×

《个人信息保护法》出台后,再谈员工个人信息保护与企业知情权的冲突

众所周知,《中华人民共和国个人信息保护法》已经于2021年8月20日在第十三届全国人大常委会第三十次会议上通过,并将于今年11月1日实施。


针对个人信息单独立法,其重要性不言而喻。但是企业在很多场合需要用到员工信息,是不是意味着企业使用员工信息变得更难了?



首先,了解一下个人信息保护在我国法律中的发展



其实对员工个人信息的保护制度并不是一日而成的。从最早借保护“名誉权”保护“个人隐私”,再到“个人隐私”独立成权,借助民法的发展,个人信息被“间接”地保护了。


直到民法典将“隐私权”与“个人信息”定义相分离,再到今年对“个人信息”的专项保护的法律出现,员工的“个人信息”保护上升到了一个新的高度。


而在企业端的知情权,只能通过《劳动合同法》、《劳动合同法实施条例》、《就业促进法》中类似于“与劳动合同直接相关的基本情况”的概括性表述体现。另外在个别的地方性法规中,规定了具体的权利内容。


面对法律对知情权权利大小的不断紧缩,企业能获取的信息是否合规尚不明朗、仲裁和法院自由裁量权缺乏统一规范之时,企业当如何合法合规使用员工个人信息?



冲突——员工信息要保护,企业管理也要进行……



首先我们需要分辨什么是“个人信息”与“隐私权”。


民法典第1034条首次阐明:


个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息……个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。


通俗来讲就是,个人信息更偏向于能够定位特定人的信息,即个人的特征信息;隐私是个人信息中比较不愿或不便公开的私事,是每个人的“小秘密”。


举个例子:一个人的手机号是个人信息,但是其通讯记录既属于个人信息,也属于隐私的范畴。


不过《个人信息保护法》对个人信息的界定,相比民法典又在其后加上了“不包括匿名化处理后的信息”,为企业处理员工个人信息开了一个口子——这使得企业可以在抹除可识别信息后,做统计等操作,对民法典的定义做了完善。


同时,在《个人信息保护法》中的第13条框定了企业处理员工个人信息的前置条件:

符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同 实施人力资源管理所必需



解题——获取员工个人信息,如何找到合规合管理的平衡?



理解法言法语:什么是“订立、履行合同所必须”,什么又是“人力资源管理所必需”?


在配套规定尚未出来的现在,我们可以通过以往的规定、研究与司法判例来预判企业的知情权的范围。


在法律法规中,用人单位知情权的详细规定常见于《劳动合同法实施条例》第8条与《就业服务与就业管理规定》第7条中,二者分别从行使限度(知识技能、工作经历、就业现状)与载明信息(姓名、性别、身份证号、户籍地址等)分别做出了规定。


同样在全国各地地方性法规中,北京、上海、山东、江苏等9地的“劳动合同条例/规定”中也针对用人单位知情权进行了细化。


其中也有部分具有特色的规定,例如山东省需要“核对身份证、居住证以及竞业限制”;吉林省需要“劳动者提供终止或解除劳动合同的证明”等。


然而即便各地的所有规定进行汇总,里面的获取个人信息条目的规定也不足以支撑各公司的日常管理。


通过实操原则找平衡:依据管理需求,收集、处理员工个人信息


1)人格利益保护与经济利益保护平衡原则


劳动关系的履行,实际上是员工向公司提供劳动力的过程,本质上公司给付劳动报酬的行为,是使用劳动力。也就是说,公司是出于经济利益而选择“购买”劳动力。


然而劳动力是依附于人身的,其不仅仅有“经济属性”,也具有“人身属性”,二者不可分离。


这也就使得企业在进行日常生产活动时,有时在二者不相兼容、选择一方可能会对另外一方产生损害时,要在合适的程度中取舍经济利益和人格利益。


例如,裁判文书网上的一个案例:王先生是某网络培训公司的大股东、法定代表人。2011年,其与另一网络培训公司签订劳动合同,劳动合同中有竞业禁止的条款承诺。后来,另一网络公司发现王先生实际上是存在竞争关系公司的法定代表人和大股东,遂通知其解除劳动关系,但王先生要求恢复劳动关系。法院判决两家公司因可能存在重大竞争关系,王先生不能以个人隐私为由欺诈公司,双方签订的劳动合同无效。


我们要明确的是,在法律倾斜性保护的大背景下,企业的知情权与员工隐私权与个人信息保护发生冲突时,一般来讲,员工的人格利益优于企业的经济利益保护。


只有基于非常重要的商业利益,企业才能获取一定限度的个人信息与隐私的让渡。


2)公共利益优先与适当容忍原则


我国宪法第51条规定:

公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。


法律在赋予一方自由和权利的同时,一定会对这种自由和权利加以限制。企业在基于社会公共利益的需要或其他非常正当、重大、符合公序良俗的理由,可以对员工的个人信息或隐私进行合理的使用,而员工有义务在一定程度内容忍的义务。


例如在疫情期间,山东省人社厅《新冠肺炎疫情防控期间涉及劳动关系相关问题的解读》提到的第二个问题:

感染、疑似新冠肺炎相关情况,以及有关假期所在地、返岗路线等个人信息……虽然该类信息属于建立劳动合同关系之后的,但与履行劳动合同直接相关,用人单位有权了解。


3)必要限制原则


企业对员工个人信息的使用超过必要限度,会构成对员工个人信息与隐私权的侵害。程度的把握要基于合理必要、直接相关、手段目的相适应三个维度。


合理是指对个人信息的处理要基于业务上的合理需求;


直接相关是信息需与劳动合同订立和履行直接相关;


手段和目的相适应是指收集员工信息的方式一定要符合要达成目标的需求,不能通过超越限度的滥用手段来收集。


一般来讲,只要符合这三项原则,企业就可以合理合法的收集和处理员工的个人信息,在合理范围内合理合法使用员工的隐私。



达成实质中的公平



员工个人信息和隐私保护与企业知情权的冲突与平衡,本质上代表着员工的法律保护与企业自主经营权的冲突与平衡。


从法理上讲,“倾斜”原则本质上是为了达成实质中的公平。如果企业能够自然达成与员工权责的平衡,法律也就没有必要去限制企业的管理,在员工个人信息方面也是如此。


如果企业正当行使自己的权利,也保护员工的权利、保障双方都能实现合理的利益诉求、保障公平正义的价值在劳动关系领域的实现,我想,那仲裁、法院、监察也就没有必要来故意找茬了。

Copyright ©2017 北京来贝管理咨询有限公司 
犀牛云提供企业云服务