石先广
大数据时代,信息、数据已经成为热点话题。对微观个体而言,个人信息和个体利益密切相关;对宏观整体而言,众多个人信息汇集在一起涉及国家安全。因此,个人信息保护的立法、执法、司法工作成为各国重点关注事项。
自《个人信息保护法》2021年11月1日正式施行以来,笔者接到了很多关于员工关系管理中的个人信息保护方面的咨询,为此笔者还专门开发了实务类课程,开始为一些企业提供与《个人信息保护法》相关的人力资源管理文本梳理、修订、完善的专项服务。结合近期的工作和思考,笔者现将这些问题较为全面地梳理成文,以期对HR的工作有所帮助和启发。
这是很多HR关注的前提问题,如果这部法律和人力资源管理无关,HR自然不用花时间和心思学习它;如果这部法律和人力资源管理有关,HR才需要了解和学习它。
根据《个人信息保护法》第七十三条,个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。显然,《个人信息保护法》保护的对象是自然人的个人信息,规制对象是处理自然人个人信息的主体。顺着这个思路往下分析,谁会是处理自然人的个人信息的主体呢?大概有以下几类:公共事务管理者、服务提供者、人力资源管理者、其他涉及处理个人信息者。所以,因用人单位在劳动关系管理中必然会涉及自主决定处理员工个人信息的目的和方式,用人单位对内员工关系管理,也属于法律规定的个人信息处理者。
从以上分析来看,人力资源管理属于这部法律规制的对象。所以,这就决定了HR在今后的工作中要和这部法律经常打交道。
这是HR要了解的基本问题,即在日常管理中要能识别哪些属于员工的个人信息。对此,《个人信息保护法》第四条对个人信息有明确的界定,明确了个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。与《民法典》对个人信息采取具体列举式的定义不同,《个人信息保护法》采取抽象化概况式的定义(如图1)。
结合以上两部法律规定可知,一项信息是否构成个人信息,关键看该项信息是否具有“识别性”。从《民法典》的列举来看,HR在员工关系管理的各个环节都会涉及大量的员工个人信息(如图2)。
需要注意的是,《个人信息保护法》在第二章第二节专门规定了敏感个人信息的处理规定。《个人信息保护法》第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
除法律对此有一定的列举外,我国的《信息安全技术个人信息安全规范》(GB/T 35273—2020)对敏感个人信息还有更为具体的列举(如图3)。
从以上列举来看,在员工关系管理中,用人单位会接触到员工大量的敏感个人信息,如指纹、人脸识别信息、健康信息、银行账号甚至行踪信息等。
随着社会的进步,大家对个人信息、隐私越来越看重,那么个人信息、敏感个人信息、隐私之间是什么关系呢?从时间轴来看,在个人信息这个概念没有出现之前,司法裁判中对涉及个人信息的保护一般归类为隐私范畴,并按隐私权的相关规定进行保护。因为,按照隐私权的定义,私密信息属于隐私保护的范畴。
《民法典》第一千零三十二条规定,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
在个人信息权益未被法律保护前,只有个人信息中的私密个人信息才能获得隐私权保护。如今,“个人信息”的出现,并上升为法律规定的权益。正如《个人信息保护法》第二条所述,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
其实,《民法典》中也有个人信息权益受保护的规定(《民法典》第一千零三十四条:个人信息中的私密信息,适用有关隐私权的规定;沒有规定的,适用有关个人信息保护的规定)。这样,个人信息权益就进入“隐私权”和“个人信息权益”的二元保护时代。
由此可见,个人信息权益受损害,涉及个人私密信息的,可以适用隐私权的规定进行救济;不涉及个人私密信息的,可以用个人信息权益进行托底保护。值得思考的是,“私密信息”是否等于“敏感个人信息”,这个问题还有待进一步研究。
《个人信息保护法》第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。相对于《民法典》,《个人信息保护法》在列举个人信息处理的具体环节时又增加了“删除”(如图4)。
从以上规定来看,用人单位在员工关系管理中,处理员工个人信息也贯穿用工管理的全过程,如入职让员工填写相关信息,将员工个人信息提供给出资方、关联方或合作方,登报送达相关通知会涉及公开员工的个人信息等都属于处理个人信息的范畴。