘網站瀏覽獲取個人簡曆的�����,如可行�,盡量與招聘網站平台方在合作協議中要求其確認:網站平台方已經取得簡曆主體的同意�,上傳到該網站上的簡曆�,如未設置屏蔽功能的���,簡曆主體同意由企業方用戶瀏覽��、獲(huo)得(de)該(gai)等(deng)簡(jian)曆(li)以(yi)及(ji)其(qi)中(zhong)包(bao)含(han)的(de)個(ge)人(ren)信(xin)息(xi)。為(wei)了(le)進(jin)一(yi)步(bu)減(jian)少(shao)用(yong)人(ren)單(dan)位(wei)在(zai)獲(huo)取(qu)個(ge)人(ren)信(xin)息(xi)方(fang)麵(mian)的(de)風(feng)險(xian)�,在(zai)與(yu)個(ge)人(ren)求(qiu)職(zhi)者(zhe)有(you)後(hou)續(xu)接(jie)洽(qia)時(shi)��,以(yi)要(yao)求(qiu)個(ge)人(ren)求(qiu)職(zhi)者(zhe)另(ling)行(xing)發(fa)送(song)一(yi)份(fen)自(zi)己(ji)的(de)簡(jian)曆(li)到(dao)用(yong)人(ren)單(dan)位(wei)郵(you)箱(xiang)或(huo)者(zhe)在(zai)用(yong)人(ren)單(dan)位(wei)自(zi)己(ji)的(de)信(xin)息(xi)係(xi)統(tong)中(zhong)填(tian)寫(xie)��、上傳個人簡曆為宜。
同理����,在使用獵頭服務時��,從用人單位角度而言���,為避免及/huojiangdigerenxinxiheguifengxian����,xuyaojinhelinulipinggulietougongsiduihouxuanrengerenxinxibaohudenengli��,bingzailietoufuwuhetongzhongmingquegerenxinxibaohuwenti�,youlietougongsichengnuoqiyiqudehouxuanrendetongyijiangjianlidenggerenxinxitigonggeiyongrendanweiyongyuqiuzhimude。zaihouxuzhaopinmianshidengjieduan��,yiyaoqiuqiuzhizhetianxiejianyaodeshumianwenjian(簡曆信息登記表)���,並告知用人單為收集個人信息的目的��、範圍��、方式�、保存期限�、是否披露給其他第三方等��,由求職者簽名�����,取得求職者的明確同意。
明(ming)知(zhi)第(di)三(san)方(fang)主(zhu)體(ti)提(ti)供(gong)的(de)簡(jian)曆(li)個(ge)人(ren)信(xin)息(xi)來(lai)源(yuan)合(he)法(fa)性(xing)存(cun)疑(yi)����,用(yong)人(ren)單(dan)位(wei)應(ying)謹(jin)慎(shen)使(shi)用(yong)其(qi)信(xin)息(xi)資(zi)源(yuan)服(fu)務(wu)。明(ming)知(zhi)或(huo)應(ying)知(zhi)第(di)三(san)方(fang)主(zhu)體(ti)數(shu)據(ju)和(he)個(ge)人(ren)信(xin)息(xi)來(lai)源(yuan)可(ke)能(neng)有(you)問(wen)題(ti)�,但(dan)仍(reng)然(ran)使(shi)用(yong)該(gai)等(deng)第(di)三(san)方(fang)主(zhu)體(ti)提(ti)供(gong)的(de)簡(jian)曆(li)等(deng)個(ge)人(ren)信(xin)息(xi)����,符(fu)合(he)特(te)定(ding)情(qing)形(xing)�,有(you)可(ke)能(neng)被(bei)認(ren)定(ding)為(wei)非(fei)法(fa)獲(huo)取(qu)個(ge)人(ren)信(xin)息(xi)����,合(he)規(gui)風(feng)險(xian)大(da)。
3. 背景調查
用人單位開展盡職調查通常分為兩種方式�,一種是用人單位自行進行����,一種是用人單位委托其他主體(如獵頭公司���、第三方調查公司等)���,調查方式主要包括核實求職者提供的證書等材料��、通過依法公開的資源查詢以及通過向求職者提供的原工作單位聯係人詢問背景情況。背景調查階段的個人信息保護合規要點包括如下:
用人單位通過書麵告知書告知求職者基於核實相關資格資曆背景情況�����、作zuo為wei完wan成cheng後hou續xu錄lu用yong需xu完wan成cheng的de步bu驟zhou�����,需xu要yao求qiu職zhi者zhe提ti供gong相xiang關guan資zi格ge資zi曆li證zheng明ming���,可ke能neng收shou集ji求qiu職zhi者zhe包bao含han於yu前qian述shu材cai料liao中zhong的de個ge人ren信xin息xi����,以yi及ji使shi用yong該gai等deng個ge人ren信xin息xi的de範fan圍wei和he方fang式shi����,該gai等deng信xin息xi保bao存cun的de期qi限xian等deng��,確que保bao求qiu職zhi者zhe簽qian署shu以yi上shang告gao知zhi書shu�,明ming確que其qi同tong意yi向xiang用yong人ren單dan位wei提ti供gong畢bi業ye證zheng書shu�����、學位證書等以及前述文件證書中包括的個人信息。
如(ru)果(guo)用(yong)人(ren)單(dan)位(wei)委(wei)托(tuo)第(di)三(san)方(fang)進(jin)行(xing)背(bei)景(jing)調(tiao)查(zha)�����,一(yi)方(fang)麵(mian)需(xu)要(yao)取(qu)得(de)求(qiu)職(zhi)者(zhe)的(de)同(tong)意(yi)�,其(qi)個(ge)人(ren)信(xin)息(xi)將(jiang)為(wei)開(kai)展(zhan)盡(jin)職(zhi)調(tiao)查(zha)目(mu)的(de)提(ti)供(gong)給(gei)第(di)三(san)方(fang)�,並(bing)且(qie)第(di)三(san)方(fang)基(ji)於(yu)背(bei)景(jing)調(tiao)查(zha)可(ke)能(neng)獲(huo)取(qu)求(qiu)職(zhi)者(zhe)與(yu)評(ping)估(gu)其(qi)資(zi)格(ge)能(neng)力(li)相(xiang)關(guan)的(de)其(qi)他(ta)個(ge)人(ren)信(xin)息(xi)�,另(ling)一(yi)方(fang)麵(mian)需(xu)要(yao)評(ping)估(gu)第(di)三(san)方(fang)的(de)數(shu)據(ju)保(bao)護(hu)製(zhi)度(du)管(guan)理(li)及(ji)技(ji)術(shu)能(neng)力(li)�����,並(bing)通(tong)過(guo)委(wei)托(tuo)合(he)同(tong)劃(hua)分(fen)雙(shuang)方(fang)關(guan)於(yu)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)的(de)權(quan)利(li)義(yi)務(wu)和(he)責(ze)任(ren)�����,要(yao)求(qiu)第(di)三(san)方(fang)通(tong)過(guo)合(he)法(fa)途(tu)徑(jing)調(tiao)查(zha)求(qiu)職(zhi)者(zhe)背(bei)景(jing)信(xin)息(xi)��,保(bao)護(hu)好(hao)獲(huo)取(qu)的(de)個(ge)人(ren)信(xin)息(xi)����,約(yue)定(ding)第(di)三(san)方(fang)負(fu)有(you)保(bao)密(mi)義(yi)務(wu)並(bing)不(bu)得(de)將(jiang)獲(huo)取(qu)的(de)背(bei)景(jing)情(qing)況(kuang)(包括個人信息)提供給他人使用���,並約定第三方主體是否需要在委托合同履行完畢後一定期限內將個人信息去標識化或直接予以刪除。
4. 未入職候選人的簡曆可否予以保存
如果候選人最終入職����,按照勞動合同法的規定及勞動合同或單獨的個人數據采集�、使用協議或內部規章製度的規定���,用人單位收集��、存儲����、使用其個人信息。如果候選人最終未入職���,候選人的簡曆及個人信息如何處理����?
qiyeyingpingguyouwubaoliuweiruzhiqiuzhizhedejianlidenggerenxinxidebiyaoxing�����,ruwubiyao��,jianggaidenggerenxinxiyuyishanchu。ruguoxuyaobaocunweiruzhihouxuanrendejianlixinxi�����,xuyaomingquegaozhihouxuanrenqijianlijiangyuyibaocun�,jiyuhezhongmudeyuyibaocun���,baocundeqixian��,yongrendanweibaocunjianlidenggerenxinxijiangfuyouquebaoxinxianquanjibuweifapilugeidisanfangdengyiwu��,qudehouxuanrendemingquetongyi。qianshutongyidequde����,kezaitoudijianlihuomianshiqianyaoqiuhouxuanrendengruyongrendanweidexinxicaijixitongtianxiexiangguanjianlixinxi��,bingtongguoxitongdeshezhi���,youhouxuanrenliulanxiangguanyinsizhengcehuogerenxinxishoujishiyongguize����,binggouxuan“同意”信息被用人單位收集�、保存。
5. 網絡安全及數據保護崗位(JD確定�����、背景調查�����、保密承諾)
根據網絡安全法等法律法規及正在製定中的一些規章��、規範�����,一些企業有必要依法設置網絡安全及數據保護的管理機構及崗位(類似於歐盟《通用數據保護條例》(GDPR)規定的數據保護合規官DPO)。
用(yong)人(ren)單(dan)位(wei)需(xu)要(yao)根(gen)據(ju)法(fa)律(lv)法(fa)規(gui)等(deng)規(gui)範(fan)的(de)要(yao)求(qiu)��,依(yi)法(fa)合(he)規(gui)確(que)定(ding)網(wang)絡(luo)安(an)全(quan)及(ji)數(shu)據(ju)保(bao)護(hu)崗(gang)位(wei)的(de)職(zhi)位(wei)描(miao)述(shu)����,對(dui)在(zai)該(gai)崗(gang)位(wei)上(shang)工(gong)作(zuo)的(de)人(ren)員(yuan)進(jin)行(xing)入(ru)職(zhi)前(qian)的(de)背(bei)景(jing)調(tiao)查(zha)��,並(bing)與(yu)其(qi)簽(qian)署(shu)關(guan)於(yu)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)方(fang)麵(mian)的(de)保(bao)密(mi)協(xie)議(yi)��,對(dui)於(yu)個(ge)人(ren)信(xin)息(xi)的(de)保(bao)密(mi)義(yi)務(wu)不(bu)因(yin)未(wei)來(lai)勞(lao)動(dong)合(he)同(tong)關(guan)係(xi)的(de)解(jie)除(chu)或(huo)終(zhong)止(zhi)而(er)予(yu)以(yi)解(jie)除(chu)或(huo)終(zhong)止(zhi)。
實際上���,用人單位有必要審核並調整�、更新其與所有員工的保密協議�,如與員工簽署的保密協議(或勞動合同中納入的保密條款)沒有將個人信息作為保密信息����,則需要明確地將個人信息列為保密信息�����,要求員工對履行勞動合同過程中從用人單位�、用人單位關聯機構����、用人單位外部合作夥伴等獲得的其他自然人的個人信息�����,均應保密�,不得因履行勞動合同及其職責以外的原因使用�����、複製���、傳輸�、存儲或提供給任何第三方主體。
6. 人臉識別技術的運用
人臉識別將涉及采集個人的臉部及/或(huo)虹(hong)膜(mo)等(deng)個(ge)人(ren)敏(min)感(gan)信(xin)息(xi)�,因(yin)此(ci)需(xu)要(yao)按(an)照(zhao)國(guo)家(jia)相(xiang)關(guan)法(fa)律(lv)法(fa)規(gui)保(bao)護(hu)該(gai)等(deng)個(ge)人(ren)敏(min)感(gan)信(xin)息(xi)。用(yong)人(ren)單(dan)位(wei)如(ru)果(guo)采(cai)用(yong)人(ren)臉(lian)識(shi)別(bie)技(ji)術(shu)打(da)卡(ka)考(kao)勤(qin)���,或(huo)用(yong)於(yu)解(jie)鎖(suo)門(men)禁(jin)�,需(xu)要(yao)獲(huo)得(de)員(yuan)工(gong)因(yin)麵(mian)部(bu)��、虹膜等可能被收集的個人敏感信息予以明確��、明示的同意——需要員工簽署同意書�,或者通過內部IT係統告知員工時由員工自行勾選“同意”選項。
使用第三方提供的人臉識別軟件和設備設施的�����,還需要與第三方就個人敏感信息使用範圍���、權利義務責任劃分��、保密義務��、個人敏感信息保存期限以及業務合作終止時的刪除義務在合作協議中進行明確約定。
人臉識別技術的應用目前還存在爭議�,用人單位需要保持法律法規法律實踐方麵的關注。
7. IT係統�����、公司提供設備的使用與監控
企業用人單位�����,尤其是外資公司���,在內部IT係統��、公司提供設備的使用方麵���,往往適用其IT使用規則�����,或規定於員工手冊中���,或規定於單獨的內部IT使用規則中���,並采取必要的措施管理��、監控用人單位的IT係統���、公司提供的設備。用人單位需要在行使人事管理權的同時�����,注意避免侵犯員工的個人隱私���、保護員工的個人信息。
為滿足個人信息保護合規要求�,用人單位需要明確員工使用公司IT係統及公司所提供設備的使用方式��、範圍和界限����,在內部規章製度中明確規定用人單位的IT係統及所提供的相應設備用於工作用途���,員工不得將與履行勞動合同�����、開展用人單位業務無關的個人信息存儲在用人單位的IT係統及設備中�,並明確用人單位對IT係統及提供給員工使用的設備的權限——備份�、掃描�、檢查����、監控——為經營管理所需及調查相關員工可能存在的違紀行為時��,有權複製���、掃描����、檢查用人單位提供員工使用的電子郵件係統���、電腦�、手機及其他設備等��;員工私自存儲於IT係統及有關設備中的與工作無關的個人信息���,在用人單位掃描��、備份等時可能被用人單位收集。前述規章製度應通過民主方式通過並由員工簽收並確認同意受其約束。
8. 定位��、監測���、追蹤員工活動軌跡
涉及到監測員工行為(包括員工所持有的含定位�����、監測���、追蹤功能的公司手機�����、公司汽車等)數據的�,用人單位首先應評估其必要性����,收集這些信息是否為實現公司業務�����、員工管理所必須收集的信息——比如用人單位自己聘用的員工從事遞送業務����,需要實時定位員工所在處所����,預估完成遞送業務的時間並向客戶展示的��,此種定位����、檢(jian)測(ce)及(ji)追(zhui)蹤(zong)信(xin)息(xi)應(ying)該(gai)說(shuo)是(shi)符(fu)合(he)該(gai)用(yong)人(ren)單(dan)位(wei)日(ri)常(chang)經(jing)營(ying)需(xu)求(qiu)的(de)��,但(dan)用(yong)人(ren)單(dan)位(wei)應(ying)當(dang)取(qu)得(de)員(yuan)工(gong)的(de)明(ming)確(que)書(shu)麵(mian)同(tong)意(yi)。但(dan)�,用(yong)人(ren)單(dan)位(wei)不(bu)得(de)在(zai)員(yuan)工(gong)下(xia)班(ban)後(hou)對(dui)其(qi)定(ding)位(wei)���、監測和追蹤���,否則可能構成侵犯員工個人隱私以及個人敏感信息(涉及員工的行蹤軌跡)。
關於公司內部的監控視頻�����,以公司進出大門���、樓道等為宜�����,不宜對員工日常工作的區域進行監控���,特殊行業有特殊合規要求的除外。
9. 違紀調查
用yong人ren單dan位wei在zai對dui涉she嫌xian違wei紀ji的de員yuan工gong進jin行xing調tiao查zha時shi�����,往wang往wang會hui調tiao取qu員yuan工gong使shi用yong公gong司si郵you箱xiang的de來lai往wang電dian子zi郵you件jian及ji使shi用yong公gong司si設she備bei以yi及ji自zi其qi他ta外wai部bu主zhu體ti處chu的de相xiang關guan記ji錄lu或huo信xin息xi。如ru以yi上shang“IT係統��、公司提供設備的使用與監控”所述�����,用人單位應該IT係統及設備使用規則中明確�,基於內部合規調查�、員工違紀調查�����,用人單位有權複製�、調用���、使用這些信息。
如果前述郵件係統或公司設備以及非公開途徑獲得的相關信息/記錄含有被調查員工存儲的個人信息(如照片�、聊天記錄等)的��,用人單位應當予以保密��,並依法使用這些信息。
10. 兒童個人信息保護
《兒童個人信息網絡保護規定》設置了兒童個人信息保護的特別規定。盡管該規定似乎主要適用於麵向兒童提供服務(如線上培訓服務)的網絡經營者�����,但用人單位通過網絡收集����、存儲���、使用�����、轉移����、披露兒童個人信息等活動��,落入該規定的調整範圍。[2]
用人單位在員工福利待遇方麵��,如安排人力資源服務提供商贈送六一兒童節禮品�����、為員工的家庭成員包括子女購買商業保險等�,可能涉及采集���、傳輸����、使用員工小於14歲的子女個人信息�,遇此情形����,用人單位負有按照《兒童個人信息網絡保護規定》規定的義務��,以顯著���、清晰的方式告訴兒童監護人收集����、使用���、轉移��、披pi露lu兒er童tong個ge人ren信xin息xi並bing應ying當dang征zheng得de兒er童tong監jian護hu人ren的de同tong意yi��,應ying當dang采cai取qu加jia密mi等deng措cuo施shi存cun儲chu兒er童tong個ge人ren信xin息xi���,確que保bao信xin息xi安an全quan。將jiang兒er童tong個ge人ren信xin息xi提ti供gong給gei外wai部bu服fu務wu提ti供gong商shang的de�,應ying對dui其qi進jin行xing安an全quan評ping估gu。
jiyuyishang��,shoujiertonggerenxinxiqian�,yongrendanweixuyaopingguweishixianyuangongfulidaiyumude��,xuyaoshoujinaxieertongxinxi�����,anzhaozuishaohuayuanzequedingsuoxushoujideertongxinxi���,ranhouxuyaotongguoneibuyinsi/個人信息保護製度/公告等安排�����,告知作為監護人的員工收集��、使用���、轉移�����、披露兒童個人信息的目的����、範圍����、方式以及兒童信息將分享或傳輸給業務合作夥伴。
另一方麵���,用人單位需要與接收兒童信息的合作夥伴就兒童個人信息保護�、權利義務及責任劃分�、dangshoujishiyongertonggerenxinxidemudeshixianhuoshuangfangyewuhezuojiechuhuozhongzhishi�,jiangertonggerenxinxiyuyishanchu。ji�����,guanyuyuangongfuli���,renliziyuanfuwutigongshangyuyongrendanweideyewuhezuohetongxuyaogengxin����,huozhedandujiuertonggerenxinxibaohuzhuanmenqiandingxieyi。
11. 人力資源外包服務
在用人單位使用人力資源公司的外包服務(如工資發放���、個稅申報等)場景下�����,用人單位需要將員工個人信息提供給人力資源外包服務提供方。用人單位需要核實合作夥伴的數據合規能力(技術安全措施及數據保護合規製度)����,yewuhezuohetongzhongxuyaomingqueshuangfangguanyulaodongzhegerenxinxibaohudequanliyiwuhezeren����,yewuhezuowanchenghuotiqianjiechuqingkuangxiahuozheyuangonglizhiqingkuangxia��,yuangongdegerenxinxibaocunqixianyijiqixianjiemanruhechuliyuangongdegerenxinxi(是否去標識化或匿名化)。
12. 員工個人信息的存儲和出境
(1) 關鍵信息基礎設施領域企業的個人信息存儲和出境
在信息化時代����,用人單位通常將員工信息存儲在自己的內部計算機係統��,或者使用第三方提供的信息係統及/或huo服fu務wu存cun儲chu。根gen據ju網wang絡luo安an全quan法fa的de規gui定ding���,屬shu於yu關guan鍵jian信xin息xi基ji礎chu設she施shi行xing業ye的de網wang絡luo經jing營ying者zhe在zai境jing內nei運yun營ying中zhong收shou集ji和he產chan生sheng的de個ge人ren信xin息xi和he重zhong要yao數shu據ju應ying當dang在zai境jing內nei存cun儲chu。因yin業ye務wu需xu要yao����,確que需xu向xiang境jing外wai提ti供gong的de��,應ying當dang按an照zhao國guo家jia網wang信xin部bu門men會hui同tong國guo務wu院yuan有you關guan部bu門men製zhi定ding的de辦ban法fa進jin行xing安an全quan評ping估gu。因yin此ci�����,如ru果guo用yong人ren單dan位wei屬shu於yu關guan鍵jian信xin息xi基ji礎chu設she施shi領ling域yu企qi業ye��,員yuan工gong信xin息xi應ying當dang存cun儲chu在zai境jing內nei��,如ru果guo涉she及ji向xiang境jing外wai關guan聯lian機ji構gou提ti供gong����,應ying當dang進jin行xing安an全quan評ping估gu。
(2) 非關鍵信息基礎設施行業的用人單位所涉員工信息存儲及出境要求
網絡安全法沒有涉及非關鍵信息基礎設施領域的網絡經營者收集的個人信息存儲和出境的要求。根據《信息安全技術 個人信息安全規範》(GB/T 35273-2017�����,以下簡稱“《個人信息安全規範》”)規(gui)定(ding)����,在(zai)中(zhong)華(hua)人(ren)民(min)共(gong)和(he)國(guo)境(jing)內(nei)運(yun)營(ying)中(zhong)收(shou)集(ji)和(he)產(chan)生(sheng)的(de)個(ge)人(ren)信(xin)息(xi)向(xiang)境(jing)外(wai)提(ti)供(gong)的(de)���,個(ge)人(ren)信(xin)息(xi)控(kong)製(zhi)者(zhe)應(ying)當(dang)按(an)照(zhao)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)會(hui)同(tong)國(guo)務(wu)院(yuan)有(you)關(guan)部(bu)門(men)製(zhi)定(ding)的(de)辦(ban)法(fa)和(he)相(xiang)關(guan)標(biao)準(zhun)進(jin)行(xing)安(an)全(quan)評(ping)估(gu)��,並(bing)符(fu)合(he)其(qi)要(yao)求(qiu)。目(mu)前(qian)《個人信息安全規範》尚處於修訂中�,征求意見稿中將個人信息出境條款更改為:個人信息控製者應符合國家網信部門會同國務院有關部門製定的辦法和相關標準的要求[3]。
目前數據合規和個人信息保護相關規定“日新月異”����,用人單位亟待密切關注法律法規���、規章�、國家規範等在這方麵的更新���,以便適時作出相應調整。
(3) 厘清何謂“向境外提供”個人信息界限
法律法規沒有明確界定何為“向境外提供”個人信息。但���,顯而易見��,如果將個人信息發送給境外主體屬於“向境外提供”。實踐中�,以將允許境外主體訪問存儲於境內的個人信息納入向境外提供個人信息範疇為宜。
13. 共享或訪問境外關聯機構人力資源信息
在國外設立分支機構的中資企業��,或者總部在國外的境內外資企業����,如果人力資源管理中涉及調用����、訪(fang)問(wen)或(huo)與(yu)境(jing)外(wai)關(guan)聯(lian)機(ji)構(gou)共(gong)享(xiang)人(ren)力(li)資(zi)源(yuan)信(xin)息(xi)����,有(you)必(bi)要(yao)梳(shu)理(li)境(jing)外(wai)及(ji)國(guo)內(nei)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)合(he)規(gui)要(yao)求(qiu)��,評(ping)估(gu)具(ju)體(ti)的(de)數(shu)據(ju)需(xu)求(qiu)�����,就(jiu)跨(kua)境(jing)員(yuan)工(gong)信(xin)息(xi)訪(fang)問(wen)�、共(gong)享(xiang)製(zhi)定(ding)相(xiang)應(ying)的(de)管(guan)理(li)製(zhi)度(du)並(bing)有(you)效(xiao)執(zhi)行(xing)�����,確(que)保(bao)同(tong)時(shi)符(fu)合(he)境(jing)內(nei)和(he)境(jing)外(wai)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)合(he)規(gui)要(yao)求(qiu)。例(li)如(ru)���,共(gong)享(xiang)或(huo)訪(fang)問(wen)位(wei)於(yu)歐(ou)盟(meng)區(qu)的(de)關(guan)聯(lian)機(ji)構(gou)員(yuan)工(gong)信(xin)息(xi)����,應(ying)確(que)保(bao)已(yi)通(tong)過(guo)合(he)理(li)途(tu)徑(jing)告(gao)知(zhi)被(bei)收(shou)集(ji)個(ge)人(ren)數(shu)據(ju)的(de)歐(ou)盟(meng)境(jing)內(nei)人(ren)員(yuan)並(bing)取(qu)得(de)其(qi)明(ming)確(que)同(tong)意(yi)���,符(fu)合(he)歐(ou)盟(meng)《通用數據保護條例》的合規要求。
14. 離職員工信息管理
離職員工的信息需要保存的期限�����,是用人單位人力資源管理中應關注的一個方麵。根據《中華人民共和國勞動合同法》deguiding�,yongrendanweiduiyijingjiechuhuozhezhongzhidelaodonghetongdewenben�,zhishaobaocunernianbeizha。ernianzhihoune�����?chufeiguojiaqitafalvfaguilingyoubaoguanqixiandeyaoqiu(如符合《會計檔案管理辦法》情形的�����,遵照該規定執行)�,用人單位需要考慮離職員工的個人信息是否予以分類並單獨存儲���、去標識化���、匿名化或在滿足相關法律規定條件下予以刪除。
15. 並購重組
企qi業ye並bing購gou重zhong組zu過guo程cheng中zhong涉she及ji到dao勞lao動dong人ren事shi方fang麵mian的de盡jin職zhi調tiao查zha����,為wei盡jin職zhi調tiao查zha及ji後hou續xu交jiao易yi之zhi目mu的de�,企qi業ye現xian有you員yuan工gong甚shen至zhi部bu分fen離li職zhi員yuan工gong的de個ge人ren信xin息xi等deng需xu要yao提ti供gong給gei收shou購gou方fang及ji其qi委wei托tuo的de中zhong介jie機ji構gou。因yin此ci���,用yong人ren單dan位wei需xu要yao事shi先xian取qu得de員yuan工gong的de同tong意yi����,基ji於yu企qi業ye並bing購gou目mu的de���,員yuan工gong個ge人ren信xin息xi可ke能neng會hui提ti供gong給gei潛qian在zai並bing購gou買mai方fang����,並bing列lie明ming需xu要yao提ti供gong的de信xin息xi範fan圍wei。
binggouqianqijieduandejinzhitiaozha���,benshenduiyujiaoyigefangeryanshuyubaomishixiang����,jinzhitiaozhabingbuxiangmubiaogongsisuoyouyuangongpilu���,mubiaogongsizuihaozaiyuangongruzhizhichuqianshulaodonghetongshiyuedinghuozaiqineibuguizhangzhiduzhongtianjiayongrendanweixuyaojiangyuangonggerenxinxitigonggeitarendechangjing/範圍����,取得員工的明確同意。
同時��,需要在與並購交易買方簽署的保密協議或相應文件中�,就提供的個人信息的目的����、保存期限�、使用及處理方式���、並bing購gou最zui終zhong未wei完wan成cheng情qing形xing下xia����,並bing購gou買mai方fang獲huo得de的de個ge人ren信xin息xi如ru何he處chu理li�,是shi否fou去qu標biao識shi化hua還hai是shi予yu以yi刪shan除chu作zuo出chu約yue定ding。目mu標biao公gong司si對dui於yu並bing購gou盡jin職zhi調tiao查zha及ji交jiao易yi安an排pai而er言yan不bu是shi必bi須xu提ti供gong的de個ge人ren信xin息xi�����,不bu予yu以yi提ti供gong�,能neng夠gou去qu標biao識shi化hua或huo匿ni名ming化hua的de信xin息xi����,盡jin量liang去qu標biao識shi化hua或huo匿ni名ming化hua後hou再zai提ti供gong給gei並bing購gou交jiao易yi買mai方fang。
16. 人力資源部門工作人員應滿足新要求
企業內部人力資源管理中�����,出於對員工個人信息的保護�,以限定不同崗位����、不同職級人力資源管理工作人員接觸個人信息����、個人敏感信息的權限為宜。日常工作中���,使用個人信息以必要��、最低限度為宜。含有個人信息�,尤其是敏感個人信息的文件應妥善保管。
以上���,用人單位有必要結合人力資源管理過程中所涉及的個人信息收集���、存儲����、使用��、傳輸����、共享等場景���,將個人信息保護的合規要求融入到人力資源管理過程中�,勞動合同及/或保密協議���、員工手冊等內部規章製度���、業務合作夥伴合作協議需要根據數據合規和個人信息保護的規定予以更新。同時���,關注個人信息保護方麵立法新進展���,適時調整�、優化內部合規管理���,減少合規風險。
[1] 根據《中華人民共和國網絡安全法》����,網絡運營者指網絡的所有者��、管理者和網絡服務提供者。
[2] 《兒童個人信息網絡保護規定》第三條。
[3] 《個人信息出境安全評估辦法(征求意見稿)》規gui定ding�,網wang絡luo運yun營ying者zhe向xiang境jing外wai提ti供gong在zai中zhong華hua人ren民min共gong和he國guo境jing內nei運yun營ying中zhong收shou集ji的de個ge人ren信xin息xi����,應ying當dang按an照zhao該gai辦ban法fa進jin行xing安an全quan評ping估gu。經jing安an全quan評ping估gu認ren定ding個ge人ren信xin息xi出chu境jing可ke能neng影ying響xiang國guo家jia安an全quan���、損害公共利益��,或者難以有效保障個人信息安全的���,不得出境
