专业文章内容
网络安全法时代职工个人信息的合法收集和使用

职工个人信息的合法收集与使用

上海瀛泰律师事务所  夏利群/杨志伟

201761日,《中华人民共和国网络安全法》(下称“《网安法》”)和《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“《两高解释》”)正式生效,这标志着我国公民个人信息保护领域的立法进入一个新时代。

《网安法》首次从法律层面明确了公民个人信息的定义。根据该法第76条第5项,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。此外,该法第四章(“网络信息安全”)专章规定了个人、网络运营者、网络安全监管部门等有关主体在收集和使用个人信息时的规则,并于第六章(“法律责任”)规定了违法相关规定的法律责任。《两高解释》则主要对《刑法》第253条之一有关侵犯公民个人信息罪的认定标准进行了细化,使得侵犯公民个人信息罪的定罪量刑标准更加明晰、更加具有可操作性。

根据《网安法》和《两高解释》的规定,我们建议,企业在收集和使用职工个人信息时,应重点注意以下问题:

1、收集和使用职工个人信息前,获得授权。“知情同意原则”是公民个人信息保护领域最基本的原则。《网安法》第41条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。《刑法》第253条之一规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。据此,相关企业在收集和使用(尤其涉及对外提供)职工个人信息时,应取得职工的事先同意。对于获取职工授权的方式,可以采取劳动合同约定、入职手册告知、订立特别授权协议等方式进行。

2、收集和使用职工个人信息时,合规审查应更加全面、谨慎。以往的司法实践中,刑法第253条之一中“违反国家有关规定”的范围,只限于违反“法律、行政法规”。《两高解释》第2条规定,“违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第253条之一规定的‘违反国家有关规定’”。由此,该解释将“国家有关规定”的范围扩大到了“部门规章”,而就个人信息的保护而言,工信部、文化部、商务部、国家工商总局等有关部门都曾发布过相关部门规章,“部门规章”在有关个人信息保护的相关法律文件中占有较大的比例,这就要求企业在收集和使用职工个人信息时,不但要审查自身的行为是否符合法律、行政法规的规定,还应进一步审查是否符合有关部门规章的规定。

3、确需向他人提供职工个人信息时,务必采取措施对拟提供的信息进行脱敏处理。《网安法》第42条规定,“……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。《两高解释》第3条也规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外”。由此可见,即便未取得信息主体的同意,但采取了一定措施,使得该信息“无法识别特定个人”且“不能复原”的,并不违反法律的禁止性规定。因此,我们建议,如果企业确因业务经营的需要须对外提供职工个人信息的,为防止不必要的纠纷,应尽量采取一定的处理措施(如删除关键信息、对重要信息进行马赛克处理等)对相关信息进行脱敏处理。

此外,2017411日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法》(征求意见稿)。该办法第2条规定,“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。”我们建议,如该办法正式实施,企业尤其是外资企业、跨国公司,应积极应对立法的变化,在确需向境外提供职工个人信息时按照上述规定进行出境安全评估,以免违法或涉诉。