昨天,《中華人民共和國個人信息保護(hù)法》正式施行。關(guān)愛通研究院之前發(fā)布過一篇專業(yè)解讀,在此拿出來供大家閱讀參考。
近年來,有關(guān)數(shù)據(jù)泄露、數(shù)據(jù)竊聽、數(shù)據(jù)濫用等安全事件屢見不鮮,保護(hù)數(shù)據(jù)資產(chǎn)已引起各國高度重視。在我國數(shù)字經(jīng)濟(jì)進(jìn)入快車道的時代背景下,如何開展數(shù)據(jù)安全治理,對員工個人信息提供保護(hù),已成為普遍關(guān)注的問題。
一、個人信息權(quán)的具體內(nèi)容
個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息(最常見的人臉識別和指紋信息)、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
《民法典》第1034條規(guī)定,自然人的個人信息受法律保護(hù)。
1、同意權(quán)。除另有規(guī)定外,處理個人未公開的信息應(yīng)征得該自然人或者其監(jiān)護(hù)人同意。
2、公開權(quán)。個人有權(quán)公開其個人信息。
3、拒絕權(quán)。對已經(jīng)公開的個人信息,有權(quán)明確拒絕他人處理個人信息。
4、知情權(quán)。自然人可以依法向信息處理者查閱或者復(fù)制其個人信息。
5、異議和更正權(quán)。個人發(fā)現(xiàn)信息有錯誤的,有權(quán)提出異議并請求及時采取更正等必要措施。
6、刪除權(quán)。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的,有權(quán)請求信息處理者及時刪除。
大數(shù)據(jù)作為“人類一種新型的、功能強(qiáng)大的好工具”,使我們能夠做出更加準(zhǔn)確的預(yù)判、更加科學(xué)的決策、更加精準(zhǔn)的行動。在人力資源中,HR和人力資源第三方服務(wù)機(jī)構(gòu)通過員工個人信息進(jìn)行員工個人畫像,試圖提供更好的人力資源服務(wù)。
二、人力資源員工個人信息的方式和范圍
《勞動合同法》第八條規(guī)定,“用人單位招用勞動者時,有權(quán)了解勞動者與勞動合同直接相關(guān)的基本情況,勞動者應(yīng)當(dāng)如實(shí)說明。” 因此用人單位有權(quán)獲取員工與工作相關(guān)的個人信息。獲取員工個人信息的方式,包括面談、員工主動提供或者通過背景調(diào)查。《網(wǎng)絡(luò)安全法》第四十一條規(guī)定,“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意”。
在信息收集過程中,用人單位應(yīng)注意,獲取員工個人信息的范圍以“必要性”為原則,即以與勞動合同直接相關(guān)的基本情況為限,非必要性個人信息應(yīng)予以尊重,盡量不予獲取。
《憲法》第四十條規(guī)定,“中華人民共和國公民的通信自由和通信秘密受法律的保護(hù)。除因國家安全或者追查刑事犯罪的需要,由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密”;《刑法》第二百五十二條規(guī)定,“隱匿、毀棄或者非法開拆他人信件,侵犯公民通信自由權(quán)利,情節(jié)嚴(yán)重的,處一年以下有期徒刑或者拘役”。員工使用的工作設(shè)備(如辦公電腦、商務(wù)電話、私人設(shè)備、公司安裝的工作軟件)中存儲的個人信息,如涉及到與員工個人的通信記錄、通話記錄不得獲取。
用人單位在使用第三方EHR、財務(wù)系統(tǒng)等第三方服務(wù)的時候,會出于合理的業(yè)務(wù)目的向相關(guān)第三方(如供應(yīng)商、關(guān)聯(lián)公司和客戶)披露和提供員工個人信息。《民法典》第一百一十一條規(guī)定,“自然人的個人信息受法律保護(hù)。不得非法買賣、提供或者公開他人個人信息”;《刑法》第二百五十三條規(guī)定,“違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。”因此,用人單位基于商業(yè)需要向相關(guān)第三方(如供應(yīng)商、關(guān)聯(lián)公司和客戶)披露和提供個人信息時,除取得員工同意外,無論是有償還是無償,不得以個人信息本身作為交易對象。
用人單位和第三方機(jī)構(gòu)收集的員工個人信息,構(gòu)成公司的商業(yè)數(shù)據(jù)。
三、商業(yè)數(shù)據(jù)利用中如何實(shí)現(xiàn)個人信息權(quán)的平衡
人力資源管理中絕大部分?jǐn)?shù)據(jù)來自于員工“自愿”提供。單條的身份信息、軌跡信息、視頻信息看起來都沒有特別的價值,但是如果把這些信息拼接起來,再通過大數(shù)據(jù)分析,就可以得到很多重要的信息。根據(jù)最新研究顯示,只要有一個人的年齡、性別和郵編,就能從公開的數(shù)據(jù)中搜索到這個人87%的個人信息。結(jié)合強(qiáng)大的數(shù)據(jù)分析能力,便讓眾多員工無形中成為“被監(jiān)控”的對象。于是“天知地知、你知我知”的數(shù)據(jù)變得“人盡皆知”。數(shù)據(jù)使用便利的同時,讓渡的是隱患重重的員工隱私安全。
隨著定位技術(shù)的高速發(fā)展以及云計算、大數(shù)據(jù)和人工智能等技術(shù)的不斷發(fā)展與應(yīng)用,用人單位和第三方機(jī)構(gòu)稍有不慎,就可能存在個人數(shù)據(jù)外泄的可能。
根據(jù)《數(shù)據(jù)安全法》(即將于9月1日起生效施行)和其他一些相關(guān)法規(guī)的要求,用人單位和第三方機(jī)構(gòu)必須對所收集的數(shù)據(jù)負(fù)安全責(zé)任。掌握的數(shù)據(jù)越多,擔(dān)負(fù)的責(zé)任就越大。
涉及到員工個人信息的商業(yè)數(shù)據(jù)安全是人力資源管理和服務(wù)健康發(fā)展的基礎(chǔ)。根據(jù)《民法典》、《個人信息保護(hù)法》、《數(shù)據(jù)安全法》等法律規(guī)定,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等,處理個人信息時應(yīng)遵循如下規(guī)則:
1、合法原則。不違反法律、行政法規(guī)的規(guī)定;不得違反法律、行政法規(guī)的規(guī)定收集、使用員工個人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定處理其保存的個人信息。
2、合理原則。為維護(hù)公共利益或者該自然人合法權(quán)益,可以合理實(shí)施信息處理行為。
3、遵循合法、正當(dāng)、必要原則,不得過度處理;人力資源第三方服務(wù)機(jī)構(gòu)不得收集與其提供的服務(wù)無關(guān)的個人信息。
4、尊重被收集人的自主權(quán)。任何個人和組織不得竊取或者以其他非法方式獲取個人信息;向被收集人公開處理信息的規(guī)則,明示處理信息的目的、方式和范圍,除另有規(guī)定外,處理個人未公開的信息應(yīng)征得該自然人或者其監(jiān)護(hù)人同意;對已經(jīng)公開的個人信息,可以不再征求個人同意,但如果對收集人明確拒絕,則不得對其個人信息進(jìn)行處理。網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集員工信息功能的,其提供者應(yīng)當(dāng)向員工明示并取得同意。根據(jù)被收集人的要求,更正、刪除其個人信息。
5、遵守約定原則。雙方有約定,應(yīng)遵守雙方約定。在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的處理個人信息的行為,用人單位和第三方服務(wù)機(jī)構(gòu)不承擔(dān)民事責(zé)任。不得違反雙方的約定收集、使用個人信息,并應(yīng)當(dāng)依照與用戶的約定,處理其保存的個人信息。
6、用人單位和第三方服務(wù)機(jī)構(gòu)不得泄露、篡改、毀損其收集、存儲的個人信息;未經(jīng)被收集者同意,不得向他人非法提供其個人信息,但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。
用人單位和第三方服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度,采取技術(shù)措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的,應(yīng)當(dāng)及時采取補(bǔ)救措施,按照規(guī)定告知自然人并向有關(guān)主管部門報告。
隨著《個人信息保護(hù)法》的出臺,確保個人信息在人力資源管理和服務(wù)的依法合規(guī)使用,接下來將成為HR的重要任務(wù)。
近年來,中國數(shù)字產(chǎn)業(yè)迅猛發(fā)展的同時,也為人力資源行業(yè)的轉(zhuǎn)型升級提供了更為強(qiáng)大的引擎力。基于底層數(shù)據(jù)庫的員工身份認(rèn)證、工作記錄、績效評估、人崗匹配等豐富創(chuàng)新應(yīng)用,讓組織與個人的效能得到充分激活。未來的人力資源服務(wù),將會趨向于以人為中心的數(shù)字化服務(wù)新生態(tài)。通過區(qū)塊鏈、AI等前沿技術(shù)手段,在防篡改、防偽造、可追溯上大大提高數(shù)據(jù)的可信度與安全性,提升管理效率。
作為人力資源領(lǐng)域“數(shù)字化轉(zhuǎn)型”的創(chuàng)新引領(lǐng)者,關(guān)愛通擁有一套完善的IT基礎(chǔ)架構(gòu)防護(hù)系統(tǒng),并于2017年獲得了挪威船級社和德國勞氏船級社頒發(fā)的“ISO/IEC 27001信息安全管理體系認(rèn)證”證書,為用戶信息安全及運(yùn)營系統(tǒng)的高穩(wěn)定性筑起安全防護(hù)墻。近年來,關(guān)愛通一直致力于搭建更為完整的業(yè)務(wù)與數(shù)據(jù)安全體系,今年4月,關(guān)愛通攜手公安三所在數(shù)據(jù)中國大會上推出了“信名帖”產(chǎn)品,實(shí)現(xiàn)了包涵企業(yè),員工和自然人身份的三級可信認(rèn)證,涉及的員工數(shù)據(jù)存儲在政企云上,兼顧數(shù)據(jù)和認(rèn)證安全,最大限度保障了企業(yè)員工數(shù)據(jù)的安全。同時,關(guān)愛通還在數(shù)據(jù)合規(guī)和數(shù)據(jù)威脅防護(hù)引入了專業(yè)的法律和安防團(tuán)隊。
作為關(guān)愛通的核心產(chǎn)品,今年6月發(fā)布的“給到”APP 4.0所承載的已經(jīng)遠(yuǎn)遠(yuǎn)超出了員工 福利平臺的范疇,它將會是一個開放生態(tài)、協(xié)同共享、價值共創(chuàng)的數(shù)字化人力資源服務(wù)平臺,目前已經(jīng)在消費(fèi)購物、節(jié)日福利、健康管理、教育培訓(xùn)、 員工激勵、交通出行、文化建設(shè)、社會責(zé)任等多維度場景實(shí)現(xiàn)了落地探索。
作為業(yè)內(nèi)“數(shù)字化轉(zhuǎn)型”的創(chuàng)新引領(lǐng)者,關(guān)愛通充分尊重員工“企業(yè)人”與“社會人”的雙重屬性,緊緊圍繞以人為本的核心,持續(xù)以技術(shù)解決方案賦能產(chǎn)業(yè)鏈,以B2B2C商業(yè)模式實(shí)現(xiàn)產(chǎn)業(yè)互聯(lián),構(gòu)建社會、企業(yè)、員工相互支持、共同發(fā)展的“愛在其中”生態(tài)圈,實(shí)現(xiàn)資源的聚合與價值的倍增,推動社會的可持續(xù)發(fā)展。
免責(zé)聲明 :
本網(wǎng)站內(nèi)容部分來自內(nèi)容作者或互聯(lián)網(wǎng)自動抓取。相關(guān)文本內(nèi)容僅代表本文作者或發(fā)布人自身觀點(diǎn),不代表關(guān)愛通觀點(diǎn)或立場。關(guān)愛通力求此信息所述內(nèi)容及觀點(diǎn)的客觀公正,但不保證其內(nèi)容的準(zhǔn)確性、完整性,也不保證未來內(nèi)容不會發(fā)生變更。 如本網(wǎng)展示內(nèi)容的作者及編輯認(rèn)為其作品不宜上網(wǎng)供大家瀏覽,或不應(yīng)無償使用,請及時用電子郵件或電話通知我們,關(guān)愛通會及時采取合理措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。郵箱:yan.zheng@guanaitong.com
