个人信息保护实务

李伟

最近，一款软件登上了热搜榜，引起了很多人的注意。這是一款号称“能监控员工离职倾向”的行为感知系统，据网友爆料，该系统可以通过监控员工的上网行为，获取其浏览招聘网站和投送简历等短期行为偏好，以此判别员工是否具有离职倾向。

不久，知乎回应了网上称其使用了该系统的传闻，声明中提到了“违规收集个人信息”的行为严重背离知乎的价值观。作为普通个体，我们看到这类软件的第一反应是或许会很反感，会想到个人隐私受到侵犯；而作为用人单位，看到这类软件可能更多地应该要去反思：企业该如何依法保护员工的个人信息。

近年来，媒体报道的国际上因忽视员工信息保护而被罚的企业不少。

2020年10月，据英国广播公司报道，知名瑞典服装公司H&M因非法监视数百名员工而被罚款3530万欧元。据称，这是欧盟《通用数据保护条例》（GDPR）史上第二大罚单。

2021年1月，据《南方都市报》消息，德国知名电商巨头Notebooksbilliger.de AG因在无合法依据的情况下视频监控员工，被处罚1040万欧元。

2021年6月，根据《环球时报》综合报道，法国法院作出终审判决，宣布法国宜家非法收集、储存员工资料罪名成立，对其处以100万欧元罚款。

视线回到国内，虽然《个人信息保护法》才刚刚实施，国内尚无类似的因非法处理员工个人信息而被处罚的案例，但自从我国将个人信息纳入刑法保护的法益范围时起，与个人信息保护的有关案例还是有的。例如，2017年5月兰州市中级人民法院宣判的雀巢（中国）有限公司旗下员工非法获取公民个人信息案（详见〔2021〕京03民终106号判决）。

那么，对于员工个人信息保护，《个人信息保护法》之后，用人单位需要做到哪些呢？如有违反，罚则又是如何？根据《个人信息保护法》的有关规定，用人单位在处理员工个人信息时，需要做的，概括下来就是：

第一，需遵循包括合法、正当、必要和诚信原则在内的所有个人信息处理原则。

第二，应当以显著方式、清晰易懂的语言真实、准确、完整地向员工告知有关法定事项。

第三，需要在充分知情的前提下，员工自愿、明确表示同意用人单位对相关个人信息进行处理，用人单位才可以对其个人信息进行处理。当然，不需要员工同意的有关场景除外。

第四，处理员工敏感个人信息、向第三方提供员工个人信息、跨境提供员工个人信息等情形下，需依法告知特定事项，并取得员工的单独同意。

第五，保护员工个人信息相关的权利，履行个人信息处理者相关法定义务。

《个人信息保护法》规定了很多相应的罚则，根据情节，用人单位将可能会被责令改正、警告、罚款、停业、影响征信、赔偿损失、治安处罚、刑事处罚。此外，《个人信息保护法》还借鉴了欧盟GDPR的规定，罚款可能会按照营业额的百分比罚，这是很容易让用人单位感到疼的数额。

从《个人信息保护法》出台伊始，很多人就意识到用人单位劳动用工的整个过程，都将伴随着员工个人信息的处理。因此，大家也都很重视这个问题。但笔者发现，现在很多用人单位操作依然存在着不少问题，囿于篇幅，本文只就其中两个比较容易被忽视的问题进行阐述：

●告知事项流于形式

在《个人信息保护法》出台后，一波普法宣传让大家初步意识到了，对于个人信息处理需遵循“告知+同意”这一核心规则。

笔者在处理有关咨询时，虽然不少用人单位采取了相应的应对措施，但很多应对措施只是让员工签收一份简单的《授权书》或者《同意书》，内容大致就是授权同意公司在任何情形下处理自己的个人信息。详细一些的，会概括性提及场景有哪些，个人信息包含哪些，但是都不会具体列举各个场景对应的处理目的、处理方式和具体的个人信息种类，更不会提到存储期限。

不少人认为，员工既然已经概括性授权同意了，就包含了所有的情形、信息了，也就符合了《个人信息保护法》的要求。但是，《个人信息保护法》要求的是“应当以显著方式、清晰易懂的语言真实、准确、完整地向员工告知有关法定事项”，上述做法显然不符合法律的这一要求。而在未充分告知的情况下所获得的同意，也是不符合法律要求的。

●管理理念相对滞后

目前对于《个人信息保护法》比较重视的，在很多用人单位还只是局限于人力资源管理部门和一些接触到消费者个人信息的部门，其他大多数用人部门还没有意识到《个人信息保护法》对于用人单位管理工作的影响。一直以来，由于“家长式管理”“官本位思想”的影响，很多用人单位的中层管理人员对于员工个人信息保护并没有很强的意识，过度处理个人信息的情况在管理实践中比较普遍。

前不久，笔者曾经接到电话咨询，某公司要处理一个员工，理由是该员工利用职务之便，私下承揽业务谋取高额利润。这是一种很严重的违规行为，原则上法律不保护这类行为，所以处理起来风险并不会很大。但是，这件事的处理难点在于，之所以发现员工这一行为，是因为他的直接主管未经员工本人和公司同意，擅自登录员工的办公邮箱，查看员工往来邮件后发现的。这个直接主管还认为，对于办公邮箱，领导和公司就是有权查看的。

根据相关法律法规和规范的规定，通信记录和内容属于个人信息中的敏感个人信息，如果要对这类信息进行处理，除了前面提到的一些告知事项，更需要告知当事人处理的必要性和对个人权益造成的影响，还得经过个人单独同意，才可以进行处理。可见，前述直接主管的做法已经违反了《个人信息保护法》的相关规定，但类似的做法和想法在实务中并不少见。

针对上述两个问题，笔者建议广大用人单位重点做好以下两方面工作：

●细化告知事项

不能图省事，还是应该详细列举具体的场景进行相对应的事项告知。这类告知可以通过表格的形式进行具体的列举。例如：

表述时，再注意通俗易懂，那么就基本符合《个人信息保护法》对“告知”的要求了。而有了符合条件的告知，再获得员工明确的同意，也就问题不大了。

当然，很可能有人会提出，对于已经既定的、已知的一些场景，可以通过上述表格形式告知并获得同意，对于那些工作中出現的需要处理员工个人信息的新情形，又该怎么办？难不成，每次都得去做这些手续？

这就是技巧性问题了，对于“告知+同意”的形式，法律并没有说一定要书面的，更没说一定要纸质文件。所以，用人单位完全可以通过短信、电子邮件、办公系统等无纸化信息手段来解决这类问题，只要能留下足以让他人相信用人单位履行了有关法定义务的证据即可。

●强化管理理念“升级”

更新意识，重视个人信息保护，不能只是停留于纸面，更不能只针对高层、人力资源管理者、对接客户的人员，对于从上到下的员工，都需要去做这样的工作。毕竟，根据《民法典》的有关规定，员工在履行工作职责时侵害他人权益的，是由用人单位承担责任的。因此，增强个人信息保护意识，是所有人都应当做到的。而且，不仅仅是保护自己的个人信息，更需要注意因工作原因而接触的其他个人信息的保护。

这需要用人单位通过多样化宣传、培训来实现。而且，得具象化场景，只是泛泛而谈，很难起到较好的效果。

员工个人信息保护，是未来一段时间内用人单位人力资源管理需要重点关注的问题之一。因为种种原因，目前这方面具体实操性的规定、判例还比较少，建议大家严格按照法律的要求，并结合单位的实际情况，设计出适合于本单位的员工个人信息保护风控体系。然后不断在实践中，完善这个体系，以避免单位的员工关系管理在员工个人信息保护方面出现风险。

作者 劳达laboroot 高级咨询顾问、高级合伙人