网络安全法与雇员隐私

作者: 辜鸿鹄, 达辉律师事务所
0
1529

为网络信息安全以及个人隐私保护方面里程碑式的《网络安全法》将在2017年6月1日正式施行。4月11日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,开始了为期一个月的向全社会公开征求意见的过程。此《征求意见稿》对个人信息储存、跨境传输、安全评估以及接收提供了极其详尽的要求和指引。

在此之前公布,并且将于2017年10月1日施行的划时代的《民法总则》,再次明确并且清楚界定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息。不得非法买卖、提供或者公开他人个人信息”。在此严格立法的大环境下,雇主在经营过程中必须要非常重视雇员个人信息的收集、利用、传输等问题,并且建立合规机制和预防措施加大雇员隐私权保护,以避免潜在的法律风险。

实用建议

结合目前的法律法规要求,笔者提出以下几点建议:

获取个人信息前得到个人同意。按照《网络安全法》的界定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等”。

对于个人应聘者在应聘过程中提供的相关个人信息,以及雇员在被雇佣过程中提供的个人信息,建议雇主在获取相关信息前获取个人同意,明确告知由于雇佣的需要,雇主会收集和获取相关信息。

获取个人信息的范围要合理。《网络安全法》的重要原则之一就是“收集、使用个人信息,应当遵循合法、正当、必要原则”。因此,雇主在获取个人信息时,应当严格界定个人信息收集的范围,除非雇佣和特殊岗位相关的,不得收集与雇员所在行业、岗位无关的个人信息。

安全储存个人信息,防止数据泄露、被窃取、篡改和被滥用。雇主需要制定内部数据安全管理制度和操作规程,确定信息安全负责人,完善个人信息保护的内部机制,防止个人信息泄露,并且防止个人信息管理人员滥用职权,窃取和非法利用个人信息。

数据跨境存储或者传输前获得个人同意。《征求意见稿》明确在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。数据出境前必须要评估数据出境的必要性,并且重点是评估个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境。

辜鸿鹄 达辉律师事务所合伙人
辜鸿鹄
达辉律师事务所合伙人

以下情形必须报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。

《征求意见稿》首次明确个人信息出境未经个人信息主体同意,或可能侵害个人利益的,数据不得出境。因此,雇主对于雇员个人信息必须跨境存储或者跨境传输的,必须征得个人同意。

第三方合规制度。数据共享或者委托第三方存储时,必须督促第三方建立合规制度。目前企业在运营中,使用第三方专业人力资源管理软件,或者委托第三方远程云存储雇员个人信息的不在少数。尽管在《网络安全法》和《征求意见稿》中对此情形并未做出进一步的界定,但作为广义的“网络运营者”,此第三方公司也受相关法律的约束。

雇主在使用此类第三方公司提供的专业服务时,也需要严格督促其遵守个人信息保护以及雇员隐私安全方面的法规,厘清责任承担义务。

总体而言,相关法律法规和实施办法的陆续出台,对于雇主在雇员个人信息的保护和隐私权保护方面提出了更高更严格的要求。雇主在收集、存储、使用、传输雇员个人信息过程中,必须高度加以重视,避免泄露滥用个人信息的法律风险,甚至国家安全方面的合规风险。

作者:达辉律师事务所合伙人辜鸿鹄

DaHui Lawyers

中国上海市南京西路1515号静安嘉里中心
办公楼一座1306室 邮编200040

Suite 1306, Jing An Kerry Centre Tower 1
1515 Nanjing West Road
Shanghai 200040, China

电话 Tel: +86 21 5203 0688

传真 Fax: +86 21 5203 0699

电子信箱 E-mail:

[email protected]

www.dahuilawyers.com