僱傭關係中是否存在個人信息保護問題？|互聯網法律觀察

5 人贊了文章

先廣而告之一下，專註互聯網法律的享法團隊開知乎問答號了！！在這裡我們關注互聯網、法律和創業的話題，對熱點問題有獨道回答，歡迎您關注和點贊！！

前兩日，知乎問答上有蘇寧的實習生遇到被人事要求填寫個人基本資料的情形，求助知乎詢問這是否涉及個人信息保護？

企業日常人事管理中要求員工填寫個人基本信息，在日常生活中已經司空見慣，難得有提問者這麼認真思考問題的，享法小編在對提問者的態度點贊之餘，跟隨問題，也簡單調研了有關企業處理僱員個人信息的相關法律規定。

對個人信息的定義做出了界定的最新最熱法律當屬2017年6月1日生效實施的《網路安全法》（簡稱「《網安法》」）。

個人信息：「指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等」。

員工被收集的相關信息明確屬於個人信息範疇。然而，網安法項下個人信息收集和保存的規則的調整對象為「網路運營者」（也就是「網路的所有者、管理者和網路服務提供」）在日常經營活動中取得的用戶個人信息的保護。顯然，用戶人單位根據其與勞動者之間的勞動勞務關係而獲取個人信息的行為，似乎不在《網路安全法》的調整範圍之內。

根據實踐中我們的總結和經驗，就用人單位在其內部管理中收集到的員工個人信息，以及對該等信息的處理方式，國內尚沒有明確的法律法規規定。

但是，針對一般業務經營者（包含網路運營者的概念在內），網安法和其他相關法律法規項下存在一些一般性條款，需要該等一般業務經營者遵守。用人單位應當歸屬於一般業務經營者的範疇。例如：

網安法第四十四條：「任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息」。

《民法總則》第一百一十一條：「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得並確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息」

因此，用人單位收集和處理員工個人信息仍應遵循該等一般性規則。

另外，參考歐盟《一般數據保護條例》（"GDPR"，國內個人信息保護立法的標杆和走向，2018年5月將正式施行）的對企業內部僱員信息的規定，也能夠看出國際上對於企業內部僱員個人信息保護的重視以及劃定的規則底線：

歐盟《一般數據保護條例》第88條 人事領域的數據處理：

1. 成員國可以在法律上或者集體協議中規定更加明確的規則，確保在人事領域處理員工個人數據時其權利和自由能夠獲得保護，特別是為了招聘、履行勞動合同，包括在法律上和在集體協議中確立的義務履行、經營管理、計劃和組織工作、工作場所的平等和多樣性、工作中的健康和安全、員工和客戶財產的保護；或者是為了個人或集體行使和享有僱員的權利和權益；或者為了僱傭關係終止的目的；

2. 這些規則應當包含合適和特定的措施以保護數據主體的人格尊嚴、合法利益和基本權利，特別是關於處理的透明性，企業集團內的個人數據的轉移，或者參與聯合經濟活動和在工作場所從事系統監測的企業。

綜上，員工的個人信息被企業收集是出於企業內部管理所需，且是員工自願提供（否則員工可以不填表、不提交），企業收集員工個人信息並未違反法律規定。

但是，如果企業未經員工同意，對外出售、提供、加工、傳輸（包括跨境傳輸）員工個人信息的，則將被視為侵犯員工個人信息權的行為。當然，如果企業（用人單位）在收集和處理員工個人信息時，已經做好企業內部風險防控，獲得員工對於企業收集和處理其個人信息的明確同意的，那麼企業之相關行為不會違反法律法規的現有規定。前述內部風險防控工作應當至少包括：

◆在招聘和錄用時，收集、使用和提供個人信息的行為應當經過應聘者明確同意；

◆規範用人單位內部制度，明確員工利用用人單位內部系統及許可權實施侵犯個人信息的行為；

◆明確獲取員工同意其個人信息在關聯企業之間共享，或在併購重組項目中予以披露和使用；

◆跨國公司應該就跨境傳輸獲得員工的事先同意。