《民法典》视角下企业用工与个人信息保护浅析

作为重大制度创新之一，《中华人民共和国民法典》将人格权制度独立成编，并在该编第六章对个人信息保护作出了规定，在现行法律规定的基础上，进一步强化对个人信息的保护，并为下一步制定个人信息保护法留出空间。个人信息保护无疑是当下公众关注的一个热点问题，尤其是2020年10月21日《中华人民共和国个人信息保护法（草案）》的发布，更加引发了社会公众对个人信息保护相关法律问题的热议。2017年6月1日开始施行的《中华人民共和国网络安全法》虽对处理个人信息的行为进行了规制，但其规制的对象（如网络运营者、网络产品或者服务的提供者）较为有限，此次《民法典》则扩大了规制对象的范围，将适用于处理个人信息的一切主体。

根据《民法典》第一千零三十五条第二款的定义，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等，也就是说，凡是以上述一种或多种具体方式处理个人信息的主体都要受到《民法典》的约束。就企业用工而言，无论采用何种用工模式（如劳动、劳务、外包、派遣等），在招聘员工以及对员工进行日常管理的过程中，都不可避免地需要收集、存储或者以其他方式处理员工的个人信息（包括但不限于住址、电话号码、电子邮件地址、身份证/社保卡信息、家庭成员信息、银行账号、信贷记录、征信信息、健康信息、行踪信息、打卡记录、工资记录、指纹、面部识别特征）。

那么《民法典》对企业处理员工个人信息的行为提出了哪些要求？企业又该如何履行《民法典》规定的诸多义务呢？本文旨在解答上述疑问，并为企业提供几点合规建议。

一、《民法典》视角下的个人信息保护

不同于生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等具体人格权，我国《民法典》没有规定“个人信息权”，而是使用“个人信息保护”的表述。可见，“个人信息权益”是属于《民法典》第九百九十条第二款规定的该条第一款所述人格权以外的自然人享有的基于人身自由、人格尊严产生的其他人格权益。

了解《民法典》对“个人信息权益”的这一定性便能够更好地理解，虽然隐私权与个人信息保护同属《民法典》人格权编第六章，但《民法典》对二者的保护程度却大不相同，比如：（1）隐私权受到侵害时，权利人可以适用《民法典》第九百九十七条规定的人格权禁令制度，但这不适用个人信息权益受到侵犯时；（2）为公共利益实施新闻报道、舆论监督等行为的，可以依据《民法典》第九百九十九条“合理”使用个人信息，但这条对隐私权不适用；（3）《民法典》第一千零三十六条专门规定了处理个人信息时的免责事由，不适用于隐私权；（4）根据《民法典》第一千零三十三条第五项及第一千零三十五条第一款第一项可以看出，处理私密信息必须取得权利人的“明确”同意，而处理非私密的个人信息只需要征得自然人或者其监护人的同意即可。[1]

《民法典》第一千零三十四条第二款规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《民法典》对个人信息的定义与《网络安全法》中的定义基本一致，只是增加了对电子邮箱、健康信息、行踪信息的列举。根据上述定义可以看出，只有能够识别出特定自然人的信息才属于个人信息，作为一项民事权益，其对于特定自然人的主要利益是防御性的，也就是说，自然人针对个人信息享有的是防止因个人信息被非法处理而致其人身财产权益遭受侵害甚至人格尊严、人身自由受到侵害或损害的利益。[2]

当自然人的个人信息权益受到侵犯时，造成财产损失的，被侵权人可依据《民法典》第一千一百八十二条，要求侵权人按照被侵权人的损失或者侵权人的获利赔偿；损失以及获利难以确定的，由人民法院根据实际情况确定赔偿数额。造成严重精神损害的，被侵权人有权依据《民法典》第一千一百八十三条第一款请求精神损害赔偿。

二、《民法典》视角下企业处理个人信息时应履行的义务

根据《民法典》第一百一十一条、第一千零三十五条第一款、第一千零三十八条之规定，企业在处理员工个人信息时，应遵循合法、正当、必要原则，并且不得过度处理，具体包括：（1）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（2）公开处理信息的规则；（3）明示处理信息的目的、方式和范围；（4）不违反法律、行政法规的规定和双方的约定；（5）不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；（6）信息处理者不得泄露或者篡改其收集、存储的个人信息；（7）未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外；（8）信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

虽然企业负有上述法定义务，但《民法典》第一千零三十六条还规定了企业处理个人信息的免责情形，具体包括：（1）在该自然人或者其监护人同意的范围内合理实施的行为；（2）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（3）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

此外，《民法典》第一千零三十七条规定，自然人可以依法向信息处理者查阅或者复制其个人信息（查阅权、复制权）；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施（异议或更正权）；自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除（删除权）。企业应当保障自然人对其个人信息享有的上述权利。

三、《民法典》视角下给企业用工的几点建议

为招聘、背景调查、录用及日常管理员工之需要，企业在处理个人信息的过程中，应时刻遵循合法、正当、必要原则，具体表现为：

（1）在收集个人信息时，建议严格限定所需个人信息的范围，只收集为企业管理员工所必要的个人信息（尽量要求员工自行主动填写），明确告知员工处理该等个人信息的目的、方式及范围，并要求员工亲自签署知情同意书。如果确实需要收集员工家庭情况、健康状况、婚育状况等涉及或者可能涉及其个人隐私的信息，应在信息收集表中将其作为选填项，并谨慎处理该等信息，以防侵犯员工隐私权。

（2）在存储个人信息时，建议采取技术措施和其他必要措施，确保员工个人信息的安全，防止信息的泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，企业应当及时采取补救措施，按照规定告知自然人，并向有关主管部门报告。《信息安全技术个人信息安全规范》（GB/T 35273—2020）要求个人信息控制者应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息。告知内容应包括但不限于：安全事件的内容和影响；已采取或将要采取的处置措施；个人信息主体自主防范和降低风险的建议；针对个人信息主体提供的补救措施；个人信息保护负责人和个人信息保护工作机构的联系方式。

（3）在使用个人信息时，建议企业事先对将代表企业实际使用或接触个人信息的工作人员进行培训，并要求签署保密书等约束性文件，以防止该等工作人员利用职务之便非法使用企业所掌握的个人信息。

（4）在委托第三方处理个人信息时，应与其签订书面合同书，确保其遵守企业对个人信息保护的规则，严格规定其保密义务以及企业不对其任何违法处理个人信息的行为承担最终法律责任。此外，对其委托的范围不应超过员工同意的对个人信息处理的范围。

（5）在传输或以其他方式向第三方提供个人信息时，应事先取得所涉员工的同意，除非该等个人信息经过加工无法识别所涉员工且不能复原。

（6）在公开披露个人信息时，应向员工告知公开披露个人信息的目的、类型，并事先征得该员工的明示同意，且不应公开披露员工的个人生物识别信息（如指纹、面部识别特征）。

除此之外，尽早建立或完善企业内部的员工个人信息管理制度，对企业的长期发展来说是至关重要的。员工个人信息管理制度应对处理员工个人信息行为的原则、目的、方式、范围、监督、违规处罚等内容作出明确且详细的规定。完善的员工个人信息管理制度可以发挥很大的作用，一方面可以向员工公开企业处理个人信息的规则，另一方面可以作为员工在代表企业处理个人信息时的行为准则。

注：

[1]程啸：《我国民法典对隐私权和个人信息的保护》，人民法院报2020年07月30日。

[2]程啸：《我国民法典对隐私权和个人信息的保护》，人民法院报2020年07月30日。