《个保法》出台一年：企业如何实现员工个人信息的科学管理？

CBR：

对比欧洲的GDPR（通用数据保护条例）和美国的个人信息保护，如何评价中国的《个保法》？

郭兵：

以欧盟为代表的强监管模式，更多的是从基本权利的角度去强化个人信息的保护，欧盟GDPR确定了专门的数据保护部门，对个人信息力度一度被视为“史上最严”。

美国个人信息保护立法较为分散，立法往往针对具体情形或场景，也没有确定专门的个人信息保护部门。这种保护其实更加灵活一些，往往依托于企业自律，有利于美国科技巨头平台的发展。

一般认为中国的立法模式可能是美国和欧盟的折中主义。当然我国的制度设计也参考借鉴了欧盟模式，最典型的就是个人信息行政处罚，我国的处罚力度一定程度上可能比欧盟的力度还要大。例如，欧盟确定的最高处罚额度是上一年度营业额的4%，而我国是5%。

虽然强监管制度已经建立起来了，我国个人信息保护的执法的力度要比欧盟弱的多。目前涉及个人信息保护的高额行政处罚非常少，可能只有滴滴这样的个案。

美国和欧盟除了行政处罚之外，还有大量的集体诉讼。对于平台而言，集体诉讼是一个非常大的司法挑战。在我国，个人信息司法保护往往依托于刑事司法手段，近年来各地检察机关也不断强化了个人信息的公益诉讼。虽然现在各地陆续启动公益诉讼，但大多数还是发生了非常严重的刑事违法后果后才附带提起的民事公益诉讼。

与美国和欧盟集体诉讼相比，我国的个人信息司法保护的预防效果现在还有一些弱。

罗欣：

我们日常和美国、欧洲客户有很多业务上的交流，从个人信息保护的立法力度看，欧洲最强，中国次之，最后是美国。

个人数据立法主要有欧盟和美国两种模式。欧盟叫做Opt In，提前有很多需要告知和同意的地方；美国是Opt Out, 即如果不准我去收集，我才不收集，不然我是默认要收集的。在美国是以自律为主，政府监管没有欧洲那么主导。

所以美国的数字经发达，而欧洲基本没有互联网巨头，这跟欧洲更强力度的数据法监管是有关系的。

从执法效果来看，毫无疑问欧盟最严，例如欧盟对一些互联网巨头有巨额罚款；包括谷歌在内的互联网巨头因为GDPR为欧盟开发了很多应用以满足欧洲公民的新型数据权利，比如遗忘权和数据的可携带权。

CBR：

员工个人信息的定义和边界是什么？

郭兵：

不论是在2016年出台的《网络安全法》，还是《民法典》、《个人信息保护法》，都对个人信息概念的内涵和外延做出了明确界定。目前法律上对个人信息的具体列举并不是按主体角度分的（不满十四周岁的未成年人除外），没有专门就员工个人信息做出明确界定。

所以从法律角度来讲，员工的个人信息与一般的个人信息很难做具体区分。只不过由于主体的特殊性，员工在个人信息保护方面遇到的问题会有一些特殊之处。

CBR：

企业管理和员工个人信息保护的界限何在？

罗欣：

《民法典》也好，《个保法》也好，里面提到的个人信息（包括员工个人信息），都是很中性的描述。我个人觉得企业管理中所涉及的管理信息和员工个人信息的界限不是很清楚，在日常人力资源管理过程当中，没有个人信息就谈不上管理行为和合同履行。

《个保法》强调的是“目的要明确”、“收集原因要合理”这种类似的要求，并没有画一道黑白线。真正去讲那个界限的时候，我个人觉得还是一个隐私的问题（即对于非隐私的个人数据，用人单位在日常管理的时候还是可以合理利用，不宜过多监管限制）。

早些年我们在做这方面法律服务的时候，都叫employee privacy data（雇员隐私数据）。1995年欧盟通过《数据保护指令》的时候，最重要的两个数据类型就是雇员隐私数据和消费者隐私数据。

隐私的范围会更窄一点。员工在工作场所当然是有隐私，但是在办公场所的隐私要符合reasonable expectation（合理的期待），不能认为隐私无限大。打个比方，有人非要在办公场所公开换衣服，你能说都把眼睛移开，不要看我吗？这显然超出了合理性的范畴。再举另外的例子，雇主是不是有权利随意去查看你在办公场所的抽屉或衣柜？你的抽屉跟衣柜就是存有合理隐私期待的地方。

CBR：

灵活办公和灵活用工的趋势下，企业对于员工信息的管理会有变化吗？

张媛杰：

相比原来打卡、考勤记录这些传统的管理方式，远程办公、居家办公比较灵活。虽然有了一些新的变化，但是管理过程中还是万变不离其宗，在要合理的范围内收集员工的信息，注重员工个人信息的隐私保护。

从企业合规的角度，公司需要按照法律法规对个人信息的使用场景来进行具体地梳理，把管理当中涉及到个人信息的环节内化在规章制度中，去确定管理的边界，才能够避免今后对员工个人信息的不必要侵犯，避免员工和企业之间不必要的摩擦。

CBR：

员工信息的合规管理，对于企业的经营和发展有哪些长远的意义？

张媛杰：

如果企业经营当中只是看重客户的个人信息保护，反而忽略了员工的个人信息保护，是一个重大的缺失。

套句俗一点的讲法，人才是企业的核心竞争力。如果企业没有很好地保护员工的个人信息，那很有可能会造成对个人信息的侵犯，员工很难有工作上的积极性。

《个保法》并没有在法律上对员工个人信息和个人信息进行区分，对员工的个人信息保护，实际上也是个人信息保护的一个非常重要的组成部分。厘清员工个人信息利用的边界，能够保证企业长远和稳定的发展，以及科学的用工管理。

CBR：

《个保法》的出台，对您和团队的工作带来了哪些影响和改变？是否可以分享些案例和经验？

张媛杰：

每个公司可能或多或少都会受到《个保法》出台的影响。我觉得《个保法》在企业当中的落地和内化，实际上是充满挑战的。

《个保法》是国内第一次在个人信息保护方面提出了很多具象的要求，把这些具象的要求内化成企业制度，本身就牵扯到很多的人力物力，在公司里要去申请资源，提前预测法规走向。对我的团队来说，实际上增加了很多的工作量。

《个保法》出台之后，紧接着又出台了各种的配套法规，包括数据的跨境、部门的规章、国家的推荐性标准等等，法规的颗粒度也在不断地增加。

对于企业来讲，需要有专门的人员去跟踪这些新的变化。虽然我们也比较了GDPR，一直在跟踪法规的变化，但是很多法律规定对企业来说还不是很明晰，在内化过程当中，也会涉及各个部门的讨论，我认为这可能需要一个非常长的时间，不断地摸索。 

我们也谈不到有什么成功的经验，只能是说做了一些有益的尝试。

第一，注重全面和重点的平衡。《个保法》的配套法规非常多，覆盖面非常广，在人力物力有限的情况下，很难做到一次性100%的合规，对企业的挑战是要对所有场景进行预判。我们权衡了一下可能被执法的重点领域，比如把我们企业所涉及到app的隐私政策按照国家规范进行了梳理。如果达不到这个标准的话，很有可能会被下架，影响到客户体验；再如我们内部涉及的网络系统、计算机系统，有没有做等级保护，数据跨境有没有根据国家要求以及行业主管部门要求做安全审查。这些都是我们企业合规当中的重点。

第二，合理化的标准。《个保法》出台后，很多员工增强了个人信息保护的意识，例如在违纪案例的处理中，有的员工会援引《个保法》的要求，提出企业在违纪调查过程当中收集到的证据不合法、不合规，这给企业也是敲响了一个警钟。我们要做一个合理的设计，确保在今后的诉讼和争议当中，能够有一个比较好的依据，要特别注意这个合理化的界限。

第三，这可能是比较有惠普特色的一点，可能也是有跨境业务的公司都应该去注意的一个地方，就是国家和全球的平衡。在世界范围内，隐私保护的框架实际上很久以来就已经形成了，很多跨国公司的隐私保护框架也是全球性的。所以我们在落地的过程当中，也要去权衡中国的要求和整个全球的隐私保护框架，尽量在不影响整个大框架的基础上，进行一个符合我们实际的落地。

CBR：

疫情背景下用工模式灵活，企业如何做到让90后和00这批年轻员工感到自己的隐私受到保护和尊重，不抵触公司的管理模式？

罗欣：

我个人的感受是年轻一代的员工都非常有想法，自尊心很强，学习能力也很强，比如说做法律检索，他们的效率和方式可能跟我们也不太一样。我会尊重他们的独立性和自己的节奏。

我也提倡多给年轻人一些自由。有一个非公开的数据，自从实行在家办公之后，其实加班更多了，还没加班待遇。这种情况下，如果企业还要去做那么多数据收集以便监控，反而（因为逆反心理）会降低他们的劳动效率。

赋能的同时也是一个放权的过程，从过程导向发展为结果导向，老板只要做quality control就可以了。

郭兵：

现在从小学开始就在普及法治教育，孩子们的权利意识也越来越强了。我们在新闻里面经常看到，还在读小学一二年级的孩子会打110投诉自己的父母。

我在学校里面指导学生设立了互联网法律援助中心，大部分都是00后的学生，他们针对部分大厂提起了具有公益性质的诉讼。通过我们互联网法律援助中心的一些活动，包括他们挑战大厂的诉讼，我能感觉到许多学生的个人信息保护的意识越来越强，对很多前沿的个人信息保护的问题都很关注。

企业无论是在个人信息保护，还是劳动者权利保护方面还是要特别注意，员工的法律意识、权利意识也普遍在提高。

怎么去应对这个挑战？我觉得企业要重视隐私文化的建设，在企业文化中落实员工个人信息保护的要求，员工对企业也会更有归属感。如果一些业务比较敏感，确实有必要设置监控系统，企业也不能偷偷摸摸地去做，透明也非常重要。在设置监控系统的时候，提前的跟员工做沟通，比方说有可能涉及到国家安全，那这个时候要进行监督，显然是必要的，相信员工也能够理解。

张媛杰：

00后、90后的维权意识很强，很有独立性。我觉得企业在做这些员工管理的时候，要放低身段儿。在制度建设上，要做到几个方面。

第一，科学性。企业在采取高科技的管理手段之前，必须要去权衡这个手段所涉及到的个人信息是不是会涉及到敏感信息？是不是超过了合理的范围？ 

第二，全面。制度设计上要覆盖到整个的用人过程当中，不能有任何一环的疏忽。

第三，公开透明。涉及到员工重大利益的规章制度，一定要经过民主程序，跟员工充分沟通，听取员工的意见。

从业绩管理和科学管理的角度，惠普其实是最早实行弹性工作制的企业。疫情出现之前，惠普对很多岗位也不做考勤或者是打卡的硬性管理，我们是通过一些设定的工作目标、业绩目标科学地管理员工。

对于年轻员工的经理就特别有挑战性，你可能就要根据员工的岗位需求设定一个特别具象的目标，定期地回顾，掌握员工绩效的完成情况，同时不断地更新绩效。所以，这个对管理者的水平也是非常有要求的。但是，为了实现企业的科学化管理，我觉得这方面的尝试还是非常值得的。

CBR：

在线招聘平台更偏向于付费的企业端，即企业可以批量地下载求职者的个人信息。这种行为是否会涉及对求职者个人信息的侵犯？

郭兵：

招聘平台与求职者之间肯定会对简历信息的使用有约定，例如通过平台的用户协议或隐私政策等方式，求职者在向平台上传简历的时候，通常也就授权平台使用这些简历信息。

经过了授权同意的情况下，平台跟企业招聘方之间也会有一个合同关系。但是平台和招聘方之间在使用个人信息的时候，严格来说是没有直接获得员工同意，因为员工只是授权了招聘平台来使用简历信息，并没有授权招聘方或者潜在雇主来直接使用。

当然，这种情况也属于《个保法》第13条里面规定的第2种情形，为履行合同或者为了劳动人力管理的需要或者所必需来使用个人信息。但根据《个保法》第6条规定，在使用个人信息的时候，要有明确、合理的目的。

如果不法分子获取简历信息用于诈骗、传销，显然就不符合第13条里面的同意豁免，更不符合第六条合理使用的目的，就会涉嫌违法甚至有可能涉嫌犯罪。 

罗欣：

对于信息泄露，《个保法》有规定：作为数据处理者和控制者，如果感知到了有数据泄露比如说异常下载，轻的话要去通知受影响的个人，重的话需要向监管部门报备，并进行大规模的整改，还要告诉其他尚未受影响的用户。

我觉得《个保法》颁布以后，求职网站肯定要更新用户协议和隐私政策，强化信息安全机制，否则会有很大的合规风险。求职者在登录网站的时候，不可能不去点击“同意按钮”，以便同意用户协议，不然不能正常使用（其实这有一种“身不由己”）。 

求职网站不像QQ空间或朋友圈（其上传或展示功能可以仅供个人娱乐），求职者上传简历的最根本目的就是为了被用人单位找到（不是为了自娱自乐）。在保障得力的情况下，只要网站采取了防止信息泄漏的必要措施和通知机制，实现求职者上传简历的基本目的，我觉得网站也可以合理地处理数据。

简历当中最容易对求职者造成伤害的就是简历当中的敏感信息，例如身份证号码、微信号、手机号码、邮箱、照片、过往工作经历等，都有可能被别有用心的人用于非法途径。

从合同订立机制角度，我理解简历更多的是一个要约邀请，它吸引到了潜在的雇主，能够有机会去面试就够了。我倒是建议求职网站上可以提供一个最精简的、满足必要招聘需求的简历模板，一定程度上既保护网站，也保护求职者，避免求职者可能基于求职心切，过多地披露自己的敏感信息。

CBR：

除了职工自己，公司还有哪些力量或组织可以保护职工在个人信息方面的合法权益？ 是否需要成立专门的部门负责员工隐私保护？

张媛杰：

其实很多部门都可以帮助员工维权，包括人力资源管理部门、法务部、工会、自己的经理。像惠普的话，如果在经营过程中出现了违规现象，任何员工都可以通过道德合规热线寻求帮助。隐私保护政策也可以纳入道德合规热线的处理范畴，员工可以打匿名电话，有专门的部门去处理。 

在隐私保护的部门设定上我觉得可能很多单位都有一定误区，觉得这个主要是人力资源的事，法务部再做下指引就差不多了。

其实员工的个人信息保护涉及的部门非常多，举一个简单的场景来说，给员工发放奖金或者是薪资，像我们公司就需要找第三方的薪资计算机构、派发机构和银行，这个过程当中涉及到把信息提供给财务部，再由财务部去对外分享。

根据《个保法》的规定，如果达到个保法和网信部门规定的数量级，企业要设置专门的个人信息保护部门去负责项目，我觉得这是一个比较好要求和趋势，但是如果企业没有这种条件，我觉得也需要有一个专门的人来做这件事。

针对特殊场景，可能就需要某一部门牵头去联动，比如说像员工违纪调查，可能就需要合规部门主要发起，那么这个过程当中也会有HR、财务部、法务部业务部共同参与。

CBR：

离职等员工的个人信息应该如何处理？

罗欣：

这确实是现在比较尴尬的一个情况。很多公司会运营一些微信群，不断地把客户拉进来，群主往往都是员工本身。如果员工离职了，这个微信号是员工自己的，我们碰到的案例就是员工不肯把群主的位置交出来。

我个人的建议是用公司的手机号来注册微信号，因为当公司拥有这个手机号的时候，该手机号所注册的微信号一定程度上可以被视为是公司资产，可以用这个微信号去做一些社群或视频运营。