员工隐私政策
首先前言这部分,就是指直接收集和间接收集,间接收集又分成两种,GDPR 上也是这样规范的,在我们国家的个人信息安全规范上也可以找到类似的话术。在这儿不多说,因为 太学理了。
然后往下讲,从直接跟个人处收集个人信息相关的信息,我们这里面列了一下,可能需 要考虑这些点,或者说要遵循的原则性要求,有哪些合法性、正当性、必要性,关于三性我们不多说了,合法性主要还是收集的时候要合法,不要诱导人家同意,不要强迫收集。这些
其实在个人信息安全规范里是有明确对合法性进行说明的。正当性指的是什么?指的是对于企业直接收集个人信息,个人对于他被收集的信息是有一种合理的期待的。正当性更多的指的是这里,所谓的个人对于其被收集的信息的合理期待,到底原因有多合理,所以很多时候,比如说我们的客户被收集信息,企业就告诉他企业的目的,当然之后就要遵循企业的目的限制,企业的目的需要明确,需要具体。但是这个时候要反过来看一下目的合不合理,比如航空公司跟个人客户说公司收集信息可能是为了座椅上面的安全带,因而收集客户的腰围尺寸,然后说公司的安全带做多大算安全。但这个原因实际上就不正当,众所周知座椅不是由航空公司提供的,所以回到刚才说的正当性,更多的反映的是人对于他被企业收集的数据的合理期待到底有多高。必要性其实跟电脑文件中的最小化,包括存储限制是有关系的。它指的是收集的数据跟企业开展业务、或者企业给个人提供服务是直接必要相关的,怎么体现呢?在数据最小化的范围进行数据收集,必须要在企业目的所限的范围内收集。超出了企业的目的所限范围之后,企业收集的就是多余的,就是过量收集或者过度收集,APP 执法部门执法的时候天天说这个事,有哪些企业是过度收集的,然后列到官媒中如工信部的名单里,然后去发表出来说这些是过度收集个人信息的企业。现在大家在很多时候也不会去故意多收集信息,但是这个地方还是多说一嘴。必要性分成两种,一种是从空间上的表现,就是刚才我说的数据最小化的问题,另外一个就是时间上的必要性。时间上的必要性就是企业存储数据不能说收就收,收完就扔,收集之后大部分的企业还是要存储的,存在哪里、存储多长时间,这个也反映出必要性。在这里我们主要还是说收集的问题,所以存储限制这个部分我们没有多讲。透明性指的是企业收集个人信息之前,需要告知用户企业收集这个信息是怎么收的,收集到哪里,用途,分享给谁,跨不跨境,是否提供给外国服务、用户有哪些权利,企业能不能给用户实现,多长时间能实现,企业如果出现变化用户怎么更新,最后是用户如何找到企业,怎么投诉企业,怎么举报企业,所以透明性原则整体来说其实更多体现在隐私政策上。但是对于我们收集信息来说,可能还有另外一个反应,可能还体现在访问权上,但是就访问权本身来说,透明性更多强调的是在企业收集之前就要告诉用户,这个是从收集的角度来说的。从安全性来说,企业收集的过程本身也应该安全,如果收集的时候给用户造成木马中毒或者有漏洞或者有脚本出现问题等,出现边收边漏的情形,这个也是不太好的。准确性、完整性和保密性,就反映了数据质量,说白了要确定企业收集的信息能不能用,不要造成企业收集完数据发现不准确,企业运用时显示底层数据都不准确。完整性就是说企业收集来的数据都是零碎的,也没有什么可用的价值,比如说收集的人名没有身份证号,对照不出来具体个人,或者收集来的个人信息中没有手机号,企业没办法给他发营销邮件、营销短信等,所以准确性、完整性、保密性的统称叫数据质量。这次个保法修订,其第二轮的审阅里面也特别强调了对数据质量的要求,企业一定要保证数据质量的有效性,不要发生企业收集数据之后发现都用不了,然后给用户使用不准确的信息,最后企业还得更正。问责制是指企业对于收上来的数据本身,企业应该有一个意识能够展示出来,企业要告诉大众他的收集本身是合法的、合规的,它更多体现在企业内部怎么去设计,比如说界面怎么设置,对外展示出来这个是合规的。执法机关也不会说上来就看企业的 documentation,他应该是看界面,比较容易看到的地方如网站、APP 等,如果在界面就看到不合规之处,他肯定会对企
业进行执法,所以这也不是什么难理解的事情。
往下说涉及到收集个人信息的一般性规范,为什么要说一般性规范?因为中国的法律既 有一般性的规范又有行业性的规范。当然我们在平台上的客户里面可能从事不同的行业,比 如说有医疗的,有金融的,保险的,都有行业的规定,但是我们现在没办法一一照顾到,只 能先说一般性的,比如说民法典,从 1033 条的隐私条款开始,从 1035 条关于个人信息的条款,一直到 1039 条;《刑法》修正案九里面规范了侵犯公民个人信息罪,但是这种提法是不是适当还是个问题,因为公民个人信息和自然人个人信息又有区别。《网络安全法》从 第 40 条开始说网络信息安全的部分,《消费者权益保护法》里第 29 条说的是尊重个人信息的权利的部分,主要关于怎么尊重、怎么披露个人信息的相关的规则;《网络交易监督管 理办法》是一个新出规范,五一开始生效。这个法规本身从 315 出来,所以它有很强的指向性。它主要还是在个人信息的角度上,规定关于与企业经营不直接相关的信息怎么收集和 保存。《个人信息安全规范》有点像中国的 GDPR,但是它没有那么高的效力,它规定的比较全面,是怎样在个人信息合规的实践层面上,让企业合规的类似指南的规定,它是一个推 荐性国家标准,没有那么强的实施效力,但是执法机关愿意去参考它,而且我在司法判决里 面多次见过原告和被告方援引这样的条文去证实,其中主要指正当性的做法。《App 违法违规收集使用个人信息行为认定办法》不多说了,天天见报,天天有相关执法的案例,这个 问题主要还是需要我们更多关注 APP 怎样合规,有具体的指向性。《常见类型互联网移动互联网应用程序必要个人信息范围规定》,它主要讲的是 APP 上哪些算是企业必要的收集的个人信息的范围,这是一般性规范。
我在下面主要列了一下,涉及到收集个人信息的主要条文,我们可以看到《民法典》第1035、1036 条,《刑法》第 253 条之一,《网络安全法》第 41 条第 42 条,我就不多念了,大家可以看一下。《APP 违法违规收集使用个人信息行为认定办法》除了最后部分不涉及到收集,第一、二、三、四、五部分都会涉及到,可能会有一些同事会疑问,办法中的 第三四部分可能也不涉及,它主要规定的是提供。但是别人提供给你就相当于你从别人那里 收集。所以这就是刚才说的直接收集还是间接收集的问题。《常见类型移动互联网应用程序必要个人信息范围规定》全文都会涉及到这个问题。
对于收集员工信息的合规要点,作为一个例子来给大家说这个事情,看我们怎么分析它。收集
员工信息的合规要点
原则上出发,这个时候我们更多是看合法正当必要原则,因为那些原则在个保法没生效之前,我们都可以暂时先不看它,而民法典和网安法上要求
就是合法正当必要原则,其本身从原则出发的话,合法性基础是什么,这个时候企业收集员工的个人信息,其实可以依据两个不同的合法性基础,一个是法律的直接规定,法律的直接规定体现在哪?劳动合同法里有要求,跟劳动合同直接相关的个人信息,企业是可以直接收集的。这个主要依据就是劳动合同涉及到的必要的个人信息的范围。第二个就是同意,除了那些必要信息之外,企业想多收集的,比如说有的企业可能问人家已婚、未婚,这就是属于多收集的。多收集的个人信息就更多依赖于同意,这就是我们说的同意和法律规定就是收集的依据。但是现在有没有更多的合法基础,民法典有要求说同意的例外情况,包括三种情形,第一种是在同意的范围内,员工同意的收集事实本身可能跟他直接相关,这个时候也算是在同意的范围内。第二种是在已经公开的信息来源,当然企业严重侵犯员工个人信息利益的这种权利和自由的情况除外。第三种是企业为了公共利益,或者是为了个人重大利益,比如说他的生命安全,这个时候企业可以去收集而不需要经过个人同意,但原则上在很多时候是不能直接去援引的,因为它属于例外,使用的场景比较有限。比如说公共利益,可以说疫情是公共利益,但是这个时候疫情涉及到公共利益的是企业本身还是相关的机关、国家单,是要在这方面考虑的,所以很多时候不能直接援引,更多时候企业依据的是同意。所以这个地方如果能理解的话,再往下就理解很多。对于透明性原则是否满足,刚才说了隐私政策,但是隐私政策又会进行细分,比如网站上的隐私政策,APP 上的隐私政策,给员工看的隐私政策,还有给应聘者看的隐私政策,是不一样的。因为它的数据主体是不一样的,它的受众是不一样的收集的信息类别是不一样的,企业想要分享给的第三方是不一样的。所以这个时候很多企业在收集数据时,不会去做员工隐私政策,也不会去做应聘者隐私政策。本身对于员工或者对应聘者来说,这是其个人的权利。尤其是在民法典已经生效的基础上,这都是个人的权利,其可以要求企业展示这些规则。因此最好有隐私政策,尤其是企业在网上招聘,比如说企业自建的招聘网站,企业可能有招聘站点,或者有员工系统、OA 系统,本身涉及到收集这些个人信息的时候,就需要有这种隐私政策。最小化原则是指不要采集无用的个人信息,说白了企业收集这些信息本身是要实现目的,超出目的范围就是过量的,虽然目的可能在变化,但是企业不要收集无用的个人信息。这其实反映出在商业上更多是有利于企业,而企业收集无用信息,对于企业来说更多是埋雷,不能产生任何商业上的效益,除非企业卖出去。必要性原则,这里更多体现在存储限制上,存储员工的个人信息也不要存太长时间,员工如果身故,他的个人信息还在企业中存储也不太好,员工离职、退休、或离开岗位的时候,他的个人信息没有必要留在企业,以上都是要注意的问题。这是第一点,从原则出发去看这个问题。
第二点,刚才说的员工隐私政策、应聘者隐私政策,我在这里面稍微列了一下,员工隐私政策与应聘者隐私政策到底有哪些是不一样的,从我的经验上来说,很多国企连这两个政策都没有,更别说知道这两个政策有什么区别。但是,这不是个问题,政策随时都可以做出来,文本是很好做的。关键在于人力同事或者我们法务同事管人力这部分时,要有一根弦,不是说员工的隐私政策可以不用管,只管消费者或者用户或者可能跟企业相关的联系人的隐私政策。不是这样的,员工和应聘者也是人,个人信息权利是一种人的基本权利,或者说是一种人格权益。只要是活着的自然人,都可以有这方面的要求。尤其个保法现在考虑是否增加个人信息保护这部分的内容,我个人觉得这更是一个问题。
对于劳动合同直接相关的信息,这部分如刚才所说,企业依据的合法性基础,本身有劳 动合同法上要求的与劳动合同直接相关的信息,另
外就是同意。劳动合同直接相关的信息包 括哪些?在《劳动合同法实施条例》里面包括劳动者姓名、性别、身份证号、户籍地,然后
住址、联系方式、用工形式、用工起始时间、劳动合同期限等。其他劳动合同直接相关的信息包括哪些?比如技能、学历和工作经历,也包括个人是否适合劳动的健康情况;比如有的劳动可能需要下矿,如果身体健康不符合,那也不行。有的时候也需要收集一些健康情况,对于这些企业会要求,此外是否存在兼职,有的行业要求不能兼职,比如说律师行业就不允许,除了老师之外,老师可以兼职做律师,但正常情况下,专职律师是不允许兼职其他行业的,对于这方面律协都有查的。婚姻状况、生活经历与劳动能力无关的健康情况,这些不能算是跟劳动合同直接相关,这个时候企业要收集其个人信息,基本上就得依据同意,而且依据同意我也发现不了太多合理的目的。比如婚否,可能更多考虑的是员工是不是要休婚假,是不是要有婚假上的福利。对于生活经历如果企业问员工,我总有一种隐私被窥探的感觉,这个在很多的时候跟个人的生活是直接相关的,我们可以把自己定位为被收集者,然后反向去看你自己如果被收集这些信息的时候,是否不舒服、平衡不平衡,心里有没有愧疚感。
员工敏感信息收集这部分,因为敏感信息在中国,尤其是目前的 APP 的规定上来说,要求要额外有提示告知义务,同时在个人信息安全规范上要求民事同意。当然这部分在强制 性法律里面是没有直接体现的,比如网安法里面没有体现敏感信息或者民法典里也没有敏感 信息的规定,但是我们一般还是会说敏感信息。但是现在 APP 在新规里面,应该是 26 号发的 APP 个人信息管理关于个人信息暂行办法,暂行办法里面有提到哪些算是APP 上收集的敏感信息,其实扩展了身份证号、银行卡号、位置信息,还有其他信息,比如民族、宗教、种族、健康状况等,这些都是敏感信息,但这些内容本身在 GDPR 里面就有的,我们只是原来的基础上又往里头加了一些。在《个人信息安全规范》里面,它的定位 是更多的。我记得应该是附录 B.1 的表格里面有描述哪些是敏感信息,而且把儿童信息也定位成敏感信息,我记得很清楚。从场景上来说,我们一般收集员工的敏感信息、都是人脸信息、指纹信息,用于打卡,身份证信息对应工资卡,因为它是跟银行卡号相关,还有比如位 置信息,有的时候可能企业有一些出外的销售,或者是跑外的行政员工,企业可能要监督员 工是不是在上班,是否下班,需要员工在特定位置打卡,或者移动位置打卡,这个时候可能
需要跟踪他的位置,这些都是很敏感的信息。尤其个保法里面也有规定,哪些类别算是敏感信息,这在个保法的草案里面是有规定的,现在还没生效,但是我觉得那块是不会大改的,大家也可以关注一下。
我们为什么要说需要员工同意,主要大家还是习惯让员工点个同意就可以。这个时候是不是点个同意就足够了呢?从敏感信息的角度上来说,点个同意远远不够,企业作为雇主,跟员工收集这些个人信息,跟他说同意一下员工敢不同意吗?不同意就开除了,对不对?或者可能给领导的印象不太好,领导可能给员工小鞋穿,员工也受不了歧视性的问题。所以更多的时候员工是同意的。企业需要给员工一个可以不同意的选项,比如打卡,企业规定用指纹机打卡,员工可以不同意吗?企业可以提供一个签到表,员工在表上签字也是一种做法,或者员工可以用员工卡打卡这也是一种做法,企业就不用收集这种敏感信息了。但是这里只是提示一下,你得有一个 alternative 的 option,别告诉员工只有一种选择,然后员工必须同意,那就是强迫同意,这是员工敏感信息的收集部分。
然后对于监控,这个地方很多企业是没有感觉的。说白了大家可能不知道还有监控这个事
如果你有做个人信息的同事就会知道可能很多的时候都在监控,比如说你的行为,你的日志,你的员工邮件,扫描的关键字。主要有语音监控、摄像头监控,摄像头监控可能还要说一点,员工可能会发现安了一个摄像头,可能还有提示“CCTV”,但这里面我们要说的是监控本身是要披露的,而且还要说明企业如何收集信息。比如人脸信息、声音、邮件上的信息以及这些字段,企业怎么去收集以及怎么使用的规则。同时,在国外更多的时候,由于员工属于是弱势群体,在欧盟的 EDP 的 guidance 里面,这类人员算是易受伤害的群体,就是弱势群体,欧盟对弱势群体的理解就是雇主让员工做的事,员工很难有机会反驳,所以这个时候企业所要进行处理的这部分活动,本身是需要经过数据保护影响评估的。DPI 在不同的国家有不同的叫法,有的国家叫 PIA,在欧盟法律直接规定叫 DPI,我们国家现在也有相关的叫法,比如《个人信息安全规范》里面规定个人信息保护影响评估。个保法里面有类似的规定,而且个保法里还规定了评估留存记录的年限。从立法的趋势上来说,这是一
个趋势,这是关于员工监控的部分。
员工信息存储的部分主要是员工信息存储的类型和期限,它还是以目的限制作为一个基 础,我在这里面也说的比较细,由于它跟收集不直接相关,它是收集后的第一个步骤,所以 我在这里面也列出来,如果只讲收集信息的话,这块也可以忽略,大家随意即可。
第二部分是通过受托方来去处理、收集个人信息。要点是什么?第一个看企业收集的来源是不是合法的,是不是合规的。怎么去做这个事情,企业可以安排一场尽调或者审计,去查看是不是合规的或者合法的,之前是有案例的。我们一个客户作为受托方,然后在瑞士保险这边,跟他签订一个合同,然后瑞士在这边要求他做一个尽职调查。它不是收购,只是纯粹的数据合作,但要求企业做一个数据尽调,对于数据尽调当时列了一个表,要挨个对标,看有没有这些东西,尽调还挺复杂的。
对于尽调的部分我也列了一下关键点有哪些,比如说企业是不是有合规体系,收集的合法性有哪些,分享的合法性有哪些,当然这些在中国目前来说都是同意,此外企业组织管理技术方面的措施是不是足够保障数据的安全,之前是否发生过类似的数据安全事件,比如数据泄露等,这个很重要。我们之前遇到过客户作为委托方,他的受托方可能发生过数据安全事件,以前不知道后来才发现,这个都是问题。此外,供应商之前有没有被执法机关调查过,包括 APP 执法,一些政务软件也可以执法,委托方靠供应商收集信息,供应商一次被查两次被查、n 次被查的时候,是不是会影响供应商做这个业务,所以在供应商尽职调查的时候,这些东西都需要注意。
第二点就是供应商过错引发责任的问题。这有一个真实的案例,这个案例是我客户的案 例,客户使用供应商设计人脸识别验证,就是想验证会员是否是本人,而后人脸验证出现问 题,人脸
识别是活体验证,活体验证需要达到一定的标准,比如说百分之多少,才能够确定
是这个人。后来发现可能活体验证的标准下降,然后其他人也能进去,导致一些不法分子靠 这个漏洞,登录其他会员的账户,可能有一些会员的积分被乱用。但是这些积分对于会员来 说,其本身不是直接损失,这些积分都是可以补回来的,而且经过调查之后也补回来了。就 这个公司来说,本身它采取的措施也比较得当,立即切断了这个功能的使用,然后通过一些 第三方渠道来作验证,比如说支付宝、微信等。这个时候我们要看能不能对供应商追责,就 得看你跟供应商之间有没有协议,签的协议是否规定数据泄露供应商应该承担什么责任,给 企业造成的损失应该承担什么责任,这些在协议上有没有规定。如果你告诉供应商应该承担什么责任,供应商会反过来说其只是受托方,受托方的责任在民法上应该归于委托方,如果没有单独约定责任的话。其实在很多的时候如果我们作为委托方,作为客户这一端,跟供应商签合同的时候一定要注意这部分。而且刚刚 GDPR 里又出现一个案例,一个处理者cypher,在全球的航空公司里面它都是很重要的一个供应商,它出现了数据泄露,然后就给这些航空公司发邮件说数据泄露,贵企业可能有些数据被涉及到,那这个时候该供应商好像直接表态,因为它跟这些航空公司签的协议里面,都是有约定赔偿限额的,很多内容不赔偿。所以在这里面我们大家一定要清醒,不是说你的供应商跟你都是一条心的,他在谈协议的时候一定会留个心眼,所以这个地方一定要注意。
企业和供应商承担责任的分配。对于这部分,主要还是因为中国对这部分的规定很宽泛,尤其在《个人信息安全规范》里面,它只是提到了可以用审计的方法,也可以用跟供应商签合同的方法,在《个人信息保护法》里面有要求对于企业来说,企业跟供应商之间签一个协议来去明确双方的权利义务,但是哪些权利义务需要明确,实际上没说。所以我们一般来说,在实践中更多参考的是 GDPR 里面第 28 条规定,关于控制者和处理者的类似的比对。而且其实在其他国家法院里面,比如加州的 CCPA 里面也有规定,business 和 supplier 之间的关系,有一个这样的说法,但是实际上从整体来说 GDPR 可能更好一点。比如 GDPR 规定处理者必须要按照控制者的书面要求指令去操作,这就相当于我们要去规定控制者,由企业来决定这个数据怎么使用,目的是什么,处理者只是按照企业的指令操作。但这个时候处
理者由于接受的指令可能过于宽泛,控制者可能在某些专业角度上不够专业、不够细致,所以这个时候控制者给处理者可能更多的是一个结果性、效果性的指令。这个时候更多依赖于供应商的专业度,供应商如果要坑这个企业可能是很容易的,所以一定要约定好各项的要求,比如怎么回复数据主体请求,发生数据泄露的时候如何操作,怎么开展合规审计,包括出现问题的时候怎么赔偿,赔偿的范围是多大,这些是要直接规定好的,不要到最后出了问题,找不到供应商,或者供应商说合同里也没写这些条文。所以咱们法务同事,包括可能会有一些法务同事专门做个人信息合规的这部分的,也一定要看好这些供应商,梳理好这些协议,这些内容本身不复杂,都是有模板的,只是说需要有个心眼,这个环节是不可省略的。对于如何签署处理协议,刚才也说了,其实这个地方我们更多也是按照 GDPR 的第 28 条的要求,可以参见上一页的写法。
其实处理数据处理协议的签署核心原则上就是控制者决定一切,处理者只能按照控制者 的要求来行事。这也符合一般企业跟供应商签合同的一般原则,就是企业说了算,供应商只
业的。所以一般性的流程就是这样的,企业就是不断的添加指令,往里加入跟数据保 护相关的部分而已。这不会挑战我们原有合同审核的这部分的思维方式。
从第三方处收集个人信息,这个地方可以多讲一讲。一方面我们要区分一下角色,企业跟第三方分成不同的角色。第一种就是企业与他人联合的时候,这个时候当然得一起拍板,一起商量,之后一起使用,它不是一个孤立的行为,但是有的时候,企业可能有自己的小算盘,有自己的打算,数据可能从他方收集来的,但是企业就是想这么使用,想按照企业隐私政策的说法去使用它。这个时候对方可能对于交换来的数据也想自己安排使用,不想跟企业一起去商量这个事情,这个时候就会分成两种不同的角色,一种叫做 independent controller,就是指各方独立说明数据使用或者数据处理的目的方式。另外一种就是 jointly controller,共同决定数据使用的目的和方式。
在这两个不同的方式下,实际上会有不同的场景,比如我以航空公司举例,我的客户跟
OTA 之间的合作更多的时候体现为 independent controller,企业独立决定,有自己的目的,用自己的方式,没有共同约定一个平台、共同去约定一个方式来处理,这个时候不构成共同控制。我们在法律上来说,各回各家各找各妈。所以这个时候要关注的就是交互的部分,传来传去的部分,对于传输的部分可能就得考虑传输本身是不是有法律上的义务,当然我这里面扩大一点说,不只局限在中国的角度上,可以在全世界范围内看它是不是有法律上的义务。比如说传输本身就依赖于同意这一合法基础,企业有没有获得过个人的同意。第二个就是说同意应该怎么设计,总不能说每传一次都同意一次,这个同意是不是有默示同意的可能性,或者说同意本身要以什么样的方式展现,可能是以 popup 弹窗这种方式,这是一种基于法律义务上的考虑。
第二种是安全上的考虑,有没有采取一些措施来保障传输的安全性。措施本身是不固定 的,主要是采取双方认可的安全措施,足不足以保障数据不泄露,我说的数据泄露是一个大概念,也就是说不足以产生数据安全事件。这个时候数据的传输,比如说专线传输也好,或者说用加密的方式传输也好,或者再说细一点用同态加密的方式去传输也好,或者是非同态 的加密方式传输也好,措施本身不是固定的,而是看到底有多安全。
第三个是待传的数据来源是否合法。我们从更深的层次来说,因为很多时候我们都默认对方是有合法性技术的,而且都会要求对方承诺。但是传输本身,如果数据传来的时候,双方之间有一个默示的默契,传输可能是不合法的时候,企业真的要去尽调一下,然后去看一下有没有什么策略能够把这些数据以合法的方式得到,不是说大包大揽,这个时候就会有一些问题。数据本身从来源合法上来说,可能更多的是要求企业要去尽调,尽调之后去看有没有一些方式方法至少能保证企业一部分数据的来源是合法的,这些要就具体的情形去说,干说是没有意义的。我们之前有个客户是航空公司,航司从航信这边获取高端旅客的数据,对于部分数据航司认为是他的,航信认为是这个数据是己方的,这个时候就看合法来源到底在谁那儿,这个数据本身的属性到底是谁的,是谁获取的同意,是谁直接收集到的个人信息,他收集的依据是什么,这些就决定了数据传输是不是合法的来源。这是非联合地合作收集。
而对于联合收集个人信息,这个部分场景非常有限,它在目前的社会里面也很少出现。它主要还是说双方一起收集信息,比如说我们的客户跟航信共建一个平台,由这个平台单独
收集个人信息,这个时候这个平台上的意志就是双方的,他们共同用这个平台去收集信息,在这个平台上使用,然后以这个平台做一个约定。这个时候要划分哪方管什么。比如数据中心投诉,其中一方来管;发生数据泄露,一方离得更近且能进行调查,这些主要还是在协议中约定清楚,尤其是对于赔偿来说,谁赔谁、怎么赔,出现什么情况进行赔偿,赔偿限额有多高,是无限赔偿还是限额赔偿,这些在协议里面是可以约定清楚的。但是很多时候法务同事或者说商业同事会在这上面犯迷糊,他们可能会在一些场景上不自觉的认为两家既然合作,那就当成是一家,但是实际上是两家,所以一定要保证万分的清醒,企业合的时候大家都是笑脸的,一旦出现问题都是互相甩锅的,合订协议时千万不要默认对方是好人。这个是我们讲 PPT 里面最核心的一点。在收集信息的时候要有一个意识,我们无论怎么收集个人信息,直接收集的时候企业的底线、红线是什么,同意怎么获取;企业从第三方处收集的时候,企业与第三方的责任怎么划分,这是我们这次课上最最重要的部分。
互动问答环节:
1.Q:员工数据出境是否可通过员工手册获得概括性同意,还是需要逐项同意呢?特别是数据涉及员工银行账号、工资等敏感信息,向境外传输的目的是优化公司全球管理;客户或供应商联系人的工作联系方式,包括手机是否可以传输到境外,目的也是为了全球客户管理,是这两个问题。
A:就是相当于问两个问题,一个问题是企业正常的员工信息怎样传输,怎样表达同意?是 直接默示同意,还是必须要取得明示的同意,而且其实这个规定在现行法律里面没有直接规 定企业必须要取得民事同意的,因为法律尤其是民法典,还有网安法,实际上对于企业人力 及员工来说,首先,因为企业传输的员工信息也不会很多,当然外企不一样,尤其在中国规 模很大的外企可能不太一样,但是很多的时候企业将员工这部分的系统认定作为关键信息基 础设施的可能性还是比较小的。因为网安法在第 37 条里面直接规定,只有关键信息基础设施运营者,才有数据本地化和数据传输评估的义务。后来有两次征求意见稿试图把它扩展到 网络运营者的义务,但是没成功。所以这部分还是限制在关键信息基础设施运营者中。但是 它传输的信息有个人信息、重要数据,限制是在关键信息基础设施上产生的,企业人力资源 系统有多大可能性被认定为关键信息基础设施,这个系统本身是有障碍的。因为首先现在法 律上没有直接的规定,第二原来有一个信安标委颁布的非强制性的国家标准,而且还是征求 意见稿,是数据出境方面的一个国家标准。但是这个标准有列出 20 多类的数据,我记得是
27 类的数据会作为敏感数据,但是这里面会考虑到数据的量有多大,比如说 1000 人和 1 人是不一样的,1000 万人跟 1 万人也是不一样的。所以从某种意义上来说,对于这种跨国公司在中国的部分机构,是很难将它这部分人力资源的系统认定为关键信息基础设施的,基 本上不用去考虑传输评估义务的场景,同意是因为民法典第 1035 条规定传输是一种数据处理。
理行为,数据跨境传输本身需要经过同意才能够传输,尤其是提供给第三方的时候,是否算做第三方也有疑问,这个时候默认传输是需要同意的,但是同意的标准民法典里没有直接规定。所以就目前的操作来说,都是以默示同意作为要求,比如写到企业的员工隐私政策里面,其中明示要将企业的员工信息传输给境外的总部,然后以什么样的方式传输,传输的目的是什么,比如优化企业的全球人力资源管理,其本身做法是 OK 的,但是一旦个保法成效,其中条文里面有规定,跨境传输是需要经过单独同意的。对于单独同意如果按照我的片面理解,是要按次同意的。按次同意怎样理解?就是企业每传输一次都要同意一次,但是这个规定有多大的可操作性还不确定。当时征求意见的时候,我是提过意见的,还是以直接寄给法工委的方式,我记得特别清楚,大家都有这个疑问,到底是按次同意还是一次性同意所有内容,这个操作本身是个问题。第二个就是企业怎么保证这个同意是能够撤回的,比如员工不是单次同意,是概括同意,当员工想要撤回同意时,因为法律规定同意是可撤回的,个保法这次的修订对这部分是有要求的,一旦同意可撤回,同意传输是不是也可以撤回,如果它已经成为既定事实,企业怎么撤回;包括企业撤回的时候,撤回的是哪一次的同意,如果员工是概括同意,企业撤回的是哪一次的传输,这都是问题。所以从我片面的理解上来说,同意是按次的,而且是具体的。是按照每一次的目的单独传达,这是从个保法的角度来说的。
但是其他的法律在这个角度可能也有一些不同的规定,可能一些特定行业的规定也是不太一样的,但是从一般性规定来说目前是这种状态。对于敏感信息,由于民法典和网安法上都没有规定敏感信息的定义,APP 上有规定敏感信息,包括现在法律里面规定的身份证号、工资卡和其他信息,但是位置信息,从我的看法上来说,这是需要明示同意的。所以很多时候大家会制造一个单独的页,因为个人信息安全规范说明是同意,但是一般来说企业就会给员工一个单独的页,这一页包含员工的这几样信息,如传给哪些地方,用于什么目的,员工同不同意,员工不同意企业就不传输,同意就传输等内容。这个规定对于人力来说其实不太合适,可能出于企业整个人力资源管理来说,比如员工的银行卡号怎么可能单拎出来说,该传播的都得传播,所以这个部分员工单说同意也没有什么意义,其实就是告知,从我理解上来说。但这些都是我个人的理解,不代表目前法律,也不代表以后法律是这个趋势。因为个保法如果开始生效,个保法对敏感信息的同意都是以书面或单独同意的要求,而且还是按照刚才说的,如果能撤回的话,一定是具体的内容,具体的同意已经反映在企业具体的目的上的。所以从我学习数据保护的角度来说,操作空间是有限的,或者说实践的难度是很大的。
第二个问题,针对 B to B 的企业,对于对方企业人员名片的信息,或者说你方对接的个人信息,比如说我们律所跟客户签协议的时候,可能会留我的个人信息,这部分个人信息 需要经过同意。从目前的角度来说,这些都是民法典涵盖的内容。所谓的联系人信息,也是按照这个规则来行事的,不是说没有规定,而是规定得过于概括,把它囊括进去了。民法典 是有要求的,我们在 APP 端、或者是有 B toB 的企业,比如举个最简单的例子,我的客户就有个 APP,其 APP 只输入企业联系人就可以,然后就属于一个手机号,这个信息也是按照个人信息来保护的。但是它 APP 的这一端从后面的趋势来说,更多倾向于 C 端而不倾向于 B 端的客户联系人。对于这部分你可以在必要个人信息范围规则里面看到,它有划分这一部分,但是从整个做企业合规的角度来说,这部分是一定要囊括在数据合规体系里的。
2.Q:张律师你好,我想问一个关于您刚才提到的员工监控的问题。是这样的,我们公司有 一个数据保护的工具,他会找到员工邮箱里面邮件的关键词,实时发现一些关键或者保密的 信息被大量的上传下载,可能就会在内部出一些情况。我想问一下使用这种工具的时候,因 为据我们所知,电脑是公司的财产,员工首先不应该用公司的电脑去储存或者使用任何个人 信息的邮件。那么在这种前提下,是不是有必要,还是需要单独告知员工这个政策或者这个 工具的存在?
A:我理解您的意思,就是相当于比如员工的邮箱是企业发给你的,这算作企业信息还是员工信息呢?其实从目前执法机关在不同的执法场景里面,尤其我前两天看到北欧的一个执法信息,应该是挪威或瑞典的,企业把员工的邮箱认定是员工的个人信息,而后在员工邮箱里面收到一个比如企业的联系人给他发的推销信息,也被认定为是个人信息处理。而且案例直接指明这是直接营销,不是普通的营销,direct marketing 和 marketing 是不一样的,所以这里面就是回应你刚才说的很难去区分,尤其在很多时候企业员工的信息、邮箱不只用于工作,可能还会收到一些邮件,不一定认为他的邮箱就是工作邮箱,所以这个时候其实很难在数据保护的场景上严格界定员工邮箱就是单纯的工作邮箱。再就是工作电脑,工作电脑本身不应该是员工个人的财产,但是要看企业的严格程度有多高,比如企业有发文专门说明发给员工的电脑不能干与工作无关的事情,这个时候就是一个严格意义上的工作电脑。如果出现个人信息泄露,由他自己来承担责任。反之如果企业没有告知员工不能处理个人事物,员工当然就可以认为能处理个人事物,因为相当于法无明文规定。所以在这种场景上公司表明监测的是公司的电脑就有点问题了,因为它必不可免会有一些个人的信息。
Q:如果公司在没有明确发文告知员工电脑不能用于个人用途,在员工入职的时候,公司要 求员工签署一个单页,确认他们收到内部政策并且同意相关的信息收集,或者说同意公司搜 索员工邮件中的关键词,这样是不是在中国法律上目前情况下是足够的?
A:对的,这就是您说的公司要告知员工,再让员工签一个同意的说明,这时候相当于他认 可了公司的意思表示。但实际上这种规定都是比较概括的,从以后的立法我不敢保证,但是 现在是可以的。
3.Q:公司使用人脸识别系统作为门禁系统,向员工提供了隐私政策签署,需要在隐私政策 中明确提到人脸识别系统的第三方供应商名称吗?相当于说公司是不是要披露一下第三方 到底是谁?
A:从目前的法律要求来说是不需要的。因为现在法律只是表明可能需要列举一下类别,《个 人信息安全规范》里面说的是公司可能需要列举一下供应商的类别。你可以说这个是 IT 的供应商或者是提供人脸识别的供应商,或者是以企业自己的划分标准来划分一下类别。但是
从个保法的角度上讲,个保法的草案里有规定,如果企业使用了第三方,这个时候企业要向 个人说明第三方的身份和类别,使用的目的场景,涉及的信息是哪些类别,对公司的要求就 会发生变化。但是现在是草案,公司最后关注成稿就可以,历史的沿革由我们关注就好。
4.Q:企业与银行收单机构合作,银行直接收集付款信息,公司不直接接触个人信息,但为了对账,银行将对账单发给公司对账,这两个主体属于数据的共同控制者吗?
A:从我的理解上来说不是的,其实各有各的目的。所以我刚才也说了,在很多场景上都不适用,哪怕目的有一点点的区别都不行,双方目的恰好碰到一起都不行,你要这么理解,从刑法的角度上讲这是“共谋”。是双方一起想出这个方案的时候才行,而且它得有一个承载的载体,其实是很难达到的。
Q:公司能不能通过信息安全管控软件来监控员工的个人社交软件,如微信的聊天信息,但不确定这是不是公司用的手机,因为其中没有细写;此外公司是否可以明示告知员工,公司监控办公电脑屏幕?
A:咱倒过来想,您如果作为员工觉得是不是合适。其实问题的点在这儿,监控也得是在正常合理范围的,这个已经是私生活了。而且从民法典的角度来说,隐私权是规定在个人信息 篇章里面的,隐私权体现在第 1033 和 1034 条,有要求说除了法律的规定之外,比如法律要求监控这些人的比如微信或者是支付宝的信息,如果是法律要求的当然就得做,如果不是法律要求的,企业告诉员工要通过这些手段监控,就必须经过员工的明确同意,默示的都不可以,企业跟员工用公司政策或者是公司手册去要求都不行,员工必须有明确书面上的同意才行。要留有记录,企业才能够说征求过员工的同意,要不然到时候员工起诉公司时,公司拿什么证据回应。
Q:其实现在有很多公司会给员工发一些公司用的手机,可能另外提供一个手机号,不一定 是企业微信,这样的话可以监控吗?
A:纯用于工作的话是可以的。但是我担心比如这上面有一些可能少儿不宜的内容,不属于工作内容的范畴,看到这种东西就会比较麻烦。它其实还体现在微信和支付宝或者一些软件,可能个人属性比较强,比如说微信微博,难免用于个人社交。但是如果能够严格的区分个人社交场合和工作社交场合是 ok 的。比方在工作软件里面,公司明文规定不允许下载,不允许使用个人的联系人,这个时候如果员工自己偷着用,就算员工自己的责任,这么约定也可以。从正常人的角度来说,很多时候我们为什么不用企业微信,因为企业微信至少是公司级的,而且很多的时候在上面讲的内容也是公事,不是“今天吃饭没有”等日常内容。所以很多时候从一般或者有效性上来说,我们可以采用一些正常的手段。当然这也要看其他,比如企业对接的客户可能就习惯用微信,这时就没办法用企业微信。实际上这里还有一个问题,如果企业严格区分个人社交场合和公司社交场合,比如公司员工用微信对接客户联系人,但客户联系人会在微信上表现出他自己的私生活相关内容,然后被企业看到,这都会是问题。或者在员工刷朋友圈的时候,公司监控到这些内容,其实难免会涉及到一些,而且不可能再去跟企业的客户联系人说,同意一下企业的这些政策,他们肯定不同意。所以还是我刚才说的,大家的思维方式可能需要调整一下,做商业的布局或者商业策略时哪些是更有效的方式,包括反垄断、数据保护等很多商业领域,它更多的时候是从商业战略上布局的,不是纯粹在法律上给大家挖个坑,让大家跳进去。
Q:是否可以明示员工公司监控办公电脑的屏幕?
A:如果是明示告知,要让员工签个字。主要还是区分个人场景还是公司场景。
Q:数据从英国或者欧盟跨境传输,是否所有种类的数据都会受到 GDPR 的管辖或事先向英 国 of course notify?
A:从欧盟往中国传输数据,或者从英国往中国传输数据。这里会有两个问题,从欧盟传输个人信息到中国,采取的措施无非就两种,一种是 BCRs(binding corporate rules),另外一种就是 SCC(Standard Contractual Clauses),但是 SCC 用的可能多一点,因为 BCRs花费的时间精力成本都很高,我之前在伦敦看过 ICO 的相关内容,发现有 200 多家企业使用 BCRs,至今距离两年可能也发展了,但是我相信也没有太多公司采取这种措施,不可能超过 1000 个。所以从概率上来说是没有多少中国公司使用 BCRs,而且我知道的中国公司在做 BCRs 或者打算做 BCRs 都是特别大的公司,例如华为。所以从欧盟往中国传输数据,当然我是从中国的角度来说,如果企业用 SCC 的方式,其中的标准合同后面是有附件的,我记得是附件一,有 description transfer 描述数据传输,其中有定义这次数据传输里面的类别、purpose、第三方、数据主体等基本的信息,按照类别把它写的清清楚楚,尤其是这种跨境集团内部的跨境传输。如从总部向中国的分支机构或者是子公司传输数据的时候,会把所有的类别都加入在内,不会漏一项。这个时候如果类别发生变化,还得及时问一下是不是加入这种类别,重新再签或者补签。我记得当时我们总公司跟中国北京这边也签了合同,北京代表其他三个办公室进行签署。我记得我当时还是见证人,应该是把所有的类别都写清楚。
