大陸台商經貿網,定位為大陸台商入口網,提供豐富的兩岸經貿資訊

一、前言

《個人信息保護法》(以下簡稱《個保法》)已經於2021年11月1日正式生效，隨之而來的是企業員工學習並實踐關於個人信息的自我保護觀念和隱私權意識的正確理解。相對的，作為「信息處理者」的用人單位(企業)，更要遵守《個保法》的相關規定，否則人資管理作業會產生或大或小的法律風險。

本人擔任臺商輔導顧問，在某一次的臺商諮詢案例中，該臺商擬以人臉、指紋等生物識別方式進行電子考勤，他詢問如果員工拒絕向用人單位提供生物識別，信息，拒絕參與指紋、面部識別考勤，用人單位如何處理？相信這個問題，在《個保法》正式實施後，會陸續出現在臺商的人資管理實務操作裡面，可能形成勞動爭議的熱點，由於中國大陸缺乏有效的司法實踐來論述個人信息保護在人資法律領域裡的表現，目前只見對於《個保法》條款及體系的解讀，尚無勞動爭議的實際案例。本人只能就人資法律的規定，收集分析，提出個人的見解。

二、有關個人信息的定義

(一)《民法典》第1034條規定，自然人的「個人信息」受法律保護。

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

個人信息中的私密信息，適用有關隱私權的規定，這是《民法典》的人格權；沒有規定的，適用有關個人信息保護的規定。

(二)《個保法》第4條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

經由以上條款的分析，我們可以看出現行立法對於個人信息的定義採取的是 「識別」的方式，即可識別的自然人有關的各種信息。而《個保法》對於個人信息沒有完全的列舉，應以《民法典》第1034條所規定的各種自然人信息為準。考慮到信息時代的不斷變化，有關信息的定義和範圍也將隨之繼續延伸，以便於更正確地保護個人信息。

三、敏感個人信息與單獨同意或書面同意

《個保法》對於個人信息的定義，尚提到了「敏感個人信息」此一新概念。

本法第28規定，敏感個人信息是一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。

只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

那麼，如何正確合規地處理敏感個人信息呢?本法第29條規定，處理敏感個人信息應當取得個人的「單獨同意」；法律、行政法規規定處理敏感個人信息應當取得「書面同意」的，從其規定。

經由以上條款的分析，敏感個人信息是個人信息種類中特別強調並重視維護個人的人格尊嚴。故有針對性地提高個人信息處理者在處理敏感個人信息時的法定義務，如此才能充分保護自然人的權益。《個保法》第30條規定，個人信息處理者處理敏感個人信息的，除本法第17條第1款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。

四、臺商諮詢問題的應對方案

在「一、前言」中，個案諮詢到某臺商擬以人臉、指紋等生物識別方式進行考勤，如果員工拒絕提供生物識別信息，或拒絕參與經由指紋、臉部識別考勤時，企業該如何處理?整理相關重點如下回答:

越來越多的用人單位開始採用人臉識別(人臉辨識)、指紋打卡(指紋辨識)等屬於「敏感個人信息」的管理工具，進行員工個人的日常考勤作業，計算並核實員工每天的正常出勤及加班工作時數。

由於前述的《個保法》規定，對敏感個人信息、單獨同意或書面同意等名詞進行定義與處理規則，今後企業對員工進行日常考勤作業時，應向員工告知臉部、指紋等識別信息的收集及使用的目的、方式和範圍，以及存儲時間、刪除等嚴格的保護措施，並徵得員工的單獨同意，甚至書面同意下才能進行。如果員工拒絕提供上述敏感個人信息，則企業只能另外提供其他考勤方式。

換言之，用人單位可以使用人臉、指紋等識別方式進行考勤。但這些敏感個人信息，只有在必須單獨向員工告知，亦即企業可以在錄入信息前，主動向員工發送一份「個人信息採集告知書」，首先告知採集及使用目的、範圍等等保護員工個人信息的法律規定，避免員工疑慮。

另外在錄入信息前，員工如有疑慮，可以要求與公司簽訂一份相關的「個人信息保密協議」，明確雙方在信息保密上的權利義務，一旦發生洩密，責任方應該承擔由此引起的相應法律責任。

從實務來講，使用人臉、指紋等識別方式是用於掌握個別員工的上下班記錄，才能進行工作與休息休假、績效考核與工資等管理項目的統計認定，同時符合勞動法律的要求；當企業不進行對某員工的打卡考勤或員工離職時，這些原始圖像信息必須被刪除不得再儲存，當企業因某種管理需要將員工個人信息提供給第三方時，尚須個人單獨同意。但當員工拒絕提供上述個人信息，而企業無法說明其必須使用人臉識別方式進行考勤的理由的，依據《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》的規定，建議企業應當提供其他替代性識別方式進行考勤。

當上述的考勤管理方式建立及執行時，就要受到《勞動合同法》條款的規範。該法第4條規定，用人單位應當依法建立和完善勞動規章制度，保障勞動者享有勞動權利、履行勞動義務。用人單位在制定、修改或者決定有關勞動報酬、工作時間、休息休假、勞動安全衛生、保險福利、職工培訓、勞動紀律以及勞動定額管理等直接涉及勞動者切身利益的規章制度或者重大事項時，應當經職工代表大會或者全體職工討論，提出方案和意見，與工會或者職工代表平等協商確定。

以上的條款對用人單位而言，是建立規章制度(員工手冊)的程序。考勤管理工作是人資管理的一項核心工作，是企業內部規章制度的主要項目。企業除了在「勞動合同」中進行約定外，還應制定具體的考勤管理制度，以利於日常人資管理作業，並預防潛在的法律風險。由於考勤管理制度直接涉及勞動者切身利益，依法需要履行相應民主程序，並向勞動者公示，才能作為企業日常管理作業以及勞動爭議仲裁庭的仲裁裁決依據。