公司背调是否需要经过本人同意?
2023-06-29 16:45:49 浏览:
公司对拟录用的候选人进行背景调查的目的,通常是希望了解该候选人此前学历经历、工作岗位、工作表现等,并判断其是否存在重大虚假陈述,最终确认其是否适合拟聘用的岗位。
用人单位可以通过合法手段自行或委托第三方开展背景调查,但需严格落实个人信息处理者的个人信息保护义务和要求。
个人信息处理的合法性基础
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
从处理个人信息合法性基础的演变来看,《网络安全法》41条第1款明确了收集使用个人信息的合法性基础为“被收集者同意”。自2017年6月1日《网络安全法》生效以来,“同意”成为收集使用个人信息的唯一合法性基础。从这个角度看,公司背调一定需要经过候选人本人同意。
2021年1月1日起实施的《民法典》第1035条第1款第1项沿用了“同意”作为合法性基础,同时增加了“法律、行政法规另有规定的除外”的例外规定。
2021年11月1日起实施的《个人信息保护法》又在此基础上增加了多项个人信息处理的合法性基础。
根据《个人信息保护法》第13条规定,处理个人信息应当取得个人同意,但是为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的,不需取得个人同意。
诚信是社会主义核心价值观的基本价值取向,《中华人民共和国民法典》第七条规定,民事主体从事民事活动,应当遵循诚信原则,秉持诚实,恪守承诺。但是法律明确规定了用人单位处理个人信息的四种合法性基础:第一,征得本人同意;第二,法律、行政法规另有规定;第三,“为订立、履行个人作为一方当事人的合同所必需”;第四,“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。
《劳动合同法》规定,用人单位有权了解候选人与劳动合同直接相关的基本情况,劳动者应当如实说明。但是哪些信息属于“劳动者与劳动合同直接相关的基本情况”呢?法律上并无明确规定。
若一项个人信息处理行为系个人信息处理者作为一方当事人订立或者履行合同时所必需的,则该个人信息处理行为合法,但若该个人信息处理行为并非合同订立或履行过程中所期待发生的,则无法适用本项作为合法性基础。但是哪些信息属于“订立、履行个人作为一方当事人的合同所必需”呢?实践中也很容易发生争议。
“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的”,这也并不意味着用人单位可以处理员工的所有个人信息、随意用于任何处理目的。我国《劳动合同法》《劳动合同法实施条例》等相关法规对员工个人信息的范围有明确的限定。根据相关规定,用人单位应当建立职工名册备查,职工名册应当包括候选人姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。
建议公司背调获得候选人同意
综上所述,“公司背调需不需要经过本人同意”,主要取决于背调的个人信息范围。如果背景调查出于企业招聘录用的目的,且调查内容仅限于职工名册备查信息或与劳动合同直接相关的基本情况,或者其他可以从公开渠道合法获取的个人信息,可能不需要经过候选人同意。但一旦超出了以上的范围,可能需取得本人的同意。
另外,某些特殊行业对于候选人的背调可能还会涉及个人敏感信息包括医疗健康信息等。对此《个人信息保护法》提出了更高的要求:处理敏感个人信息应当取得个人的单独同意。
所以为了避免法律风险,如果公司负责招聘的人力资源部门自行进行背景调查的,建议企业采取“告知+同意”的模式,即在背调前在书面文件中明确调查范围和方法,并征得候选人的书面同意。同时,当企业收到其他公司对员工的背调,若企业事先未征得员工同意,亦不建议企业接受其他单位的外调。
另需注意,根据2023年3月1日起施行的《上海市就业促进条例》,除法律、行政法规另有规定外,用人单位和人力资源服务机构在招用人员或者提供人力资源服务时,不得查询劳动者的诊疗记录、医学检测报告、违法犯罪记录等信息,或者要求劳动者提供与履行劳动合同无关的信息。所谓“法律、行政法规另有规定的”,如《职业病防治法》第35条和第36条规定,对从事接触职业病危害作业的员工,企业应按规定组织上岗前、在岗期间和离岗时的职业健康检查,并建立职业健康监护档案。对于此类员工,可不受查询限制的相关规定。
委托第三方背调应更审慎
如公司不是自行背调,而是委托第三方(猎头公司、律师、法证技术团队、调查公司)对候选人进行背调的,根据《个人信息保护法》第21条规定,应在使用第三方之时履行审慎和监督义务。
公司应当与第三方之间明确划分保护个人信息的权利义务和责任,确保第三方通过合法途径获得求职人员个人信息以及履行保密义务,包括审阅第三方内部关于个人信息保护的合规政策等文件等,特别是必须与第三方约定委托结束之后在一定期限内对个人信息进行匿名化处理或直接予以删除。
其次,在将员工个人信息交付受托方进行处理后,企业应当对其处理活动进行监督,比如要求受托方定期对处理活动进行报告、对处理活动开展合规审计等。
实践中,为了避免法律风险,一般正规的第三方背调公司也会要求先得到候选人的背调授权,才会开始背调流程。即相对于公司自行背调的“告知+同意”的模式,建议委托第三方背调的,采取更加严格的“告知+同意+授权”的模式。
至于市面上有些不正规的背调公司进行“暗调”,这种游走在灰色与违法地带的行为,很容易给企业惹来麻烦,建议用人单位谨慎选择。