《民法典》視角下企業用工與個人信息保護淺析

作爲重大制度創新之一，《中華人民共和國民法典》將人格權制度獨立成編，並在該編第六章對個人信息保護作出了規定，在現行法律規定的基礎上，進一步強化對個人信息的保護，併爲下一步制定個人信息保護法留出空間。個人信息保護無疑是當下公衆關注的一個熱點問題，尤其是2020年10月21日《中華人民共和國個人信息保護法（草案）》的發佈，更加引發了社會公衆對個人信息保護相關法律問題的熱議。2017年6月1日開始施行的《中華人民共和國網絡安全法》雖對處理個人信息的行爲進行了規制，但其規制的對象（如網絡運營者、網絡產品或者服務的提供者）較爲有限，此次《民法典》則擴大了規制對象的範圍，將適用於處理個人信息的一切主體。

根據《民法典》第一千零三十五條第二款的定義，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等，也就是說，凡是以上述一種或多種具體方式處理個人信息的主體都要受到《民法典》的約束。就企業用工而言，無論採用何種用工模式（如勞動、勞務、外包、派遣等），在招聘員工以及對員工進行日常管理的過程中，都不可避免地需要收集、存儲或者以其他方式處理員工的個人信息（包括但不限於住址、電話號碼、電子郵件地址、身份證/社保卡信息、家庭成員信息、銀行賬號、信貸記錄、徵信信息、健康信息、行蹤信息、打卡記錄、工資記錄、指紋、面部識別特徵）。

那麼《民法典》對企業處理員工個人信息的行爲提出了哪些要求？企業又該如何履行《民法典》規定的諸多義務呢？本文旨在解答上述疑問，併爲企業提供幾點合規建議。

一、《民法典》視角下的個人信息保護

不同於生命權、身體權、健康權、姓名權、名稱權、肖像權、名譽權、榮譽權、隱私權等具體人格權，我國《民法典》沒有規定“個人信息權”，而是使用“個人信息保護”的表述。可見，“個人信息權益”是屬於《民法典》第九百九十條第二款規定的該條第一款所述人格權以外的自然人享有的基於人身自由、人格尊嚴產生的其他人格權益。

瞭解《民法典》對“個人信息權益”的這一定性便能夠更好地理解，雖然隱私權與個人信息保護同屬《民法典》人格權編第六章，但《民法典》對二者的保護程度卻大不相同，比如：（1）隱私權受到侵害時，權利人可以適用《民法典》第九百九十七條規定的人格權禁令制度，但這不適用個人信息權益受到侵犯時；（2）爲公共利益實施新聞報道、輿論監督等行爲的，可以依據《民法典》第九百九十九條“合理”使用個人信息，但這條對隱私權不適用；（3）《民法典》第一千零三十六條專門規定了處理個人信息時的免責事由，不適用於隱私權；（4）根據《民法典》第一千零三十三條第五項及第一千零三十五條第一款第一項可以看出，處理私密信息必須取得權利人的“明確”同意，而處理非私密的個人信息只需要徵得自然人或者其監護人的同意即可。[1]

《民法典》第一千零三十四條第二款規定，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”《民法典》對個人信息的定義與《網絡安全法》中的定義基本一致，只是增加了對電子郵箱、健康信息、行蹤信息的列舉。根據上述定義可以看出，只有能夠識別出特定自然人的信息才屬於個人信息，作爲一項民事權益，其對於特定自然人的主要利益是防禦性的，也就是說，自然人針對個人信息享有的是防止因個人信息被非法處理而致其人身財產權益遭受侵害甚至人格尊嚴、人身自由受到侵害或損害的利益。[2]

當自然人的個人信息權益受到侵犯時，造成財產損失的，被侵權人可依據《民法典》第一千一百八十二條，要求侵權人按照被侵權人的損失或者侵權人的獲利賠償；損失以及獲利難以確定的，由人民法院根據實際情況確定賠償數額。造成嚴重精神損害的，被侵權人有權依據《民法典》第一千一百八十三條第一款請求精神損害賠償。

二、《民法典》視角下企業處理個人信息時應履行的義務

根據《民法典》第一百一十一條、第一千零三十五條第一款、第一千零三十八條之規定，企業在處理員工個人信息時，應遵循合法、正當、必要原則，並且不得過度處理，具體包括：（1）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（2）公開處理信息的規則；（3）明示處理信息的目的、方式和範圍；（4）不違反法律、行政法規的規定和雙方的約定；（5）不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；（6）信息處理者不得泄露或者篡改其收集、存儲的個人信息；（7）未經自然人同意，不得向他人非法提供其個人信息，但是經過加工無法識別特定個人且不能復原的除外；（8）信息處理者應當採取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發生或者可能發生個人信息泄露、篡改、丟失的，應當及時採取補救措施，按照規定告知自然人並向有關主管部門報告。

雖然企業負有上述法定義務，但《民法典》第一千零三十六條還規定了企業處理個人信息的免責情形，具體包括：（1）在該自然人或者其監護人同意的範圍內合理實施的行爲；（2）合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；（3）爲維護公共利益或者該自然人合法權益，合理實施的其他行爲。

此外，《民法典》第一千零三十七條規定，自然人可以依法向信息處理者查閱或者複製其個人信息（查閱權、複製權）；發現信息有錯誤的，有權提出異議並請求及時採取更正等必要措施（異議或更正權）；自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除（刪除權）。企業應當保障自然人對其個人信息享有的上述權利。

三、《民法典》視角下給企業用工的幾點建議

爲招聘、背景調查、錄用及日常管理員工之需要，企業在處理個人信息的過程中，應時刻遵循合法、正當、必要原則，具體表現爲：

（1）在收集個人信息時，建議嚴格限定所需個人信息的範圍，只收集爲企業管理員工所必要的個人信息（儘量要求員工自行主動填寫），明確告知員工處理該等個人信息的目的、方式及範圍，並要求員工親自簽署知情同意書。如果確實需要收集員工家庭情況、健康狀況、婚育狀況等涉及或者可能涉及其個人隱私的信息，應在信息收集表中將其作爲選填項，並謹慎處理該等信息，以防侵犯員工隱私權。

（2）在存儲個人信息時，建議採取技術措施和其他必要措施，確保員工個人信息的安全，防止信息的泄露、篡改、丟失；發生或者可能發生個人信息泄露、篡改、丟失的，企業應當及時採取補救措施，按照規定告知自然人，並向有關主管部門報告。《信息安全技術個人信息安全規範》（GB/T 35273—2020）要求個人信息控制者應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時，應採取合理、有效的方式發佈與公衆有關的警示信息。告知內容應包括但不限於：安全事件的內容和影響；已採取或將要採取的處置措施；個人信息主體自主防範和降低風險的建議；針對個人信息主體提供的補救措施；個人信息保護負責人和個人信息保護工作機構的聯繫方式。

（3）在使用個人信息時，建議企業事先對將代表企業實際使用或接觸個人信息的工作人員進行培訓，並要求籤署保密書等約束性文件，以防止該等工作人員利用職務之便非法使用企業所掌握的個人信息。

（4）在委託第三方處理個人信息時，應與其簽訂書面合同書，確保其遵守企業對個人信息保護的規則，嚴格規定其保密義務以及企業不對其任何違法處理個人信息的行爲承擔最終法律責任。此外，對其委託的範圍不應超過員工同意的對個人信息處理的範圍。

（5）在傳輸或以其他方式向第三方提供個人信息時，應事先取得所涉員工的同意，除非該等個人信息經過加工無法識別所涉員工且不能復原。

（6）在公開披露個人信息時，應向員工告知公開披露個人信息的目的、類型，並事先徵得該員工的明示同意，且不應公開披露員工的個人生物識別信息（如指紋、面部識別特徵）。

除此之外，儘早建立或完善企業內部的員工個人信息管理制度，對企業的長期發展來說是至關重要的。員工個人信息管理制度應對處理員工個人信息行爲的原則、目的、方式、範圍、監督、違規處罰等內容作出明確且詳細的規定。完善的員工個人信息管理制度可以發揮很大的作用，一方面可以向員工公開企業處理個人信息的規則，另一方面可以作爲員工在代表企業處理個人信息時的行爲準則。

注：

[1]程嘯：《我國民法典對隱私權和個人信息的保護》，人民法院報2020年07月30日。

[2]程嘯：《我國民法典對隱私權和個人信息的保護》，人民法院報2020年07月30日。