课程大纲：

个人信息保护法基础知识

课程背景：
2021年11月1日实施的《个人信息保护法》是我国第一部针对个人信息保护的法律，企业作为《个人信息保护法》中的信息处理者，在开展业务的过程中，必然会收集和掌握大量的员工与客户个人信息。加强和完善个人信息权益保护工作，是企业履行社会责任的职责义务所在，也是确保企业健康发展的内在要求。
课程围绕《个人信息保护法》的相关内容，结合《民法典》等其他法律法规，结合热点案例，以案释法，掌握《个人信息法》的运用守则，针对企业员工从招聘到入职、日常管理到离职全流程的个人信息保护措施，系统讲解个人信息保护的相关问题，并就企业经营过程中涉及的相关问题提出合规建议。

课程收益：
● 全面系统讲解个人信息处理一般规定、敏感个人信息的处理规则、国家机关处理个人信息的特别规定、个人在个人信息处理活动中的权利、个人信息处理者的义务，让企业清晰了解《个人信息保护法》立法目的及政策尺度。
● 提供16份专业用工模板，便于学员拿来即用。
● 让学员了解如何保护自己的个人信息，以及在工作中如何做好客户、合作方以及员工的个人信息管理与安全保护。
● 了解信息处理的民事、行政、刑事责任，让学员们加深法制意识，在日常工作中对于信息的处理更细心。
● 完善公司的信息管理体系，现场答疑，解决企业现实相关法律问题，加深企业对于信息的管理的重要性内容。

课程对象：人力资源部经理、招聘主管、薪酬主管、员工关系主管、企业中高级管理人员、企业储备管理人员、合规管理者、企业法务等。

课程大纲
第一讲：立法背景及意义
一、立法背景
案例解析：1970年德国黑森州颁布全世界第一部《数据保护法》
案例解析：2018年欧盟《一般数据保护条例》(GDPR)
二、立法宗旨
保护个人信息权益规范个人信息处理活动、促进个人信息合理利用，以保护个人信息权利、限制处理者、公开禁止非法侵权或危害公共利益、维护国家安全
案例解析：中国企业合规第一案（雀巢奶粉）
三、我国的个人信息保护立法
1、《中华人民共和国民法典》
2、《网络安全法》
3、《数据安全法》
4、《电信和互联网用户个人信息保护规定》
5、《个人金融信息保护技术规范》
6、《征信业管理条例》
7、《最高院关于人脸识别司法解释》
案例解析：C3、C2、C1分级
案例解析：《个人信息保护法》与《民法典》的关系问题

第二讲：《个人信息保护法》重点内容解读
一、基本概念运用之本
1、个人信息
与已识别或可识别的自然人有关的信息（不包括匿名化处理后的信息）
案例解析：清华大学教授被骗1760万
处理：收集、存储、使用、加工、传输、提供、公开、删除等
案例解析：池子个人信息被泄露处罚结果公布：中信银行收银保监会450万元罚单
3、敏感个人信息
包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，及不满十四周岁未成年人的个人信息
案例解析：徐玉玉，令人惋惜！徐玉玉案，让人反思！
二、适用范围运用场景
1、境内：组织、个人在中华人民共和国境内处理自然人个人信息的活动
2、境外：在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动
1）以向境内自然人提供产品或者服务为目的
2）分析、评估境内自然人的行为
3）法律、行政法规规定的其他情形
案例解析：抖音海外版Tik Tok被美FTC罚款570万美元，创相关案件最高罚款金额纪录
三、处理规则运用遵守
1、遵循合法、正当、必要和诚信原则（贯穿全流程、各环节）
限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等
案例解析：深夜小巷里，我遭遇了中国第一大银行的伏击（文冤阁大学士）
案例解析：用征信辱骂客户“专业做鸡十年”，晋商消金把自己玩凉了……
2、确立以“告知-同意”为核心的个人信息处理一系列规则
要求处理个人信息、重要事项变更应当在事先充分告知的前提下取得个人同意
案例解析：2021年度十大典型案例之“人脸识别第一案”
3、根据环节与类型，提出共同处理、委托处理、自动化决策等要求
案例解析：手机越贵，打车越贵？复旦教授三万字打车报告，实锤打车软件“大数据杀熟”
4、具有特定的目的和充分的必要性的情形下，取得个人统一，方可处理敏感个人信息
案例解析：为躲人脸识别，男子戴口罩头盔看房！找中介118万就拿下，自己去售楼处却要137万！
四、个人权责运用须知
1、知情权、决定权、查询权、更正权、删除权等
2、个人信息处理者建立个人行使权利的申请受理和处理机制
案例解析：被罚1674万元！东亚银行为何收到天价罚单？
案例解析：千余学生莫名被开户，农业银行崇左分行被罚1142万元，分行长一同被罚
3、个人信息处理者的合规管理和保障个人信息安全等义务
案例解析：某行支行长泄露客户信息，禁止从事银行业工作五年的行政处罚并被追究侵犯公民个人信息罪有期徒刑三年，缓刑三年
4、制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人进行监督
案例解析：一年售卖915份征信报告，判处有期徒刑三年，缓刑三年，处罚金人民币十万元
案例解析：6家银行因侵犯个人信息被罚 最高处罚1406万元
5、建立健全个人信息保护合规制度体系，对个人信息处理活动进行监督
案例解析：员工违规查询、泄露、倒卖客户信息31465条，判处有期徒刑六个月，缓刑一年，并处罚金3千元
五、法律责任运用之罚
1、一般处罚
1）责令改正，给予警告，没收违法所得
2）拒不改正的，并处一百万元以下罚款
3）相关责任人：一万元以上十万元以下罚款
2、严重处罚
1）责令改正，没收违法所得
2）五千万元以下或者上一年度营业额百分之五以下罚款
3）责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照
4）相关责任人：十万元以上一百万元以下罚款

第三讲：《个人信息保护法》对用工管理影响
一、树立个人信息保护合规文化
1、单位将个人信息保护纳入合规管理
2、单位对员工有基本的个人信息保护方面的培训、政策宣传等
3、单位在使用采集员工个人信息的系统前，对设备安装的必要性、安全性、第三方的合法性和可靠性，尤其是个人信息保护方面的能力进行评估
4、定期了解关于个人信息保护方面的政策、法规等
二、用工管理流程中员工个人信息保护情况
流程一：招聘
1）收集个人信息符合相关隐私政策或者个人信息保护的规定，了解第三方信息真实性了解
2）背景调查时提前告知拟聘用的人，并获得相关个人信息调查的授权
3）对参加面试或拟聘用的人的个人信息有保护措施，定期销毁
4）定期评估招聘阶段个人信息保护的现状，并对相关岗位工作人员培训
流程二：入职
1）填写员工个人信息保护承诺书，并建立员工个人档案
2）对于员工个人信息收集、使用等获得员工授权，并对档案管理有制度上的规定
3）要求员工提交体检信息，或者婚育信息等个人信息，对信息的保护有更严格的要求
4）在劳动合同或者其他文件中，有关员工个人信息保护方面的条款，尤其是单位在一定情况下搜集、使用个人信息的条款
流程三：日常管理
1）涉及指纹、人脸识别、行踪轨迹等考勤系统，对其中的敏感个人信息获得单独同意
2）如果是第三方提供服务，对安全性等进行过评估；若员工不同意授权，有替代性方案
3）在办公区域或者办公设备上安装监控设备，提前告知员工并获得授权
4）对员工通讯设备进行监控，提前告知员工并获得授权
5）对存储个人数据的方式、安全性方面进行过评估以及定期改进
6）如果发生特殊情况需要收集个人信息，征得员工同意
7）如果涉及个人信息出境，有相关的法律合规评估，并获得员工同意
8）对员工违纪、绩效等情况公示，限定范围
9）为员工提供便捷的撤回同意的方式
10）利用个人信息进行自动化决策，充分告知员工并获得员工同意
流程四：离职
1）有对于离职员工的个人信息保护、销毁等具体措施的规定
2）超过一定期限的个人信息的销毁方式
3）接受第三方对离职员工进行背景调查时，评估过有无违反个人信息保护政策
相关文件分享：
《在校生实习协议》《规章制度（重大事项）民主讨论会议纪要》
《规章制度告知确认书》《规章制度（重大事项）平等协商确定会议纪要》（与工会）
《加班申请、确认单》《劳动合同可约定条款清单》《劳动合同续订意向书》
《劳动合同续延通知书》《录用条件确认函》《派驻人员身份确认单》
《退休返聘协议》《薪资支付情况确认单》《医疗期满复工通知书》
《员工信息登记表》《解除劳动合同通知书》《解除劳动合同协议书》

个人信息保护法基础知识