《民法典》背景下企业员工的隐私权及个人信息保护

《民法典》背景下企业员工的隐私权及个人信息保护

马元锋

南阳师范学院 河南 南阳 473106

企业在生产经营过程中，不可避免的会接触到员工的个人信息及隐私。保护员工个人信息和隐私，防范相应的法律风险，是企业在管理过程中需要高度重视的工作。2020年10月21日，全国人民代表大会常委会审议后的《个人信息保护法（草案）》正式对外发布征求意见，预示着个人信息保护进程即将进入新篇章，《草案》也是我国首部专门规定个人信息保护的法律，其正式出台后，将成为个人信息保护领域的“基本法”。与此同时，2021年1月1日实施的《中华人民共和国民法典》也对公民隐私和个人信息保护做了相应的规定。

1. 《民法典》对公民隐私权和个人信息保护的规定

《中华人民共和国民法典》(以下简称《民法典》)己于2020年5月28日通过，并于2021年1月1日正式施行。对于个人信息保护，《民法典》不仅在总则编对个人信息作出了概括性规定，同时在人格权编中也作出了具体细节的规定。《民法典》总则编第111条明确提出：自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。在第四编“人格权”第六章专章规定了“隐私权和个人信息保护”，围绕隐私权和个人信息保护的定义、侵害隐私权的方式、个人信息处理的原则和条件，处理个人信息的免责事由、信息处理者的安全保障义务、国家机关、承担行政职能的法定机构及其工作人员的保密义务等方面予以了具体的规定。

关于我国涉及个人隐私及个人信息问题的法律保护，最早体现为2003年《居民身份证法》中对于警察需保护个人信息的规定。2009年《刑法修正案七》首次通过刑法对于买卖个人信息予以打击的规定。2012年全国人大常委会通过《加强网络信息保护的决定》，是中国首个专门保护个人信息的立法。2013年修订的《消费者权益保护法》将个人信息应当得到保护的权利直接称之为“个人信息得到保护的权利”。2020年10月《个人信息保护法（草案）》向社会公开征求意见，该草案在《民法典》的基础上，建构了我国个人信息保护的单行法律框架，将对个人信息保护产生重要影响。

在我国实行网络实名制的时代背景下，由于个人信息被广泛收集使用，这种因电子化后极其容易复制取得并滥用于诈骗等场景的个人信息包括姓名、通信号码、地址、邮箱、身份证号码、银行卡号、计算机终端设备号码等个人信息，以及电子化的生物识别信息，如基因信息、人脸识别信息、虹膜、指纹，以及因使用电子设备而产生的位置信息、行踪轨迹、浏览记录、财产信息等，均属于个人信息。纵观我国电子个人信息“先刑后民”进入立法强保护的历史，可知个人信息得到保护的根本原因在于个人信息被滥收滥用后易导致电信诈骗等极其严重的后果。

二、企业管理中要重视员工隐私权和个人信息的保护

企业在员工招聘、经营管理等过程中必然会涉及员工个人信息的收集、处理、使用和存储。如员工的姓名、出生日期、身份证件号码、电话号码、电子邮箱、行踪信息、居住地、家庭成员、行踪信息、头像、指纹等生物识别信息、健康信息、工资记录、性格记录、第三方介入的员工背景调查、处罚记录、犯罪记录等个人信息。在网络时代，如何平衡企业管理的效率和保护个人信息就成为了企业必须要面对的矛盾问题。企业管理中可能接触到的上述员工隐私及个人信息，如果不加以正确管理，将会给企业带来各种法律风险。

如根据民法典第1034条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。民法典同时规定，侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿。因此，企业作为员工个人信息的管理使用者，如果不当管理、泄露员工隐私和个人信息，将会承担相应的民事侵权责任。

近年来，围绕个人信息的非法收集、使用、买卖已经形成灰黑产业链，严重侵扰公民生活安宁、破坏社会公共秩序、损害社会公共利益，甚至成为电信网络诈骗、金融诈骗等多种犯罪的源头。企业因管理需要，拥有详尽的员工个人信息，甚至个人隐私，如果因企业管理不当，违反公法上个人信息的法定保护义务，将会承担相应的行政法律责任，构成犯罪的将依法法追究相关责任人的刑事法律责任。如《个人信息保护法草案》第五章明确了个人信息处理者的合规管理和保障个人信息安全等义务，包括按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估，履行个人信息泄露通知和补救义务等规定。关于违反法律法规后的责任，该《草案》一方面做出了基本规定，如对单位以及对直接负责的主管人员和其他直接责任人员罚款，另一方面规定了情节严重时的严厉惩罚措施，主要目的在于提升法律的威慑力，大幅增加个人信息处理者违法成本，最终促进个人信息的合规利用。

三、面对个人信息的法律保护，企业该如何做？

对企业来说，主要从以下几个方面开展员工个人的信息保护。

首先，企业要建立员工个人系信息公开清单，对经营管理中（不仅限于人力资源管理）收集、使用、提供、公开员工信息的具体情形进行全面梳理，建立清单。建立或完善员工个人信息管理制度，对员工个人信息收集、存储、使用、加工、传输、提供、公开等处理行为的原则、目的、方式和范围等作出明确规定，同时需对个人信息中的隐私和信息进行界定。

其次，要履行民主征求意见程序，向全体员工公示或告知，为个人信息管理提供制度依据。与员工签署个人信息及使用的《确认书》，由员工确认本人提交用人单位或用人单位通过合法渠道获取的个人信息中哪些属于隐私信息，个人信息及隐私信息的授权使用目的、方式、范围等。

再次，企业要进行员工个人信息的合规管理。要保证数据的收集、来源合规，数据处理合规，数据管理合规。员工个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。在处理时，须满足“征得同意”、“公开处理规则”、“明示处理目的、方式及范围”及“不违法、不违约”四个条件，“遵循合法、正当、必要原则，不得过度处理” 。企业不得泄露或者篡改其收集、存储的个人信息，不得在未获同意时向他人非法提供个人信息，并确保收集、存储的个人信息安全，在发生泄露、篡改、丢失时及时补救和报告。

最后，企业应在内部开展个人信息合规管理和保障的建设工作，如制定相应制度（操作规程），落实安全技术措施，配备组织人员，建立工作机制，采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。

在人工智能、大数据、云计算飞速发展的背景下，企业员工的个人信息的收集、挖掘、管理和利用等也获得了迅速的发展。但是与此相应的是自然人主体的相关权益而临巨大的风险，隐私权和个人信息保护即是其中之重，并己成为社会关注和讨论的焦点。企业在经营管理的过程中，在使用员工个人信息时需要认真甄别是否涉及隐私信息，个人信息使用目的、方式和范围是否违反法律禁止性规定，或者超越员工确认书的授权范围，以避免引发争议，避免可能出现的法律风险。

马元锋，1971年-，男，汉族，河南南阳人，南阳师范学院法学院副教授，研究方向合同法、法律实务。   

联系地址:河南省南阳市卧龙区卧龙路1638号 邮编：473061  

电 话13837759865；电子信箱：mxyihan@163.com