用人单位处理员工个人信息时的合规义务

一、立法背景

自2017年起，《网络安全法》《数据安全法》《个人信息保护法》构成了我国数据保护领域的“三驾马车”。其中，2021年颁布实施的《个人信息保护法》是我国第一部对个人信息保护进行系统性规范的专门性法律，为个人信息保护提供了明确的规则指引，也对用人单位在处理员工个人信息时的合规管理义务提出了越来越高的法律要求。

我国《民法典》第一千零三十四条明确规定，自然人的个人信息受法律保护。该条第二款规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

据此可知，个人信息一般是指与个人相关联、反映个体特征、具有身份可识别性的数据资料，既涵盖直接指向个人的身份信息，也包含经过整合分析而间接指向个人的零碎信息。除了常见的身份证、姓名等明显具有识别功能的信息，与个人具有关联性、可以对个人产生重要影响的，即属于个人信息。

本文拟通过两个不同场景下涉员工个人信息保护的案例分析，以期为用人单位在处理类似事件时提供参考。

二、案例分析

（一）员工是否有权拒绝人脸识别打卡？

1.基本案情：

某公司要求全体员工通过面部识别系统考勤打卡。员工甲多次表示不同意使用面部识别系统打卡，因其认为该系统存在个人信息安全方面的隐患。某公司遂以员工甲拒绝使用面部识别系统违反公司规章制度为由将其解雇。

2.法律分析：

首先，《个人信息保护法》第四条第一款规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。人脸信息属于生物识别信息，其具有不可更改性和唯一性，人脸与自然人个体一一对应，无需结合其他信息即可直接识别到特定自然人身份，具有极高的“可识别性”^[注1]，故人脸信息应属于个人信息。

其次，根据《个人信息保护法》第十三条第一项以及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别若干规定》）第二条第三项等规定，个人信息处理者需在取得个人同意后方可处理个人信息。

再者，根据《个人信息保护法》第二十八条第一款的规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。因此，从人脸图像中提取的面部生物识别信息应当属于敏感个人信息。

《个人信息保护法》第三十条规定，个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。其中，第十七条第一款规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

所以，在实行人脸识别打卡前，用人单位还应当向员工个人告知处理面部生物识别信息的处理目的、处理方式、保存期限、必要性以及对个人权益的影响等信息，并向员工个人提供是否同意的选项。

另外，因人脸信息是识别特定个人的敏感信息，亦是社交属性较强、采集方便的个人信息，极易被他人直接利用或制作合成，从而破解人脸识别验证程序，引发侵害隐私权、名誉权等违法行为。根据《民法典》第一千零三十二条第二款的规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。因此，包含人脸图像的私密照片可能被认定为私密信息，从而被列入隐私权的保护范畴，故用人单位在处理相关人脸图像照片时应取得个人的明确同意。

最后，《民法典》第一千零一十八条还规定，自然人享有肖像权，有权已发制作、使用、公开或者许可他人使用自己的肖像。肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象。据此，人脸图像因属于肖像而可能被列入肖像权的保护范畴，故用人单位在使用或公开人脸图像时，亦需取得个人的明确同意。

综上，用人单位在推行人脸识别等电子化系统进行管理时，应充分关注员工的个人信息安全及相关民事权利，切忌使用“一刀切”的管理模式强制或变相强制员工提供个人信息。

在上述案例情形中，员工甲已经明确拒绝使用面部识别系统进行考勤打卡。若某公司以此为由解除劳动合同应当属于违法解除情形，劳动者有权根据《劳动合同法》第48条“用人单位违反本法规定解除或者终止劳动合同，劳动者要求继续履行劳动合同的，用人单位应当继续履行；劳动者不要求继续履行劳动合同或者劳动合同已经不能继续履行的，用人单位应当依照本法第八十七条规定支付赔偿金”等规定，要求用人单位支付赔偿金。

（二）公司是否有权公开员工考勤定位信息？

1.基本案情：

某公司要求员工在上午9点至下午5点的工作时间内使用一款具有定位功能的软件进行上下班及出差考勤打卡，且公司承诺非上述工作时间内不对员工进行定位。某日晚上，员工乙请假称正在A地医院看病，而公司领导当晚使用该款软件对员工乙进行轨迹定位，发现员工乙正在B地。公司领导于是将员工乙的定位信息截图发到了多个工作群，并以此为由要求解除员工乙的劳动合同。

2.法律分析：

首先，《个人信息保护法》第二十八条规定了包括行踪轨迹等在内的信息属于敏感个人信息。第二十九条规定，处理敏感个人信息应当取得个人的单独同意。所以，公司在要求员工使用具有定位功能的软件进行考勤打卡时，应单独获得员工的同意，否则会被认定为违法收集使用员工个人信息。

其次，结合上述案情事实，公司承诺在非工作时间内不对员工进行定位。因此，公司领导在非工作时间内利用该款软件追踪员工行踪轨迹的行为，属于违反约定并且侵犯员工个人信息权益的行为。

再者，根据《民法典》第一千零三十二条第二款“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”之规定，公司领导未经员工乙授权同意擅自将其行踪轨迹暴露给其他同事，也因此侵犯了员工乙的隐私权。

最后，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第（三）项的规定，行为人出售或者提供行踪轨迹信息并被他人用于犯罪，或者非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的，即认定为“情节严重”，构成侵犯公民个人信息罪。

结合《刑法》及上述司法解释和有关案例可知，根据信息“敏感度”和“情节严重”可以将入罪标准分为三类：

第一类为高度敏感信息，包括行踪轨迹信息、通信内容、征信信息、财产信息，这类信息一旦进入流通环节，将对不特定公众的财产安全造成极大威胁，非法获取、出售或者提供该类信息五十条以上入罪；

第二类为重要敏感信息，包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息，非法获取、出售或者提供该类信息五百条以上入罪；

第三类为其他公民个人信息，如姓名、身份证件号码、通信通讯联系方式、住址等，非法获取、出售或者提供五千条以上入罪。^[注2]

综上，因侵犯行踪轨迹等个人信息的入罪标准较低、刑事打击力度较大，公司在处理员工个人信息时更应慎之又慎，切忌不能出售或提供包括行踪轨迹、通信内容、财产信息等在内的高度敏感的个人信息以谋取非法利益。

三、总结与建议

2022年12月2日，最高人民检察院发布了5件依法惩治侵犯公民个人信息犯罪典型案例。该批典型案例涵盖了对公民的生物识别信息、行踪轨迹信息等不同类型个人信息的全面保护，体现了依法从严惩治侵犯公民个人信息犯罪的政策导向。据统计，2019年至2022年10月，全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人，提起公诉2.8万余人。^[注3]

落实到企业合规管理层面，我们建议企业应适时搭建合规管理体系，并在其中建立个人信息和企业数据安全保护制度。简而言之，企业应当对员工的个人信息实行分类管理，对一般的个人信息与敏感个人信息分级管理。此外，加强对全体员工特别是人事部门员工的培训和教育，避免在收集、使用和处理员工个人信息时出现瑕疵、引发纠纷，甚至遭受行政处罚或者刑事追责。