1.现行有效的关于员工个人信息出境的监管要求
《个保法》明确了个人信息处理者进行个人信息出境活动应当同时满足以下三个条件:
一是根据《个保法》第39条的规定获得个人信息主体的单独同意或具备其他个人信息处理的合法性基础;
二是根据第55条和第56条的规定开展个人信息保护影响评估;
三是满足第38条规定的“三条数据出境路径”之一。
具体而言:
图片可点击放大查看
具体到企业员工个人信息出境场景,则需要同时满足以下要件:
根据员工个人信息出境的不同目的匹配相应的合法性基础,通常为:A.就员工个人信息出境取得员工单独同意,且根据《个保法》,该同意应当由个人在充分知情的前提下自愿、明确作出;或B.为订立、履行员工作为一方当事人的合同所必需;或C.按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
满足“三条数据出境路径”之一(涵盖个人信息保护影响评估)。
2.“数据跨境新规”对个人信息出境的监管格局重塑
“数据跨境新规”全面重塑了现行的个人信息出境监管格局,根据“数据跨境新规”:
对于企业来说,如个人信息出境总体规模不满1万人,员工个人信息出境可直接适用豁免情形,仅根据员工个人信息出境的不同目的为其匹配相应的合法性基础、并履行告知、进行个人信息保护影响评估等法定义务即可。
如企业预计一年内向境外提供1万人以上个人信息,根据数据跨境新规,如符合以下情形之一,仍可被豁免“三条数据出境路径”的要求:
为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
根据我们的项目服务经验和观察,境内企业员工个人信息出境以跨国企业最为典型和常见,一般情况下,由境外母公司统一采购部署于境外的系统供境内控股子公司使用,由此导致境内员工个人信息出境至境外。
限于篇幅,本文将基于企业预计一年内向境外提供1万以上个人信息的假设和前述我们所观察到的当前企业员工个人信息出境活动的普遍现状,在此情形下,企业在员工个人信息出境活动中较为贴近前两类合法性基础,从而存在较大可能全部或部分被豁免“三条数据出境路径”的要求。
因此,为在“数据跨境新规”届时按现状生效时顺利适用豁免情形,企业需要合法合理地为员工个人信息出境活动援引前两类合法性基础做好合规准备,具体而言:
二、为订立、履行员工作为一方当事人的合同所必需
企业与员工签署劳动合同是法律的明确要求,劳动合同也因此成为公司与员工之间最为基础和普遍的合同关系类型,因此企业在订立与履行与员工的劳动合同过程中所处理的个人信息可以《个保法》的“为订立、履行个人作为一方当事人的合同所必需”作为处理的合法性基础。
1.现行法律规范明确规定用人单位可收集的员工个人信息
《劳动合同法》第17条要求劳动合同应当具备以下条款:
(一)用人单位的名称、住所和法定代表人或者主要负责人;
(二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码;
(三)劳动合同期限;
(四)工作内容和工作地点;
(六)劳动报酬;
(七)社会保险;
(八)劳动保护、劳动条件和职业危害防护;
(九)法律、法规规定应当纳入劳动合同的其他事项。
劳动合同除前款规定的必备条款外,用人单位与劳动者可以约定试用期、培训、保守秘密、补充保险和福利待遇等其他事项。
(一)法律禁止招聘的人员。比如按照《食品安全法》第45条的要求,患有国务院卫生行政部门规定的有碍食品安全疾病的人员,不得从事接触直接入口食品的工作。从事接触直接入口食品工作的食品生产经营人员应当每年进行健康检查,取得健康证明后方可上岗工作。
(二)用人单位履行劳动者进行在先劳动合同终止确认义务的需要。根据《劳动合同法》第23条、第39条等规定,用人单位在招用新雇员时有权利调查确认应聘人员是否已与前一用人单位解除或终止劳动关系,或是否存在竞业限制协议等。
(三)用人单位履行特殊职位、特殊行业招聘的审慎注意义务。如《公司法》规定,董事、监事或髙级管理人员等特殊职位,用人单位应对应聘人员是否具有任职资格进行调査。某些特定行业对于从业人员也有所限制,例如《网络安全法》第34条规定,关键信息基础设施的运营者应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
在上海市浦东新区人民法院发布的劳动争议典型案例牛某诉上海某物流有限公司劳动合同纠纷案中,法院认定牛某是否持有残疾证并不影响其从事叉车工的工作,因此可以不主动披露残疾情况,在员工登记表中未填写残疾信息不构成欺诈。
综合以上分析,我们理解通常来说企业可以“为订立、履行个人作为一方当事人的合同所必需”所处理的员工个人信息处理范围为:
法定特殊情形下用人单位应收集的员工个人信息字段:如从事接触直接入口食品工作的食品生产经营人员的健康证明。
三、按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需
1.场景明确,“必需”应在个案场景中动态评估
为了严格限定用人单位处理劳动者个人信息的范围、数量及限度,防止用人单位以“实施人力资源管理所必需”为由过度收集和使用个人信息,《个保法》仅将人力资源管理所必需的场景限缩于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”这两大场景之下。
具体来看,从获取求职者简历或者委托第三方对求职者进行背景调查甚至心理评估,到要求新员工进行入职体检、办理门禁,再到员工入职后的生产线管理、病事假管理、员工培训与开发、绩效管理、薪酬管理、员工流动管理、员工关系管理、员工安全与健康管理、离职管理等过程,都需要涉及员工大量个人信息,甚至是敏感个人信息。因此需要明确,“必需”是一个场景依赖性概念,需要在具体的场景中衡量信息处理行为的利益与风险,结合具体场景评估信息处理是否符合必要性要求,以及是否有可能造成了不合理的风险,针对个案场景进行动态的评估。如婚育状况,除非出于员工休婚假、产假等必要场景,用人单位不得主动向员工收集此类信息。以下案例可供参考:
在(2016)粤03民终20674号王某与深圳某公司劳动合同纠纷案中,法院认定劳动者的婚育状况应属劳动者的个人隐私范畴,除非用人单位能证明该隐私信息与履行劳动合同存在直接的关联关系,否则劳动者无向用人单位报告的义务,因此公司制定的规章制度即使经民主程序制定,其有关员工应及时报告怀孕计划及怀孕情况,否则视为严重违反公司规章制度行为的规定,既侵犯了女职工的个人私隐权,又变相限制女职工的就业及劳动权利,员工在入职时隐瞒其已婚状况、在职期间未及时向公司报告其怀孕状况也不构成解除劳动合同事由。
2.内容要求
(1)规章制度的内容要求
(2)集体合同的内容要求
可见,劳动规章制度是公司所必需建立的,而在何种情况下需要签订集体合同,则是根据劳动者和用人单位的实际需求,并没有强制要求。集体合同可以是劳动合同必备内容的全部,也可以是其中的一个内容中的某一项。
此外,劳动合同对签约双方具有约束力,没有对他人的约束力;而集体合同则对集体协商代表所代表的一个用人单位及其所有员工或者当地同行业或同区域的所有用人单位及其所有员工具有约束力。
3.制定和通过程序区分
(1)规章制度
在(2022)京02民终5060号王某劳动争议案中,法院认定,《劳动合同法》第四十条规定,对员工进行培训或调整工作岗位,仍不能胜任工作的,方可依法解除,而案涉公司在规章制度中规定只要绩效考核结果为待改进即可直接对员工解聘的规定有违《劳动合同法》第四十条的规定,亦有违法治精神及社会主义核心价值观,因此不能确定双方权利义务的依据。
在规章制度和重大事项决定实施过程中,工会或者职工认为不适当的,有权向用人单位提出,通过协商予以修改完善。
(2)集体合同
《劳动合同法》第51条第2款规定,集体合同由工会代表企业职工一方与用人单位订立;尚未建立工会的用人单位,由上级工会指导劳动者推举的代表与用人单位订立。
关于集体合同前期如何起草,《集体合同规定》对此进行了进一步规定,经双方协商代表协商一致的集体合同草案或专项集体合同草案应当提交职工代表大会或者全体职工讨论。职工代表大会或者全体职工讨论集体合同草案或专项集体合同草案,应当有三分之二以上职工代表或者职工出席,且须经全体职工代表半数以上或者全体职工半数以上同意,集体合同草案或专项集体合同草案方获通过。集体合同草案或专项集体合同草案经职工代表大会或者职工大会通过后,由集体协商双方首席代表签字。
4.生效方式区分
《劳动合同法》第4条第4款规定,用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者。[3]
《集体合同规定》第47条规定,集体合同或专项集体合同签订或变更后,应当自双方首席代表签字之日起10日内,由用人单位一方将文本一式三份报送劳动保障行政部门审查。劳动保障行政部门自收到到文本之日起15日内未提出异议的,集体合同或专项集体合同即行生效。第48规定,生效的集体合同或专项集体合同,应当自其生效之日起由协商代表及时以适当的形式向本方全体人员公布。
可见,未向员工公示的规章制度或集体合同不能作为确定双方权利义务的根据。
在实践中,公示的方法各种各样,企业可结合自身实际情况并综合考虑实施难度等因素选取适宜的方式。此类公示方法包括但不限于:
(3)组织规章制度考试,并保留员工考试记录。
(4)以线下的公告栏、宣传栏或线上办公系统进行公示,按照公示方式的不同保留相应的公示记录并要求员工进行查收及回复,同时保留员工查收及回复的记录。
采用各类公示方式的,我们建议在劳动合同中同步约定何种方式为有效公示/送达方式。
5.规章制度与集体合同应如何选择?
规章制度既是公司规范运行所必须的,又可以通过劳动合同向员工传达,在情况变化灵活修改后也方便及时通知员工,而集体合同流程复杂,其内容又可以被劳动合同所涵盖,因此我们理解企业通过将目前所处理的员工个人信息所涉及的各类场景纳入到依法制定的规章制度中的方式,以适用“按照依法制定的劳动规章制度实施人力资源管理所必需”这一个人信息处理的合法性基础,从而豁免数据出境的标准合同备案及签署义务的合规成本更低。
但是,根据与部分网信部门的咨询结果,“依法制定的劳动规章制度”和“依法签订的集体合同实施人力资源管理”均是同一合法处理理由需要同时具备的两个合法要件,需要同时满足。鉴于上文对二者的区分和联系,若所属网信办认为二条件必须同时具备的,则我们建议企业可以通过搭建劳动规章制度(以员工手册)为主,辅以针对人力资源管理所需数据跨境的专项集体合同,创设《个人信息保护法》所述合法处理理由,以符合数据跨境新规所述豁免情形。
6.用人单位搭建劳动规章制度体系的方式
实践中,用人单位一般以以下方式搭建劳动规章制度体系:
(1)单一员工手册
较为少见,由于大型企业管理涉及方方面面,且部分领域的规章制度需要根据国家法律法规及时制定或迅速更新迭代,在单一员工手册中规定不够灵活,也难以全面,因此基本没有企业采用单一的员工手册形式规定整个劳动规章制度体系。
(2)员工手册+附属规章制度文件
多数公司采用员工手册和其他归属规章制度文件的形式构成规章制度体系。
如果企业需要搭建劳动规章制度体系,我们推荐采取第(2)种方式。
四、即便适用豁免情形,用人单位仍然需要履行其他合规义务
1.就员工个人信息出境履行告知义务
个人信息处理者的名称或者姓名和联系方式;
个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
个人行使本法规定权利的方式和程序;
法律、行政法规规定应当告知的其他事项。
上述规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知上述规定事项的,处理规则应当公开,并且便于查阅和保存。
根据《个保法》,无论个人信息出境活动以“单独同意”“为订立、履行员工作为一方当事人的合同所必需”抑或“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法性基础,告知义务皆应履行。
此外,《员工个人信息处理规则》按规定应当公开,公开方式可参考本文第三部分第4小节的公示方法。
2.开展个人信息保护影响评估
五、下一步工作建议
综合上述,我们建议企业开展以下员工个人信息出境适用豁免情形的准备工作:
1.梳理各类涉及出境的员工个人信息处理场景、字段、处理目的。
2.梳理当前已制定的劳动合同、劳动规章制度或集体合同,并判断程序和内容是否合法、有效。
4.起草/修订《员工个人信息处理规则》,就包括个人信息出境在内的全部个人信息处理事项履行对员工的告知义务。
5.进行员工个人信息出境活动前开展个人信息保护影响评估,形成个人信息保护影响评估报告和处理情况记录,并至少保存三年。
6.不能适用豁免情形的场景和字段(如有)需确定适用的其他合法性基础,并论证数据出境的必要性和实施方案。
注释
[3]根据《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》第五十条规定,用人单位根据劳动合同法第四条规定,通过民主程序制定的规章制度,不违反国家法律、行政法规及政策规定,并已向劳动者公示的,可以作为确定双方权利义务的依据。