【摘要】随着互联网、大数据、云计算等迅猛发展,许多公司将传统的、重复的人力资源工作通过数字化转型升级以达到高效科学管理的目的,同时起到降低公司人力资源管理成本、提升公司经营管理水平、提高公司生厂经营效率的作用。然而人力资源数字化转型管理中如何保护公司员工的个人信息及隐私也是公司亟待面临的风险和亟待解决的难题。在《民法典》的人格权编中,多个条款涉及到对公民个人信息和隐私权的保护,这对于公司人力资源的管理提出了更高的要求,公司在人力资源数字化转型中保护员工的个人信息和隐私已经刻不容缓,本文将从该问题出发,对公司在人力资源管理体系中对员工的个人信息和隐私的保护进行探讨。
【关键词】数字化 人力资源 个人信息与隐私
一、 公司人力资源管理从传统化的人事管理向数字化转型管理已成为必然趋势。
数字化技术正在以前所未有的进程进入并深入我们生活的各个方面,也改变着公司的传统化的管理模式。公司管理中人力资源管理部门的作用举足轻重,作为公司重要组成部门,人力资源数字化既给公司转型化管理带来了便利,也在经历者数字化转型给公司人力资源管理带来的冲击。
大数据、云计算、人工智能等新技术的运用,为互联网时代下公司进行人力资源数字化转型提供了强大的技术支撑。通过互联技术的运用,可以将人资管理人员从重复性、基础性的、事务性的工作中解放出来,既可以满足员工的职业预期,又可以通过数据的汇总和分析,为公司在劳动用工的成本控制方面提供技术支持。
去年在上海召开的国际人力资源技术大会上,中国人才交流协会会长王建华认为,未来大数据、云计算、区块链、人工智能等新技术,将会与人力资源服务业的深度融合,获取新动能,实现新目标。由此可见,人力资源部门的转型将从传统的职能部门,向公司管理战略合作伙伴转变,并逐渐完成实现数字化管理的完美蜕变。不难相信,公司人力资源管理从传统走向数字化管理已势在必行。
二、公司人力资源数字化转型管理存在的问题和风险。
1、公司人力资源数字化转型受到管理层的意识以及人员能力欠缺的限制。
数字化转型,对于公司而言,已经不只是一种选择,而是大型公司的必然发展方向,目前许多公司的人力资源管理人员很多并非来自于人力资源管理的专�业,甚至有的是公司行政人员兼顾,这对于许多公司特别是中小公司来说是新的挑战。通过人力资源数字化管理虽然可以大幅度降低公司人力资源的管理成本,但是相对于与初期投入的时间、人力、财力而言是很大的支出,许多公司的管理层也是安于目前的管理现状,并无转型升级的打算。公司管理层面缺乏转型升级的战略计划,这些都是公司人力资源数字化转型所面临的困难和难题。
公司人力资源数字化转型除了公司管理层的战略计划��之外,还需要在转型时期需要配备既懂人力资源管理方面的业务又要懂信息技术方面的复合型人才来稳定公司人力资源信息化团队的建设和培育。而涉及到数字化转型,许多公司可能就会面向信息或者计算机专�业的人员,而忽略了人力资源管理的特殊性和专�业性,最后可能会将大财力投入的数字化人力资源管理系统难以在实际工作中充分运用,最后搁置造成浪费。
2、数字化设备陈旧老化所带来的风险
2020年6月 , NTT Ltd.的“ 2020年全球网络洞察报告”发现,随着公司将应用程序转移到多云环境中,对云的投资超过了其本地基础架构的支出,导致设备更新和升级变慢,许多公司选择继续消耗网络资产并减缓对本地网络和安全基础设施重构的投资。结果导致包含软件漏洞,未打补丁的网络设备增加,这为公司带来了风险并使其暴露于信息安全威胁��之中。
公司在人力资源数字化转型中必然会建立公司的员工的档案的信息数据库,员工的档案数据信息库中势必有员工的个人信息和隐私。公司建立的数据库也都是利用网络和计算机系统。目前网络遭到黑客的不法侵害的新闻也是时常发生,如果公司的计算机系统遭到黑客攻击,那么公司的信息库中的所有信息可能会泄露,甚至无法正常运营,其中也不乏包括员工的个人信息和隐私。
叁、《民法典》对个人信息和隐私的保护给公司人力资源数字化提出了更高的要求。
2018年5月,堪称史上最严的个人数据保护的《通用数据保护条例》骋顿笔搁中规定,公司在收集、存储和使用个人信息时要取得用户的同意。骋顿笔搁设计了数据的被遗忘权即删除权,就是指当用户不再希望自己的个人数据被处理并且数据控制者已经没有合法理由保存该数据时,用户是有权要求数据控制者删除数据。
与欧盟骋顿笔搁几乎同时生效的有我国推荐性国家标准《信息安全技术个人信息安全规范》,该规范对个人信息的定义、基本原则、个人信息的收集、保存、委托处理、共享、转让、公开披露及处置均做了规范。但是《信息安全技术个人信息安全规范》并不具有法律强制性,仅仅是作为了个人信息保护的参考标准。
距离我国发布《信息安全技术个人信息安全规范》两年多��之后,我国《民法典》正式实施。法典第一千零叁十四条明确规定了自然人的个人信息受法律保护;同时法典也定义了个人信息概念是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,法典对个人信息的范围也予以明确,即指自然人的姓名、出生日期、身份证件号码、生物识 别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
法典第一千零叁十五条规定处理个人信息的原则是合法、正当、必要的原则,不得过度处理,同时要同时符合下列条件四方面的条件:个人信息的处理首先要征得自然人或者其监护人同意;其次要公开处理信息的规则;再次要明示处理信息的目的、方式和范围; 最后是兜底条款就是不违反法律、行政法规的规定和双方的约定。
落实到公司人力资源管理中,员工有向公司查阅或者复制其个人信息的权利;当发现信息有错误的,是有权要求采取更正等措施。 员工如果发现公司违反法律、行政法规的规定或者双方的约定处理其个人信息的,有请求公司及时删除的权利。
从《信息安全技术个人信息安全规范》到《民法典》,我国对于自然人的个人信息保护力度不断增强。公司从招聘、入职、离职中都会接触到员工的个人信息。相对于公司而言,获取员工的个人信息的法律依据来源于《劳动合同法》第8条规定:就是公司有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实告知。从该条我们不难看出,公司可以掌握劳动者的的只能是与劳动合同直接相关的信息,比如教育和工作经历、执业资格、竞业禁止等情况,而与劳动合同间接相关甚至无关的信息比如婚育情况、家庭成员(职业冲突除外)情况等员工有权不予提供,公司如要强行员工提供的话可能就是涉嫌就业歧视,一旦涉诉,公司可能面临败诉的可能性。
公司在与劳动者招聘和建立劳动关系就会接触到员工的个人信息,包括姓名、性别、地址、联系方式、学历、工作经历、执业资格等,在劳动合同履行阶段,在发放员工劳动报酬时会接触到员工个人银行卡、社保账户、还有用于考勤的指纹、人脸识别等。而员工的这些个人信息存储了公司的大数据、云计算中公司负有对员工个人信息和隐私保护的义务,《民法典》对个人信息和隐私的保护给公司人力资源数字化中员工的个人信息保护提出了更高的要求。
四、《民法典》时代公司人力资源数字化下员工个人信息和隐私保护的措施。
员工的个人信息对于公司来说具有极强的商业价值,特别是员工入职��之后在劳动合同履行时期,公司将会不断的获取员工的个人信息,一直到员工的离职。由于目前数字化转型下大数据、云计算以及互联网还存在着许多问题,如果处理不当将会导致员工个人信息和隐私的外泄。由此保护员工的个人信息和隐私变的越来越重要,如果个人信息受将会导致公司的人才流失、经济损失以及名誉等受到负面影响,甚至遭到员工的索赔。
在当前数字化转型下公司在保护员工的个人信息和隐私的,笔者认为应当采取以下措施:
1、公司应当通过民主程序制定保护公司个人信息和隐私方面保护的规章制度。
根据《劳动法》和《劳动合同法》的规定:公司应当建立和完善规章制度。对于涉及员工切身利益或重大事项的,应当经过民主程序制定,可以与职工代表大会、全体职工或者工会讨论,协商确定。虽然在《劳动合同法》第四条的列举涉及到劳动者切身利益的事项中并未包含员工的个人信息和隐私保护,因《劳动合同法》是于2008年1月1日实施的,当时个人信息与隐私的保护的意识尚未形成,随着近年来的互联网、大数据等的迅猛发展,员工的个人信息和隐私保护的制度本人认为应当属于与员工切身利益相关,应当通过民主程序制定。
对于员工个人信息和隐私制度可以参照《信息安全技术个人信息安全规范》的标准,内容应包括公司可以收集员工哪些个人信息;公司如何保存和使用员工的个人信息;以及对员工个人信息的委托处理、共享、转让及公开披露的规则等,可以使员工清楚公司在收集、使用、处理员工的个人信息的所有程序,取得员工对公司的信任,促进劳动关系的和谐发展。
2、公司在收集、使用、提供、转让、披露等员工的个人信息和隐私的应当获得员工本人的书面授权或者同意。
如,公司在员工应聘阶段,公司对于特殊岗位、或者拟录用的高管及技术人员,需要对其过往的执业经历进行相关调查,也称背调,对此公司既可能是自行进行调查,也有可能通过第叁方机构,比如律师事务所、咨询机构等,也有可能向第叁方调查,比如员工的原公司、司法部门及金融机构等,在此必须要获得被调查员工的书面同意、许可或者授权,同时公司也应当向员工明确收集其个人信息的理由、途径以及员工个人信息保护所采取的措施等等。公司在对员工的个人信息的收集、加工、处理方面要得到员工的配合,可以防止擅自在收集、使用、处理员工的个人信息中造成对员工的人格权的损害。
3、委托第叁方对员工个人信息和隐私处理的,应当采取合理的保护措施。
公司在经营过程中可能会涉及分立、兼并、收购或破产清算,公司在涉及上级上述过程的极有可能会发生员工个人信息和隐私的二次转移,公司应当根据公司制定的对于个人信息和隐私保护管理制度,要求新的公司继续受原公司的个人信息保护政策的约束,否则公司可要求新的公司重新获得员工的书面授权同意。
4、树立员工个人信息和隐私的安全意识并提高公司管理人员的业务能力。
公司应当加强对员工进行个人信息的安全教育,增强员工对自身个人信息和隐私的保护意识,同时对于在公司内部从事员工个人信息管理人员加强专�业化培训,提高其业务能力,减少因技术层面而导致的员工个人信息和隐私的外泄。
5、公司在处理员工的个人信息时候必须严格按照法律的规定操作,
《民法典》对于公司在处理员工的个人信息时不得泄露、篡改所收集、存储的个人信息;在未经得员工同意或授权的前提下,公司不得向任何第叁方提供员工的个人信息或者向任何第叁方收集个人信息。 公司应当通过制定相应的规章制度或者采取技术措施和其他必要措施,确保其收集、存储的员工个人信息安全,以防止员工的信息泄露、篡改和丢失;一旦发生或者可能发生员工个人信息泄露、篡改和丢失的,公司应当及时采取补救措施,同时在第一时间告知员工并向有关主管部门报告。公司在处理员工的个人信息时候不仅要符合依法制定个人信息保护的规章制度,对于处理个人信息的责任人员也要做出相应的明确,对于发生个人信息安全事件时也要有相应的处置措施等等。
浙江南太湖律师所事务所 蔡永美
