法务视角下的企业用工数据合规要点

“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。近年来国家出台了一些列法律法规，不断完善对个人信息的保护力度。

一、个人信息保护的相关法律法规

1、《中华人民共和国网络安全法》

2016年11月7日通过，自2017年6月1日起施行。

2、《中华人民共和国民法典》

2020年5月28日通过，自2021年1月1日起施行。

《民法典》第1034条：

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等

3、《常见类型移动互联网应用程序必要个人信息范围规定》

2021年3月，国家互联网信息办公室等四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则，规范移动互联网应用程序（App）个人信息收集行为，保障公民个人信息安全。本规定2021年5月1日起施行。

4、《中华人民共和国个人信息保护法》

2021年8月20日通过，自2021年11月1日起施行。

《个保法》第4条：

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息

5、《个人信息出境标准合同办法》

2023年2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》，自2023年6月1日起施行。

出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。

6、《快递电子运单》和《通用寄递地址编码规则》

2023年，市场监管总局发布《快递电子运单》和《通用寄递地址编码规则》两项国家标准。

《快递电子运单》国家标准设立专门章节，强化个人信息保护内容。首先，禁止显示完整的个人信息。快递企业、电子商务经营主体等应采取措施，避免在电子运单上显示完整的收寄件人个人信息。收寄件人姓名应隐藏1个汉字以上，联系电话应隐藏6位以上，地址应隐藏单元户室号。其次，推荐对个人信息进行全加密处理。快递企业、电子商务经营主体等宜采用射频识别、手机虚拟安全号、电子纸等技术手段，对快递电子运单上的个人信息进行全加密处理。另外，国标还规范了个人信息相关内容的读取权限。快递电子运单上隐藏的、加密的信息内容，仅限于快递企业及其授权的第三方、相关管理部门，使用相关设备合法

二、企业用工数据合规的基本原则

在个人信息保护不断完善的大环境下，企业用工数据合规非常重要，遵循的基本原则有哪些？

处理个人信息的合法性基础如下：

《个人信息保护法》第13条

符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

哪些情况下，企业用工处理用工个人数据信息时候需要取得个人单独同意？

三、合规建议

背景调查场景下

企业对于招聘关键技术人员、高管等核心成员，在招聘过程中，往往会对候选人进行背景调查，在此场景下，合规建议如下：

1）需要获得被调查人的书面同意；

2）遵循合法、正当、最小必要的原则，不得过度收集；

3）与第三方签订保密条款，要求第三方在完成委托事项后对背调信息进行删除；

4）求职者拒绝背调，但已经发出录用通知的，不予录用，将承担缔约过失责任。

个人档案建立场景下

员工入职后，企业必然需要建立员工个人档案，以加强对员工基础信息管理，在此场景下的合规建议如下：

1）劳动合同/员工手册增加个人信息收集相关内容；

2）告知可能向第三方提供的情形，并另行获取同意；

3）敏感信息，单独同意。

监控管理场景下

目前，大多数公司会在公司管理范围内安装监控设施，以监控员工日常的工作，在此情况下的合规建议：

1）就监控制定清晰且严格的内部管理制度；

2）充分告知-同意为前提，避免侵犯员工隐私；3）定期评估监控行为的必要性及合理性；

4）设定访问权限，制定安全措施。

生物信息收集场景下

目前，很多公司会对员工采取指纹打卡、刷脸打卡等生物信息收集，以管理员工考勤等行为，在此情况下，合规建议如下：

1）单独告知-明示同意；

2）员工手册中增设个人生物识别信息保护规则；

3）原则上不存储，功能实现后删除。

内部调查场景下

企业为了规范员工行为，对违法违纪行为进行调查，很多企业会自行调查或委托第三方进行调查，以查清违法违纪事实，在此情况下，合规建议如下：

1）事先获得员工同意，免除公司法律责任；比如通过员工手册进行明确告知，并取得员工的签字确认。

2） 为外部机构设定的严格保密义务，调查结束后对信息进行销毁或返还。

数据跨境传输场景下

作为跨国公司，用工数据信息跨境传输非常常见，在此情况下，合规建议如下：

1）告知-明示同意；

2）建立个人信息出境合规流程；

3）遵循个人信息出境的相关规定；

4）建立境外数据存储方采取数据安全保障措施。

离职阶段

员工离职阶段，对其个人信息数据处理同样非常重要，在此场景下的合规建议如下：

1） 遵循法定存储要求；

2）对离职后必要个人信息的处理有明确约定；

3）基于特定目的，需要处理其他个人信息的，单独告知该员工并重新获得同意。

综合

综上，为了降低企业用工数据管理风险，建议如下：

1）在劳动规章制度中尽量完整的列举处理员工个人信息的典型场景，设定处理方式及范围，同时设置适当的概括性条款；

2）以管理制度、员工手册等方式进行公示。