【引言】
随着我国首部针对个人信息保护的专门性立法《中华人民共和国个人信息保护法》(下称“《个信法》”)的出台,无论是个人还是企业,对于个人信息保护的意识均被提到了前所未有的高度。在企业制定自身个人信息保护政策,建设个人信息保护合规体系时,针对客户、用户或消费者等外部主体的个人信息保护至关重要,但同时也要予以内部员工的个人信息保护充分关注。
由于员工个人信息的处理贯穿企业用工管理的全流程,涉及企业生产经营的多个环节,员工个人信息保护在实务中尤为关键,涉及内容也较为复杂,是企业建立全面、完善的个人信息保护和数据安全合规体系的重要部分。此外,当前中国企业在处理个人信息时,严格遵循个人信息保护及数据安全相关法律法规的规定已经成为普遍共识。对于母公司在境外的跨国企业来说,由于其用工管理的过程中必然会有境外实体的参与,其处理个人信息的场景及涉及的监管更为复杂,因此需要更加重视。
本文将重点探讨企业用工管理的典型场景之一——进行背景调查过程中涉及的与拟入职员工个人信息处理活动相关的问题。
一
背景调查过程中涉及的个人信息类型
《个信法》没有细化罗列具体的个人信息种类,而是采取了抽象概况的方式规定个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。但《个信法》第二十八条对敏感个人信息进行了界定。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息,但不包括匿名化处理后的信息。
通常来说,企业在背景调查过程中处理的个人信息包括姓名、身份证号、性别、出生年月、学历、工作经历、家庭住址、个人技能、教育背景、某些行业的执业资格、资历等信息,还可能涉及其家庭成员的相关信息。其中,身份证号、家庭住址属于敏感个人信息。
二
背景调查过程中处理个人信息的基本原则以及合法性基础
(一) 企业处理个人信息的基本原则
在《个信法》项下,个人信息的处理活动包括“收集、存储、使用、加工、传输、提供、公开、删除等”。企业在背景调查过程中处理拟入职员工的个人信息时,作为个人信息处理者,必须遵守《个信法》及相关法律法规及监管的要求,合法、合规进行处理活动。
在《个信法》项下,企业在处理拟入职员工个人信息时应当始终遵循以下处理个人信息的基本原则:
应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息(第五条);
应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式(第六条);
应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围(第七条);
应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响(第八条);
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全(第九条)。
就收集行为而言,《个信法》第六条第二款明确规定,“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”一般而言,企业对拟入职员工进行背景调查的目的是了解拟入职员工此前工作的岗位、工作内容、表现等,并确认其是否存在虚假经历,更好地了解拟入职员工,以判断其是否适合拟聘用的岗位。因此,企业在对拟入职员工进行背景调查而收集相关个人信息时,应当把握上述原则,确保背景调查过程中收集个人信息的行为具有与了解其是否适配空缺岗位、是否存在作假的经历等目的直接相关的目的。
(二) 企业处理个人信息的合法性基础
《个信法》项下,“取得个人同意”常被认为是处理个人信息合法性基础的核心。但是《个信法》第十三条第(二)至(七)项规定了六种可以不需取得个人同意处理其个人信息的豁免情形。根据《个信法》第十三条第(二)项,符合“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的情形时,个人信息处理者处理个人信息不需取得个人同意(下称“豁免情形”)。这也是与用工管理联系最紧密的一种豁免情形。企业处理员工个人信息的特殊之处在于,企业作为用人单位,在基于前述法律许可的适用条件得到满足的情形下,可以不需取得个人同意。
类似的规定在地方立法中也有得到体现。如《深圳经济特区数据条例》第二十一条规定:“处理个人数据有下列情形之一的,可以在处理前不征得自然人的同意:……(三)数据处理者因人力资源管理、商业秘密保护所必需,在合理范围内处理其员工个人数据……”
一般而言,背景调查是发生在拟入职员工正式签署劳动合同前,“按照依法制定的劳动规章制度和依法签订的集体合同”的人力资源管理基础尚未形成,该豁免情形是否也可以适用于拟入职员工,可能存在一定争议。但进行背景调查处理拟入职员工的个人信息可以解释为“为订立、履行个人作为一方当事人的合同所必需”。这里的合同也应包括“劳动合同”。而企业作为用人单位,有权要求签订劳动合同的拟入职员工提供与劳动合同直接相关的个人信息。《劳动合同法》第八条规定,“用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”《劳动合同法》第十七条规定,“劳动合同应当具备以下条款:……劳动者的姓名、住址和居民身份证或者其他有效身份证件号码”。
因此,我们倾向于认为,就与劳动合同条款直接相关的个人信息,企业可以援引《劳动合同法》及豁免情形从而无需拟入职员工的同意。但企业在开展应聘者背调的过程中,往往为了更全面地了解应聘人员,需要超出“和劳动合同直接相关”的范围去处理应聘者的个人信息,因此建议企业还是获取拟入职员工对处理该类个人信息的授权同意书。
(三) 企业适用豁免情形能够突破单独同意的规定
除上述合法性基础外,在以下情形下处理个人信息,《个信法》设置了“单独同意”的要求:
个人信息处理者向其他个人信息处理者提供个人信息(第二十三条);
个人信息处理者公开其处理的个人信息(第二十五条);
个人信息处理者将公开场所收集的个人信息用于维护公共安全以外的其他目的(第二十六条);
处理敏感个人信息(第二十九条);
个人信息处理者向境外提供个人信息(第三十九条)。
豁免情形能否同样适用于上述需要个人单独同意的场景也是目前企业在处理员工个人信息时较为关心的问题。就“豁免情形”能够突破单独同意的规定,目前仍存在较大争议。有观点认为“单独同意”是相对于《个信法》第十三条第(一)项“同意”的概念,而《个信法》设置单独同意的目的,就是要区别于《个信法》第十三条的“同意”。若存在上述需要单独同意的情形,企业应当就其处理目的、行为等单独向拟入职员工个人告知并取得同意,而无法直接适用“豁免情形”。
然而,就“单独同意”的具体形式,还有待国家立法机关出台细则具体进行明确。在更为清晰的指引或规则出台之前,出于谨慎考虑,建议企业就进行背景调查与拟入职员工单独书面签订个人信息处理同意书或其他书面、电子形式的单独同意函。
(四) 企业处理个人信息的告知义务
除前述“同意”及豁免情形的要求外,“告知”是个人信息处理规则核心内容的另一个方面。根据《个信法》第十七条的规定,企业在处理拟入职个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向拟入职员工告知下列事项:
个人信息处理者的名称或者姓名和联系方式;
个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
个人行使本法规定权利的方式和程序;
法律、行政法规规定应当告知的其他事项。
三
背景调查过程中企业的其他具体合规义务
(一) 处理敏感个人信息的合规义务
如前所述,企业在背景调查过程中可能处理身份证号、家庭住址等敏感个人信息。正是由于不当处理敏感个人信息更容易给个人造成人身或财产安全的危害,所以《个信法》第二章第二节专门规定了敏感个人信息的处理规则,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。” 处理拟入职员工敏感个人信息时,企业需要遵守以下规则:
处理敏感个人信息必须具有特定的目的和充分的必要性(第二十八条);
取得个人的单独同意(第二十九条;见上文);
除《个信法》第十七条规定的告知内容外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照《个信法》规定可以不向个人告知的除外(第三十条);
在处理敏感个人信息前进行个人信息保护影响评估,并对处理情况进行记录(第五十五、五十六条);
采取严格保护措施(第二十八条)。
虽然《个信法》并未规定具体的严格保护措施的标准,参考《个人信息安全规范》的相关规定,背调过程中处理敏感个人信息时相关的严格保护措施包括在传输和存储敏感信息时采用加密等安全措施等。
(二) 存储拟入职员工个人信息时的合规义务
1. 存储的期限
首先,《个信法》第十九条规定,存储个人信息要遵循必要性的原则,“除法律、行政法规另有规定的外,个人信息的保存期限应当为实现处理目的所必要的最短时间”。然而,如何界定“实现处理目的所必要的最短时间”以及法律法规另有规定的情形包括哪些,也是目前实务中需要考虑的难点。
我们理解,对于最后成功入职成为正式员工的候选人而言,存储期限的必要性较为容易满足。但是对于未能正式入职的候选人而言,存储期限是一个在实务中可能会被挑战的问题。原因在于《个信法》第四十七条规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。”
因此,未能正式入职的候选人可能会向公司提出要求删除其个人信息的请求,而公司也较难找到比较充分的必要性基础,在这种情况下,可能需要尊重其作为个人信息主体的权利,采取相应的措施删除其个人信息。若从技术上难以实现删除的,根据《个信法》第四十七条的规定,“应当停止除存储和采取必要的安全保护措施之外的处理。”
2. 存储的地点
关于拟入职员工个人信息存储的具体地点,《个信法》第四十条仅对“关键信息基础设施运营者”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”明确提出了必须在境内存储的要求。
关键信息基础设施运营者:
《关键信息基础设施安全保护条例》第二条规定:“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
处理个人信息达到国家网信部门规定数量的个人信息处理者:
关于“处理个人信息达到国家网信部门规定的数量”的具体标准,目前尚无生效的个人信息或数据出境评估实施细则、相关的规范性文件或国家标准。根据网信办2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》第四条:“数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。……(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息……”根据前述内容,有两条涉及处理个人信息数量的指标可以作为参考,即(1)处理个人信息达到一百万人;或(2)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。
因此,如果一家跨国企业涉及关键信息基础设施相关行业,或其处理的个人信息达到日后生效的国家网信部门相关规定的标准,则必须在中国境内设立IT服务器以存储其在境内收集和产生的个人信息和重要数据,包括境内收集的拟入职员工的个人信息。但这并不意味着不构成上述主体的企业在境外存储个人信息是一件轻松的事情,因为只要涉及在境外存储个人信息,就会涉及个人信息跨境传输的问题,请见下文分析。
(三) 企业将境内拟入职员工个人信息进行跨境传输时的合规义务
据了解,目前中国国内的跨国企业员工个人信息存储主要有两种模式:一种是中国境内设置IT服务器,将中国个人信息相关数据存储于位于中国境内的IT服务器上;另一种模式是IT服务器设在境外的母公司或总部所在地,中国的子公司使用统一的人力资源管理系统,在国内收集到的拟入职员工的个人信息也将存储于位于境外的服务器上。
目前国内有关个人信息保护的相关规定并未明确要求跨国企业必须在中国境内设立IT服务器以存储个人信息。但大多数跨国企业因为网络构架的问题,对于个人信息的存储通常会选择将IT服务器设在境外的母公司或总部所在地。前述情形都会构成个人信息跨境传输。而出于境外总部统一用工管理的需要,境内拟入职员工个人信息的跨境传输是不可避免的。对于跨境传输活动是否涉及侵犯个人信息保护的相关法律法规,也是企业最为关心的问题之一。
《个信法》第三章专门为个人信息跨境传输设定了一系列要求与义务:
法定条件:
根据《个信法》第三十八条的规定,企业因业务等需要,确需向境外提供个人信息的,应当具备四个条件之一:
- 依照本法第四十条的规定通过国家网信部门组织的安全评估[1];
- 按照国家网信部门的规定经专业机构进行个人信息保护认证;
- 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
- 法律、行政法规或者国家网信部门规定的其他条件。
额外告知义务及获取单独同意的义务:
根据《个信法》第三十九条规定,在拟入职员工的个人信息出境前,企业还应向拟入职员工告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及拟入职员工向境外接收方行使《个信法》规定权利的方式和程序等事项。并且,还应取得拟入职员工个人的单独同意(见上文)。
设立专门机构或者指定代表,负责处理个人信息保护事务的义务:
根据《个信法》第五十三条,若境外的个人信息处理者为分析、评估境内自然人的行为而进行个人信息处理活动,应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
个人信息保护影响评估的义务:
根据《个信法》第五十五条第(四)项,向境外提供个人信息的企业应当事前进行个人信息保护影响评估,并对处理情况进行记录。
综上,我们理解,对于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的企业而言,确需向境外提供拟入职员工个人信息的,必须通过网信部门的安全评估。对于一般的跨国企业而言,与境外接收方签订网信部门制定的标准合同以向境外提供个人信息是一种相对更加便捷的方式。然而,跨境数据传输标准合同文本还在制定中,尚未出台。因此,我们建议持续关注网信部门对《个信法》配套文件的制定情况。个人信息出境面临一系列的严格监管要求,因此我们建议尽量在境内完成用工管理相关的处理活动或简化向境外提供的个人信息。
(四) 企业向第三方共享及提供拟入职员工个人信息的合规义务
在企业自主调查无法满足需求的情况下,可能会选择委托第三方背景调查机构进行背景调查工作。这将涉及企业向第三方机构共享及提供拟入职员工个人信息的情形,以及第三方机构向企业共享及提供拟入职员工个人信息的情形。
从《个信法》的条文本身来看,涉及向第三方共享及提供个人信息的具体情形有两种:(1)委托第三方处理个人信息(第二十一条)以及(2)向其他个人信息处理者提供个人信息(第二十三条)。不同情形下,相关主体的义务不完全相同:
值得注意的是,不同于向其他个人信息处理者提供个人信息,对委托处理是否需要获得个人信息主体的单独同意,《个信法》未明确规定。然而,在实务中,上述两种情形的界限较为模糊,非常难以区分。根据《个信法》对于“个人信息处理者”[2]的定义及相关的义务解读,在判断不同主体在涉及向第三方共享及提供个人信息的具体情形中相应的责任和义务,可能需要综合考虑第三方机构在个人信息处理过程中的决定权、具体的个人信息处理活动的性质及处理方式等。
在企业向第三方机构共享及提供拟入职员工个人信息的情形下,由于第三方机构主要受企业的指示进行个人信息的处理活动,并且处理的都是较为基本的个人信息,我们倾向于认为这属于委托处理个人信息的情形,那么企业就应当与受委托机构签订委托合同,约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并且对受委托机构的个人信息处理活动进行监督。出于合规的考虑,我们还是建议企业在委托第三方调查机构时充分告知拟入职员工并获取其同意。
在第三方机构向企业共享及提供其收集的拟入职员工个人信息的情形下,由于企业在这个过程中可以自主决定如何进行后续的处理活动,我们倾向于认为这属于第三方机构向企业提供个人信息的情形,第三方机构需要获得拟入职员工个人的单独同意。而企业作为接收方应当在拟入职员工同意的处理目的、处理方式和个人信息的种类等范围内处理其个人信息。若企业后续变更了原先同意的处理目的、处理方式等,应当重新取得拟入职员工的同意。
根据《个信法》第二十条的规定,“个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。”在何种情形下企业与第三方调查机构可能构成共同处理拟入职员工的个人信息,目前有待司法实践的进一步明确。出于控制个人信息违法风险的考虑,我们建议企业在委托第三方调查机构进行背景调查时,首先需要审慎挑选合法合规的调查公司,在双方的委托合同中明确约定第三方调查机构的合规义务,履行好监督其处理个人信息活动的职责,并要求其获得拟入职员工关于对外提供其个人信息的单独同意。
备注:
[1] 《个人信息保护法》第四十条:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组对于织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
[2] 《个人信息保护法》第七十三条:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”
京公网安备 11010502041527号