当前位置: 首页> 业务研究

浅析人力资源数字化转型管理中企业员工个人信息及隐私保护

来源:时间:2021-07-30 09:37

【摘要】随着互联网、大数据、云计算等迅猛发展,许多企业将传统的、重复的人力资源工作通过数字化转型升级以达到高效科学管理的目的,同时起到降低企业人力资源管理成本、提升企业经营管理水平、提高企业生厂经营效率的作用。然而人力资源数字化转型管理中如何保护企业员工的个人信息及隐私也是企业亟待面临的风险和亟待解决的难题。在《民法典》的人格权编中,多个条款涉及到对公民个人信息和隐私权的保护,这对于企业人力资源的管理提出了更高的要求,企业在人力资源数字化转型中保护员工的个人信息和隐私已经刻不容缓,本文将从该问题出发,对企业在人力资源管理体系中对员工的个人信息和隐私的保护进行探讨。

【关键词】数字化     人力资源   个人信息与隐私

     一、 企业人力资源管理从传统化的人事管理向数字化转型管理已成为必然趋势。

数字化技术正在以前所未有的进程进入并深入我们生活的各个方面,也改变着企业的传统化的管理模式。企业管理中人力资源管理部门的作用举足轻重,作为企业重要组成部门,人力资源数字化既给企业转型化管理带来了便利,也在经历者数字化转型给企业人力资源管理带来的冲击。

 

大数据、云计算、人工智能等新技术的运用,为互联网时代下企业进行人力资源数字化转型提供了强大的技术支撑。通过互联技术的运用,可以将人资管理人员从重复性、基础性的、事务性的工作中解放出来,既可以满足员工的职业预期,又可以通过数据的汇总和分析,为企业在劳动用工的成本控制方面提供技术支持。

去年在上海召开的国际人力资源技术大会上,中国人才交流协会会长王建华认为,未来大数据、云计算、区块链、人工智能等新技术,将会与人力资源服务业的深度融合,获取新动能,实现新目标。由此可见,人力资源部门的转型将从传统的职能部门,向企业管理战略合作伙伴转变,逐渐完成实现数字化管理的完美蜕变。不难相信,企业人力资源管理从传统走向数字化管理已势在必行。

二、企业人力资源数字化转型管理存在的问题和风险。

1、企业人力资源数字化转型受到管理层的意识以及人员能力欠缺的限制。

数字化转型,对于企业而言,已经不只是一种选择,而是大型企业的必然发展方向,目前许多企业的人力资源管理人员很多并非来自于人力资源管理的专业,甚至有的是企业行政人员兼顾,这对于许多企业特别是中小企业来说是新的挑战。通过人力资源数字化管理虽然可以大幅度降低企业人力资源的管理成本,但是相对于与初期投入的时间、人力、财力而言是很大的支出,许多企业的管理层也是安于目前的管理现状,并无转型升级的打算。企业管理层面缺乏转型升级的战略计划,这些都是企业人力资源数字化转型所面临的困难和难题

企业人力资源数字化转型除了企业管理层的战略计划之外,还需要在转型时期需要配备既懂人力资源管理方面的业务又要懂信息技术方面的复合型人才来稳定企业人力资源信息化团队的建设和培育。而涉及到数字化转型,许多企业可能就会面向信息或者计算机专业的人员,而忽略了人力资源管理的特殊性和专业性,最后可能会将大财力投入的数字化人力资源管理系统难以在实际工作中充分运用,最后搁置造成浪费。

2、数字化设备陈旧老化所带来的风险

2020年6月 , NTT Ltd.的“ 2020年全球网络洞察报告”发现,随着企业将应用程序转移到多云环境中,对云的投资超过了其本地基础架构的支出,导致设备更新和升级变慢,许多企业选择继续消耗网络资产并减缓对本地网络和安全基础设施重构的投资。结果导致包含软件漏洞,未打补丁的网络设备增加,这为企业带来了风险并使其暴露于信息安全威胁之中。

企业在人力资源数字化转型中必然会建立企业的员工的档案的信息数据库,员工的档案数据信息库中势必有员工的个人信息和隐私。企业建立的数据库也都是利用网络和计算机系统。目前网络遭到黑客的不法侵害的新闻也是时常发生,如果企业的计算机系统遭到黑客攻击,那么企业的信息库中的所有信息可能会泄露,甚至无法正常运营,其中也不乏包括员工的个人信息和隐私。

 

三、《民法典》对个人信息和隐私的保护给企业人力资源数字化提出了更高的要求。

2018年5月,堪称史上最严的个人数据保护的《通用数据保护条例》GDPR中规定,企业在收集、存储和使用个人信息时要取得用户的同意。GDPR设计了数据的被遗忘权即删除权,就是指当用户不再希望自己的个人数据被处理并且数据控制者已经没有合法理由保存该数据时,用户是有权要求数据控制者删除数据。

   与欧盟GDPR几乎同时生效的有我国推荐性国家标准《信息安全技术个人信息安全规范》,该规范对个人信息的定义、基本原则、个人信息的收集、保存、委托处理、共享、转让、公开披露及处置均做了规范。但是《信息安全技术个人信息安全规范》并不具有法律强制性,仅仅是作为了个人信息保护的参考标准。

距离我国发布《信息安全技术个人信息安全规范》两年多之后,我国《民法典》正式实施。法典第一千零三十四条明确规定了自然人的个人信息受法律保护;同时法典也定义了个人信息概念是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,法典对个人信息的范围也予以明确,即指自然人的姓名、出生日期、身份证件号码、生物识 别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

法典第一千零三十五条规定处理个人信息的原则是合法、正当、必要的原则,不得过度处理,同时要同时符合下列条件四方面的条件:个人信息的处理首先要征得自然人或者其监护人同意;其次要公开处理信息的规则;再次要明示处理信息的目的、方式和范围; 最后是兜底条款就是不违反法律、行政法规的规定和双方的约定。

落实到企业人力资源管理中,员工有向企业查阅或者复制其个人信息的权利;当发现信息有错误的,是有权要求采取更正等措施。 员工如果发现企业违反法律、行政法规的规定或者双方的约定处理其个人信息的,有请求企业及时删除的权利。

从《信息安全技术个人信息安全规范》到《民法典》,我国对于自然人的个人信息保护力度不断增强。企业从招聘、入职、离职中都会接触到员工的个人信息。相对于企业而言,获取员工的个人信息的法律依据来源于《劳动合同法》第8条规定:就是企业有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实告知。从该条我们不难看出,企业可以掌握劳动者的的只能是与劳动合同直接相关的信息,比如教育和工作经历、执业资格、竞业禁止等情况,而与劳动合同间接相关甚至无关的信息比如婚育情况、家庭成员(职业冲突除外)情况等员工有权不予提供,企业如要强行员工提供的话可能就是涉嫌就业歧视,一旦涉诉,企业可能面临败诉的可能性。

企业在与劳动者招聘和建立劳动关系就会接触到员工的个人信息,包括姓名、性别、地址、联系方式、学历、工作经历、执业资格等,在劳动合同履行阶段,在发放员工劳动报酬时会接触到员工个人银行卡、社保账户、还有用于考勤的指纹、人脸识别等。而员工的这些个人信息存储了企业的大数据、云计算中企业负有对员工个人信息和隐私保护的义务,《民法典》对个人信息和隐私的保护给企业人力资源数字化中员工的个人信息保护提出了更高的要求。

四、《民法典》时代企业人力资源数字化下员工个人信息和隐私保护的措施。

员工的个人信息对于企业来说具有极强的商业价值,特别是员工入职之后在劳动合同履行时期,企业将会不断的获取员工的个人信息,一直到员工的离职。由于目前数字化转型下大数据、云计算以及互联网还存在着许多问题,如果处理不当将会导致员工个人信息和隐私的外泄。由此保护员工的个人信息和隐私变的越来越重要,如果个人信息受将会导致企业的人才流失、经济损失以及名誉等受到负面影响,甚至遭到员工的索赔。

在当前数字化转型下企业在保护员工的个人信息和隐私的,笔者认为应当采取以下措施:

1、企业应当通过民主程序制定保护企业个人信息和隐私方面保护的规章制度。

根据《劳动法》和《劳动合同法》的规定:企业应当建立和完善规章制度。对于涉及员工切身利益或重大事项的,应当经过民主程序制定,可以与职工代表大会、全体职工或者工会讨论,协商确定。虽然在《劳动合同法》第四条的列举涉及到劳动者切身利益的事项中并未包含员工的个人信息和隐私保护,因《劳动合同法》是于2008年1月1日实施的,当时个人信息与隐私的保护的意识尚未形成,随着近年来的互联网、大数据等的迅猛发展,员工的个人信息和隐私保护的制度本人认为应当属于与员工切身利益相关,应当通过民主程序制定。

    关于员工个人信息和隐私制度可以参照《信息安全技术个人信息安全规范》的标准,内容应包括公司可以收集员工哪些个人信息;公司如何保存和使用员工的个人信息;以及对员工个人信息的委托处理、共享、转让及公开披露的规则等,可以使员工清楚企业在收集、使用、处理员工的个人信息的所有程序,取得员工对企业的信任,促进劳动关系的和谐发展。

2、企业在收集、使用、提供、转让、披露等员工的个人信息和隐私的应当获得员工本人的书面授权或者同意。

如,企业在员工应聘阶段,企业对于特殊岗位、或者拟录用的高管及技术人员,需要对其过往的执业经历进行相关调查,也称背调,对此企业既可能是自行进行调查,也有可能通过第三方机构,比如律师事务所、咨询机构等,也有可能向第三方调查,比如员工的原企业、司法部门及金融机构等,在此必须要获得被调查员工的书面同意、许可或者授权,同时企业也应当向员工明确收集其个人信息的理由、途径以及员工个人信息保护所采取的措施等等。企业在对员工的个人信息的收集、加工、处理方面要得到员工的配合,可以防止擅自在收集、使用、处理员工的个人信息中造成对员工的人格权的损害。

3、委托第三方对员工个人信息和隐私处理的,应当采取合理的保护措施。

  企业在经营过程中可能会涉及分立、兼并、收购或破产清算,企业在涉及上级上述过程的极有可能会发生员工个人信息和隐私的二次转移,企业应当根据企业制定的关于个人信息和隐私保护管理制度,要求新的企业继续受原企业的个人信息保护政策的约束,否则企业可要求新的企业重新获得员工的书面授权同意。

4、树立员工个人信息和隐私的安全意识并提高企业管理人员的业务能力。

企业应当加强对员工进行个人信息的安全教育,增强员工对自身个人信息和隐私的保护意识,同时对于在企业内部从事员工个人信息管理人员加强专业化培训,提高其业务能力,减少因技术层面而导致的员工个人信息和隐私的外泄。

5、企业在处理员工的个人信息时候必须严格按照法律的规定操作,

《民法典》对于企业在处理员工的个人信息时不得泄露、篡改所收集、存储的个人信息;在未经得员工同意或授权的前提下,企业不得向任何第三方提供员工的个人信息或者向任何第三方收集个人信息。 企业应当通过制定相应的规章制度或者采取技术措施和其他必要措施,确保其收集、存储的员工个人信息安全,以防止员工的信息泄露、篡改和丢失;一旦发生或者可能发生员工个人信息泄露、篡改和丢失的,企业应当及时采取补救措施,同时在第一时间告知员工并向有关主管部门报告。企业在处理员工的个人信息时候不仅要符合依法制定个人信息保护的规章制度,对于处理个人信息的责任人员也要做出相应的明确,对于发生个人信息安全事件时也要有相应的处置措施等等。






浙江南太湖律师所事务所   蔡永美