企业反腐调查与个人信息保护

员工营私舞弊,既损害公司利益和形象,也会败坏职场风气,假以时日,或“千里之堤,溃于蚁穴”。因此,不少企业十分重视合规管理,建立反腐调查机制与规则,甚至有些企业设立反腐奖励专项基金,奖励举报。在此背景下,时有知名企业员工腐败被查实并追责案件见诸报端。

但是,企业反腐调查难免会涉及到员工个人信息,需要考虑希望并且可以取得哪些信息,如何取得,取得之后如何使用等等。而在《个人信息保护法》出台后,上述问题显得尤为敏感。如何在有效开展反腐败调查的同时,避免触及个人信息保护的红线?无疑是当下企业合规管理人员最关注的问题。

反腐调查中的个人信息处理,主要涉及几个方面:哪些个人信息可以收集?通过什么途径收集?使用、管理方面有哪些限制?

首先,关于个人信息的收集,反腐调查中主要包括两种情形:

一种是根据《个人信息保护法》第13条,对于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的个人信息(例如,姓名、身份证号、通讯信息、住址等),用人单位收集、使用的,无需取得个人同意。实务中,需要注意两点,一是由于“实施人力资源管理所必需”的个人信息范围并无明确规定,因此建议在劳动规章制度或配套文件中明确单位需要收集的员工个人信息具体事项、目的、用途、保管等,同时对于哪些情况下,单位可以对单位提供的电脑、工作手机进行即时检查等作出明确规定,并在向员工说明的基础上,取得员工签署确认。否则,反腐调查中从人事部门取得的有关信息的合法性可能受到挑战。

另外一种情形是单位在调查进行中,与有关人员面谈时,若能取得其明确同意,则可以取得前述范围之外调查所需的其他个人信息。但此种情形,应当特别注意避免作出被认为恐吓、威胁的言行。

其次,进行外部调查时,应当确保从合法渠道取得相关个人信息。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,即可入刑。《个人信息保护法》第10条亦规定,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”因此,通过非正规渠道,如所谓“私家侦探”的窃听等方式获取相关信息的,极易引发法律风险,甚至招来刑事责任。故外部调查需要特别注意满足三个前提:(1)委托具备相应资质的第三方;(2)通过合法的手段;(3)获取法律允许范围内的信息。

再次,在反腐调查取得的相关信息的使用、管理方面,应当注意以下事项:(1)限定主体。即只有负有相应工作职责的人员或者公司委托的第三方相关人员才能接触相关信息,并确保该等人员按照规定或者约定进行使用。(2)限定时间。根据《个人信息保护法》第19条,“个人信息的保存期限应当为实现处理目的所必要的最短时间”。因此,通常情况下,一旦调查结束,案件处理完毕,应当在最短时间内彻底删除相关个人信息或者进行匿名化处理。

最后,在利用反腐案件进行内部教育或者外部宣传时,需要注意个人信息(特别是敏感信息)的隐匿处理等问题,避免引发不必要的风险。