2021年11月1日,《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)将正式实施,结合《个人信息保护法》的立法原则和背景调查实务现状,本文将分享在背景调查中存在的个人信息使用问题及风险,防范法律风险。
根据《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
根据《个人信息保护法》第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
因此,在处理个人信息时,个人信息处理者应当严格按照《个人信息保护法》的规定。
根据《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
根据《劳动合同法》第八条规定,用人单位可收集的员工个人信息限于“与劳动合同直接相关的基本情况”,主要包括:姓名、性别、民族、国籍、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人(或主要家庭成员)等。
具体到背景调查所涉及的个人信息,包括身份信息、学历信息、资质信息及工作经历。对中、高层管理岗位人员或其他核心岗位人员进行调查时,还会涉及到对其职业素养的调查,包括专业能力、管理能力、沟通技巧、向上管理和向下管理的能力、过往的经历以及其他核心岗位所需的特殊经历等,在这些信息的调查过程中也可能会涉及到过往企业的关键信息和核心技术。
结合《个人信息保护法》对于信息的界定,企业在收集员工信息时应注意信息的范围和边界,处理信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,同时处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。对敏感个人信息处理时应更加关注特定目的性和充分必要性。
在自主调查无法满足调查需求的情况下,企业会选择委托第三方背景调查机构进行调查工作。
根据《个人信息保护法》第二十一条规定,个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的……保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
作为委托方,即用人企业,应当与受托方即调查机构签署书面的《委托合同》或符合法律要求的《电子委托合同》,在委托合同中明确约定双方在个人信息保护的权利义务和责任,并要求独立背景调查机构通过合法途径调查候选人员工个人信息,保护好已获取的员工个人信息。
根据《个人信息保护法》第二十条规定,个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。因此委托方应尽量禁止调查机构转委托,以降低信息处理方可能引发的不可控风险。
背景调查并不等于秘密调查,《个人信息保护法》第13到17条规定,个人信息处理者应当取得个人同意,为订立、履行个人作为一方当事人的合同所必需或按劳动制度所必需,该同意应当由个人在充分知情的前提下自愿、明确作出;发生变更,应当重新取得个人同意;个人有权撤回其同意(但不影响撤回前的个人信息处理活动)。