潜精研思 笔耕不辍

出版物/Publications更多分类

地址:北京市东城区建国门内大街26号新闻大厦7-8层

电话:86 10 8800 4488, 6609 0088

传真:86 10 6609 0016

邮编:100005

国枫视角

企业如何合规收集员工个人信息?

发布时间:2022.05.09 来源: 浏览量:18152

随着《数据安全法》和《个人信息保护法》的正式实施,各行各业都对用户个人信息的收集、使用、处理等进行了合规整改,越来越多的同行也从各个角度、不同场景对个人信息处理进行研究,企业对于员工个人信息的收集、使用处理,也逐渐被大家所关注。在签订劳动合同、个人信息收集处理方面,员工会处于较为被动或者弱势的地位,企业一不小心就容易触及个人信息保护的红线,本文将首先从企业对于员工个人信息的收集入手,梳理企业如何合规收集员工个人信息。


一、 企业收集员工个人信息收集的基本要求


《个人信息保护法》规定,凡涉及处理自然人个人信息活动的都适用该法律[1],因此企业收集员工个人信息时也需要全面遵守《个人信息保护法》。《个人信息保护法》关于收集个人信息的基本原则包括:(1)企业需要向员工告知个人信息收集的目的、范围和方式,并获得员工同意;(2)企业在收集员工个人信息时需要遵守合法、正当、必要性,应限于实现处理目的的最小范围;(3)企业在收集员工个人敏感信息时,更需要员工的单独同意,并只有在特定的目的和充分的必要性下才可收集;等等。


注:[1] 《个人信息保护法》第三条


二、企业收集员工个人信息的各种场景及收集的个人信息


对于一个企业而言,企业会有多少场景收集员工的个人信息?对于一个员工而言,又向企业提供了多少数量的个人信息呢?如果根据企业管理员工的具体场景进行梳理,会发现企业可能会收集大量的员工个人信息。


(一)企业招聘员工及员工入职时


企业对于应聘岗位的候选人以及刚入职报到的新员工,通常都会要求员工填写一份书面的《应聘人员信息登记表》或者《入职人员信息登记表》。


《登记表》常见收集的应聘者或员工个人信息包括:(1)基础个人信息,如身高、体重、民族、政治面貌、婚姻状况、健康状况、学历、家庭地址、联系方式、身份证等;(2)教育经历信息,如毕业院校、专业、证明人、证书等;(3)工作经历信息,如工作单位、工作内容、典型工作项目、离职原因、证明人等;(4)宗教信仰、个人兴趣爱好等。


某些特殊行业的特别工作,基于公众卫生安全的要求,会进一步要求员工提供传染病感染史及治愈情况,例如(1)食品生产经营中从事接触直接入口食品的行业;(2)饮用水生产、管理、供应行业;(3)公共场所直接为顾客服务的工作;(4)托幼机构的保育、教育工作;(5)美容、整容的工作;(6)直接从事化妆品生产的工作。


有些企业,对于女员工还会进一步了解女员工的恋爱情况、婚姻情况、生育情况,甚至是一胎、二胎、三胎生育计划等信息[2]。


注:[2] 新京报2021年6月4日报道,国内某潮流文化娱乐公司的面试单中直接询问近期是否有生育计划,还仅限女性:

https://www.bjnews.com.cn/detail/162279405414361.html


(二)企业履行劳动合同义务及劳动法义务时


企业基于劳动合同及劳动法规定的相关义务,在为员工缴纳五险一金、发放工资时也会收集员工的个人银行账户、社保账户等信息。


此外,员工在向企业请病假、婚假、产假时,企业也会向员工收集病历本、诊断报告、结婚证、出生医学证明等材料[3],用于确认员工的生病事实、结婚事实和生育事实。在这类情况下,企业就有可能收集到了员工的生病情况,结婚证领证时间,婴儿出生日期、姓名、身份证号、健康状况、出生地点等员工及家人的个人信息。

 

注:[3] (2020)沪01民终10935号案件记载,员工向企业申请产假过程中,企业要求提供结婚证和出生医学证明。该案中,法院认为属于企业用工管理的合理范畴,不涉及侵犯员工隐私权。


(三)企业提供特别员工福利时


有些企业还会进一步地提供个性化的企业员工福利,包括员工及其家人的商业保险、员工旅游、员工体检、住房补贴、用车补贴等。在此情形下,员工享受了企业福利,也进一步地向企业提供了额外的个人信息。


1. 员工及其家人商业保险 


企业为员工及其家人提供的商业保险会涵盖寿险、医疗险、意外伤害保险、重大疾病保险等,而保险公司在为企业投保此类团体商业保险时,会需要企业进一步提供员工及其家人详细、完整的患病信息、既往病史、康复状况、健康状况等个人敏感信息,以进一步评估员工和其家人可参与的保险计划和保费。在这类信息收集过程中,企业往往会先向员工收集,再将个人敏感信息转交给保险公司,而并非由保险公司直接向员工收集。


相似的,企业在团建、旅游时也会为员工购买相应的旅游保险、意外险,也可能涉及前述个人敏感信息。


2. 员工住房及用车补贴


区别于常见的出差住宿报销和交通报销,企业可能会额外给予员工住房补贴和用车补贴,此时企业会向员工收集租赁合同、加油票据、打车票据等材料,用以核实员工住房和交通的事实情况。此时,企业实际上收集到了员工的具体居住信息、票据上记载的出行时间、付款信息等。


(四)企业进行特别的管理要求时


根据我们了解到的企业管理场景,员工或知情或不知情地在以下几类场景中向企业提供了个人信息:


1. 企业宣传中使用员工肖像照


企业常需要在宣传片、宣传册中使用员工肖像照及相关介绍,以对外宣传公司。这种情形下,不单单涉及到了企业向员工收集其肖像照,还涉及到员工的肖像权使用问题。


2. 企业考勤、打卡


企业考勤时会使用纸质打卡、磁卡打卡等方式,也有较多企业会使用指纹打卡、人脸打卡。部分企业提供员工餐时,也会要求员工扫描人脸或扫描指纹,用于统计用餐人数。这类情形下企业收集了员工的人脸信息、指纹信息,且属于员工的个人敏感信息。


3. 通过电子设备收集员工个人信息


基于企业管理的需要,企业向员工提供工作电脑、工作手机时,也有可能在其中设置相关监控软件。企业可以通过软件了解员工电脑和手机的开关机时间、浏览网址情况,甚至是软件使用时长等。又或者,有些企业会通过WiFi监控的方式,监控员工手机流量使用情况,监控员工上班时是否“摸鱼”[4]。


有些软件公司,基于客户企业对于员工管理的需要,还开发了远程打卡功能。员工在外拜访客户、出差、外勤时,企业可以要求员工在指定时间和指定外勤地点进行打卡,了解员工在外的实际情况。


企业通过电子设备收集员工个人信息时,实际上获得了多种多样的员工个人信息和权限,例如位置信息、硬件相机权限、硬件存储权限、硬件设备信息等。


4. 新冠肺炎疫情背景下收集员工个人信息


由于近期再次广泛传播的新冠肺炎疫情,企业在履行相应的疫情防范措施时,也免不了收集员工的个人信息。例如员工上班测温时的体温信息,员工请假时居住地封控信息,员工感染疫情时的感染情况、康复信息等。


注:[4] 2021年11月17日上观新闻报道,某企业内部发布了一份《关于违反员工行为规范的处罚通报》,企业对员工流量信息进行统计排查,发现部分员工在工作区域内占用公司公共网络资源从事与工作无关事宜:

https://www.shobserver.com/staticsg/res/html/web/newsDetail.html?id=424795&sid=67


三、 企业收集员工个人信息的合法性依据


在我们梳理的收集场景及相应个人信息中,有些企业可能只涉及其中的部分,也可能有企业存在其他收集员工个人信息的方式。随着科技的不断发展和企业管理需求的,也会涌现出更多的收集场景、收集方式和收集的个人信息。


根据《个人信息保护法》第十三条的规定,符合下列情形之一的,企业方可处理个人信息“(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。”


因此在本文梳理的企业收集员工个人信息具体场景中,除了取得员工同意外,企业所收集的个人信息也应当具有相应的合法性依据。


(一)基于劳动领域相关法律法规


《劳动合同法》第8条规定“用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明”;《上海市劳动合同条例》第8条规定“用人单位在招用劳动者时,有权了解劳动者健康状况、知识技能和工作经历等情况,劳动者应当如实说明”。


因此,基于前述法律法规以及地方的相关条例,企业了解员工基础信息、健康状况、知识技能和工作经历等,具有合法性的依据。


(二)基于公众卫生安全的要求


根据《食品安全法》第45条的规定,患有国务院卫生行政部门规定的有碍食品安全疾病的人员,不得从事接触直接入口食品的工作。《公共场所卫生管理条例》第7条规定 “患有痢疾、伤寒、病毒性肝炎、活动期肺结核、化脓性或者渗出性皮肤病以及其他有碍公共卫生的疾病的,治愈前不得从事直接为顾客服务的工作。”《化妆品监督管理条例》第33条亦规定患有特定疾病的人员不得直接从事化妆品生产活动。


因此,企业或员工如果涉及从事前述相关工作,企业有权要求员工提供相关患病情况的个人敏感信息。


(三)基于劳动用工保护


《职业病防治法》和《女职工劳动保护规定》对于接触有毒、有害因素的工作以及女员工职业保护进行规定。例如,企业需要为劳动者建立职业健康监护档案,包括劳动者的职业史、职业病危害接触史、职业健康检查结果和职业病诊疗等有关个人健康资料;对于月经期间、怀孕期间、产后、哺乳期间的女员工,企业不得安排特定种类的工作。


企业基于职业病防治以及出于对女职工劳动保护的要求,需要获得员工的职业史、职业病危害接触史、健康检查结果、职业病诊疗、怀孕情况、生产情况等,也具有合法性的依据。


(四)基于突发公共卫生事件


中央网络安全和信息化委员会办公室曾于2020年2月出台《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确要求坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视;任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。


而企业根据遵守当地疫情防控的要求,可能会在员工到达公司或在公司期间测量体温、收集旅居史等信息。企业也需要坚持最小范围原则,并对据此收集的个人敏感信息、个人信息做好保护。


(五)基于集体劳动合同、企业规章制度


《个人信息保护法》规定了按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的情况下,企业可以收集员工个人信息。对于企业管理所必需的个人信息收集,例如通过企业办公电子设备收集员工个人信息,企业提供商业保险、补贴时收集个人信息等,企业可将其纳入劳动规章制度或集体合同中,作为企业收集员工个人信息的合法性依据之一。


四、 企业收集员工个人信息的合规建议


基于前面提到的合法性依据,以及《个人信息保护法》对于收集个人信息的要求,我们建议企业在收集员工个人信息时需要:


(一)坚持“最小化”原则收集员工个人信息


收集信息的范围仅限于与订立、履行劳动合同直接相关的信息,例如身份信息、通讯信息、教育及从业资质信息、工作经历信息等。对于特殊岗位或出于劳动保护、女员工劳动保护的要求,可收集员工健康信息、传染病信息、女员工相关信息等个人敏感信息,收集个人敏感信息时更需要获得员工的单独同意。


(二)无充分理由,谨慎收集女员工的婚育信息、家庭成员信息


仅限于涉及到《女职工劳动保护规定》中对于女员工的保护义务时,收集女员工的婚育信息、生理期信息、哺乳期信息等。如无任何理由的,需谨慎收集;若员工拒绝提供的,企业需避免直接以此为由不予录用员工。


(三)将企业合理收集员工个人信息的要求纳入企业规章制度或集体合同


例如企业希望通过工作设备收集个人信息时,可以规章制度中明确:1、员工使用的工作邮箱、电脑、手机等与工作相关的其他电子设备及电子账户均为“工作设备”;2、公司出于管理需要,有权监控和检查员工工作设备,收集、使用工作设备上的信息;3、明确在职期间员工使用工作设备应仅为工作目的使用,原则上不得用于处理个人事务;4、明确员工不得用其私人电脑、其他设备及私人邮箱处理工作事务;等。如果涉及到其他收集个人信息的,则在企业规章制度或集体合同明确收集的目的和处理方式等内容。


(四)根据第三方要求收集员工个人信息时,企业不自行收集和留存,由第三方直接向员工收集


企业在为员工及其家人投保寿险、健康险、旅游意外险等情形时,由第三方保险公司直接向员工收集个人信息和个人敏感信息。企业通过与第三方之间的相关合同,约束第三方履行个人信息保护义务。


(五)坚持履行告知义务,获得员工同意


互联网企业与用户之间的个人信息收集普遍做得相对较好,互联网企业会逐一告知用户其收集的个人信息及目的,获得用户的同意。当涉及个人敏感信息时,会再次获得用户单独同意。企业与员工之间的个人信息收集,也应该避免使得员工处于被动或者弱势的地位,参考互联网企业履行告知义务、获得员工同意。

caihaohui.png