个人信息安全时代企业对员工个人信息的管理

专栏:

二十一世纪的快速发展促进了大数据时代的到来,个人信息安全则面临着全新的挑战。大到国际组织,小到各行企业甚至是每个公民个人,都对个人信息问题保持着高度警惕又敏锐的嗅觉,无论是欧盟2018年5月出台的《通用数据保护条例》(General Data Protection Regulation,简称GDPR),还是美国的《公平信息实践原则》(简称FIPPS),都反映出对个人信息保护的高度重视。本文从企业建立员工个人信息管理制度角度出发,参考《网络安全法》及《个人信息安全规范》等法律法规,结合现存的一些案例,对企业员工个人信息管理制度的建立提出建议。

The rapid development in the 21st century has promoted the coming of the era of big data, and personal information security faces new challenges. No matter international organizations, small businesses or even individual citizens, they are all highly vigilant about and sensitive to personal information issues. Whether General Data Protection Regulation (referred to as GDPR) issued by the EU in May 2018 or US Fair Information Practice Principles (referred to as FIPPS), they all reflect the importance of the protection of personal information. This paper starts from the perspective of establishing a personal information management system for employees. And according to the “Network Security Law” and “Personal Information Security Regulations” and other laws and regulations, combined with some existing cases, this paper tries to make recommendations on the establishment of personal information management system for employees.

 

一、员工个人信息及其管理原则

个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括但不限于个人的姓名、联系方式、身份证件号码、个人生物识别信息、家庭住址等。而员工个人信息则是指用人单位因其用工所掌握的其职工上述相关信息。

对个人信息的判断从两个方面进行,一是从信息到个人,即通过该信息定位到特定个人,二是从个人到信息,即特定个人从事活动所产生的具有特殊性的信息。具体到企业内部管理,企业在其用工过程中,因其用工所掌握的员工信息如可据此定位至特定员工,或员工在其工作过程中产生的不为一般公众所知、独具特征的信息即可认定为员工个人信息,当属本文所讨论的企业管理范围。

企业对员工个人信息的管理不仅涉及企业内部的规章制度,更是相关立法的明确要求,同时也应当符合个人信息管理特定原则要求。对员工个人信息的收集、使用、处理应当遵循合法、正当、必要原则,符合相关法律、法规的规定及企业与员工的约定;对员工个人信息的收集应当经员工同意,对与用工无关的个人信息应当不予收集,并删除已收集的无关信息或消除已收集的无关信息识别性。同时企业应当明示收集目的,限制不必要使用,保证员工信息正确,保障信息安全。

 

二、员工个人信息相关法律规制

个人信息的保护是大数据时代我国立法的重点,《刑法》第二百五十三条明确规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”同时,两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息罪的罪名认定和量刑情节加以细化,惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益。可以看出,《刑法》的规定是个人信息保护的利器,也应当为企业管理员工个人信息、保护员工个人信息安全所掌握。

《网络安全法》则侧重规范网络范围内具有用户个人信息收集功能的网络经营者及其网络产品、服务,重新定义互联网语境下的个人信息,将电商、社交、搜索、地图、直播、云及全平台账号密码的信息均纳入个人信息范围,同时规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”提高企业安全技术能力要求,“在提供互联网服务的同时,有能力采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”互联网孕育了大数据,也使得员工个人信息趋于电子化,企业在管理该类信息时应当特别注意保证其在网络环境下的流通性与安全性,改进信息管理技术,防止亚马逊S3式大规模员工信息泄露事件。

《个人信息安全规范》细化个人信息安全内容、流程,制定个人信息标准,明确规范原则,从个人信息收集、保存、使用、委托处理、共享、转让、公开披露、安全事件处置、组织管理要求等方面制定标准化规范;要求企业应当合法、必要、授权同意收集,短时间、去标识化保存、处理、传输;并从技术性流程角度要求审慎使用;明确企业信披义务,提高处理员工个人信息安全事件能力,对上应急处置报告,对下及时告知;针对企业内部员工个人信息管理,要求明确责任部门和人员,开展员工个人信息安全影响评估,提高数据管理能力,加强员工管理与培训,定期进行安全审计,规定的细致化值得企业借鉴。

《反不正当竞争法》从限制不正当竞争行为,保护经营者和消费者合法权益角度出发,将员工个人信息及企业用户信息视为重要竞争优势和商业资源,将员工及用户个人信息的处理作为衡量经营者行为正当性的标准,保障信息主体知情权、同意权、自由选择权,规范市场秩序,坚守企业商业道德底线,禁止企业滥用员工个人信息,标星新型网络经营者。

 

三、企业员工个人信息管理

对员工个人信息的管理重点在于规范员工个人信息控制者即企业行为,要求企业收集员工个人信息应当提供信息用途、储存期限、员工个人信息主管机构联系方式等必要信息,建立员工个人信息滥用申诉渠道和监察机制,从技术和制度两方面保障员工对其个人信息的访问权、更正与擦除权、限制处理权、携带权。

明确企业责任,通过引进技术、建立制度管理员工个人信息,对关联公司信息共享依关联度及信息用途等予以分级,规范员工个人信息授权使用程序及文件格式,在信息泄露、滥用惩罚机制的基础上建立奖励制度,建立员工信息官主管负责制度,加强与监管机构及行业协会合作。

建立科学合理的企业员工个人信息安全体系:建立科学使用体系,保障信息收集、使用、处理安全;建立信息披露体系,及时、完整、准确地向监管机构报告员工个人信息泄露事件,保障员工知情权,依法向信息主体传达信息泄露情况;建立科学评估体系,评估员工个人信息影响,提前咨询。

最后,员工个人信息的价值在于大数据背景下的信息共享,企业对于员工个人信息管理的目的不应仅在于保护,也需要加以合理利用,在合规前提下促进信息流通,挖掘员工个人信息潜在商业价值,同时肩负社会责任,促进社会信用体系建设。

 

【典型案例一】

2014年4月至6月,余某在阿某集团工作期间,集团数据安全规范规定:集团员工个人数据属于敏感数据。敏感数据的提取等使用行为必须经过申请方主管和数据所有方的安全接口人授权。余某违反集团规定,使用python语言编写具有自动获取数据功能的脚本程序main_user.py,将其在公司内部论坛网站“阿里内外”账号的cookie信息配置到该脚本程序上,通过运行该程序,秘密窃取阿某集团员工的公民个人信息共计2万余条。

杭州市余杭区人民检察院以杭余检公诉刑诉[2017]XXX号起诉书指控余某犯非法获取公民个人信息罪,于2017年7月10日提起公诉。

被告人余某对公诉机关指控的事实无异议,仅提出其并非“窃取”,自己的行为不具有非法性,其行为不构成犯罪。

一审辩护人认为,(1)被告人余某的行为没有侵犯任何法益,没有违反国家规定,且收集的信息是在阿某公司公共领域、正当公开的信息,是公开的合法行为,并非窃取行为,请求宣告被告人余某无罪;(2)被告人余某具有如下量刑情节:被告人余某如实陈述案件事实,初次被指控犯罪,其行为未造成任何危害后果。

二审辩护人认为,原判将《阿某集团数据安全规范(总纲)》等同于刑法的“国家规定”,且主观推定余某知晓内容及违反的后果;余某收集的信息是在阿某集团公共领域、正当公开的信息;该行为是公开的合法行为并非窃取。综上,余某的行为不符合非法获取公民个人信息罪的构成要件,不构成犯罪,原判认定事实和适用法律错误,请求改判无罪。

 

【法院观点】

一审法院:被告人余某窃取公民个人信息,情节严重,其行为已构成非法获取公民个人信息罪。公诉机关指控的罪名成立。被告人余某提出其并非“窃取”,自己的行为不具有非法性,其行为不构成犯罪;辩护人提出,被告人余某的行为没有侵犯任何法益,没有违反国家规定,且收集的信息是在阿某公司公共领域、正当公开的信息,是公开的合法行为,并非窃取行为,请求宣告被告人余某无罪,经查,被告人余某的行为符合《刑法》修正案(七)第253条之一第二款、第一款的规定,构成非法获取公民个人信息罪,故被告人的上述辩解及辩护人的上述辩护意见,与法律规定不符,本院均不予采纳。被告人余某归案后对自己的主要犯罪事实供认不讳,其对自己的行为如何定性有不同理解不影响对其如实供述自己罪行的认定,依法予以从轻处罚,并对其适用缓刑。辩护人所提相关辩护意见,本院予以采纳,但辩护人所提被告人的行为未造成任何危害后果的辩护意见,依法不予采纳。

(2017)浙0110刑初737号

二审法院:上诉人余某窃取公民个人信息,情节严重,其行为已构成非法获取公民个人信息罪。关于上诉人余某及其辩护人提出的余某收集的信息是在阿某集团公共领域、正当公开的信息,该行为是公开的合法行为并非窃取行为,只是违反了公司的规定而非国家法律,故不构成非法获取公民个人信息罪等相关诉辩意见。经查,上诉人余某的行为符合非法获取公民个人信息罪的构罪要件,原判认定非法获取公民个人信息罪的定性正确。故上诉人余某及其辩护人所提的相关诉辩意见不能成立,本院不予采纳,对其及辩护人提出改判无罪的请求,本院不予支持。原判定罪及适用法律正确,量刑适当。原审审判程序合法。

(2018)浙01刑终441号

 

【典型案例二】

2016年8月,被告人王玉向被告人韩跃索要南充市楼盘的业主信息。后韩跃使用自己的QQ邮箱将自己持有的业主信息全部发送给王玉。该业主信息共包含南充市本地139个楼盘共计85955余条业主信息。每条信息具体包含该楼盘的业主信息、房屋具体栋、号数、该房屋建筑面积、该业主联系电话等公民个人信息。被告人庞慧敏系南充市顺庆区优易贷金融服务有限公司法定代表人李某4的女友,2016年11月以来,为了帮助李某4提高公司业务,于2017年2月向其朋友王玉索要南充本地个人电话信息。王玉将好友韩跃发给自己的南充市139个楼盘的业主资料信息全部通过QQ邮箱的方式发给庞慧敏。被告人张丽系该公司前台工作人员,在明知系公民个人信息的情况下,仍将上述信息打印好后分发给客服人员使用。2017年3月,被告人秦钦为了获取南充市优易贷商贸有限公司的贷款业务,通过与该公司的庞慧敏联络,使用自己的QQ向其发送大量公民个人信息。发送到信息包括“南充市消费人群”、“政府工作人员”、“2013南充楼盘综合”等文件。上述文件包含纯电话号码近150000余条;电话号码加上个人姓名近1600余条;包含楼盘的业主姓名房屋具体栋、号数、该套房屋建筑面积、该业主联系电话等内容的公民个人信息近40000余条。

【法院观点】

本院认为,被告人张丽系优易贷职工,从被告人庞慧敏手中接过上述公民个人信息后,对信息除敏后传递给下一工作岗位的单位职工,被告人张丽的行为既有非法获取行为,也有非法提供行为,其提供(扩散)的范围虽然是在单位内部,也符合刑罚第二百五十三条之一所规定的侵害公民个人信息罪的构成要件。

(2018)川1302刑初6号

保华律师事务所 祝伊成


著作权归原作者所有,禁止未经许可的转载


如果您对我们的网站有任何意见或建议,请至此页面填写

发表您的评论

*
*

微信服务号和邮件订阅

扫描二维码,订阅服务号(CLL劳动法),使用便捷劳动法计算器!

订阅电子邮件期刊列表,收阅每周最新专栏文章和知识库文章,了解最新服务信息。

订阅成功