《個人信息保護法》基礎知識與實務操作

課程背景：

2021年11月1日實施的《個人信息保護法》是我國第一部針對個人信息保護的法律，企業作為《個人信息保護法》中的信息處理者，在開展業務的過程中，必然會收集和掌握大量的員工與客戶個人信息。加強和完善個人信息權益保護工作，是企業履行社會責任的職責義務所在，也是確保企業健康發展的內在要求。

課程圍繞《個人信息保護法》的相關內容，結合《民法典》等其他法律法規，結合熱點案例，以案釋法，掌握《個人信息法》的運用守則，針對企業員工從招聘到入職、日常管理到離職全流程的個人信息保護措施，系統講解個人信息保護的相關問題，并就企業經營過程中涉及的相關問題提出合規建議。

課程收益：

● 全面系統講解個人信息處理一般規定、敏感個人信息的處理規則、國家機關處理個人信息的特別規定、個人在個人信息處理活動中的權利、個人信息處理者的義務，讓企業清晰了解《個人信息保護法》立法目的及政策尺度。

● 提供16份專業用工模板，便于學員拿來即用。

● 讓學員了解如何保護自己的個人信息，以及在工作中如何做好客戶、合作方以及員工的個人信息管理與安全保護。

● 了解信息處理的民事、行政、刑事責任，讓學員們加深法制意識，在日常工作中對于信息的處理更細心。

● 完善公司的信息管理體系，現場答疑，解決企業現實相關法律問題，加深企業對于信息的管理的重要性內容。

課程特色：

■ 從專業的法律層面，結合老師多年的辦案實踐經驗，以真實案件為例，以案說法，更針對性，強實操性。

■ 課程精心設計，邏輯嚴密，構思巧妙，把法律知識融入到工作生活，生動風趣，寓教于樂，讓現場氛圍更輕松活潑，擺脫了純講理論的刻板模式。

課程時間：2天，6小時/天

課程對象：人力資源部經理、招聘主管、薪酬主管、員工關系主管、企業中高級管理人員、企業儲備管理人員、合規管理者、企業法務等。

課程方式：法條解析+案例研討+答疑解惑

課程大綱

第一講：立法背景及意義

一、立法背景

案例解析：1970年德國黑森州頒布全世界第一部《數據保護法》

案例解析：2018年歐盟《一般數據保護條例》(GDPR)

二、立法宗旨

保護個人信息權益規范個人信息處理活動、促進個人信息合理利用，以保護個人信息權利、限制處理者、公開禁止非法侵權或危害公共利益、維護國家安全

案例解析：中國企業合規第一案（雀巢奶粉）

三、我國的個人信息保護立法

1. 《中華人民共和國民法典》

2. 《網絡安全法》

3. 《數據安全法》

4. 《電信和互聯網用戶個人信息保護規定》

5. 《個人金融信息保護技術規范》

6. 《征信業管理條例》

7. 《最高院關于人臉識別司法解釋》

案例解析：C3、C2、C1分級

案例解析：《個人信息保護法》與《民法典》的關系問題

第二講：《個人信息保護法》重點內容解讀

一、基本概念——運用之本

1. 個人信息

——與已識別或可識別的自然人有關的信息（不包括匿名化處理后的信息）

案例解析：清華大學教授被騙1760萬

處理：收集、存儲、使用、加工、傳輸、提供、公開、刪除等

案例解析：池子個人信息被泄露處罰結果公布：中信銀行收銀保監會450萬元罰單

3. 敏感個人信息

——包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，及不滿十四周歲未成年人的個人信息

案例解析：徐玉玉，令人惋惜！徐玉玉案，讓人反思！

二、適用范圍——運用場景

1. 境內：組織、個人在中華人民共和國境內處理自然人個人信息的活動

2. 境外：在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動

1）以向境內自然人提供產品或者服務為目的

2）分析、評估境內自然人的行為

3）法律、行政法規規定的其他情形

案例解析：抖音海外版Tik Tok被美FTC罰款570萬美元，創相關案件最高罰款金額紀錄

三、處理規則——運用遵守

1. 遵循合法、正當、必要和誠信原則（貫穿全流程、各環節）

——限于實現處理目的的最小范圍，公開處理規則，保證信息準確，采取安全保護措施等

案例解析：深夜小巷里，我遭遇了中國第一大銀行的伏擊（文冤閣大學士）

案例解析：用征信辱罵客戶“專業做雞十年”，晉商消金把自己玩涼了……

2. 確立以“告知-同意”為核心的個人信息處理一系列規則

——要求處理個人信息、重要事項變更應當在事先充分告知的前提下取得個人同意

案例解析：2021年度十大典型案例之“人臉識別第一案”

3. 根據環節與類型，提出共同處理、委托處理、自動化決策等要求

案例解析：手機越貴，打車越貴？復旦教授三萬字打車報告，實錘打車軟件“大數據殺熟”

4. 具有特定的目的和充分的必要性的情形下，取得個人統一，方可處理敏感個人信息

案例解析：為躲人臉識別，男子戴口罩頭盔看房！找中介118萬就拿下，自己去售樓處卻要137萬！

四、個人權責——運用須知

1. 知情權、決定權、查詢權、更正權、刪除權等

2. 個人信息處理者建立個人行使權利的申請受理和處理機制

案例解析：被罰1674萬元！東亞銀行為何收到天價罰單？

案例解析：千余學生莫名被開戶，農業銀行崇左分行被罰1142萬元，分行長一同被罰

3. 個人信息處理者的合規管理和保障個人信息安全等義務

案例解析：某行支行長泄露客戶信息，禁止從事銀行業工作五年的行政處罰并被追究侵犯公民個人信息罪有期徒刑三年，緩刑三年

4. 制定內部管理制度和操作規程，采取相應的安全技術措施，并指定負責人進行監督

案例解析：一年售賣915份征信報告，判處有期徒刑三年，緩刑三年，處罰金人民幣十萬元

案例解析：6家銀行因侵犯個人信息被罰 最高處罰1406萬元

5. 建立健全個人信息保護合規制度體系，對個人信息處理活動進行監督

案例解析：員工違規查詢、泄露、倒賣客戶信息31465條，判處有期徒刑六個月，緩刑一年，并處罰金3千元

五、法律責任——運用之罰

1. 一般處罰

1）責令改正，給予警告，沒收違法所得

2）拒不改正的，并處一百萬元以下罰款

3）相關責任人：一萬元以上十萬元以下罰款

2. 嚴重處罰

1）責令改正，沒收違法所得

2）五千萬元以下或者上一年度營業額百分之五以下罰款

3）責令暫停相關業務、停業整頓、吊銷相關業務許可或者吊銷營業執照

4）相關責任人：十萬元以上一百萬元以下罰款

第三講：《個人信息保護法》對用工管理影響

一、樹立個人信息保護合規文化

1. 單位將個人信息保護納入合規管理

2. 單位對員工有基本的個人信息保護方面的培訓、政策宣傳等

3. 單位在使用采集員工個人信息的系統前，對設備安裝的必要性、安全性、第三方的合法性和可靠性，尤其是個人信息保護方面的能力進行評估

4. 定期了解關于個人信息保護方面的政策、法規等

二、用工管理流程中員工個人信息保護情況

流程一：招聘

1）收集個人信息符合相關隱私政策或者個人信息保護的規定，了解第三方信息真實性了解

2）背景調查時提前告知擬聘用的人，并獲得相關個人信息調查的授權

3）對參加面試或擬聘用的人的個人信息有保護措施，定期銷毀

4）定期評估招聘階段個人信息保護的現狀，并對相關崗位工作人員培訓

流程二：入職

1）填寫員工個人信息保護承諾書，并建立員工個人檔案

2）對于員工個人信息收集、使用等獲得員工授權，并對檔案管理有制度上的規定

3）要求員工提交體檢信息，或者婚育信息等個人信息，對信息的保護有更嚴格的要求

4）在勞動合同或者其他文件中，有關員工個人信息保護方面的條款，尤其是單位在一定情況下搜集、使用個人信息的條款

流程三：日常管理

1）涉及指紋、人臉識別、行蹤軌跡等考勤系統，對其中的敏感個人信息獲得單獨同意

2）如果是第三方提供服務，對安全性等進行過評估；若員工不同意授權，有替代性方案

3）在辦公區域或者辦公設備上安裝監控設備，提前告知員工并獲得授權

4）對員工通訊設備進行監控，提前告知員工并獲得授權

5）對存儲個人數據的方式、安全性方面進行過評估以及定期改進

6）如果發生特殊情況需要收集個人信息，征得員工同意

7）如果涉及個人信息出境，有相關的法律合規評估，并獲得員工同意

8）對員工違紀、績效等情況公示，限定范圍

9）為員工提供便捷的撤回同意的方式

10）利用個人信息進行自動化決策，充分告知員工并獲得員工同意

流程四：離職

1）有對于離職員工的個人信息保護、銷毀等具體措施的規定

2）超過一定期限的個人信息的銷毀方式

3）接受第三方對離職員工進行背景調查時，評估過有無違反個人信息保護政策

相關文件分享：

《在校生實習協議》《規章制度（重大事項）民主討論會議紀要》

《規章制度告知確認書》《規章制度（重大事項）平等協商確定會議紀要》（與工會）

《加班申請、確認單》《勞動合同可約定條款清單》《勞動合同續訂意向書》

《勞動合同續延通知書》《錄用條件確認函》《派駐人員身份確認單》

《退休返聘協議》《薪資支付情況確認單》《醫療期滿復工通知書》

《員工信息登記表》《解除勞動合同通知書》《解除勞動合同協議書》