找人调查个人信息(个人信息保护法正式实施)

《中华人民共和国个人信息保护法》(下文称《“个保法”》)的施行,开启了我国隐私保护的新篇章。《个保法》明确了个人信息处理规则、全面保障个人权利,为社会的生产生活带来深远影响,也对企...

《个人信息保护法》正式实施,企业该如何开展合规调查?

《中华人民共和国个人信息保护法》(下文称《“个保法”》)的施行,开启了我国隐私保护的新篇章。《个保法》明确了个人信息处理规则、全面保障个人权利,为社会的生产生活带来深远影响,也对企业的运营与发展提出了更高的合规要求。

在企业进行合规调查的视角下,个人信息的处理场景贯穿全程,例如对员工的电子设备进行信息提取、向第三方(专业机构或政府部门)披露调查内容、与跨国公司境外总部信息共享、调查结果的运用与公布。合规调查中所涉及的个人信息多样,且往往敏感,例如反腐败调查时常涉及员工的银行金融账户、交易与报销记录、行踪轨迹等。

复杂的情况意味着更多的挑战。本文将从企业在合规调查中可能遇到的常见问题出发,探讨合规做法。

1. 合规调查中处理员工个人信息,可依据《个保法》下的哪些合法性基础?

《个保法》第十三条列举了个人信息处理的七项合法性基础,企业若符合其中一项,则可处理员工个人信息。就企业合规调查而言,以下两项合法性基础可能最为典型:

取得个人同意

《个保法》出台前,取得个人同意曾是企业处理员工个人信息的基本前提,尽管《个保法》提供了其他合法性基础,取得个人同意仍然是实践中确保个人信息处理合规的最常见做法。

鉴于合规调查的保密性和对抗性,调查开始后取得员工个人同意往往存在极大障碍。企业可以考虑事先做好准备,例如在员工入职时统一告知企业合规调查中可能处理其个人信息,以及信息种类、处理方式等法定事项,并取得员工的书面确认;在具体展开合规调查时,结合处理活动的调整等因素,考虑是否有必要再次取得员工的同意。

但请注意,若企业仅依赖员工个人同意作为合法性基础,将需要承担员工撤回同意的后果。因此,若能同时援引可豁免个人同意的其他合法性基础(见下文),对企业而言是更为保险的做法。

人力资源管理所必需

在员工管理的语境中,除了取得个人同意,企业还可“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”(本文称“人力资源管理所必需”)处理员工个人信息。目前,法律法规就合规调查是否属于人力资源管理所必需的范畴尚无明确规定,因《个保法》施行不久,司法实践层面也缺乏指导性意见。

当前阶段,企业可以考虑在规章制度中合理细化员工个人信息处理的场景与细则,并就规章制度履行《劳动合同法》规定的民主和公示程序;同时注意在实际开展调查时结合具体情况审慎确定合规调查中处理员工个人信息的尺度,把握《个保法》中必要正当、最小范围等原则。

除上述两项外,企业在一些情况下还可能以《个保法》第十三条规定的“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”作为合规调查中处理员工个人信息的合法性基础,例如依据互联网公示的注册或资质信息、员工在朋友圈或其他公开场合的言论,追踪其违规兼职的情况。

2. 调查员工设备应注意哪些问题?

工作设备

企业进行合规调查中,典型的做法之一是对员工持有的工作设备进行集中搜查、寻找线索,这实际上是企业对员工设备进行日常监控的延伸。在《个保法》的框架下,确保该做法合规的一个可行方案是,将出于合规调查目的处理工作设备中的员工个人信息纳入人力资源管理所必需的范畴,在规章制度中进行明确。

去年被广泛热议的一则案例中,公司通过数据恢复从为员工配发的工作手机中导出了部分通话录音,录音中该员工亲口表示自己要“飞单”,公司据此要求员工赔偿损失。但法院认定公司因未向员工明确告知公司对工作手机享有录音并恢复数据的权利,且未就恢复通话信息征求员工同意,最终未认可该录音证据的合法性,并驳回了公司的诉讼请求。

尽管该案判决作出时间早于《个保法》生效,但其对企业调查员工工作设备仍具有重要借鉴意义。通过事前在相关规章制度中明确企业对工作设备享有的权利或取得员工个人同意,可能对相关证据的合法性提供有利支撑。与此同时,企业有必要在规章制度中明确工作设备只应用于工作用途,以降低调查时涉及员工过多与工作无关个人信息的几率。

私人设备

特殊情况下,企业可能会调查员工的私人设备,如私人手机。但调查员工私人设备一般较难满足《个保法》中合理、必要原则的要求,且可能超过人力资源管理所必需的限度,企业通常需要事前取得员工明确同意。

3. 调查中应如何与会计师、律师等第三方合作处理员工个人信息?

合规调查中,企业如需会计师、律师等第三方提供协助,则无法避免与该第三方共享员工个人信息,且第三方可能对员工个人信息做进一步处理。常见的场景包括第三方介入调查、协助企业进行分析论证等等。

根据《个保法》的规定,上述情形下,企业应当事先向员工告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。如果企业在合规调查中向第三方传输员工个人信息符合人力资源管理所必需的情形,则需在依法制定的规章制度或集体合同中列明,并同时明确处理目的、处理方式、个人信息类型等事项。

如果与第三方的合作涉及《个保法》规定的共同处理、委托处理的情形,企业还需要根据具体场景履行相应义务,例如与第三方约定个人信息处理活动中的权利义务,并对其处理活动进行监督。

4. 调查中如涉及跨境传输员工个人信息,应满足哪些要求?

对于全球一体化管理的跨国企业,在合规调查中时常需向境外总部汇报调查情况,这不仅体现为境内企业向境外传输信息,也包括境外总部直接读取境内系统资料、以及人力资源系统设置在境外,相关个人信息录入的同时发生跨境传输等复杂情形。

为确保个人信息跨境传输合规,企业一般需要就相关法定事项明确告知个人,并取得个人的单独同意;至于该做法能否落入人力资源管理所必需的情形,实践中观点不一。在目前阶段,鉴于跨境传输的敏感性,我们建议企业采取“取得个人同意+纳入规章制度实现人力资源管理”双管齐下的保险做法。

此外,企业进行个人信息跨境传输还需满足《个保法》第三十八条规定的必备条件之一(即通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方签署标准合同)。关于个人信息保护认证及标准合同签订在实践中如何操作,相关部门暂未正式出台实施细则;而关于安全评估,相关要求已在《数据出境安全评估办法(征求意见稿)》中有所体现,终稿有望于近期出台,需要向境外提供个人信息的企业可对此继续保持关注。

5. 合规调查结果的运用与公布,需要注意什么?

提供给境内司法或执法机构

如境内司法或执法机构要求企业提供有关员工违法违规行为的相关信息,企业通常有义务配合相关机构、依据法律要求进行披露。一些情形下,企业还可能主动向政府部门举报员工的违法行为、寻求救济,此时企业仍可能需要对相关信息进行筛查,通常提交的为与举报事项相关和必要的信息。

提供给境外司法或执法机构

对于合规调查中发现员工的严重违法违规行为,境外司法或者执法机构可能要求企业向其披露相关信息。一些情形下,跨国企业还可能选择主动向外国公权力机构披露相关信息,以减轻可能受到的处罚。根据《个保法》的相关规定,此类情况下,非事先经我国主管机关批准,企业不得向外国司法或者执法机构提供存储于中国境内的个人信息,企业有必要予以重视。

于企业内部公布

如经调查后判断员工违法违规行为属实,一些企业可能会在内部公布调查结果,以儆效尤。在内部公布员工违纪信息时,企业也应遵守《个保法》中必要正当、最小范围等原则,既要审慎确定所公布信息的范围,避免公布与员工违法违规行为无关的个人信息、以及与发挥警示作用无关的个人信息(尤其是敏感信息),也要注意公布信息的方式和范围,通常情况下受众限于内部人员较为适宜。

6. 合规调查违法,有何后果?

在合规调查中,如企业处理个人信息的行为违法违规,可能面临《个保法》下规定的行政责任,甚至刑事责任;如该行为对员工造成损失,企业还可能被要求承担侵权责任。与此同时,如企业在调查取证时未能满足《个保法》的相关要求,相关证据的合法性可能在裁审机构中遭到质疑,进而难以作为对员工处理决定的有效依据。

结语

随着《个保法》的施行、各类信息保护立法及配套措施的完善,企业在运营过程中重视与提高信息保护合规标准,已成为大势所趋。在进行合规调查中,企业有必要关注《个保法》的要求,并及时跟进立法动态,结合自身情况采取相应措施,在有效达成调查目的的同时保护员工的个人信息合法权益。

  • 发表于 2022-09-03 22:09:45
  • 阅读 ( 224 )
  • 分类:科技

0 条评论

请先 登录 后评论
浏览:61
浏览:61

607 篇文章

你可能感兴趣的文章

相关问题