申请实习证 两公律师考核申请 网上投稿 《上海律师》
当前位置: 首页 >> 业务研究 >> 业务研究会 >> 并购重组业务研究委员会 >> 专业论文

从《个人信息保护法》看企业如何开展员工背景调查

    日期:2022-01-05     作者:刘怡(并购重组业务研究委员会、上海申同律师事务所)、吴琼(上海申同律师事务所)、王一清(上海申同律师事务所)、叶瑞青(上海申同律师事务所)、苗亚琼(上海申同律师事务所)、刘治东(上海申同律师事务所)

l  摘要

2021年11月1日,《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)将正式实施,结合《个人信息保护法》的立法原则和背景调查实务现状,本文通过梳理背景调查内容、调查环节及调查方式中存在的法律问题及风险,结合实务案例,旨在厘清背景调查中的相关法律责任,提出应对建议,防范法律风险。

l  关键词

个人信息保护  背景调查  法律风险

一、背景调查的概念

背景调查是用人单位对入职者进行背景资料和证明材料的核查。其最早起源于国外,在我国常见于大型外资企业,随着个人信用价值的日益凸显,越来越多的企业将背景调查用于入职者的录用参考依据,比如大型车企、互联网、金融等高新企业。企业通过设立专门的背景调查部门,比如吉利集团;或通过委托专门从事背景调查的机构对入职者的身份信息、学历信息、职业资格、金融资信、裁判文书、失信被执行人信息、犯罪记录等情况进行调查后,形成调查报告交由企业的用人部门审查。

企业内部的背调部门,外部的专业背调机构都将面临如下尖锐的问题:

企业所调查的信息是否应当被认定为隐私?

企业调查信息方式是否违法?

企业使用信息是否存在不当行为?

二、背景调查的内容

(一)什么是“个人信息”?

1、《个人信息保护法》对个人信息的规定

根据《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

根据《个人信息保护法》第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

因此,在处理个人信息时,个人信息处理者应当严格按照《个人信息保护法》的规定。

根据《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。另外,《个人信息保护法》第三十条规定,个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

2、《劳动合同法》对个人信息的规定

根据《劳动合同法》第八条规定,用人单位可收集的员工个人信息限于“与劳动合同直接相关的基本情况”,主要包括:姓名、性别、民族、国籍、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人(或主要家庭成员)等。

3、背景调查所涉及的个人信息

具体到背景调查所涉及的个人信息,包括身份信息、学历信息、资质信息及工作经历。对中、高层管理岗位人员或其他核心岗位人员进行调查时,还会涉及到对其职业素养的调查,包括专业能力、管理能力、沟通技巧、向上管理和向下管理的能力、过往的经历以及其他核心岗位所需的特殊经历等,在这些信息的调查过程中也可能会涉及到过往企业的关键信息和核心技术。

结合《个人信息保护法》对于信息的界定,企业在收集员工信息时应注意信息的范围和边界,处理信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,同时处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。对敏感个人信息处理时应更加关注特定目的性和充分必要性。

(二)背调调查主体

背景调查的主体主要包括企业背景调查人员或团队、第三方背景调查机构等,根据背景调查主体的不同,背景调查的方式主要分为自主调查和委托调查。

1、自主调查

现实中,通常企业会由人事进行相关的背景调查工作,而有的企业已经建立起了自己的背景调查团队,在自主调查时,尤其应注意调查过程中存在各项法律风险,我们将在下文详细阐述。

2、委托调查

在自主调查无法满足调查需求的情况下,企业会选择委托第三方背景调查机构进行调查工作。根据《个人信息保护法》第二十一条规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

作为委托方,即用人企业,应当与受托方即调查机构签署书面的《委托合同》或符合法律要求的《电子委托合同》,在委托合同中明确约定双方在个人信息保护的权利义务和责任,并要求独立背景调查机构通过合法途径调查候选人员工个人信息,保护好已获取的员工个人信息。

根据《个人信息保护法》第二十条规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。因此委托方应尽量禁止调查机构转委托,以降低信息处理方过可能引发的不可控风险。

(三)背调调查对象

背景调查的对象分为:普通员工和公司高管或重要员工。

1、普通员工

2、公司高管或重要员工

公司高管或重要员工,主要是指涉及企业“钱”(会计、出纳)、“权”(管理、决策权)、“命”(命脉,技术人员)的员工,因这些员工的岗位直接影响公司的发展,故企业更加注重这些人员的职业素养,例如:专业能力、管理能力、沟通技巧、向上管理和向下管理的能力、过往的经历。又因这些员工会接触到公司的关键信息和核心技术,因此需要调查其曾经职责范围、绩效表现、团队合作能力、抗压能力。

(四)背景调查的权限

背景调查并不等于秘密调查,《个人信息保护法》第1317条规定,个人信息处理者应当取得个人同意,为订立、履行个人作为一方当事人的合同所必需或按劳动制度所必需,该同意应当由个人在充分知情的前提下自愿、明确作出;发生变更,应当重新取得个人同意;个人有权撤回其同意(但不影响撤回前的个人信息处理活动)。

合法授权的途径主要包括:1、通过微信、短信等方式,发送背调通知并要求被调查人回复;2、让被调查人签署背调《授权书》;3、给予员工充分的选择权,在员工自愿的基础上实施。

背调流程主要为:先背调前一至三段经历、目前在职单位待提出离职后再补充背调(例如:A公司面试完,还没回到原公司,A公司HR电话背调原公司,被原公司开除-A公司赔偿)。

因此,企业在进行背景调查工作时,务必要取得个人的同意和授权,在员工不知情的情况下展开调查工作,是侵犯员工的个人信息权益的典型违法行为。

(五)背调调查方式

根据背调方式是否合法将其分为合法方式和非法手段。

1、合法方式

主要是指:来源合法,应为正当途径,不能购买、贿买等方式获取;过程合法,不得采取侵害公民人身、财产权利方式搜集信息;结果合法,获得形式合法、内容合法的调查报告。

2、非法手段

主要包括:偷拍、偷录、跟踪搜集个人行踪轨迹;向负有保密义务的第三方收集证据......

以非法手段获取员工个人信息的,侵犯员工权益或造成员工精神、财产损害的或将承担相应民事赔偿责任;企业根据非法收集信息主张解除劳动关系的,还需要承担违法解除劳动合同的赔偿金。

三、背景调查的法律风险及法律责任

(一)背景调查过程中的法律风险

1、员工入职前的风险:

风险一:因未经候选人授权违法收集个人信息导致的侵犯个人信息所引起的民事责任和刑事责任;

风险二:因背景调查手段不正当导致的侵犯候选人过往任职企业商业秘密的刑事责任;

风险三:背调内容超过法律允许的范围引起的侵犯个人隐私所引起的民事责任。

2、员工入职后的风险:

风险一:因违法使用员工个人信息引起民事责任和刑事责任;

风险二:因违法使用员工个人信息导致违法解除劳动合同引起的民事赔偿责任;

风险三:未及时以员工存在提供虚假信息等欺诈行为为由解除劳动合同,进而违规解除劳动合同而引起的民事赔偿责任。

(二)背景调查所涉及的法律责任

1、民事责任

(1)过错推定责任

根据《个人信息保护法》第六十九条、民法典第一千一百八十二条和第一千一百八十三条之规定,在背景调查过程中,如企业过度收集或违法收集个人信息或因其他违法行为侵害他人人身权益造成他人损害的,应对被侵权人承担相关赔偿责任,造成他人精神损害的,还应承担相关精神损害赔偿责任。 

(2)公平补偿责任

在背景调查过程中,如企业方与员工之间均不存在过错,根据民法典第一千一百八十六条规定,受害人和行为人对损害的发生都没有过错的,依照法律的规定由双方分担损失。

2、行政责任

责任主体

违法情形

处罚方式

法条依据

个人信息处理者

违法处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务

责令改正、警告

《个人信息保护法》第66条第一款

个人信息处理者

存在上述情形拒不改正

没收违法所得

应用程序

违法处理个人信息

责令暂停或终止服务,拒不改正的,并处一百万元以下罚款

个人信息处理者、

直接负责的主管人员和其他责任人员

违法处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务

一万元以上十万元以下罚款

 

个人信息处理者

企业存在上述违法行为,情节严重的

停业整顿、吊销业务许可、吊销营业执照

《个人信息保护法》第66条第二款

相关企业的董事、监事、高级管理人员和个人信息保护负责人

主要责任人禁业

个人信息处理者

违反《个人信息保护法》

记入信用档案、公示违法处理个人信息

《个人信息保护法》第67条

 

3、刑事责任

(1)背景调查机构的刑事风险

侵犯公民个人信息罪

背景调查机构如果通过出售、提供或者非法获取等方式侵犯公民个人信息的则构成侵犯公民个人信息罪。

法条依据:【《刑法》第二百五十三条  违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。  

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。  

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。  

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。】

侵犯商业秘密罪

背景调查机构为获取被调查者的职业经历,可能通过盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取被调查者过往就职单位的商业秘密。可能使用获取到的商业秘密或者将商业秘密披露在调查报告中。

法条依据:【《刑法》第二百一十九条 有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金: (一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;

(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;

(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。

明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。

本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。】

(2)被调查者的刑事风险

伪造、变造、买卖国家机关公文、证件、印章罪

被调查者通过伪造职业资格证书,如会计证、教师资格证、法律执业证书等方式让自己满足入职单位对个人资质的要求,达到入职的目的。

伪造公司、企业、事业单位、人民团体印章罪

被调查者通过伪造高等院校印章制作学历、学位证明等方式让自己符合入职单位对学历的要求。

伪造、变造、买卖身份证件罪

被调查者通过伪造居民身份证、护照、社会保障卡、驾驶证等方式入职等方式隐瞒自己的个人经历(如前科劣迹)或者职业经历(规避竞业禁止)。

法条依据:【《刑法》第二百八十条  伪造、变造、买卖或者盗窃、抢夺、毁灭国家机关的公文、证件、印章的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金;情节严重的,处三年以上十年以下有期徒刑,并处罚金。 

伪造公司、企业、事业单位、人民团体的印章的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金。 

伪造、变造、买卖居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金;情节严重的,处三年以上七年以下有期徒刑,并处罚金。 

 

四、以案说法

(注:以下案例均发生在《个人信息保护法》实施之前,本文均以《个人信息保护法》生效之后的视角简要分析。)

(一)员工入职之前

案例一:

李某与中国邮政储蓄银行股份有限公司长春市分行用人单位责任纠纷案

——(2017)吉0103民初1222号

 

案情简述:李某于2016年10月11日在吉大南区参加“中国邮政储蓄银行2017年校园招聘”。2017年1月4日在万佳体检中心参加入职体检,体检结果李某不知道,但是万佳体检项目单的背面有写明“乙肝保密、非经本人允许不检测乙肝项目”的内容。李某因被迫于隶属关系配合邮储长春分行的人力资源部工作人员一共做了三次检查,而邮储长春分行最终还是作出了取消李某实习与录用资格的决定。

 

裁判要旨:根据《关于维护乙肝表面抗原携带者就业权利的意见》(劳社部发(2007)16号)的规定,为促进乙肝表面抗原携带者实现公平就业,保护乙肝表面抗原携带者的就业权利,除国家法律、行政法规和卫生部规定禁止从事的易使乙肝扩散的工作外,用人单位不得以劳动者携带乙肝表面抗原为理由拒绝招用或者辞退乙肝表面抗原携带者。法院认为银行在校园招聘过程中,违反相关法律规定,要求原告进行肝功能复检,构成用工歧视,侵犯了原告人格权,确实给原告造成较大的精神压力,故原告要求被告赔礼道歉,赔偿经济损失及检查费用的诉讼请求应予支持。


根据《个人信息保护法》第十三条规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

根据《个人信息保护法》第二十八条第二款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

上述案例中,银行作为金融机构而非特别需要关注员工医疗健康的企业比如食品卫生行业而言,员工的个人健康问题并不具有其岗位招聘的特定目的性和充分必要性,且银行已在明确知道“乙肝保密、非经本人允许不检测乙肝项目”的规定后仍要求李某进行了三次检测,并依据该检测结果对李某做出不予录用的决定,是属于违法处理个人信息的行为,《个人信息保护法》实施后,企业该类似行为或将会承担相应的行政责任、民事责任甚至刑事责任。

案例二:

殷某与北京某生物科技有限公司劳动争议案

——(2017)京03民终11023号

 

案情简述:殷某于2015年12月2日入职北京某生物科技有限公司,担任人力资源总监,双方签订的劳动合同期限自2015年12月2日至2018年12月1日。2016年8月19日,北京某生物科技有限公司以殷某在应聘过程中提供虚假信息为由与殷某解除劳动关系。

 

裁判要旨:因殷某在入职时填写的《员工入职登记表》与其过往社保缴纳经历不符,同时因殷某入职岗位为人力资源总监,系高管岗位,其过往工作经历是企业录用的重要判断标准,故法院认定殷某提供虚假工作经历信息的行为构成欺诈,驳回了殷晓剑要求企业支付违法解除劳动关系赔偿金的请求。

 

根据上述案例可以看出,该企业在殷某入职时曾要求其填写《员工入职登记表》,企业通过与殷某过往的社保缴费经历进行比对时发现了其存在提供虚假信息的行为,因殷某入职的岗位系人力资源总监,属于高管岗位,故企业以此为由向法院提出解除劳动关系诉请,法院基于企业诉请的合理性及证据的真实性、关联性、合法性认定殷某构成欺诈。

企业在招聘时可以要求候选人填写《基本信息登记表》,但为了防止登记的信息超过合法范围,可以将不是关键或必要的信息列入非必填项;同时,在调查授权时,可要求候选人签署《背景调查承诺书》,取得候选人的书面同意和授权,在涉及中、高层岗位候选人信息背景调查时也可能会涉及到过往企业的关键信息和核心技术,如需调查候选人其他信息或涉及到候选人过往企业的内部信息时也应取得相关人和企业的书面同意和授权。

(二)员工入职之后

案例一:

刘某与北京东某公司一般人格权纠纷案

——(2018)京0105民初21306号

 

案情简述:刘某系北京东某公司员工,在职期间为2015年3月2日至2015年5月5日,2017年3月31日,刘某发现北京东某公司在中国对外经济贸易信托有限公司的“档案托管项目(招标编号0747-1761SITCNxxx)”投标文件中盗用了其名义,谎称刘某为北京东某公司顾问,私自使用刘某的个人信息(含档案中级职称)及从业经验等相关信息,以提高北京东某公司的竞标实力。同时刘某发现北京东某公司自2015年5月6日起,多次盗用刘某档案从业经验相关信息,虚构“投标书”内容,并在多个项目的投标书中私自使用。

裁判要旨:法院根据《民法通则》第99条认定,自然人享有姓名权;自然人的个人信息受法律保护;任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。北京东某公司未经刘某同意将刘某个人信息用于企业招投标活动,该次投标虽未中标,但其行为侵犯了原告的合法权益,应当承担相应法律责任。

上述案例中,企业为了其商业目的考虑,在未经刘某的同意和授权的情况下盗用了刘某的名义,谎称刘某为其公司顾问,私自使用刘某的个人信息(含档案中级职称)及从业经验等相关信息,以提高公司的竞标实力。根据《民法通则》,法院认定其侵犯了刘某的合法权益,应承担相应法律责任。

根据《个人信息保护法》第四十七条规定,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。且根据第十九条之规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

在《个人信息保护法》实施后,上述行为亦将会受到《个人信息保护法》的约束,企业在未经员工同意和授权的情况下不得处理员工的个人信息,并应妥善保管,不得非法使用,同时员工已离职的不得再继续使用并应及时销毁相关信息。

案例二:

林某与A公司劳动合同纠纷案

——(2012)沪一中民三(民)终字第1230号

 

案情简述:2011年6月28日,A公司录用了林某,双方签订了期限至2014年6月27日的劳动合同,约定试用期至2011年8月27日。合同同时约定,林某被查实应聘时向A公司提供个人资料是虚假的或者隐瞒了重大事实的,A公司可以解除合同,并不作任何补偿。A公司向林某发出转岗通知,以林某入职以来未完成工作要求为由,通知林某转岗。林某于2011年12月1日至新岗位就职。2011年12月6日,A公司以林某不服从转岗安排为由,通知林某解除劳动合同。

裁判要旨:经仲裁委及法院查明,A企业发现林某在填写《入职登记表》和《履历表》时存在提供虚假信息的欺诈行为,但A企业并未及时与其解除劳动合同,而是将其进行了转岗,导致法院认定A企业的转岗行为视为对林某欺诈行为持容忍态度,最终法院不支持A企业提出的员工存在不诚信行为有权解除劳动合同的诉请,认定A公司需向林某支付违法解除劳动合同期间的劳动报酬。

在本案中,企业在背景调查时并不存在违法处理员工信息的行为,相反其背景调查工作非常之规范,但因其在发现林某存在提供虚假信息时并未及时解除与林某的劳动关系,而是采取了转岗的方式继续留用,最终以林某不服从转岗安排为由通知林某解除劳动合同,导致法院认定企业的转岗行为视为对林某欺诈行为持容忍态度,最终法院不支持企业提出的员工存在不诚信行为有权解除劳动合同的诉请,认定企业需向林某支付违法解除劳动合同期间的劳动报酬。

在实务中,企业一旦发现员工存在提供虚假信息的行为时,应当及时提出解除劳动合同,否则将会被认定为一种容忍态度从而丧失了最佳时机,导致承担违法解除劳动合同的赔偿责任。

 

下表为背景调查工作中常规使用的主要文件:

类别

具体文件

授权文件

背景调查授权承诺书

基本信息调查表

涉及过往企业关键信息和核心技术的应取得的该企业的书面同意和授权文件

入职文件

入职登记表

劳动合同

社保缴费证明

学历证明

制度文件

员工手册

背景调查制度

信息保护制度

 

五、法律法规整合

背景调查不仅与《个人信息保护法》息息相关,同时,也涉及民法典、《个人信息保护法》《劳动合同法》《刑法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关法律法规。(详见下图)

图片1.png

六、对企业的建议

(一)员工入职前企业风险防范实务建议:

1、调查授权:应事先取得员工的同意和授权,如需调查员工其他信息也应事先取得员工的同意 ;

2、调查内容:应该是与工作内容相关的信息,不得超出法律规定;

3、调查方式:采取合法的方式进行,不得采用偷拍、偷录、跟踪等违法方式等进行 ;

4、妥善保管:企业应当妥善保护员工信息,防止员工信息泄露,对不需要的信息应及时销毁 。

(二)员工入职后企业风险防范实务建议:

1、妥善保管:对于收集的员工个人信息应妥善保管,不得非法使用,员工已离职的不得再继续使用并应及时销毁相关信息;

2、及时行权:发现员工存在提供虚假信息等欺诈行为时应及时解除劳动关系;

3、证据完整:与员工解除劳动关系时应做到证据收集的完整性。

(三)企业自身机制完善建议:

1、专人负责制

专人负责制属于个人信息保护领域的一个创新,根据《个人信息保护法》第五十二条之规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,同时个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

2、建立管理制度和流程

根据《个人信息保护法》第五十一条之规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

3、重要互联网平台的特殊义务

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业,根据《个人信息保护法》第五十八条之规定 ,企业应当按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。

 

七、结语

【背调,是一门技术;背调,是一门艺术。】

随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个,个人信息的收集、使用更为广泛。(此数据来源于:关于《中华人民共和国个人信息保护法(草案)》的说明)

虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等目的出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。

《个人信息保护法》聚焦目前个人信息保护的突出问题,落实个人信息保护责任,加大对个人信息处理者违法行为的惩处力度。随着《个人信息保护法》的出台与实施,如何合法合规的开展背景调查工作,防止因调查方式错误、调查内容超规引发的法律风险也成为背景调查团队亟待解决的现实问题。

 

附:2021年9月11日申同所合伙人刘怡律师接受“世界500强企业”吉利集团的邀请,针对《个人信息保护法》及企业背景调查法律实务问题,在杭州吉利学堂对其人力资源背景调查团队进行了为期一天的法律培训。

Q:员工离职后对其的回访记录是否属于工作之外的非必要信息,是否可以记录形成报告?

A属于非必要信息,但经过其授权同意的情况下可以记录,在其授权同意的情况下形成的报告如果只是内部做参考并没有泄露、没有出售牟利,是可以的。

 

Q:哪些内容属于隐私?比如个人犯罪记录、诉讼记录、信用卡欠款记录是否属于隐私?

A所谓隐私主要包括私人信息、私人活动及私人领域,敏感信息作为私人信息的重要组成部分已被《个人信息保护法》列为重要保护信息内容,所谓敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。私人活动则属于动态的隐私,如社会交往、夫妻性生活、婚外恋等;再者是私人领域,也称作私人空间,指个人隐秘部位,如人体隐私部位,以及个人日记、居室等。

个人犯罪记录如果已经在法院裁判文书网公开,则不属于隐私,但如果公开的裁判文书将其名字隐掉的,在未征得他人的授权同意的情况下去查询甚至公开则属于侵犯个人信息权利的行为。

同样的,诉讼记录也是一样的,在法院裁判文书网可以公开查询到的则不属于隐私,如无法公开查询到,则需取得本人的授权同意。

而信用卡欠款记录则是在公开信息很难查询的到的信息,需要取得本人的授权同意方可查询。

 

Q:在候选人入职之前无法调查上家公司,入职之后进行补调,在入职前曾签署了一个授权书,并进行了一次背调,授权书上有写明直到这个背调的过程完成是他的授权期限。那么补调是否还需要再次授权?电话或微信等其他方式取得他同意是否可以?如何界定上述问题中提到的超期?

A按照《个人信息保护法》规定,超期或者超范围均需要进行重新授权。

需要关注授权书上约定的授权期限,背调完成需要进行明确,而不应只是笼统约定直至完成背景调查为止,建议对完成背景调查约定一个客观评价标准,即何种情况下背景调查即告完成,或最长于何时视为背景调查授权到期。如果没有约定或者约定不明,则需要重新取得被调查人授权同意。另外建议在授权书上告知候选人“本授权书的签署视为您同意我们对您的相关信息的调查,我们将开启对您的背景调查工作,同时我们也将保护你的信息安全”以符合《个人信息保护法》对个人信息处理者义务要求。

 

Q:智联招聘、猎聘等招聘网站会使用候选人在其平台上的一些数据信息进行分析,形成人力资源的报告、行业分析报告、薪酬分析报告等,作为企业是否可以形成类似背调分析的大数据报告?会有哪些法律风险?这样的大数据报告是否可以面向市场?

A大数据报告有个前提,必须有授权,同时应在授权书上约定“我们将会使用你的信息形成数据报告”,如果形成的数据报告仅涉及比较宽泛的信息,比如男女比例、年龄范围、工作年限等,根据《个人信息保护法》可以进行相关的收集、使用、加工,如数据报告包含了敏感信息或其他高风险信息的则应进行脱敏,并对其特定性和充分必要性进行合理说明,否则将会根据《个人信息保护法》面临相关的行政责任、民事赔偿责任,甚至刑事责任。

根据《个人信息保护法》第十条之规定,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。因此,以盈利为目的的向他人出售大数据报告将会涉嫌非法买卖、提供或者公开他人的个人信息,是不允许的。

 

Q:背景调查报告是否可以作为诉讼证据使用?

A实务中,公司与员工直接因员工提供虚假信息导致公司与其解除劳动合同的诉讼案件中,背景调查报告的内容通常会被作为证据来使用,但在使用时应注意作为证据的背景调查的内容应与案件本身有关,即证据的关联性;另外还需保证在获取员工的个人信息时是取得其明确的授权同意的,即证据的合法性;同时还需要保证该背景调查的真实性,即证据的真实性;在保证上述三性的情况下背景调查报告的内容作为证据使用是可以的。

 

Q:委托第三方机构进行背景调查如何保证其调查结果的真实性、合法性?对于委托方会有什么样的法律风险?

A在进行委托第三方机构进行背景调查时,应在委托合同中明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务,另外建议要求第三方机构保证其调查信息的来源、内容、手段均为合法合规的,并约定清楚违约责任,一旦发生相关纠纷时可以有效地向其进行追责。

根据《个人信息保护法》第二十条第二款之规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。因此,如果因第三方机构在调查过程中存在违法行为的,则委托人也将承担连带责任,同样的,为应对前述情形,建议在委托协议中明确约定清楚违约责任,以降低损害。

 

Q:候选人签署的授权书中授权范围包含了其亲属的信息,是否可以对其亲属进行相关背景调查?

A不可以。首先,根据《个人信息保护法》获取他人的个人信息需要取得他人的明确授权同意,候选人的亲属属于独立的主体,其个人信息亦受到法律的保护,应取得其本人的授权同意方可查询;其次,根据获取个人信息应当遵从特定目的性和充分必要性,候选人与公司建立劳动关系,背景调查的特定性和充分必要性应当是与其劳动相关的个人信息,而其亲属的个人信息与其劳动关系并无特定和必要关系。如果其亲属的信息是在公开信息可以查询到的,比如在国家企业信用信息公示系统查询到的从商信息,或在国家裁判文书网查到的涉诉信息,笔者认为是不够成侵犯其个人信息的行为的。当然还有一种另外情形,即对于未满14周岁的未成年人的信息,在经其监护人同意的情况下可以进行调查,但应当制定专门的个人信息处理规则。

 

Q:如在对候选人进行背景调查后发现其造假问题很严重决定不予录用,但合作企业或关联企业想要录用他并来询问我们调查结果,是否可以告知其调查结果?

A原则上是不可以。但如果在授权书中对调查主体的范围进行了约定,包含了关联企业,笔者认为是可以告知该关联企业调查结果的。而对合作企业来说,按照《个人信息保护法》的规定是不允许的。



[版权声明] 沪ICP备17030485号-1 

沪公网安备 31010402007129号

技术服务:上海同道信息技术有限公司   

     技术电话:400-052-9602(9:00-11:30,13:30-17:30)

 邮箱 :support@homolo.com

上海市律师协会版权所有 ©2000-2017