劳动用工中个人信息处理相关法律问题
• 首页 > 文章案例 > 劳动法专栏文章

        《劳动合同法》对个人信息的规定比较简单，只是规定用人单位有权了解劳动者与劳动合同直接相关的基本情况，没有涉及劳动者个人信息处理的问题。后来因为独生子女政策调整，国家强调不允许询问劳动者婚育信息，以保护女性就业，这算是一个特别要求。2021年11月1日生效的《中华人民共和国个人信息保护法》（以下简称《个保法》）不仅提高了我国个人信息的法律保护水平，同时也对用人单位处理劳动者个人信息提出了更高的要求。
        根据《个保法》的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，这一法律规定不仅针对科技企业，所有用人单位都需要遵照执行。尽管《个保法》考虑到用人单位日常管理所需，特别规定了“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”无需取得个人同意，用人单位作为个人信息处理者可依据此规定直接处理劳动者个人信息，但是，用人单位同时需要承担相应的义务：一是在处理个人信息前，应当履行法定告知义务；二是处理敏感个人信息应当取得个人的单独同意；三是不得公开其处理的个人信息；四是还要设定保存期限。基于前述要求，目前常见的用人单位操作方式是在劳动者入职时或统一规范实施《个保法》过程中结合法律规定向劳动者解释用人单位对个人信息保护的政策，同时让劳动者签署相关《确认书》或《授权书》，以满足相关法律要求，降低相关风险。
        根据《个保法》的规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。而此前2020年的《信息安全技术  个人信息安全规范》（GB/T 35273—2020）对个人敏感信息也做了例举（详见后文），用人单位管理时需要参考这一规范，虽然这是《个保法》出台前的国家标准，但怎么说也是国家标准。如果将来有更新，则应适用新版规范。要是用人单位设计的《确认书》或《授权书》难以完整描述各类具体敏感个人信息或其他需要单独授权情形，对特别重要的情形建议写清楚，以免被理解为没有取得劳动者单独同意；其他情形可以概括描述或约定具体敏感个人信息范围以《信息安全技术  个人信息安全规范》（GB/T 35273—2020）举例为准。这也是一种管理办法，也有机会过关，毕竟用人单位不同于其他个人信息处理者，还可以解释为系履行劳动合同所需。不过管理中也需要注意劳动者的感受因素，在《确认书》或《授权书》里要求劳动者预先同意用人单位处理所有敏感个人信息恐怕不容易被接受。
        《个保法》还规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”而用人单位为了履行劳动合同，往往需要将部分个人信息甚至是敏感个人信息提供给第三方，才能进行管理或完成服务。比如用人单位为劳动者依法缴纳社会保险或购买商业保险，肯定涉及劳动者个人信息提供给第三方，需要取得劳动者单独同意。另外常见情形是用人单位实行集团化管理，相关个人信息同步会提供给集团或兄弟单位，或者公司将人事、财务等系统业务外包给第三方管理等，都需要劳动者预先签署《确认书》或《授权书》来单独同意。
        在境内注册的外资企业要是提供劳动者个人信息给境外母公司（总公司）或兄弟单位则更复杂，因为往往涉及信息出境问题。针对个人信息出境，《个保法》规定除了履行告知义务、取得当事人单独同意外，还规定必须符合相应的条件：要么按照国家网信部门的规定经专业机构进行个人信息保护认证，要么按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，等等。最近国家发布了《个人信息出境标准合同办法》及其标准合同，进一步限定了适用此模式的对象，也规定了评估和报备的要求。而规模较大的用人单位恐怕难以通过签订标准合同的方式来简化处理个人信息出境问题，还得回到管理力度更大的认证模式上来。
        不少外资企业由于管理习惯等原因，将邮箱服务器设置于境外，无论是租用第三方的设备，还是使用境外的集团公司或兄弟单位的设备，都涉及个人信息出境；无论是由第三方提供服务，还是关联公司代为管理，只要劳动者个人信息出了境，都要遵守《个保法》等相关法律的各项要求，只有劳动者单独同意是远远不够的。除了日常管理中邮件发送等情形会涉及个人信息出境问题外，在华外资企业由于业务并购、人员优化等原因，也可能会涉及个人信息出境问题，所以并非“关键信息基础设施运营者”才涉及此类监管要求，其他的外资企业也需要注意这类法律问题，这些都是将来可能产生法律风险的事项，能否通过切割或一些技术手段满足境内监管要求，都还有待进一步观察与研究。在目前的环境下，业务并购、人员优化等与境外产生联系的管理事务或许可以通过匿名化、去标识化等办法来避免个人信息出境问题。
        境内非外资企业也同样可能产生个人信息出境的法律问题。如果有境外上市、财务报表合并、股票或期权信托计划由境外机构执行等情形，个人信息出境几乎是难以避免的，相关境内本土企业一样要遵守《个保法》和《个人信息出境标准合同办法》等法律法规的规定要求。

PS：
《中华人民共和国个人信息保护法》
第十三条　符合下列情形之一的，个人信息处理者方可处理个人信息：
（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；
第十七条　个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：
（一）个人信息处理者的名称或者姓名和联系方式；
（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；
（三）个人行使本法规定权利的方式和程序；
（四）法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的，应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。
第十九条　除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。
第二十三条　个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。
第三十九条　个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。
第六十六条　违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

《信息安全技术  个人信息安全规范》（GB/T 35273—2020）
表B.1  个人敏感信息举例

个人财产信息 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等) 、 房产信息、信贷记录、征信信息、交易和消费记录、流水记录等， 以及虚 拟货币、虚拟交易、游戏类兑换码等虚拟财产信息
个人健康生理信息 个人因生病医治等产生的相关记录， 如病症、住院志、医嘱单、检验报告、 手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、 以往病史、诊治情况、家族病史、现病史、传染病史等
个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等
个人身份信息 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等
其他信息 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通 讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准 定位信息等

《个人信息出境标准合同办法》
第四条　 个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：
（一）非关键信息基础设施运营者；
（二）处理个人信息不满100万人的；
（三）自上年1月1日起累计向境外提供个人信息不满10万人的；
（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的，从其规定。
个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
第五条 　个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估，重点评估以下内容：
（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；
（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；
（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；
（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；
（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；
（六）其他可能影响个人信息出境安全的事项。
第七条 　个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料：
（一）标准合同；
（二）个人信息保护影响评估报告。
第十三条 　本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动，不符合本办法规定的，应当自本办法施行之日起6个月内完成整改。
《确认书》参考样本
个人信息处理授权确认书
XXXX公司（以下称为“公司”）：
因《中华人民共和国个人信息保护法》施行，本人（身份证号：XX）已知悉并了解个人信息保护的相关法律法规规定。为满足管理需要及合规要求，现向公司及其关联公司作出如下确认：
1.本人确认公司为订立和履行劳动合同、行使劳动关系项下各项权利、履行各项义务目的处理（包括但不限于办理人事相关手续、人脸识别等方式接触、了解、收集、存储、使用、加工、传输、提供、公开、删除等）本人的相关个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息），均为本人授权之行为。本人已充分知情并同意公司因上述目的处理和/或授权关联公司相关人员处理各类个人信息，并确认系本人自愿之真实意思表示。本人同意公司采取适当的安全保护措施以保护本人相关信息及公司商业秘密。
2.本人知悉并确认单独同意公司及其关联公司因考勤、考核及其他人事管理而处理本人的相关个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息），因休假、购买商业保险等处理本人亲属的相关个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息）。
3.本人知悉并确认单独同意公司及其关联公司因业务管理而处理本人相关个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息）。
4.本人确认单独同意公司及其关联公司为用工管理之目的通过境内外服务器或相关系统传输、存储等方式处理个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息），并同意通过邮件或自行登陆相关系统填写、提供个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息）。
5.本人确认，无论任何原因离职，均单独同意授权公司在本人离职后对招聘单位或新用人单位等机构提供相关个人信息（包括但不限于普通个人信息、特定个人信息和敏感个人信息）；公司从事上述活动时，无需另行知会本人。
6.本人确认单独同意公司及其关联公司因管理需要将本人的个人信息存储在境内外相关机构，并单独同意公司及其关联公司依法履行中华人民共和国相关法律规定履行相关政府部门程序后提供相关个人信息给境内外机构，以实现订立和履行劳动合同、行使劳动关系项下各项权利、履行各项义务等目的。
7.本确认书系本人真实意思表示且系自愿签署，不存在任何欺诈、胁迫、乘人之危、重大误解或其他影响本确认书效力之情形。

确认人（签名）：                        
确认日期：       年      月     日