網上投稿
l 摘要
2021年11月1日,《中華人民共和國個人信息保護法》(下稱“《個人信息保護法》”)將正式實施,結合《個人信息保護法》的立法原則和背景調查實務現狀,本文通過梳理背景調查內容、調查環節及調查方式中存在的法律問題及風險,結合實務案例,旨在厘清背景調查中的相關法律責任,提出應對建議,防范法律風險。
l 關鍵詞
個人信息保護 背景調查 法律風險
一、背景調查的概念
背景調查是用人單位對入職者進行背景資料和證明材料的核查。其最早起源于國外,在我國常見于大型外資企業,隨著個人信用價值的日益凸顯,越來越多的企業將背景調查用于入職者的錄用參考依據,比如大型車企、互聯網、金融等高新企業。企業通過設立專門的背景調查部門,比如吉利集團;或通過委托專門從事背景調查的機構對入職者的身份信息、學歷信息、職業資格、金融資信、裁判文書、失信被執行人信息、犯罪記錄等情況進行調查后,形成調查報告交由企業的用人部門審查。
企業內部的背調部門,外部的專業背調機構都將面臨如下尖銳的問題:
企業所調查的信息是否應當被認定為隱私?
企業調查信息方式是否違法?
企業使用信息是否存在不當行為?
二、背景調查的內容
(一)什么是“個人信息”?
1、《個人信息保護法》對個人信息的規定
根據《個人信息保護法》第四條規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
根據《個人信息保護法》第二十八條規定,敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
因此,在處理個人信息時,個人信息處理者應當嚴格按照《個人信息保護法》的規定。
根據《個人信息保護法》第二十九條規定,處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。另外,《個人信息保護法》第三十條規定,個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。
2、《勞動合同法》對個人信息的規定
根據《勞動合同法》第八條規定,用人單位可收集的員工個人信息限于“與勞動合同直接相關的基本情況”,主要包括:姓名、性別、民族、國籍、身份證號碼、住址、個人郵箱、健康狀況、學歷學位、工作經歷、緊急聯系人(或主要家庭成員)等。
3、背景調查所涉及的個人信息
具體到背景調查所涉及的個人信息,包括身份信息、學歷信息、資質信息及工作經歷。對中、高層管理崗位人員或其他核心崗位人員進行調查時,還會涉及到對其職業素養的調查,包括專業能力、管理能力、溝通技巧、向上管理和向下管理的能力、過往的經歷以及其他核心崗位所需的特殊經歷等,在這些信息的調查過程中也可能會涉及到過往企業的關鍵信息和核心技術。
結合《個人信息保護法》對于信息的界定,企業在收集員工信息時應注意信息的范圍和邊界,處理信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息,同時處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。對敏感個人信息處理時應更加關注特定目的性和充分必要性。
(二)背調調查主體
背景調查的主體主要包括企業背景調查人員或團隊、第三方背景調查機構等,根據背景調查主體的不同,背景調查的方式主要分為自主調查和委托調查。
1、自主調查
現實中,通常企業會由人事進行相關的背景調查工作,而有的企業已經建立起了自己的背景調查團隊,在自主調查時,尤其應注意調查過程中存在各項法律風險,我們將在下文詳細闡述。
2、委托調查
在自主調查無法滿足調查需求的情況下,企業會選擇委托第三方背景調查機構進行調查工作。根據《個人信息保護法》第二十一條規定,個人信息處理者委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等,并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托合同不生效、無效、被撤銷或者終止的,受托人應當將個人信息返還個人信息處理者或者予以刪除,不得保留。未經個人信息處理者同意,受托人不得轉委托他人處理個人信息。
作為委托方,即用人企業,應當與受托方即調查機構簽署書面的《委托合同》或符合法律要求的《電子委托合同》,在委托合同中明確約定雙方在個人信息保護的權利義務和責任,并要求獨立背景調查機構通過合法途徑調查候選人員工個人信息,保護好已獲取的員工個人信息。
根據《個人信息保護法》第二十條規定,個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。因此委托方應盡量禁止調查機構轉委托,以降低信息處理方過可能引發的不可控風險。
(三)背調調查對象
背景調查的對象分為:普通員工和公司高管或重要員工。
1、普通員工
2、公司高管或重要員工
公司高管或重要員工,主要是指涉及企業“錢”(會計、出納)、“權”(管理、決策權)、“命”(命脈,技術人員)的員工,因這些員工的崗位直接影響公司的發展,故企業更加注重這些人員的職業素養,例如:專業能力、管理能力、溝通技巧、向上管理和向下管理的能力、過往的經歷。又因這些員工會接觸到公司的關鍵信息和核心技術,因此需要調查其曾經職責范圍、績效表現、團隊合作能力、抗壓能力。
(四)背景調查的權限
背景調查并不等于秘密調查,《個人信息保護法》第13到17條規定,個人信息處理者應當取得個人同意,為訂立、履行個人作為一方當事人的合同所必需或按勞動制度所必需,該同意應當由個人在充分知情的前提下自愿、明確作出;發生變更,應當重新取得個人同意;個人有權撤回其同意(但不影響撤回前的個人信息處理活動)。
合法授權的途徑主要包括:1、通過微信、短信等方式,發送背調通知并要求被調查人回復;2、讓被調查人簽署背調《授權書》;3、給予員工充分的選擇權,在員工自愿的基礎上實施。
背調流程主要為:先背調前一至三段經歷、目前在職單位待提出離職后再補充背調(例如:A公司面試完,還沒回到原公司,A公司HR電話背調原公司,被原公司開除-A公司賠償)。
因此,企業在進行背景調查工作時,務必要取得個人的同意和授權,在員工不知情的情況下展開調查工作,是侵犯員工的個人信息權益的典型違法行為。
(五)背調調查方式
根據背調方式是否合法將其分為合法方式和非法手段。
1、合法方式
主要是指:來源合法,應為正當途徑,不能購買、賄買等方式獲取;過程合法,不得采取侵害公民人身、財產權利方式搜集信息;結果合法,獲得形式合法、內容合法的調查報告。
2、非法手段
主要包括:偷拍、偷錄、跟蹤搜集個人行蹤軌跡;向負有保密義務的第三方收集證據......
以非法手段獲取員工個人信息的,侵犯員工權益或造成員工精神、財產損害的或將承擔相應民事賠償責任;企業根據非法收集信息主張解除勞動關系的,還需要承擔違法解除勞動合同的賠償金。
三、背景調查的法律風險及法律責任
(一)背景調查過程中的法律風險
1、員工入職前的風險:
風險一:因未經候選人授權違法收集個人信息導致的侵犯個人信息所引起的民事責任和刑事責任;
風險二:因背景調查手段不正當導致的侵犯候選人過往任職企業商業秘密的刑事責任;
風險三:背調內容超過法律允許的范圍引起的侵犯個人隱私所引起的民事責任。
2、員工入職后的風險:
風險一:因違法使用員工個人信息引起民事責任和刑事責任;
風險二:因違法使用員工個人信息導致違法解除勞動合同引起的民事賠償責任;
風險三:未及時以員工存在提供虛假信息等欺詐行為為由解除勞動合同,進而違規解除勞動合同而引起的民事賠償責任。
(二)背景調查所涉及的法律責任
1、民事責任
(1)過錯推定責任
根據《個人信息保護法》第六十九條、民法典第一千一百八十二條和第一千一百八十三條之規定,在背景調查過程中,如企業過度收集或違法收集個人信息或因其他違法行為侵害他人人身權益造成他人損害的,應對被侵權人承擔相關賠償責任,造成他人精神損害的,還應承擔相關精神損害賠償責任。
(2)公平補償責任
在背景調查過程中,如企業方與員工之間均不存在過錯,根據民法典第一千一百八十六條規定,受害人和行為人對損害的發生都沒有過錯的,依照法律的規定由雙方分擔損失。
2、行政責任
責任主體 |
違法情形 |
處罰方式 |
法條依據 |
個人信息處理者 |
違法處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務 |
責令改正、警告 |
《個人信息保護法》第66條第一款 |
個人信息處理者 |
存在上述情形拒不改正 |
沒收違法所得 |
|
應用程序 |
違法處理個人信息 |
責令暫停或終止服務,拒不改正的,并處一百萬元以下罰款 |
|
個人信息處理者、 直接負責的主管人員和其他責任人員 |
違法處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務 |
一萬元以上十萬元以下罰款
|
|
個人信息處理者 |
企業存在上述違法行為,情節嚴重的 |
停業整頓、吊銷業務許可、吊銷營業執照 |
《個人信息保護法》第66條第二款 |
相關企業的董事、監事、高級管理人員和個人信息保護負責人 |
主要責任人禁業 |
||
個人信息處理者 |
違反《個人信息保護法》 |
記入信用檔案、公示違法處理個人信息 |
《個人信息保護法》第67條 |
3、刑事責任
(1)背景調查機構的刑事風險
●侵犯公民個人信息罪
背景調查機構如果通過出售、提供或者非法獲取等方式侵犯公民個人信息的則構成侵犯公民個人信息罪。
法條依據:【《刑法》第二百五十三條 違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
單位犯前三款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。】
●侵犯商業秘密罪
背景調查機構為獲取被調查者的職業經歷,可能通過盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取被調查者過往就職單位的商業秘密。可能使用獲取到的商業秘密或者將商業秘密披露在調查報告中。
法條依據:【《刑法》第二百一十九條 有下列侵犯商業秘密行為之一,情節嚴重的,處三年以下有期徒刑,并處或者單處罰金;情節特別嚴重的,處三年以上十年以下有期徒刑,并處罰金: (一)以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權利人的商業秘密的;
(二)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密的;
(三)違反保密義務或者違反權利人有關保守商業秘密的要求,披露、使用或者允許他人使用其所掌握的商業秘密的。
明知前款所列行為,獲取、披露、使用或者允許他人使用該商業秘密的,以侵犯商業秘密論。
本條所稱權利人,是指商業秘密的所有人和經商業秘密所有人許可的商業秘密使用人。】
(2)被調查者的刑事風險
●偽造、變造、買賣國家機關公文、證件、印章罪
被調查者通過偽造職業資格證書,如會計證、教師資格證、法律執業證書等方式讓自己滿足入職單位對個人資質的要求,達到入職的目的。
●偽造公司、企業、事業單位、人民團體印章罪
被調查者通過偽造高等院校印章制作學歷、學位證明等方式讓自己符合入職單位對學歷的要求。
●偽造、變造、買賣身份證件罪
被調查者通過偽造居民身份證、護照、社會保障卡、駕駛證等方式入職等方式隱瞞自己的個人經歷(如前科劣跡)或者職業經歷(規避競業禁止)。
法條依據:【《刑法》第二百八十條 偽造、變造、買賣或者盜竊、搶奪、毀滅國家機關的公文、證件、印章的,處三年以下有期徒刑、拘役、管制或者剝奪政治權利,并處罰金;情節嚴重的,處三年以上十年以下有期徒刑,并處罰金。
偽造公司、企業、事業單位、人民團體的印章的,處三年以下有期徒刑、拘役、管制或者剝奪政治權利,并處罰金。
偽造、變造、買賣居民身份證、護照、社會保障卡、駕駛證等依法可以用于證明身份的證件的,處三年以下有期徒刑、拘役、管制或者剝奪政治權利,并處罰金;情節嚴重的,處三年以上七年以下有期徒刑,并處罰金。 】
四、以案說法
(注:以下案例均發生在《個人信息保護法》實施之前,本文均以《個人信息保護法》生效之后的視角簡要分析。)
(一)員工入職之前
案例一:
李某與中國郵政儲蓄銀行股份有限公司長春市分行用人單位責任糾紛案
——(2017)吉0103民初1222號
案情簡述:李某于2016年10月11日在吉大南區參加“中國郵政儲蓄銀行2017年校園招聘”。2017年1月4日在萬佳體檢中心參加入職體檢,體檢結果李某不知道,但是萬佳體檢項目單的背面有寫明“乙肝保密、非經本人允許不檢測乙肝項目”的內容。李某因被迫于隸屬關系配合郵儲長春分行的人力資源部工作人員一共做了三次檢查,而郵儲長春分行最終還是作出了取消李某實習與錄用資格的決定。
裁判要旨:根據《關于維護乙肝表面抗原攜帶者就業權利的意見》(勞社部發(2007)16號)的規定,為促進乙肝表面抗原攜帶者實現公平就業,保護乙肝表面抗原攜帶者的就業權利,除國家法律、行政法規和衛生部規定禁止從事的易使乙肝擴散的工作外,用人單位不得以勞動者攜帶乙肝表面抗原為理由拒絕招用或者辭退乙肝表面抗原攜帶者。法院認為銀行在校園招聘過程中,違反相關法律規定,要求原告進行肝功能復檢,構成用工歧視,侵犯了原告人格權,確實給原告造成較大的精神壓力,故原告要求被告賠禮道歉,賠償經濟損失及檢查費用的訴訟請求應予支持。
根據《個人信息保護法》第十三條規定,符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。
根據《個人信息保護法》第二十八條第二款規定,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。
上述案例中,銀行作為金融機構而非特別需要關注員工醫療健康的企業比如食品衛生行業而言,員工的個人健康問題并不具有其崗位招聘的特定目的性和充分必要性,且銀行已在明確知道“乙肝保密、非經本人允許不檢測乙肝項目”的規定后仍要求李某進行了三次檢測,并依據該檢測結果對李某做出不予錄用的決定,是屬于違法處理個人信息的行為,《個人信息保護法》實施后,企業該類似行為或將會承擔相應的行政責任、民事責任甚至刑事責任。
案例二:
殷某與北京某生物科技有限公司勞動爭議案
——(2017)京03民終11023號
案情簡述:殷某于2015年12月2日入職北京某生物科技有限公司,擔任人力資源總監,雙方簽訂的勞動合同期限自2015年12月2日至2018年12月1日。2016年8月19日,北京某生物科技有限公司以殷某在應聘過程中提供虛假信息為由與殷某解除勞動關系。
裁判要旨:因殷某在入職時填寫的《員工入職登記表》與其過往社保繳納經歷不符,同時因殷某入職崗位為人力資源總監,系高管崗位,其過往工作經歷是企業錄用的重要判斷標準,故法院認定殷某提供虛假工作經歷信息的行為構成欺詐,駁回了殷曉劍要求企業支付違法解除勞動關系賠償金的請求。
根據上述案例可以看出,該企業在殷某入職時曾要求其填寫《員工入職登記表》,企業通過與殷某過往的社保繳費經歷進行比對時發現了其存在提供虛假信息的行為,因殷某入職的崗位系人力資源總監,屬于高管崗位,故企業以此為由向法院提出解除勞動關系訴請,法院基于企業訴請的合理性及證據的真實性、關聯性、合法性認定殷某構成欺詐。
企業在招聘時可以要求候選人填寫《基本信息登記表》,但為了防止登記的信息超過合法范圍,可以將不是關鍵或必要的信息列入非必填項;同時,在調查授權時,可要求候選人簽署《背景調查承諾書》,取得候選人的書面同意和授權,在涉及中、高層崗位候選人信息背景調查時也可能會涉及到過往企業的關鍵信息和核心技術,如需調查候選人其他信息或涉及到候選人過往企業的內部信息時也應取得相關人和企業的書面同意和授權。
(二)員工入職之后
案例一:
劉某與北京東某公司一般人格權糾紛案
——(2018)京0105民初21306號
案情簡述:劉某系北京東某公司員工,在職期間為2015年3月2日至2015年5月5日,2017年3月31日,劉某發現北京東某公司在中國對外經濟貿易信托有限公司的“檔案托管項目(招標編號0747-1761SITCNxxx)”投標文件中盜用了其名義,謊稱劉某為北京東某公司顧問,私自使用劉某的個人信息(含檔案中級職稱)及從業經驗等相關信息,以提高北京東某公司的競標實力。同時劉某發現北京東某公司自2015年5月6日起,多次盜用劉某檔案從業經驗相關信息,虛構“投標書”內容,并在多個項目的投標書中私自使用。
裁判要旨:法院根據《民法通則》第99條認定,自然人享有姓名權;自然人的個人信息受法律保護;任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。北京東某公司未經劉某同意將劉某個人信息用于企業招投標活動,該次投標雖未中標,但其行為侵犯了原告的合法權益,應當承擔相應法律責任。
上述案例中,企業為了其商業目的考慮,在未經劉某的同意和授權的情況下盜用了劉某的名義,謊稱劉某為其公司顧問,私自使用劉某的個人信息(含檔案中級職稱)及從業經驗等相關信息,以提高公司的競標實力。根據《民法通則》,法院認定其侵犯了劉某的合法權益,應承擔相應法律責任。
根據《個人信息保護法》第四十七條規定,有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:(一)處理目的已實現、無法實現或者為實現處理目的不再必要;(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;(三)個人撤回同意;(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;(五)法律、行政法規規定的其他情形。且根據第十九條之規定,除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。
在《個人信息保護法》實施后,上述行為亦將會受到《個人信息保護法》的約束,企業在未經員工同意和授權的情況下不得處理員工的個人信息,并應妥善保管,不得非法使用,同時員工已離職的不得再繼續使用并應及時銷毀相關信息。
案例二:
林某與A公司勞動合同糾紛案
——(2012)滬一中民三(民)終字第1230號
案情簡述:2011年6月28日,A公司錄用了林某,雙方簽訂了期限至2014年6月27日的勞動合同,約定試用期至2011年8月27日。合同同時約定,林某被查實應聘時向A公司提供個人資料是虛假的或者隱瞞了重大事實的,A公司可以解除合同,并不作任何補償。A公司向林某發出轉崗通知,以林某入職以來未完成工作要求為由,通知林某轉崗。林某于2011年12月1日至新崗位就職。2011年12月6日,A公司以林某不服從轉崗安排為由,通知林某解除勞動合同。
裁判要旨:經仲裁委及法院查明,A企業發現林某在填寫《入職登記表》和《履歷表》時存在提供虛假信息的欺詐行為,但A企業并未及時與其解除勞動合同,而是將其進行了轉崗,導致法院認定A企業的轉崗行為視為對林某欺詐行為持容忍態度,最終法院不支持A企業提出的員工存在不誠信行為有權解除勞動合同的訴請,認定A公司需向林某支付違法解除勞動合同期間的勞動報酬。
在本案中,企業在背景調查時并不存在違法處理員工信息的行為,相反其背景調查工作非常之規范,但因其在發現林某存在提供虛假信息時并未及時解除與林某的勞動關系,而是采取了轉崗的方式繼續留用,最終以林某不服從轉崗安排為由通知林某解除勞動合同,導致法院認定企業的轉崗行為視為對林某欺詐行為持容忍態度,最終法院不支持企業提出的員工存在不誠信行為有權解除勞動合同的訴請,認定企業需向林某支付違法解除勞動合同期間的勞動報酬。
在實務中,企業一旦發現員工存在提供虛假信息的行為時,應當及時提出解除勞動合同,否則將會被認定為一種容忍態度從而喪失了最佳時機,導致承擔違法解除勞動合同的賠償責任。
下表為背景調查工作中常規使用的主要文件:
類別 |
具體文件 |
授權文件 |
背景調查授權承諾書 |
基本信息調查表 |
|
涉及過往企業關鍵信息和核心技術的應取得的該企業的書面同意和授權文件 |
|
入職文件 |
入職登記表 |
勞動合同 |
|
社保繳費證明 |
|
學歷證明 |
|
制度文件 |
員工手冊 |
背景調查制度 |
|
信息保護制度 |
五、法律法規整合
背景調查不僅與《個人信息保護法》息息相關,同時,也涉及民法典、《個人信息保護法》《勞動合同法》《刑法》《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等相關法律法規。(詳見下圖)
六、對企業的建議
(一)員工入職前企業風險防范實務建議:
1、調查授權:應事先取得員工的同意和授權,如需調查員工其他信息也應事先取得員工的同意 ;
2、調查內容:應該是與工作內容相關的信息,不得超出法律規定;
3、調查方式:采取合法的方式進行,不得采用偷拍、偷錄、跟蹤等違法方式等進行 ;
4、妥善保管:企業應當妥善保護員工信息,防止員工信息泄露,對不需要的信息應及時銷毀 。
(二)員工入職后企業風險防范實務建議:
1、妥善保管:對于收集的員工個人信息應妥善保管,不得非法使用,員工已離職的不得再繼續使用并應及時銷毀相關信息;
2、及時行權:發現員工存在提供虛假信息等欺詐行為時應及時解除勞動關系;
3、證據完整:與員工解除勞動關系時應做到證據收集的完整性。
(三)企業自身機制完善建議:
1、專人負責制
專人負責制屬于個人信息保護領域的一個創新,根據《個人信息保護法》第五十二條之規定,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督,同時個人信息處理者應當公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
2、建立管理制度和流程
根據《個人信息保護法》第五十一條之規定,個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)采取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;
(五)制定并組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
3、重要互聯網平臺的特殊義務
對于提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的企業,根據《個人信息保護法》第五十八條之規定 ,企業應當按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;定期發布個人信息保護社會責任報告,接受社會監督。
七、結語
【背調,是一門技術;背調,是一門藝術。】
隨著信息化與經濟社會持續深度融合,網絡已成為生產生活的新空間、經濟發展的新引擎、交流合作的新紐帶。截至2020年3月,我國互聯網用戶已達9億,互聯網網站超過400萬個、應用程序數量超過300萬個,個人信息的收集、使用更為廣泛。(此數據來源于:關于《中華人民共和國個人信息保護法(草案)》的說明)
雖然近年來我國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人,從商業利益等目的出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。
《個人信息保護法》聚焦目前個人信息保護的突出問題,落實個人信息保護責任,加大對個人信息處理者違法行為的懲處力度。隨著《個人信息保護法》的出臺與實施,如何合法合規的開展背景調查工作,防止因調查方式錯誤、調查內容超規引發的法律風險也成為背景調查團隊亟待解決的現實問題。
附:2021年9月11日申同所合伙人劉怡律師接受“世界500強企業”吉利集團的邀請,針對《個人信息保護法》及企業背景調查法律實務問題,在杭州吉利學堂對其人力資源背景調查團隊進行了為期一天的法律培訓。
Q:員工離職后對其的回訪記錄是否屬于工作之外的非必要信息,是否可以記錄形成報告?
A:屬于非必要信息,但經過其授權同意的情況下可以記錄,在其授權同意的情況下形成的報告如果只是內部做參考并沒有泄露、沒有出售牟利,是可以的。
Q:哪些內容屬于隱私?比如個人犯罪記錄、訴訟記錄、信用卡欠款記錄是否屬于隱私?
A:所謂隱私主要包括私人信息、私人活動及私人領域,敏感信息作為私人信息的重要組成部分已被《個人信息保護法》列為重要保護信息內容,所謂敏感個人信息是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。私人活動則屬于動態的隱私,如社會交往、夫妻性生活、婚外戀等;再者是私人領域,也稱作私人空間,指個人隱秘部位,如人體隱私部位,以及個人日記、居室等。
個人犯罪記錄如果已經在法院裁判文書網公開,則不屬于隱私,但如果公開的裁判文書將其名字隱掉的,在未征得他人的授權同意的情況下去查詢甚至公開則屬于侵犯個人信息權利的行為。
同樣的,訴訟記錄也是一樣的,在法院裁判文書網可以公開查詢到的則不屬于隱私,如無法公開查詢到,則需取得本人的授權同意。
而信用卡欠款記錄則是在公開信息很難查詢的到的信息,需要取得本人的授權同意方可查詢。
Q:在候選人入職之前無法調查上家公司,入職之后進行補調,在入職前曾簽署了一個授權書,并進行了一次背調,授權書上有寫明直到這個背調的過程完成是他的授權期限。那么補調是否還需要再次授權?電話或微信等其他方式取得他同意是否可以?如何界定上述問題中提到的超期?
A:按照《個人信息保護法》規定,超期或者超范圍均需要進行重新授權。
需要關注授權書上約定的授權期限,背調完成需要進行明確,而不應只是籠統約定直至完成背景調查為止,建議對完成背景調查約定一個客觀評價標準,即何種情況下背景調查即告完成,或最長于何時視為背景調查授權到期。如果沒有約定或者約定不明,則需要重新取得被調查人授權同意。另外建議在授權書上告知候選人“本授權書的簽署視為您同意我們對您的相關信息的調查,我們將開啟對您的背景調查工作,同時我們也將保護你的信息安全”以符合《個人信息保護法》對個人信息處理者義務要求。
Q:智聯招聘、獵聘等招聘網站會使用候選人在其平臺上的一些數據信息進行分析,形成人力資源的報告、行業分析報告、薪酬分析報告等,作為企業是否可以形成類似背調分析的大數據報告?會有哪些法律風險?這樣的大數據報告是否可以面向市場?
A:大數據報告有個前提,必須有授權,同時應在授權書上約定“我們將會使用你的信息形成數據報告”,如果形成的數據報告僅涉及比較寬泛的信息,比如男女比例、年齡范圍、工作年限等,根據《個人信息保護法》可以進行相關的收集、使用、加工,如數據報告包含了敏感信息或其他高風險信息的則應進行脫敏,并對其特定性和充分必要性進行合理說明,否則將會根據《個人信息保護法》面臨相關的行政責任、民事賠償責任,甚至刑事責任。
根據《個人信息保護法》第十條之規定,任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。因此,以盈利為目的的向他人出售大數據報告將會涉嫌非法買賣、提供或者公開他人的個人信息,是不允許的。
Q:背景調查報告是否可以作為訴訟證據使用?
A:實務中,公司與員工直接因員工提供虛假信息導致公司與其解除勞動合同的訴訟案件中,背景調查報告的內容通常會被作為證據來使用,但在使用時應注意作為證據的背景調查的內容應與案件本身有關,即證據的關聯性;另外還需保證在獲取員工的個人信息時是取得其明確的授權同意的,即證據的合法性;同時還需要保證該背景調查的真實性,即證據的真實性;在保證上述三性的情況下背景調查報告的內容作為證據使用是可以的。
Q:委托第三方機構進行背景調查如何保證其調查結果的真實性、合法性?對于委托方會有什么樣的法律風險?
A:在進行委托第三方機構進行背景調查時,應在委托合同中明確約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務,另外建議要求第三方機構保證其調查信息的來源、內容、手段均為合法合規的,并約定清楚違約責任,一旦發生相關糾紛時可以有效地向其進行追責。
根據《個人信息保護法》第二十條第二款之規定,個人信息處理者共同處理個人信息,侵害個人信息權益造成損害的,應當依法承擔連帶責任。因此,如果因第三方機構在調查過程中存在違法行為的,則委托人也將承擔連帶責任,同樣的,為應對前述情形,建議在委托協議中明確約定清楚違約責任,以降低損害。
Q:候選人簽署的授權書中授權范圍包含了其親屬的信息,是否可以對其親屬進行相關背景調查?
A:不可以。首先,根據《個人信息保護法》獲取他人的個人信息需要取得他人的明確授權同意,候選人的親屬屬于獨立的主體,其個人信息亦受到法律的保護,應取得其本人的授權同意方可查詢;其次,根據獲取個人信息應當遵從特定目的性和充分必要性,候選人與公司建立勞動關系,背景調查的特定性和充分必要性應當是與其勞動相關的個人信息,而其親屬的個人信息與其勞動關系并無特定和必要關系。如果其親屬的信息是在公開信息可以查詢到的,比如在國家企業信用信息公示系統查詢到的從商信息,或在國家裁判文書網查到的涉訴信息,筆者認為是不夠成侵犯其個人信息的行為的。當然還有一種另外情形,即對于未滿14周歲的未成年人的信息,在經其監護人同意的情況下可以進行調查,但應當制定專門的個人信息處理規則。
Q:如在對候選人進行背景調查后發現其造假問題很嚴重決定不予錄用,但合作企業或關聯企業想要錄用他并來詢問我們調查結果,是否可以告知其調查結果?
A:原則上是不可以。但如果在授權書中對調查主體的范圍進行了約定,包含了關聯企業,筆者認為是可以告知該關聯企業調查結果的。而對合作企業來說,按照《個人信息保護法》的規定是不允許的。
滬公網安備 31010402007129號
