• 2022-05
  • 25
刘笛、王文文:以案说法——从十类企业雇员个人信息隐私权纠纷谈刑事法保护(一)
2020年,中国法律界的最大事件大概当属《民法典》的颁行。其人格权独立成编凸显了我国对人格权的特别重视,其花费第一千零三十四条、第一千零三十五条、第一千零三十六条、第一千零三十七条、第一千零三十八条及第一千零三十九条共五个半条文专门对个人信息作出规定,而被明确定性为一种法定权利的“隐私权”倒只有两个半条文规定(第一千零三十二条、第一千零三十三条、第一千零三十九条)。

2020年,中国法律界的最大事件大概当属《民法典》的颁行。其人格权独立成编凸显了我国对人格权的特别重视,其花费第一千零三十四条、第一千零三十五条、第一千零三十六条、第一千零三十七条、第一千零三十八条及第一千零三十九条共五个半条文专门对个人信息作出规定,而被明确定性为一种法定权利的“隐私权”倒只有两个半条文规定(第一千零三十二条、第一千零三十三条、第一千零三十九条)。个人信息权益这个曾经甚至现在仍因为未被单独列为一项法定权利而在一些理论中仍然从属于隐私权的婢女,已大有后来居上的意思。

2021年,受社会广泛关注的《个人信息保护法》正式颁布。衔接《民法典》、《刑法》等基本法律及《网络安全法》、《数据安全法》、《消费者权益保护法》等其他法律,对个人信息进一步做出了带有纲要性质的专门规定。

这些个人信息和数据权益立法的突飞猛进,令司法实践产生日新月异的变化,进而对企业的相关合规实务和诉讼实际提出新要求,产生新影响。

本文选取了十二个曾经的隐私权纠纷案例,涵盖企业招聘、企业日常管理和考评、企业内部反腐、企业与员工发生劳动争议等场景,涉及公民个人信息的获取、使用、提供(流转)、公开、删除(匿名化)等全流程。从刑事法的视角探讨他们在新法律法规下潜藏的合规风险并建议适当的合规管控措施。

1、检索雇员的职业经历是否属于“非法获取”公民个人信息?

上海市虹口区人民法院(2018)沪0109民初24914号判决书记载了这样一个案件:被告公司在招聘过程中过“威科先行法律信息库”进行检索,找到两篇与原告有关的裁判文书并发现裁判文书中载明的原告工作经历与原告向被告披露的不一致,故被告与原告解除劳动合同关系。原告认为被告未经原告授权许可,私下调查原告的过往工作经历侵犯其隐私权。法院认为被告通过网络检索公开的裁判文书,从中获得被告以往的工作经历并在法庭审理过程中作为证据提供,其获取、使用上述信息的行为并无不当,被告不存在违法获取或恶意披露原告个人信息的行为。

首先让我们忽略两个问题,一是背景调查是否经过被调查人同意,忽略的原因不是它不重要,它非常重要但也非常明显——必须经过被调查人同意,否则(拟)用人单位没有调查权,不得以任何公开或秘密手段刺探他人过往经历。而获取统一的方法也非常简单,在招聘过程中书面明确获取授权即可。二是侵犯公民个人信息罪的入罪有条数门槛。为数据合规和稳健经营计,我们此处仅讨论定性问题。

值得探讨的问题也是两个,一是过往工作经历是否属于“个人信息”。根据《个人信息保护法》第四条第一款 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人的过往工作经历当然是与已识别自然人有关的信息,属于“个人信息”没有疑问。我们这里要特别注意的是由于法律的快速发展带来的差别。2017年施行的两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条和2020年颁行的《民法典》第一千零三十四条对“个人信息”的定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。也就是说,早先《刑法》和《民法典》对“个人信息”注重的是“由信息到人”,强调从公民个人信息能够识别出特定自然人,从而可能对其合法权益造成风险,因此需要法律保护。而后进的《个人信息保护法》既注重“从信息到人”也注重“从人到信息”,(相对前两部法律)补充强调了公民具有个人信息权益,因此个人信息本身即受法律保护。

那么“已识别的特定自然人”的信息既然不在《刑法》司法解释的条文之内,是否还应受刑法保护呢?答案我们都知道,应该是肯定的。举轻以明重,既然可识别特定自然人的信息都受保护,已识别的却不受保护将导致明显的法律漏洞。当然解释对于民法而言是受允许的类推解释,因此对于《民法典》,上述表述上的不一致不会导致问题。但刑法禁止不利于行为人的类推,那么应如何解释和对待为宜?

过往工作经历(及工作评价)本身很难单独指向特定自然人。想象一下我们在人事部垃圾桶里捡到一页简历的残页,上面仅有“X年X月-Y年Y月,Z公司a岗;X2年X2月-Y2年Y2月,Z公司b岗……”,这是没法知道是哪一位特定人物的。但是两高的司法解释留有“与其他信息结合识别特定自然人”的口子,这就足以装下已识别自然人的工作经历。认定的要点在于这里的“结合其他信息”应当包括哪些范围内的信息?本文认为,应以“信息控制者”已经掌握的及通过一般方法(即除非法方法、需要专门机关许可或协助的方法及花费过巨的方法等外)能够获得的信息为限。那么,已识别自然人的身份既然是信息控制者已经掌握的信息,则符合司法解释其它要求的信息,也能够纳入刑法保护的范围。至于具体到背景调查中的过往工作经历属于哪类公民个人信息则比较复杂,如果单纯仅有工作的时间、单位、岗位、工作评价等,则可能只能算作司法解释第五条第三项、第四项规定以外的公民个人信息;但如果包含工资、待遇等内容,则可能导致敏感度急剧提升,这需要视具体情况,采取分级分类的风险管控措施。

第二个问题是对已公开的公民个人信息通过一般方法检索来获取是否存在被认定为“非法”的可能。答案是风险不能完全排除。

《个人信息保护法》第十三条第(六)项 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的(个人信息处理者可处理个人信息)。那么如何才能符合该项规定呢?“本法”第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意(这与《民法典》规定相同)。

那么何谓“合理范围”呢?我们再将目光扩大到最高人民检察院《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)二、(一)项 对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。《上海市数据条例(草案)》第十七条第二款 ……处理涉及自然人公开的个人信息数据的,应当符合该数据被公开时的用途,超出与该用途相关的合理范围的,应当取得自然人同意。但法律、行政法规另有规定的除外。由此,我们便可体味到:判断是否符合《个人信息保护法》第十三条第(六)项,其核心要旨可能是审查被公开的个人信息原本的使用方法及公开的目的,考察它们是否能够令收集该信息的处理者的处理“合理化”。

由此,我们可以发现在本节案例中被告公司的检索行为面临两重风险:第一,威科先行法律信息库所转载的裁判文书,其公开目的在于向社会公示法律争讼的处理结果,实现在具体案件中的定分止争并对社会大众进行教育指引。其“公开的目的”很难解释为包括向用人单位披露雇员的过往工作经历。第二,该过往工作经历信息作为决定信息主体是否被雇佣、是否被辞退的依据,显然对个人权益有重大影响。

image.png

综上所述,结论是获取已公开的过往职业经历需要取得个人同意,否则有非法获取公民个人信息之嫌疑。那么最后的问题是,难道(拟)雇员提供虚假的过往经历且招聘环节未能明确获得背景调查的同意的情况下,发现了简历造假还不能管了么?并非如此,只是现行法律法规之下,更宜依托《个人信息保护法》第十三条第(二)项 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需(个人信息处理者可处理个人信息),作为获取的正当理由,并事先设计和储备合规措施(包括证据材料支撑等),则较之2018年的裁判理由,其合法性的论证更具说服力。

2、雇员个人信息的提供的范围限制问题

北京市第三中级人民法院(2018)京03民终15148号裁定书记载了这样一起案件:原告2017年1月入职被告甲公司。2018年7月,甲公司要求单方面变更劳动合同。但原告发现,该通知不是甲公司而是由乙公司发出,通知中含有原告的公民身份证号码、家庭住址、电话号码等信息。原告认为,被告甲公司和乙公司系独立运行的法人,原告只是和甲公司签了劳动合同,但原告从未授权甲公司将其个人信息提供给任何第三方。北京市三中院认为自身没有管辖权,未受理本案。

如今企业运行的体制,一个(投资)集团之下分立多家独立运营的法人单位是极常见的。笔者曾经服务的华为、京东等大型企业无不如此。《个人信息保护法》第二十三条规定个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。案例中家公司当然通过隐私协议(可能包含在劳动合同等协议中)明示授权或员工主动提供的默示授权等方式合法地获得了雇员的涉案个人信息。但假设雇员所主张的,其授权范围仅限于甲公司(根据实际情况还可能限制于特定的使用目的、使用方法),那么甲公司将之提供给乙公司的行为,明显与《个人信息保护法》的要求相悖。再考虑该法第二十二条:个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。既然单位因合并、分立等导致个人信息转移都需要通知,那提供同一集团控制下的其它单位更需要通知。而从处理目的、处理方式的角度讲,(除非具有特别约定)很难想象雇员为甲公司提供个人信息的授权场景能够覆盖“与乙公司签订劳动合同”这种目的,因此即使甲、乙公司属同一集团控制之下,仍然应当单独告知雇员并取得其同意。

这种义务也不能根据《个人信息保护法》第十三条第(二)项而免除。因为雇员的这些个人信息固然可能属于与甲公司履行合同或依法依约实施人力资源管理所必需,但案例中并非被告甲公司所声称的“劳动合同变更”,真正实质是乙公司发出要约希望与原告缔结(新的)劳动合同。而原告不但没有承诺,甚至根本没有与乙公司进入合同磋商的状态。本来无一物,何处惹尘埃,连当事人作为一方的劳动合同都未未进入磋商的状态,自然不存在“履行合同所必须”之说。

另一项可能的疑问是甲公司提供这些信息并无恶意,难道也属于“非法提供”甚至可能受到刑法的评价?答案是肯定的。第二百五十三条之一的罪状内容是“违反国家有关规定,向他人出售或者提供公民个人信息”,其只要求提供行为违反国家有关规定,目的不论,是否有对价不论(出售或[无偿]提供)。那么,能否以司法解释第六条“为合法经营活动动而非法购买、收受”为理由进行抗辩呢?答案是乙公司可以这样做,且乙公司为此没有经济上的获利,除非曾因侵犯公民个人信息受过刑事处罚或两年内受过行政处罚,否则不构成犯罪。但是,对于提供这些信息的甲公司,司法解释并未提供“为合法经营”这一特殊的出罪事由。

image.png

综上所述,即使在同一集团之间进行雇员个人信息的流转,仍然需要进行事先告知并取得单独同意。方便易行的合规方法是在签署劳动合同(或其他协议)之初,就明确获得雇员的授权,同意其个人信息在隐私条款约定的范围之内自由流转。

最后,本节还需补充一个2021年裁判的特殊案例。其基本事实是原告系因公致残的退伍军人,根据《兵役法》被安置至甲公司(系受被告某市国有资产监督管理和金融工作局监督管理的国有独资公司)并依法享受视同工伤的待遇。后原告与甲公司发生劳动争议,诉讼期间国金局纪检组向医院调取的原告的工伤复发的相关治疗记录并转交甲公司。法院认为本案所涉的病历资料属于原告的个人信息,但国金局作为对甲公司具有监管职责的国家机关,其有权对甲公司的资产情况、人员管理等进行监督。国金局纪检监察组依职权到医院调取原告的病历资料,并将该病历资料交由国金局转交甲公司保管。甲公司作为用人单位,在原告因工伤治疗的情况下,其有权知晓病情情况。判决被告国金局行为未侵犯原告隐私。

甲公司需要向原告提供工伤待遇,故其需要处理相关疾病和治疗信息是符合《个人信息保护法》第十三条第(二)项的。但案件的“特殊”在于国金局虽然负有概括的“履行出资人职责,对市属国资国企的资本运营、企业收入分配、人才队伍建设等方面进行监管”的机构职能,但这种职能是否能够包括“为监督管理的对象单位的具体劳动纠纷案件进行取证”是存疑的。由国金局纪检组开具介绍信进行取证是否属于纪检组职权范围更需要充分论证。而且《民法典》第一千零三十九条规定国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。《刑法》第二百五十三条之一第二款更特别规定违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。立法精神明确昭示国家机关对履职中取得的个人信息要特别保护。当然,具体案件中可能有判决书未及列明的详情、内情,不宜对该案判决和国金局行为进行质疑。但为提升企业运营的合规水平,谨慎对待和处理此种需要上级单位、监管部门协助调查获取的公民个人信息,注意充分保障其合法性,是有必要的。


作者:上海靖予霖律师事务所、辩护技能研究部副主任、辩论队教练 刘笛;上海靖予霖律师事务所、传统犯罪研究与辩护部副主任 王文文

相关律师介绍
刘笛
刘笛
上海靖予霖律师事务所 部门主任
新型犯罪研究与辩护部主任
靖霖辩论队总队长
华东政法大学校外授课专家
国家信息安全测评中心注册信息安全专业人员(CISP-PIP)
核心专长:刑事辩护与面向企业的非诉讼刑事法律服务。执教华东政法大学庭审技能与实务课程。曾为华为、京东等知名CT、IT企业服务多年,积累了大量2B专业服务履历。熟悉现代企业经营管理模式,具有丰富的通信及互联网专业知识和行业经验。具备面向企业的刑事风险防控、合规流程设计和合规方案落地经验。参与办理一系列新型、疑难、重大、复杂案件,部分取得一定辩护效果,有助于维护当事人合法权益及案件公正处理。
相关文章更多 
时空·行为·后果 —— 对重大责任事故罪客观要件三要素的思考
  • 时空·行为·后果 —— 对重大责任事故罪客观要件三要素的思考
  • 本文以重大责任事故罪客观要件三要素出发,分析此罪对时空、行为、后果的本质要求,以期为司法实践提供些许参考。
2022-07-25
了解更多 
出海企业刑事合规(五): 美国法中窃取商业秘密罪的特殊要件
  • 出海企业刑事合规(五): 美国法中窃取商业秘密罪的特殊要件
  • 本文将具体分析美国法对“涉案商业秘密与州际贸易或外国商业的产品或服务有关”这一要件。
2022-07-18
了解更多 
徐宗新、陈沛文:网络犯罪辩护的内功心法 —— 读《网络刑法原理》有感
  • 徐宗新、陈沛文:网络犯罪辩护的内功心法 —— 读《网络刑法原理》有感
  • 《网络刑法原理》充分结合了刑法理论与实践,立足于网络犯罪的特性,深度剖析了网络刑法的理解与适用。对于网络犯罪的刑事辩护实务具有较高的参考与借鉴价值,值得深入阅读与学习。
2022-07-14
了解更多 
徐宗新、洪凌啸:大辩护与小辩护 —— 读赵运恒大律师新著《大辩护》有感
  • 徐宗新、洪凌啸:大辩护与小辩护 —— 读赵运恒大律师新著《大辩护》有感
  • 《大辩护,我和我的刑辩故事》是一本刑辩工作指导书,又是一本经典案例集,还是一场精彩故事会,读起来津津有味,让我们深受启发,奉上一篇读后感。
2022-07-14
了解更多 
出海企业刑事合规(四): 美国法对窃取商业秘密罪心理要件的认定
  • 出海企业刑事合规(四): 美国法对窃取商业秘密罪心理要件的认定
  • 在《出海企业刑事合规(一):美国法中的“窃取商业秘密罪”——立法简介》中,笔者结合海能达案的基本情况介绍了美国法对商业秘密保护和“窃取商业秘密罪”的相关立法,总结出“窃取商业秘密罪”的核心要件(element of an offense),本文将具体分析美国法如何认定窃取商业秘密罪的心理要件,即“行为人蓄意或明知”。
2022-07-11
了解更多 
出海企业刑事合规(三):美国法对窃取商业秘密行为的认定
  • 出海企业刑事合规(三):美国法对窃取商业秘密行为的认定
  • 窃取商业秘密罪的第一类行为包括窃取、诈骗、藏匿等,该类行为本身便具有明显的不法特征,因此对于此类行为的认定重点在于客观事实。需要指出,如之前商业秘密的定义中提到,商业秘密的本质是信息,其载体可能是有形的亦可能是无形的。
2022-07-11
了解更多 
 客服热线

微信公众号