8月20日,經全國人大常委會會議表決,《個人信息安全法》獲得通過。
近年來,有關數據泄露、數據竊聽、數據濫用等安全事件屢見不鮮,保護數據資產已引起各國高度重視。在我國數字經濟進入快車道的時代背景下,如何開展數據安全治理,對員工個人信息提供保護,已成為普遍關注的問題。
個人信息權的具體內容
個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息(最常見的人臉識別和指紋信息)、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
《民法典》第1034條規定,自然人的個人信息受法律保護。
1、同意權。除另有規定外,處理個人未公開的信息應征得該自然人或者其監護人同意。
2、公開權。個人有權公開其個人信息。
3、拒絕權。對已經公開的個人信息,有權明確拒絕他人處理個人信息。
4、知情權。自然人可以依法向信息處理者查閱或者復制其個人信息。
5、異議和更正權。個人發現信息有錯誤的,有權提出異議并請求及時采取更正等必要措施。
6、刪除權。自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。
大數據作為“人類一種新型的、功能強大的好工具”,使我們能夠做出更加準確的預判、更加科學的決策、更加精準的行動。在人力資源中,HR和人力資源第三方服務機構通過員工個人信息進行員工個人畫像,試圖提供更好的人力資源服務。
人力資源員工個人信息的方式和范圍
《勞動合同法》第八條規定,“用人單位招用勞動者時,有權了解勞動者與勞動合同直接相關的基本情況,勞動者應當如實說明。” 因此用人單位有權獲取員工與工作相關的個人信息。獲取員工個人信息的方式,包括面談、員工主動提供或者通過背景調查。《網絡安全法》第四十一條規定,“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意”。
在信息收集過程中,用人單位應注意,獲取員工個人信息的范圍以“必要性”為原則,即以與勞動合同直接相關的基本情況為限,非必要性個人信息應予以尊重,盡量不予獲取。
《憲法》第四十條規定,“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密”;《刑法》第二百五十二條規定,“隱匿、毀棄或者非法開拆他人信件,侵犯公民通信自由權利,情節嚴重的,處一年以下有期徒刑或者拘役”。員工使用的工作設備(如辦公電腦、商務電話、私人設備、公司安裝的工作軟件)中存儲的個人信息,如涉及到與員工個人的通信記錄、通話記錄不得獲取。
用人單位在使用第三方EHR、財務系統等第三方服務的時候,會出于合理的業務目的向相關第三方(如供應商、關聯公司和客戶)披露和提供員工個人信息。《民法典》第一百一十一條規定,“自然人的個人信息受法律保護。不得非法買賣、提供或者公開他人個人信息”;《刑法》第二百五十三條規定,“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。”因此,用人單位基于商業需要向相關第三方(如供應商、關聯公司和客戶)披露和提供個人信息時,除取得員工同意外,無論是有償還是無償,不得以個人信息本身作為交易對象。
用人單位和第三方機構收集的員工個人信息,構成公司的商業數據。
商業數據利用中如何實現個人信息權的平衡
人力資源管理中絕大部分數據來自于員工“自愿”提供。單條的身份信息、軌跡信息、視頻信息看起來都沒有特別的價值,但是如果把這些信息拼接起來,再通過大數據分析,就可以得到很多重要的信息。根據最新研究顯示,只要有一個人的年齡、性別和郵編,就能從公開的數據中搜索到這個人87%的個人信息。結合強大的數據分析能力,便讓眾多員工無形中成為“被監控”的對象。于是“天知地知、你知我知”的數據變得“人盡皆知”。數據使用便利的同時,讓渡的是隱患重重的員工隱私安全。
隨著定位技術的高速發展以及云計算、大數據和人工智能等技術的不斷發展與應用,用人單位和第三方機構稍有不慎,就可能存在個人數據外泄的可能。
根據《數據安全法》(即將于9月1日起生效施行)和其他一些相關法規的要求,用人單位和第三方機構必須對所收集的數據負安全責任。掌握的數據越多,擔負的責任就越大。
涉及到員工個人信息的商業數據安全是人力資源管理和服務健康發展的基礎。根據《民法典》、《個人信息保護法》、《數據安全法》等法律規定,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等,處理個人信息時應遵循如下規則:
1、合法原則。不違反法律、行政法規的規定;不得違反法律、行政法規的規定收集、使用員工個人信息,并應當依照法律、行政法規的規定處理其保存的個人信息。
2、合理原則。為維護公共利益或者該自然人合法權益,可以合理實施信息處理行為。
3、遵循合法、正當、必要原則,不得過度處理;人力資源第三方服務機構不得收集與其提供的服務無關的個人信息。
4、尊重被收集人的自主權。任何個人和組織不得竊取或者以其他非法方式獲取個人信息;向被收集人公開處理信息的規則,明示處理信息的目的、方式和范圍,除另有規定外,處理個人未公開的信息應征得該自然人或者其監護人同意;對已經公開的個人信息,可以不再征求個人同意,但如果對收集人明確拒絕,則不得對其個人信息進行處理。網絡產品、服務具有收集員工信息功能的,其提供者應當向員工明示并取得同意。根據被收集人的要求,更正、刪除其個人信息。
5、遵守約定原則。雙方有約定,應遵守雙方約定。在該自然人或者其監護人同意的范圍內合理實施的處理個人信息的行為,用人單位和第三方服務機構不承擔民事責任。不得違反雙方的約定收集、使用個人信息,并應當依照與用戶的約定,處理其保存的個人信息。
6、用人單位和第三方服務機構不得泄露、篡改、毀損其收集、存儲的個人信息;未經被收集者同意,不得向他人非法提供其個人信息,但是經過加工無法識別特定個人且不能復原的除外。
用人單位和第三方服務機構應當對其收集的用戶信息嚴格保密,并建立健全用戶信息保護制度,采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發生或者可能發生個人信息泄露、篡改、丟失的,應當及時采取補救措施,按照規定告知自然人并向有關主管部門報告。
隨著《個人信息保護法》的出臺,確保個人信息在人力資源管理和服務的依法合規使用,接下來將成為HR的重要任務。
近年來,中國數字產業迅猛發展的同時,也為人力資源行業的轉型升級提供了更為強大的引擎力。基于底層數據庫的員工身份認證、工作記錄、績效評估、人崗匹配等豐富創新應用,讓組織與個人的效能得到充分激活。未來的人力資源服務,將會趨向于以人為中心的數字化服務新生態。通過區塊鏈、AI等前沿技術手段,在防篡改、防偽造、可追溯上大大提高數據的可信度與安全性,提升管理效率。
作為人力資源領域“數字化轉型”的創新引領者,關愛通擁有一套完善的IT基礎架構防護系統,并于2017年獲得了挪威船級社和德國勞氏船級社頒發的“ISO/IEC 27001信息安全管理體系認證”證書,為用戶信息安全及運營系統的高穩定性筑起安全防護墻。近年來,關愛通一直致力于搭建更為完整的業務與數據安全體系,今年4月,關愛通攜手公安三所在數據中國大會上推出了“信名帖”產品,實現了包涵企業,員工和自然人身份的三級可信認證,涉及的員工數據存儲在政企云上,兼顧數據和認證安全,最大限度保障了企業員工數據的安全。同時,關愛通還在數據合規和數據威脅防護引入了專業的法律和安防團隊。
作為關愛通的核心產品,今年6月發布的“給到”APP 4.0所承載的已經遠遠超出了員工
福利平臺的范疇,它將會是一個開放生態、協同共享、價值共創的數字化人力資源服務平臺,目前已經在消費購物、節日福利、健康管理、教育培訓、
員工激勵、交通出行、文化建設、社會責任等多維度場景實現了落地探索。
作為業內“數字化轉型”的創新引領者,關愛通充分尊重員工“企業人”與“社會人”的雙重屬性,緊緊圍繞以人為本的核心,持續以技術解決方案賦能產業鏈,以B2B2C商業模式實現產業互聯,構建社會、企業、員工相互支持、共同發展的“愛在其中”生態圈,實現資源的聚合與價值的倍增,推動社會的可持續發展。
免責聲明 :
本網站內容部分來自內容作者或互聯網自動抓取。相關文本內容僅代表本文作者或發布人自身觀點,不代表關愛通觀點或立場。關愛通力求此信息所述內容及觀點的客觀公正,但不保證其內容的準確性、完整性,也不保證未來內容不會發生變更。 如本網展示內容的作者及編輯認為其作品不宜上網供大家瀏覽,或不應無償使用,請及時用電子郵件或電話通知我們,關愛通會及時采取合理措施,避免給雙方造成不必要的經濟損失。郵箱:yan.zheng@guanaitong.com
