让每个行业在每个场景中都能轻松工作
本月15日,因过度索取用户权限,工信部下架96款侵害用户权益行为的APP,其中不乏“喜茶GO”、“格林”、“驴妈妈旅游”等知名企业应用软件。
在此事件前一天,美国科技巨头微软旗下的LinkedIn(领英)高管公开表示,领英出于在华“面临着更具挑战性的经营环境和更高的合规要求”等考量,决心停止中国版本的运营计划。
领英所涉及的职场社交领域,对于个人信息的收集较为全面,敏感程度不可谓不高,监管介入是必然。作此决定,相信一定程度上与国内加强监管个人信息安全监管有关。
11月1日,备受期待的《中华人民共和国个人信息保护法》即将正式施行,法条中不仅明确禁止商家通过自动化决策进行商业营销或者“大数据杀熟”,而且也进一步细化、完善个人信息保护应遵循的原则和企业内部个人信息处理规则。
这三则新闻不约而同出现,绝非巧合!这说明个人信息的保护被摆上了重要议题,过去无限制追踪记录个人信息的行为开始被视为“不合法”,有可能因为这样的行为被追责。那么作为企业的管理者,该如何应对到来的保护法?有哪些禁区不能涉足?
个保法正式实施后,用人单位处理个人信息须有法律基础。原则上,处理个人信息应当以取得个人同意为前提,但是个保法规定了无须取得个人同意的六种例外情形。其中,“为订立、履行个人作为一方当事人的合同”或者“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”而处理个人信息的,不需取得个人同意。
值得注意的是,“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”并未规定在个保法的二审稿中,而是最终颁布版本中新增加的处理个人信息的法律基础。
从实践操作角度来看,以上新增加的法律基础很大程度上减轻了用人单位处理个人信息时获得员工同意的时间成本和管理负担。但是,该规定赋予用人单位的仍旧是有限度的权限,用人单位在处理个人信息时,需要注意以下合规要求和措施:
在劳动合同或者集体合同中对处理个人信息进行约定;
处理个人信息须以“实施人力资源管理所必需”为限;
通过民主程序制定企业内部的规章制度,并明确个人信息的管理规则和操作规程;
对个人信息进行分类管理,采取必要的安全措施,例如加密、去标识化等;
合理确定个人信息处理的操作权限,对用人单位中相关人员定期进行安全教育和培训;
制定个人信息安全事件应急预案;
以及处理敏感个人信息仍需特别告知并取得员工的单独同意。
实践中,如何界定“实施人力资源管理所必需”,已经成为一个热议的法律和管理问题。在个保法配套规定公布之前,建议用人单位根据自身企业情况梳理人力资源管理的各个环节,识别出可能被挑战和缺失的环节,提前准备应对方案。
用人单位在人力资源全流程管理中的多个环节均可能处理员工的敏感个人信息。例如,在疫情下越来越多的用人单位实行灵活办公和远程办公,需要通过市面上流行的办公系统管理软件记录员工的日常工作内容、行踪轨迹和定位,以便于进行考勤和工作任务管理。这种情况下,用人单位会大量接触员工的个人行踪轨迹这类敏感个人信息。
个保法对于处理敏感个人信息提出了更高要求,包括:
更具体和充分的必要性:具有特定的目的和充分的正当理由;
更严格的保护:采取严格保护措施;
更公开透明的程序:履行单独的“告知-同意”程序。
从操作层面来看,用人单位需要梳理和审视现有的内部管理流程和配套人力资源文件,在必要和适当的场景中增加专门针对敏感个人信息的“告知-同意”环节。
处理敏感个人信息时,用人单位应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估一般应包括:个人信息的处理目的、处理方式是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效,并与风险程度相适应等内容。个人信息保护影响报告和处理情况记录应当至少保存三年。
10月20日(周三)16:00, 佩信集团官方视频号《TA说》栏目联合上海保华律所高级合伙人董润青,对《个人信息保护法》的主要内容进行要点解读,全面分析人事管理者处理员工个人信息等注意事项。
在本次直播中,佩信集团更是特别设置有奖答题PK环节,以趣味互动加深您对法律的记忆点,让法条不再枯燥;更有线上线下云互动,打造沉浸式直播互动体验。