全国人大常委会于2016年12月19日审议了民法总则草案三审稿。草案规定,任何人不得非法收集、利用、加工、传输个人信息,不得公开或出售个人信息。
2016年11月7日,全国人大通过了《网络安全法》,该法将于2017年6月1日起生效。《网络安全法》将“个人信息”定义为“以电子或者其他方式记录的能够识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、住址、电话号码等”。
《网络安全法》包含了许多有关于个人数据保护的条文。例如该法要求网络运营者履行如下义务:(1)建立健全的个人信息保护制度;(2)向数据收集者明示收集、使用信息的目的、方式和范围,并经被收集者同意;(3)不得泄露、篡改、毁损其收集的个人信息;以及(4)未经被收集者同意,不得向他人提供个人信息。
目前关于网络运营者的这些义务能否适用于用人单位通过电信网络向员工收集个人信息的情形尚未有明确定论。“网络运营者”广义上是指计算机信息网络的所有者或管理者,或网络服务的提供者。该定义理论上可以适用于所有使用或管理电信网络来推广提供产品或服务的实体。除此之外,现行指引已经要求雇主需要取得员工同意后才能使用或公开员工的个人信息。
此外,《网络安全法》规定,关键信息基础设施运营者,即广义上包括公共通信和信息服务等重要领域内的任何运营者,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。如信息需向境外提供,有关部门需要进行安全评估并批准。
对雇主而言,《网络安全法》并没有明确规定,关于信息地域性要求和信息境外输出的评估和批准要求是否可以解释用于阻止或限制雇员信息的跨境转移。从实践操作上,鉴于该种解读会阻止跨国公司的全球人力资源系统访问在中国雇员的信息,它可能无法实施。
