微信关注:

素豪研究 | 竞业限制下用人单位对个人信息权益的侵害防范

2022-07-28 16:28:52返回

随着技术的发展和社会生活的变化,企业为维系在市场中的竞争力,日渐注重商业秘密的保护。商业秘密的保护核心,在于有效管理掌握着商业秘密的人员。在职期间的劳动者基于劳动关系的存在及劳动报酬的考量,对其管理尚为容易,离职人员的控制成为用人单位守住商业秘密的棘手问题。故此依据我国劳动法律规范,用人单位一般均在劳动合同或者保密协议中与负有保密义务的劳动者约定竞业限制条款。

所谓竞业限制,指用人单位和知悉本单位商业秘密或者其他对本单位经营有重大影响的劳动者约定,在终止或解除劳动合同后,一定期限内不得在生产同类产品、经营同类业务或有其他竞争关系的用人单位任职,也不得自己生产与原单位有竞争关系的同类产品或经营同类业务。故为竞业限制条款的约定及履行,用人单位除因日常人事管理需要掌握劳动者的一般个人信息外,需对竞业限制约定履行有影响的个人信息进行收集及使用、管理。《个信法》颁布施行背景下,执行竞业限制约定时,用人单位应如何避免侵犯劳动者乃至其他的个人信息权益,势必应加以关注。

一、竞业限制约定涉及的个人信息

所谓个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。故笔者理解,个人信息是可具体指向某个自然人的各种信息。在竞业限制约定执行下,就个人信息的主体而言,可分为两类个人信息。

(一)劳动者本人的个人信息

除用人单位为人事管理需要掌握劳动者的基本身份信息、技能信息、学历、通讯邮箱外,为调查劳动者是否违反竞业限制约定,用人单位必然还将掌握直接或间接反应劳动者再就业情况的其他信息,如家庭住址、社交软件、行踪轨迹、生物识别信息等。

(二)与劳动者关联的非本人的个人信息

除掌握商业秘密的劳动者任职与用人单位有竞争关系的单位外,用人单位更害怕的是劳动者以隐蔽的方式规避竞业限制。故稍有经验的用人单位会与劳动者约定,不得通过其配偶、父母、子女等亲属在竞争企业任职或参与投资或经营同类业务的方式违反竞业限制约定。故而用人单位此时需要掌握的信息将不再限于劳动者本人,必将扩大至劳动者亲属或类亲属的个人信息,下文均称关联人的个人信息。笔者认为,用人单位在侵权防范时,应当包括对关联人信息的保护注意。


二、竞业限制中可能侵害个人信息权益的情形

用人单位未注意获取劳动者本人以及关联人的个人信息的程序,或未对该些个人信息谨慎使用、处理,可能导致各种侵犯个人信息权益的情形发生。

(一)无授权的关联人个人信息收集

依据《个信法》第十三条,处理个人信息应取得个人同意,又依据《个信法》第四条,处理包括“收集、存储、使用、加工、传输、提供、公开、删除”等,故收集个人信息应取得该个人信息指向者的同意。

基于未来执行竞业限制约定目的的个人信息收集,用人单位一般仅向劳动者进行。劳动者对于关联人的个人信息,往往没有经过个人信息指向者的同意,故用人单位此时的收集,可能因未获得个人信息指向的本人的同意,从而违反了《个信法》的规定。

(二)个人信息的过度收集

1.对单个劳动者个人信息的过度收集。

对用人单位而言,竞业限制约定的履行关键在于劳动者离职后,用人单位通过劳动者留存的个人信息进行调查、确认。故劳动者留存的个人信息越多,用人单位未来可采取的手段将越多越有效。在此种前提下,用人单位将不免涉嫌对个人信息收集超过必要限度的问题。

2.对不必要约定竞业限制的劳动者进行个人信息收集。

《个信法》明确规定了必要原则,收集个人信息应当限于实现处理目的的最小范围。实践中用人单位为了提高商业秘密的保护效率,凡公司员工不分岗位一律约定保密协议与竞业限制,这种“一网打尽”的约法,必然违反限于实现处理目的最小范围的规定。

(三)个人信息的泄露

1.基于经验缺乏的泄露。

《个信法》对个人信息的妥善保管作出了要求,实践中,用人单位由于新法施行,缺乏对劳动者个人信息的保管经验,未建立个人信息管理制度,未采取有效措施导致劳动者本人或关联人的个人信息泄露。

2.基于管理目的的泄露。

实践中,基于劳动者违反竞业限制约定,用人单位为以儆效尤的管理效果,在公司内部公示违反约定劳动者的相关信息,此行为将导致个人信息的泄露。

(四)涉及第三方时的侵权

用人单位在自己没有调查能力情况下,必然委托第三方对劳动者是否违反竞业限制约定进行调查,在此情形下可能涉及两种个人信息的处理侵权。

1.向第三方超权限提供个人信息。

依据《个信法》第二十三条规定,用人单位若要向第三方提供劳动者个人信息,应当告知劳动者接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得其单独同意。实践中,用人单位很难提前确定向何方委托调查,故可能存在未经劳动者同意向第三方提供个人信息的侵权行为。

2.第三方处理个人信息侵权。

依据《个信法》第二十一条规定,用人单位与第三方调查时,应约定委托使用劳动者个人信息的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对第三方进行监督。第三方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,第三方应当将个人信息返还个人信息处理者或者予以删除,不得保留。倘若第三方违反约定或法律规定使用个人信息,用人单位基于其委托行为,必然需要承担法律责任。

(五)竞业限制调查时的个人信息使用侵权

基于用人单位与劳动者的竞业限制约定在前,大量的违约行为发生在后,违约行为的类型不可预知,故约定条款的滞后性必然存在,可能存在调查使用的劳动者本人及关联人的个人信息尚未取得或者不再可能取得使用同意。

用人单位在调查时将会发生,使用的调查线索系未经劳动者同意使用的个人信息,同上文陈述的依据《个信法》第四条与第十三条的规定,这必将存在法律风险。


三、用人单位的防范措施

用人单位的防范措辞应当明确本单位目标,以《个信法》为依据,结合本单位实际情况,预判劳动者可能的违约情形而采取。

(一)进行竞业限制必要程度的分级后收集个人信息

为防止泛化使用竞业限制条款,不适当扩大竞业限制主体的适用范围,从而导致个人信息的侵害,用人单位应当先对劳动者进行适用竞业限制约定的必要性进行审查分类。除《中华人民共和国劳动合同法》(以下简称《劳动合同法》)第二十四条规定的高级管理人员、高级技术人员和其他负有保密义务的人员外,可以结合商业秘密的类型、数量、易窃取或泄露程度,对剩余岗位的劳动者进行审查分级,并根据分级确定对不同的岗位类型收集的个人信息的范围、数量、类型等。

笔者认为,分级应不止针对岗位,也应当根据用人单位具体生产的产品类型或提供的服务等,综合考量劳动者的技能等级等个性化因素,建立多维度的分级体系,以应对在不同项目背景下,人员涉密情况的变动等。

(二)根据行业特性预判劳动者违约情形,取得劳动者对本人及关联人的个人信息收集、使用等处理的同意或承诺

1.入职时收集,离职时补正。

劳动者基于求职目的时,入职初对用人单位获取本人及关联人的个人信息收集、使用的授权最为容忍。故用人单位应当根据具体的岗位,预设劳动者可能违反竞业限制约定的情形,在劳动者入职时,通过其本人申报、入职申核、入职谈话等形式进行个人信息的收集,并经劳动者确认;劳动者与用人单位解除或终止劳动合同离职时,其具体岗位、员工等级、个人信息可能已发生变化,故应当对已经收取的个人信息进行补正,并尽可能再次经劳动者确认,防止个人信息收集的偏差。

2.取得劳动者同意。

(1)对收集个人信息的同意,除对已经取得的个人信息进行列举,并经劳动者签字确认同意外,还应兜底“其他在工作中获取的劳动者的个人信息,劳动者知晓后未提出反对的,视为收集的同意”。

(2)对保存及使用期限的同意。实践中,用人单位一般以三年诉讼时效为存档期限。竞业限制条件下,劳动者个人信息的保存期限应综合考虑竞业限制约定的期限,依据《劳动合同法》第二十四条规定的竞业限制期限自用人单位与劳动者解除或终止劳动合同后最长期限为二年。在用人单位用满这二年的前提下,劳动者离职后个人信息的保存期限将长达五年,故此时用人单位与劳动者约定的个人信息的保存及使用期限,应当是劳动合同期限另行加上五年。

(3)对个人信息使用主体的同意。除本企业外,用人单位经考虑业务发展的需要,对本企业的关联企业进行列举,取得劳动者对该些关联企业使用个人信息的同意;在明确未来调查竞业限制的合作第三方时,应将该第三方作为同意使用的主体;在不明确未来调查竞业限制的合作第三方时,应当将本行业内可能合作的该些第三方进行列举,取得劳动者对该些第三方使用的同意。

(4)对竞业限制调查使用目的的同意。劳动者应明确同意,个人信息将用于竞业限制调查使用。否则,劳动者违反竞业限制约定时,可能抗辩其个人信息仅用于与劳动合同履行期间,对超出约定的使用不予认可。

(5)对个人信息使用范围的同意。涉及竞业限制调查时,调查人员或将通过互联网检索、向行政部门申请调查、向调查机构提供被调查者本人及关联人个人信息等方式,故用人单位应取得劳动者对该些方式的个人信息使用范围的同意。能列举应列举,并进行类比兜底。

3.取得劳动者对关联人关于个人信息收集使用等的同意的承诺。

对于劳动者的关联人的个人信息,实践中用人单位对于取得本人的同意显然是不切实际的,故应当要求劳动者对其提供的该些个人信息进行承诺,即,除提供的个人信息真实有效外,还取得了关联人的关于收集及为竞业限制调查使用的同意,否则将由劳动者自行承担相应法律责任的承诺。

(三)建立与竞业限制相关的个人信息管理制度

依据《个信法》第五十一条,为防止个人信息未经授权的访问以及个人信息泄露、篡改、丢失等,用人单位应当建立个人信息管理制度,包括:制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等。

其中,涉及竞业限制的制度应当侧重于与商业秘密关联的个人信息的分类分级、开启竞业限制调查程序的管理人员责任制、竞业限制调查完成后的个人信息删除程序等。

同时,笔者建议在制度设置中应设立个人信息管理专员,对公司运行中劳动者发生变岗位、升职、离职等变动情况时,对个人信息进行及时处理,避免管理的滞后。且该专员应当列为涉密等级最高人员之一。

(四)第三方处理个人信息时的约定与监督

用人单位在委托第三方进行竞业限制调查时,应当对第三方使用劳动者本人及关联人个人信息的使用目的、使用手段、使用范围进行严格约定,并约定相应的违约责任,还应当约定个人信息使用不当或不慎泄露时,采取补救措施的责任条款。

对于第三方在调查中,用人单位应当对调查程序进行提前把控;对调查进展应当及时关注,在出现可能侵犯个人信息权益结果时,及时干预并解除委托;对调查结束后,应当监督第三方对个人信息以及调查结果中所含的个人信息进行删除。

(五)非必要人员的竞业限制及时解除

对于非掌握商业秘密的管理人员、技术人员或其他人员,用人单位应当在劳动者离职时及时审查是否还有履行竞业限制约定的必要,对于非必要履行的约定及时在离职时进行解除。并在解除后,对非基于劳动合同争议解决必要的个人信息进行删除。事后在竞业限制期间内进行的,不止可能产生劳动者主张额外支付经济补偿金的后果,还将产生劳动者反过来主张原来的竞业限制设置不正当扩大,侵犯其个人信息权益的法律风险。

(六)竞业限制条款的设计注意

用人单位与劳动者进行竞业限制约定时,在条款设计中应对劳动者本人及关联人的个人信息收集、使用、传输、提供、删除等处理进行原则性约定,以使竞业限制约定与劳动者各项同意书、承诺书或授权文件形成依据体系。

在涉及具体条款时,应当注意,能穷尽应穷尽,能列举应列举,并设计与列举情形相近的兜底条款,以应对侵权责任判定。

在发生变动情况时,如劳动者调岗、离职时,应当形成竞业限制条款的补充条款或重新签订,对以往约定进行补正。

(七)公示时的匿名处理

劳动者在违反竞业限制约定时,用人单位或已取得劳动者违约的初步线索,或已取得确凿的劳动者违约证据,或已取得相应的司法胜诉判决。为及时阻止同类违约的扩散,用人单位公示该劳动者违约情形确有必要,但在公示时应注意隐匿该劳动者的姓名、身份证号等能具体指向个人的重要个人信息。

应当注意的是,在此种情形下,仍应注意隐匿其他相对不重要但能仍据此推断出具体个人的其他信息。如岗位、员工等级、年龄等,单个意义上不应纳入个人信息范畴,但该些信息的组合可能纳入个人信息保护。

(八)竞业限制经济补偿的注意

1.应约定竞业限制经济补偿。

实践中,对于没有约定经济补偿的竞业限制约定本身的效力问题,理论与实务界素有争论。故为防止竞业限制约定因用人单位免除自己法定责任、排除劳动者权利而无效,竞业限制约定履行过程中用人单位应当与劳动者约定经济补偿。

2.应当及时支付经济补偿。

根据我国最高人民法院关于劳动法的司法解释相关规定,若因用人单位的原因导致三个月未支付经济补偿,劳动者有权请求解除竞业限制约定。由于该解除系劳动者主动行使,用人单位已处于被动地位,故该种解除前提下,即便用人单位手握劳动者本人及关联人的关键个人信息可用以调查其违反竞业限制约定,但迫于使用基础已解除,再行使用将涉嫌违反法律规定。故用人单位应按照竞业限制约定在劳动者离职后及时支付经济补偿,以防止劳动者使用解除权。


四、结语

我国《个信法》施行未久,调整重点尚在互联网大数据领域,对于劳动关系中的劳动者个人信息保护尚未制定特定规范。从域外立法看,劳动者个人信息保护规则,有的侧重于在个人信息保护法中作出特殊规定,有的侧重于在劳动法中规定,前者的优势在于更能充分利用个人信息保护的一般规则,后者可以更充分体现劳动关系的特殊性。无论何种模式,可以预计的是劳动者的个人信息保护只会随着立法的完善、司法实践形成愈加严格。用人单位在此种背景下,如何用好竞业限制的约定保护商业秘密,将会面临更多困难。