内部调查一直是企业处理职场舞弊、职场性骚扰以及其他员工违法违纪情形的重要手段,而《个人信息保护法》(下称《个保法》)的实施对企业内部调查提出了新的合规要求。本文将重点探讨内部调查过程中与个人信息保护高度关联的内容,帮助企业实现该环节的合规化,降低相关法律风险。
《个保法》中企业处理员工信息时应具有合法事由。根据《个保法》第十三条规定,只要出于订立、履行合同所必需,或是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,企业便有权处理员工信息而无需取得个人同意。《个保法》第十七条规定,企业应当以显著、清晰、易懂的语言真实、准确、完整地向员工告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等关键事项。据此,我们按照调查顺序就涉及员工信息的关键环节做如下分析:
调查启动
合伙人
竞天公诚律师事务所
内部调查的启动与否依赖于对线索证据的获取及甄别。实操中多数线索证据来自于内部举报,而出于公正保密之需将举报窗口及调查机构设为关联第三方(如国外母公司、境内律所等)的情形较多。在举报内容涉及员工个人信息的情况下,企业应当注意到前述信息并不被企业掌握,而是直接由相关的第三方获取。第三方与员工之间并无合同关系,本身不符合通过劳动规章制度和集体合同实施人力资源管理的目的,而企业能否委托第三方处理该企业尚未掌握的员工信息也存在疑问,我们倾向性认为,此种情形下原则上应获得员工的个人同意。我们建议此类企业在规章制度或员工入职时就第三方能够以调查内部举报之目的处理员工个人信息一事进行告知,并由第三方获得员工的事前单独同意。
外部介入
调查初期,根据事态的复杂性及隐蔽性,企业会考虑引入律所等外部机构介入调查。我们倾向性认为企业有权根据通过委托处理的方式将员工信息转移给外部机构,而无需获得员工的单独同意。因为外部机构是以企业已合法获取的处理员工信息之权利为前提而收集到员工信息的。当然,企业还应当重视《个保法》第二十一条的规定,就委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务等进行详细约定,并对外部机构的个人信息处理活动进行监督。
取得线索证据
律师
竞天公诚律师事务所
围绕线索进行证据挖掘,坐实违法违纪事实是内部调查的关键,而部分证据的收集过程与个人信息的处理密不可分。这里以对员工工作电脑、工作手机进行封存调查这一常见证据挖掘形式为例进行探讨。
《个保法》出台前,有判例认为企业擅自恢复工作手机通话录音之行为不合法,企业在行使管理权时应尽到审慎义务,最大限度保护员工的个人隐私。《个保法》出台后,有观点认为企业可以基于规章制度规定的内部调查这一人力资源管理目的,对企业分配的工作电脑和工作手机中的个人信息进行处理。鉴于《个保法》有关的配套实施细则均未出台,加之《民法典》中隐私权等规定所带来的法律风险仍然存在,出于谨慎原则,我们建议先通过规章制度等方式就企业可出于内部调查之目的处理员工工作电脑、工作手机中的个人信息这一内容履行告知义务,让员工有合理期待。涉及到员工隐私的,建议事先获得员工单独授权同意后再进行收集。
公布结果
除涉及员工个人隐私外(如职场性骚扰),多数企业会将坐实后的调查处理结果进行全员通报,以起到震慑全员的作用。而全员通报中经常能见到诸如员工姓名、工号、身份证号、肖像照片、具体违纪事实等直接锁定员工信息的内容。《个保法》出台后,企业的管理权与员工的个人信息保护之间的冲突可能加剧。《个保法》第五、六条规定,处理个人信息应当坚持必要性原则,且应当限于实现处理目的的最小范围,而类似工号、身份证号、肖像照片等因突破前述必要性与最小范围原则,易给企业带来法律风险。对此,我们建议企业在全员通报中避免出现此等与惩戒目的关联较小的员工信息,对违纪事实进行简化陈述,对员工的姓名采取去标识化的处理手段,以达到肃清职场风气及员工信息合规处理的双重目标。
竞天公诚律师事务所合伙人喻鑫、律师段灵娜
北京市朝阳区建国路77号
华贸中心3号写字楼34层
邮编: 100025
电话: +86 10 5809 1368
传真: +86 10 5809 1100
电子信箱:
yu.xin@jingtian.com
duan.lingna@jingtian.com
