个人生物信息是指包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等在内的个人信息。随着信息技术的发展,用人单位在对员工进行人事管理时,往往需要收集和处理员工的个人生物信息,如对员工进行指纹或面部识别考勤等。
2021年8月20日颁布的《个人信息保护法》(将于2021年11月1日生效)中,对个人生物信息的保护采取了不同于其他一般个人信息的手段,以保障对个人生物信息的处理能做到对个人利益影响的最小化,促进个人生物信息被合理地处理和利用。不仅如此,结合《信息安全技术 个人信息安全规范》(GB/T 35273-2020,以下简称“《个人信息安全规范》”)、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”)等相关规定和司法解释,不难看出,对于个人生物信息的处理需要履行严格的程序。
根据《个人信息保护法》的13条第2款,用人单位可以处理依照规章制度或集体合同实施人力资源管理所必需的个人信息。但是,由于使用个人生物信息对员工进行管理的手段显然具有可替代性,用人单位完全可以采用其他替代手段代替生物信息识别的用人管理方式,因此,采集员工生物信息很难被认定为 “实施人力资源管理所必需”。
根据《个人信息保护法》第28条和第29条的规定,生物识别信息被纳入“敏感个人信息”的范畴,而处理敏感个人信息,“应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
不仅如此,《个人信息安全规范》中还对信息主体对敏感信息的收集的同意做了更加细致的规定,即,收集敏感信息应当征得信息主体的“明示同意”。何为明示同意?当事人必须通过书面、口头等方式主动作出出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
因此,笔者建议,用人单位在收集员工的面部识别特征、指纹等生物信息时,应当单独就此类生物信息的处理取得员工的书面同意,以便留存员工同意处理其生物信息的证据。若用人单位系通过OA或第三方电子平台等等电子系统获取员工的个人生物信息,则需要单独就个人生物信息的处理设置提示框,并设置勾选按钮或同意按钮,以便证明员工已做出其同意处理其个人生物信息的肯定性动作。
用人单位应当注意,除非必要,否则不得将生物信息作为某项人事管理的唯一方式。例如,在设置打卡签到的方式时,不得要求员工必须使用指纹或面容识别进行打卡,应当同时设置刷卡等方式,以供员工自由选择,不得强制员工必须以生物识别的方式进行签到。
《个人信息保护法》第16条:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”
《规定》第4条也指出,信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持。但是处理人脸信息属于提供产品或者服务所必需的除外。
关于何为“提供产品或者服务所必需”,《个人信息保护法》和《规定》中并未释明,但是《信息安全技术 人脸识别数据安全要求(征求意见稿)》(以下简称“《人脸识别数据安全要求》”第5条第f)款规定:“开展人脸验证或人脸辨认时,应至少满足以下要求:1)非人脸识别方式安全性或便捷性显著低于人脸识别方式。示例:机场、火车站进行人证比对时,使用人脸识别以外的身份识别方式会导致相关服务便捷性的明显下降。”
上述《人脸识别数据安全要求》虽为征求意见稿,但是从其示例可以看出,所谓的“提供产品或服务所必需”所要求的必要性较高,而用人单位为进行打卡考勤等人事管理而处理生物信息,其必要性显然与机场、火车站等采用人脸验证的必要性不具有可比性。故笔者认为,用人单位在进行人事管理最好不要将生物信息作为某项人事管理的唯一方式。
(1) 一般告知义务
根据《个人信息保护法》第17条的规定,个人信息处理者在处理个人信息之前,应当以显著的方式告知下列事项:
a) 个人信息处理者的名称或者姓名和联系方式;
b) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
c) 个人行使《个人信息保护法》所赋予的相关权利的方式和程序。
为了减少用人单位处理员工个人信息的风险,笔者建议用人单位应将上述事项通过书面形式向员工详细告知。例如,尽可能周延地列明个人信息处理的所有目的和方式,而非简单地以“为了人事管理的目的”进行概括。
(2) 特殊告知义务
向除上述事项外,在处理生物信息时,由于该等信息属于个人敏感信息,用人单位还应当向员工告知处理该信息的必要性以及对个人权益的影响。
(3) 单独告知
根据《个人信息安全规范》第5.4条c)款的规定,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。即用人单位处理个人生物信息时履行告知义务的方式应当为单独告知。
根据《个人信息安全规范》的规定,原则上,用人单位不可以直接存储原始的个人生物信息(如图像等)。具体地。用人单位通过必要的技术手段,采用以下几种方式对采集到的员工的个人生物信息进行储存和传输:
(1) 仅存储个人生物识别信息的摘要信息(摘要信息通常具有不可逆的特点,通过摘要信息无法回溯到信息主体的原始信息);
(2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
(3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
除了避免直接存储原始的个人生物信息以外,用人单位还应当注意,将员工的生物信息与其他个人身份信息分开储存,同时还要采取加密等安全措施,以保障生物信息储存和传输的安全性。
根据《个人信息保护法》的规定,处理敏感个人信息前,用人单位应当进行个人信息影响评估,形成评估报告,并将评估报告和处理情况记录保存至少三年。
《个人信息保护法》第56条规定了个人信息影响评估需要包括的内容,但是,并未规定个人信息影响评估的相关标准,也无任何实施方法等指南性的规定。但是,《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)中对个人信息安全影响评估进行了相关规定,笔者认为,可以参考该指南,采用访谈研发人员、检查、测试等方式形成包含上述内容的评估报告。
根据《个人信息保护法》,用人单位需要制定个人信息保护政策,政策内容包括但不限于个人信息的收集方式、存储期限、数据共享与披露的相关规则等。需注意,由于个人信息保护政策涉及员工的切身利益,用人单位在制定该政策是应当经过民主和公示程序。
除此之外,用人单位应当注意,在制定个人信息保护政策时,若某项政策规定涉及个人敏感信息的,则需要明确标识或突出显示。
如前文所述,个人生物信息通常难以被认定为用人单位进行人事管理所必需的信息,故用人单位在对个人生物信息进行处理时需要取得员工的同意。《个人信息保护法》第15条:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”
根据上述规定,即便劳动者已经同意采集和处理其生物信息,其也可以随时撤回其同意,并要求用人单位将已储存的生物信息删除。
不仅如此,《规定》第11条还规定:“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”因此,用人单位应当注意,在处理或通过第三方平台处理员工的个人生物识别信息时,不得限制员工撤销其同意的权利,否则该规定将被认定为无效。
本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。本文系邦信阳中建中汇律师原创文章,转载请完整注明作者信息及出处。