企业采集员工个人信息的合规探究

分享到微信 关闭
2019-02-18 | 来源:本站原创

Compliance-officers-1.png

  随着《个人所得税专项附加扣除暂行办法》的发布,新个人所得税法的实施进一步引起了全社会的关注。新个税法给员工降税减负的同时,也考验着企业对员工个人信息的保护和管理能力,并引起了社会对个人信息和隐私保护的担忧。本文从新个税入手,结合我国相关立法,为企业提出一些实务建议。

  一、专项附加扣除信息保护

  享受专项扣除需要"报信息", 包括员工本人、配偶、子女、被赡养人等个人身份信息及其它相关信息,其中家庭成员等新信息的收集也引起了部分员工的警惕心。此前已有新闻报道,有企业收到员工委托的律师发来的律师函,提醒他们通过第三方机构收集员工隐私信息,已构成侵犯隐私权,要求他们停止收集,否则将采取法律行动。

  查阅相关规定可知,法律并未要求或授权企业主动收集员工的专项附加扣除信息,而是说员工可以向企业提交相关信息 ,企业此时必须按规定予以扣除,且应当对员工的专项附加扣除信息保密 。企业作为扣缴义务人,为了帮员工办理扣缴申报,主动收集相关信息,可能是"一片好心",但是如果处理不当,就可能变成坏事,侵犯员工隐私权。因此,建议企业在没有法定义务的情况下,不要主动收集员工此类信息。值得一提的是,企业并没有义务对员工提交的专项附加扣除信息的真实性、准确性、完整性负责,此责任由法律明确规定在于员工自身 ,但是如果企业发现员工提供的信息与实际情况不符,可以要求员工修改,如若员工拒绝修改,则应向主管税务机关报告 。

  二、我国信息保护现状

  除了个税专项附加扣除信息,企业在招聘、录用、管理员工等过程中,不可避免地会收集员工的个人信息,其中不乏难以为外人知的隐私。对于这些个人信息的保管、使用、披露等的合规也是越来越不容忽视的问题。

  我国现行法律中,2013年在最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知 》 (下称"《通知》")中严正强调了个人信息保护。《通知》首先指出,在我国经济快速发展和信息网络普及的同时,侵害公民个人信息的违法犯罪也日益突出,互联网上非法买卖公民个人信息泛滥,由此滋生的电信诈骗、网络诈骗、敲诈勒索、绑架和非法讨债等犯罪屡打不绝,社会危害严重,群众反响强烈;这一说明和我们日常生活中收到的各种商业短信、商业推销电话等感受是吻合的。其次,《通知》要求各级公检法机关,切实提高认识,加强协作配合,坚决打击侵害公民个人信息犯罪活动;明确了公民个人信息是"包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料",并要求对侵犯公民个人信息犯罪,依法加大打击力度,表明了从国家层面保护个人信息的决心。

  同年,工业和信息化部出台了《电信和互联网用户个人信息保护规定》,该规定虽然是针对电信业务经营者、互联网信息服务提供者,但对企业对员工个人信息的保护也有着重要的参考意义。2014年,国务院发布了《寄递服务用户个人信息安全管理规定》,对邮政企业、快递企业及其从业人员对用户个人信息的保护义务做了较为细致的规定。2016年,《中华人民共和国网络安全法》由全国人大常委会通过公布,其第四章专门规定了网络信息安全。2017年,人力资源社会保障部办公厅、财政部办公厅发布了《关于在就业补助资金使用信息公开中进一步加强个人信息保护的通知》,要求防止在资金使用信息公开中泄露个人信息和隐私。2019年1月,中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,要求App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。

  其它相关法律法规散布在包括《民法总则》、《刑法修正案七》、《侵权责任法》、《治安管理处罚法》、《未成年人保护法》、《消费者权益保护法》等之中,但始终缺少一部条理清晰、内涵丰富的《个人信息保护法》。

  看过了立法现状,接下来我们来看一下司法实践。刘某与某企业一般人格权纠纷一案中 ,刘某系该企业离职员工,其起诉该企业盗用其档案从业经验相关信息,在投标书中将其列为企业顾问组技术顾问,并注明其学历及从业经验,侵犯了其姓名权,要求企业赔礼道歉并赔偿经济损失。北京市朝阳区人民法院一审认为,法律规定,自然人享有姓名权;自然人的个人信息受法律保护;任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息 。刘某提交的投标文件复印件显示,企业未经刘某同意将其个人信息用于企业招投标活动,虽然该次投标并未中标,但企业的行为侵犯了刘某的合法权益,应当承担相应的法律责任;判决企业向刘某书面赔礼道歉,并且赔偿一万元的酌定经济损失。

  这份判决,虽然对包含姓名权在内的个人信息,并没有进行认定,但对于侵权行为仍给予了较为严厉的惩罚。如此判决为企业提示的风险已经足够引人注目。虽然我国的个人信息保护法还未出台,但是从立法现状和司法实践中我们都不难窥见,在这个信息时代,个人信息的保护是势在必行的。

  三、企业的个人信息保护对策

  在我国现有的法律框架下,我们建议企业采取以下措施来应对员工个人信息保护的问题:

  1、遵循合法、正当、必要的原则。具体而言,企业一般只要求员工提供和劳动合同直接相关的个人信息;收集、使用其它个人信息时,应征得员工同意,明确告知收集、使用信息的目的、方式和范围,以及拒绝提供信息的后果等事项。

  2、妥善保管信息。企业对员工信息应当严格保密,不得泄露、篡改,不得出售或者非法向他人提供,并采取适当措施防止员工个人信息泄露、篡改或者丢失,例如:建立员工个人信息收集、使用及其相关活动的工作流程和安全管理制度,对批量导出、复制信息实行审查。

  3、谨慎对外披露。与第三方进行业务往来时,应当订立信息安全保障条款,谨慎披露员工个人信息,并对第三方的个人信息保护工作进行监督,必要时进行尽职调查,以规避法律风险。

  4、建立风险应对机制。当员工个人信息发生或者可能发生泄露、丢失的,应当立即采取补救措施,防止损害扩大,并告知相关员工,以便个人及时采取措施。

  5、加强与执法机关的沟通。鉴于相关立法尚不完善,企业在经营过程中主动与执法机关沟通,尤其是可能发生大规模个人信息泄露等突发事件时,配合执法机关的调查,积极采取弥补措施,往往能赢得主动。

  6、关注立法进展。跨国企业,还需关注业务延伸国的法律动态,以防范潜在的国际法律风险。

黄世恩

作者

最近热点

版权所有Copyright @ 江三角律师事务所丨沪ICP备12027989号-2 | | 021-58883253

互联网新闻信息服务许可证:3112014002

会员注册

*

请填写常用邮箱

*

支持中文、字母、数字,4-20个字符

*

请输入您的手机号

*

请输入6-14个数字、英文或特殊字符

*

两次密码输入需一致

*

请填写验证码

如果您已经是会员请登录,带*的必须填写

帐号登录

忘记密码?

没有劳动法苑帐号?立即注册

免费订阅劳动法苑每日资讯