壹、 企業收集員工個人信息收集的基本要求
《個人信息保護法》規定,凡涉及處理自然人個人信息活動的都適用該法律[1],因此企業收集員工個人信息時也需要全面遵守《個人信息保護法》。《個人信息保護法》關於收集個人信息的基本原則包括:(1)企業需要向員工告知個人信息收集的目的、範圍和方式,並獲得員工同意;(2)企業在收集員工個人信息時需要遵守合法、正當、必要性,應限於實現處理目的的最小範圍;(3)企業在收集員工個人敏感信息時,更需要員工的單獨同意,並只有在特定的目的和充分的必要性下才可收集;等等。
註:[1] 《個人信息保護法》第三條
二、企業收集員工個人信息的各種場景及收集的個人信息
對於壹個企業而言,企業會有多少場景收集員工的個人信息?對於壹個員工而言,又向企業提供了多少數量的個人信息呢?如果根據企業管理員工的具體場景進行梳理,會發現企業可能會收集大量的員工個人信息。
(壹)企業招聘員工及員工入職時
企業對於應聘崗位的候選人以及剛入職報到的新員工,通常都會要求員工填寫壹份書面的《應聘人員信息登記表》或者《入職人員信息登記表》。
《登記表》常見收集的應聘者或員工個人信息包括:(1)基礎個人信息,如身高、體重、民族、政治面貌、婚姻狀況、健康狀況、學歷、家庭地址、聯系方式、身份證等;(2)教育經歷信息,如畢業院校、專業、證明人、證書等;(3)工作經歷信息,如工作單位、工作內容、典型工作項目、離職原因、證明人等;(4)宗教信仰、個人興趣愛好等。
某些特殊行業的特別工作,基於公眾衛生安全的要求,會進壹步要求員工提供傳染病感染史及治愈情況,例如(1)食品生產經營中從事接觸直接入口食品的行業;(2)飲用水生產、管理、供應行業;(3)公***場所直接為顧客服務的工作;(4)托幼機構的保育、教育工作;(5)美容、整容的工作;(6)直接從事化妝品生產的工作。
有些企業,對於女員工還會進壹步了解女員工的戀愛情況、婚姻情況、生育情況,甚至是壹胎、二胎、三胎生育計劃等信息[2]。
註:[2] 新京報2021年6月4日報道,國內某潮流文化娛樂公司的面試單中直接詢問近期是否有生育計劃,還僅限女性:
/detail/162279405414361.html
(二)企業履行勞動合同義務及勞動法義務時
企業基於勞動合同及勞動法規定的相關義務,在為員工繳納五險壹金、發放工資時也會收集員工的個人銀行賬戶、社保賬戶等信息。
此外,員工在向企業請病假、婚假、產假時,企業也會向員工收集病歷本、診斷報告、結婚證、出生醫學證明等材料[3],用於確認員工的生病事實、結婚事實和生育事實。在這類情況下,企業就有可能收集到了員工的生病情況,結婚證領證時間,嬰兒出生日期、姓名、身份證號、健康狀況、出生地點等員工及家人的個人信息。
註:[3] (2020)滬01民終10935號案件記載,員工向企業申請產假過程中,企業要求提供結婚證和出生醫學證明。該案中,法院認為屬於企業用工管理的合理範疇,不涉及侵犯員工隱私權。
(三)企業提供特別員工福利時
有些企業還會進壹步地提供個性化的企業員工福利,包括員工及其家人的商業保險、員工旅遊、員工體檢、住房補貼、用車補貼等。在此情形下,員工享受了企業福利,也進壹步地向企業提供了額外的個人信息。
1. 員工及其家人商業保險
企業為員工及其家人提供的商業保險會涵蓋壽險、醫療險、意外傷害保險、重大疾病保險等,而保險公司在為企業投保此類團體商業保險時,會需要企業進壹步提供員工及其家人詳細、完整的患病信息、既往病史、康復狀況、健康狀況等個人敏感信息,以進壹步評估員工和其家人可參與的保險計劃和保費。在這類信息收集過程中,企業往往會先向員工收集,再將個人敏感信息轉交給保險公司,而並非由保險公司直接向員工收集。
相似的,企業在團建、旅遊時也會為員工購買相應的旅遊保險、意外險,也可能涉及前述個人敏感信息。
2. 員工住房及用車補貼
區別於常見的出差住宿報銷和交通報銷,企業可能會額外給予員工住房補貼和用車補貼,此時企業會向員工收集租賃合同、加油票據、打車票據等材料,用以核實員工住房和交通的事實情況。此時,企業實際上收集到了員工的具體居住信息、票據上記載的出行時間、付款信息等。
(四)企業進行特別的管理要求時
根據我們了解到的企業管理場景,員工或知情或不知情地在以下幾類場景中向企業提供了個人信息:
1. 企業宣傳中使用員工肖像照
企業常需要在宣傳片、宣傳冊中使用員工肖像照及相關介紹,以對外宣傳公司。這種情形下,不單單涉及到了企業向員工收集其肖像照,還涉及到員工的肖像權使用問題。
2. 企業考勤、打卡
企業考勤時會使用紙質打卡、磁卡打卡等方式,也有較多企業會使用指紋打卡、人臉打卡。部分企業提供員工餐時,也會要求員工掃描人臉或掃描指紋,用於統計用餐人數。這類情形下企業收集了員工的人臉信息、指紋信息,且屬於員工的個人敏感信息。
3. 通過電子設備收集員工個人信息
基於企業管理的需要,企業向員工提供工作電腦、工作手機時,也有可能在其中設置相關監控軟件。企業可以通過軟件了解員工電腦和手機的開關機時間、瀏覽網址情況,甚至是軟件使用時長等。又或者,有些企業會通過WiFi監控的方式,監控員工手機流量使用情況,監控員工上班時是否“摸魚”[4]。
有些軟件公司,基於客戶企業對於員工管理的需要,還開發了遠程打卡功能。員工在外拜訪客戶、出差、外勤時,企業可以要求員工在指定時間和指定外勤地點進行打卡,了解員工在外的實際情況。
企業通過電子設備收集員工個人信息時,實際上獲得了多種多樣的員工個人信息和權限,例如位置信息、硬件相機權限、硬件存儲權限、硬件設備信息等。
4. 新冠肺炎疫情背景下收集員工個人信息
由於近期再次廣泛傳播的新冠肺炎疫情,企業在履行相應的疫情防範措施時,也免不了收集員工的個人信息。例如員工上班測溫時的體溫信息,員工請假時居住地封控信息,員工感染疫情時的感染情況、康復信息等