个人信息保护与企业用工合规问题研究

信息技术发展，大数据时代到来，个人信息保护已经刻不容缓。随着《网络安全法》、《数据安全法》和《个人信息保护法》的生效，我国在网络安全和数据保护方面有了体系性的法律规定。企业在日常管理和经营活动中必然要涉及到处理员工个人信息的情况。大数据时代，企业需要收集、处理的信息，除了传统的姓名、性别、年龄、身份证号等基本信息外，如今还包括有关员工的婚育、银行账户、指纹、面部特征、学历学位、资质证照、亲属相关信息、体检信息、社保账号、住房公积金账号、出差记录、性格喜好、个人行动轨迹、甚至电话记录、邮件内容等许多敏感信息。如何在保障企业正常经营管理权时，避免违反个信息保护法律规定，这对企业用工合规问题提出了新要求。

首先，企业用工和管理所需要的获得的信息多为敏感个人信息。企业在招聘员工、进行企业管理时，必然要了解、掌握并使用员工的诸如身心健康、金融账户、职业经历等信息。随着社会的发展，指纹打卡，人脸识别、车辆识别、保险保障等信息，也是企业用于企业管理甚至提供员工福利待遇所必需收集使用的信息。《个人信息保护法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。因此，对企业来讲，做好保护员工个人信息保护是其应有的职责。

其次，企业规章制度的效力受到个人信息保护法律规定和理念制约。随着个人信息保护理念的提升和法律规定的完善，企业经营管理所依据的劳动规章制度的内容也要逐步完善，违背个人信息保护规定及理念的一些做法将不会被仲裁司法机构所认可。比如，有些企业在规章制度中规定，员工请病假时，要求提供完整的病例材料、诊断结果等内容；有的企业在规章制度中规定，只接受指纹或者人脸识别打卡，强制收集员工的生物识别信息。可以预见的是，这些企业规章制度如不进行修订，将会给企业带来损害。

再次，企业行为违反《个人信息保护法》规定将面临严重法律后果。从民事责任上来看，个人信息如被泄露和不正当使用，受害员工可以依据《民法典》、《个人信息保护法》的规定，向处理其信息的用人单位追究侵权责任；从行政责任上来看，根据《个人信息保护法》第66条的规定，违法处理个人信息，或者处理个人信息未履行保护义务，相关部门可以责令改正，给予警告，没收违法所得，并处百万甚至千万元罚款。对直接负责的主管人员和其他直接责任人员可以处以百万元以下的罚款，并可以决定禁止一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等；从刑事责任上来看，违反个人信息保护规定，情节严重时将被依法给予治安管理处罚，甚至被依法追究刑事责任。一般情况下，虽然企业基于员工管理获得的个人信息有限，但是这些信息都是个人敏感信息。《中华人民共和国刑法修正案（九）》规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

最后，涉及个人信息保护的法律纠纷采取过错推定的归责原则，且举证责任倒置，因此发生纠纷时企业败诉风险极大。依据《个人信息保护法》第六十九条规定，处理个人信息时侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。尽管目前尚未有明确的依据《个人信息保护法》处理个人信息被侵权的裁判规则，但可以预见的是，一旦产生合理怀疑，企业只有用证据证实其已经按照法律规定履行了个人信息保护的相关义务，建立了完善的个人信息收集、储存、加密等保护流程，建立了完善的企业个人信息保护合规制度，完成了对相关人员的制度培训等，才能避免承担法律责任。因此，个人信息保护对于企业而言，不只是不实施侵权行为，还应积极地按照《个人信息保护法》进行个人信息保护。

对于企业个人信息保护合规，有哪些方面或者说在什么范围内合规呢？是否不收集指纹、面部信息，不对外透露员工信息、隐私就可以了？当然不是。根据《个人信息保护法》第四条规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。因此，在个人信息保护方面，企业的合规也应当涵盖上述八项行为。

收 集

企业在招聘、录用、管理活动中，不可避免会收集、获取员工（含应聘人）个人信息。如应聘人员的个人简历中包含的个人身份证号、教育经历、工作背景、联系方式、家庭住址等等；用人单位为进行人事管理，要求员工提供的入职材料中包含的身份信息、社保信息、银行账户、健康证明等；规章制度中要求员工请假时提供病历资料、诊断证明，打卡考勤时要求提供的面部识别信息、指纹信息等等。《个人信息保护法》第六条规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集。所以企业在主动收集员工、应聘人员的个人信息时，应当坚持“最小必要”的原则，以企业在收集信息当时的需要为限，不得也没有必要超范围收集个人信息。

所谓“不得也没有必要”，是指在当前立法及社会形势下，企业过度收集个人信息时，员工可以不提供，而且员工即使提供虚假信息也不构成欺诈或违约，这样一来不仅实现不了企业过度收集信息的目的，而且还有可能面临投诉、曝光，甚至监管部门的处罚。比如有些企业在招聘时基于一些不合理甚至不正当的目的要求应聘者提供户籍地、血型、星座等信息，有些企业考勤、门禁只允许指纹或者人脸识别，要求员工提供生物识别信息等等。另外，企业过度收集信息未必能带来经营管理的便利，反而因其在信息的存储、使用、加工、传输、提供、公开、删除方面都负有法定的义务，一旦期间出现个人信息的泄露、滥用等，企业还要承担法律责任。

存 储

企业收集的员工个人信息后，应当采取适当的方式进行存储。依据《个人信息保护法》第五十一条规定，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。这些措施中就包括制定内部管理制度和操作规程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训以及法律、行政法规规定的其他措施。比如纸质个人档案信息只允许人事管理人员查阅，不得带出；电子档案信息、银行账号、工资收入等做必要的遮挡和加密等，做好个人信息的存储工作。

使 用

企业收集、存储员工个人信息的目的是为了使用，这也是个人信息处理的最重要的部分。依据《个人信息保护法》第六条，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。对此，企业首先应当明确，个人信息是属于个人而不属于企业，企业只是为了管理才收集必要的信息，并负有保密和合理使用的义务；其次，企业应当设置个人信息内部使用审批规范，建立使用流程，以最小与必要为原则限制访问人员与访问内容，避免企业承担责任；再次，根据员工个人信息使用目的限制使用范围，员工提供个人信息一般与签订履行劳动合同，或与用人单位人事管理需要有关，原则上不应将员工个人信息用作其他用途；最后，企业规章制度并不能为企业滥用员工个人信息建立避风港，因为企业如果侵害个人信息，即使规章制度有规定，也不影响其承担法律责任。

加 工

企业对所收集、存储的个人信息进行筛选、分类、排序、加密等行为为信息的加工。企业在加工活动中也应遵循必要和最小原则，避免在信息加工中出现不必要的泄露、遗失而损害个人信息所有者的利益。

传输与提供

企业在出现特定情况需要将收集、存储的信息提供给第三方，比如，在劳务派遣、薪酬外包等情况下，需要将劳动者的身份信息、金融账号、薪资信息等提供给第三方处理；在面临企业背景调查、企业合并分立或集团公司管理需要时，需要将与企业有关的员工架构、社保信息、薪资状况等提供给第三方评估、使用。企业在向第三方提供信息时，一要履行告知-同意程序，对于在入职或者签订劳动合同时未告知或者未取得劳动者同意的，应当告知其向第三方提供相关信息的情况，取得劳动者的同意；二要坚持最小必要原则，根据第三方的实际需要提供，与相关业务无关的信息不得提供；三要做好风险管控工作，在订立相关合同时，企业应当要求对方履行保密义务，在交付数据时采取必要的保密措施和加密手段，避免泄露遗失，并在事后做好个人信息的删除工作等。

另，根据《个人信息保护法》第三章的规定，企业需要将个人信息跨境提供时，不仅应当向相关当事人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，取得个人的单独同意，而且还要审查有无国际条约的限制或规定，是否需要通过国家网信部门组织的安全评估等等，并且应当按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，同时要求境外接收方采取必要措施、提供必要的承诺达到国内立法要求的个人信息保护标准。

司法实践中，企业可能还会需要向官方的第三方比如人民法院、公安检查部门、税务部门提供个人信息。在这种情况下，企业调取、收集个人信息时，应做好审查和官方材料留档工作。建议企业做好相关制度的建设，包括使用告知同意、管理人员、调取制度、调取范围等内容，根据相关部门出具文件的明确要求有针对性的提供配合。

公 开

《个人信息保护法》第25条规定，个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。个人信息的相关权利属于个人而非个人信息处理者所有，即使取得个人单独同意，也尽可能的不要公开个人信息。故此，在特定情况下，比如企业因业务开展包括实施奖励和宣传而需要公开员工的职务、履历、照片与视频资料时，首先要征得员工个人同意；如果涉及到对员工违纪处罚、第三方调查等，则应使用、公开尽可能少的信息，以免造成不必要的纠纷。

删 除

《个人信息保护法》第47条规定，处理个人信息处理者停止提供产品或者服务，或者保存期限已届满、个人撤回同意、个人信息处理者违反法律、行政法规或者违反约定处理个人信息、法律、行政法规规定的其他情形的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除。

企业履行对于个人信息进行删除义务也是保护其免受损失的必要步骤。需要注意的是，《个人信息保护法》关于删除的规定与《劳动合同法》及相关规定存在一定冲突，因此在操作上需要区别对待。

比如，对于劳动合同，根据《劳动合同法》第50条，用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查；对于工资发放记录，根据《工资支付暂行规定》第6条，用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字，并保存两年以上备查。

对此，《个人信息保护法》第47条也规定，法律、行政法规规定的保存期限未届满，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理，且对相关信息做好管理和加密工作，建立信息使用审批制度，避免被滥用、泄露，保护企业自身利益。

《个人信息保护法》在第28条规定了敏感个人信息的内容，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等；并在第29条规定，处理敏感个人信息应当取得个人的单独同意。

那么，依据信息收集的最小必要原则，企业人力资源管理所必需的个人信息包括哪些信息？是否需要获得员工“同意”才合规呢？

《劳动合同法》第十七条规定，劳动合同应当具备劳动者的姓名、住址和居民身份证或者其他有效身份证件号码；劳动合同期限；工作内容和工作地点；工作时间和休息休假；劳动报酬；社会保险等以及法律、法规规定应当纳入劳动合同的其他事项。故姓名、住址、身份证、健康状况、知识技能和工作经历等，应当认定为企业人力资源管理所必需的个人信息。

这些信息是否可以不取得员工个人同意而“处理”呢？一种观点认为，《个人信息保护法》第13条规定不需要取得个人同意的，是企业招聘、管理员工所必需，且获取员工单独同意不具现实可能性，如果强加于企业，只能增加无谓的成本；也有观点认为，企业收集到的个人信息都是与个人人身、财产密切相关的信息，如身份证号、银行账户、保险信息、就学、从业经历、医疗健康状况等等，属于需要经过员工“单独同意”才可处理的敏感个人信息，不符合第13条第二款规定的情形。

鉴于目前针对第13条规定尚无明确判断口径和统一的标准，因此仍建议企业慎重处理涉及个人信息的相关事宜。以招聘为例，虽然不能避免收集时“强制同意”的嫌疑，但是可以在招聘信息中取得对应聘员工在使用、存储、删除等方面的授权同意，保障在这些方面的合法合规；其次，在签订劳动合同、入职告知书及制定劳动规章制度时，即使是属于企业人力资源管理“所必需”的信息，也以取得对员工个人信息处理的书面同意为宜。

对于企业个人信息管理合规体系的建设，笔者认为应当从以下几个方面入手：

首先是人员队伍建设。提高企业自身和企业全体人员，尤其是人力、法务部门员工的个人信息保护意识和能力。《个人信息保护法》颁布后，如何履行保护个人信息的义务，避免企业本身和企业员工因违反《个人信息保护法》承担法律责任，成为企业的主要问题。对于企业而言，除了在前述个人信息的收集、存储、使用、转移等方面要做到相应合规外，还应在人员队伍上作出明确的分工和权限界定，各司其职，各知其“信息”，各负其责。这样既能避免个人信息的泄露，也方便企业加强管理，追究违法违规者的责任。

其次是规章制度建设。以前，很少有企业从员工招聘至员工离职整个流程建立完整系统的以保护个人信息安全为目的的规章制度和行为守则。《个人信息保护法》生效后，建立个人信息保护规章制度将成为一种必须。一是在企业劳动合同、企业规章制度、员工手册等方面增加个人信息保护方面的内容，对企业以及企业员工相关行为加以约束，避免侵犯个人信息安全的情形发生；二是完善相关人力、法务人员收集、使用、传输、删除个人信息等程序的规章制度流程，在个人信息保护方面实现规范化、可操作化，为处罚违规者建立依据；三是建立应急制度，明确个人信息事件的应急措施、应急组织结构及相关应急职责，以便在个人信息安全事件发生后能够及时应对。

再次，个人信息分类管理、风险评估制度建设。《个人信息保护法》生效后，企业应当对所收集、获取的个人信息进行分类管理，明确数据类型及保护策略，制定具有实操性的使用、存储和保护策略。比如针对个人敏感信息，保存时采取加密措施，尽可能缩减知悉范围，规范非特定权限人员获取相关信息的流程。同时，企业建立开展个人信息保护的风险评估制度，定时检查、评估，发现企业个人信息安全隐，及时整改。

最后，技术设施建设。网络时代的来临，个人信息收集、存储及保密对技术的依赖将更加明显，也越来越网络化。企业对于技术设备的购置、更新、维护、使用等都应加强监管，避免因为技术设备风险、技术能力不足导致个人信息泄露、丢失。

1. 入职招聘

在入职招聘阶段，主要有人才招聘、背景调查、信息提供等方面涉及到个人信息处理问题。

在人才招聘时，应明示应聘人员提供与招聘岗位有关的个人信息，如不同意提供相关信息，可能会影响到企业对其是否满足招聘岗位的判断；对其提供的与劳动岗位无关的信息做好分类和加密工作。对于未录取人员的个人信息，应做好处置和销毁。

入职背景调查是企业在招聘员工尤其是重要岗位员工时了解与核实拟入人员的工作学习履历、业绩工作表现等信息的常用手段，属于企业对于个人信息的处理行为。故此，亦应坚持合法、正当、必要及最小影响等原则，相关信息收集应仅限于与劳动合同直接相关的范围内，包括求职者的学历、职业资格、工作技能、工作经历、是否已经存在劳动关系，以及其他与劳动合同订立、履行相关的年龄、家庭住址、主要家庭成员、身体状况，是否患有不适宜从事求职岗位的疾病等。另外需要注意的是，《个人信息保护法》并未将企业的入职背景调查作为“实施人力资源管理所必需”的情形，因此，无论是企业自行或者委托第三方进行入职背景调查，都需要征求被调查人同意。企业在委托第三方进行入职背景调查时也应当与调查人签订书面协议，明确个人信息处理目的、期限、保护措施等，同时要对其正常活动进行监督，保障其履行个人信息保护义务。此外，企业的入职背景调查应当在签订劳动合同或者发出录用通知书前进行。企业如果在签订劳动合同后以劳动者不同意入职调查、不同意提供相关个人信息为由解除劳动合同，则可能面临违法解除或承担缔约过失责任的法律风险。

企业对外提供劳动者个人信息时应征得劳动者的同意。根据《个人信息保护法》第十三条的规定，企业为给入职劳动者办理社保、住房公积金和工资卡等相关手续而将其个人信息提供给社保部门、住房公积金管理等部门时，不需要经过劳动者同意。但是如果企业因劳务派遣、劳务外包以及其他情形而向第三方提供劳动者个人信息时，应征得劳动者的同意。

2. 日常管理

在日常管理中，企业需要明确以下几个方面：

首先，企业不能以劳动者拒绝提供非必要的个人信息为由解除劳动合同。司法实践中，经常出现一些劳动者拒绝向用人单位提供相关个人信息或者坚决反对企业收集个人信息的行为，如请病假时拒绝提交医疗诊断证明，考勤、打卡拒绝提供指纹或其他信息，拒绝企业在办公区域安装摄像头等。请病假的证明材料、特殊行业的身体健康证明等属于企业经营管理、履行劳动合同中的必要信息，但具体疾病情况、人脸识别信息、指纹等属于非必要个人信息，劳动者不仅可以不提供，而且还可以撤回同意使用的意愿，企业不得以此作为拒绝录用或者解除劳动合同的事由。

其次，企业在规章制度或劳动合同中关于特定信息属于实施人力资源管理所必需的条款可能无效。企业有权依据自身的性质和履行劳动合同收集必要的信息，同时也可以在规章制度或劳动合同中约定特定信息为实施人力资源管理所必需的信息。比如餐饮企业职工需要提供个人特定的健康信息，安保企业需要提供无犯罪记录方面个人信息等等。但根据《个人信息保护法》的规定，如果相关信息属于“个人敏感信息”，企业除了自身需要外，在对外使用、提供相关信息时，仍应当遵守《个人信息保护法》的规定，征得劳动者的同意。对于企业来讲，建立个人信息分类，区分保护方案才是避免承担法律责任的关键，希望借助企业规章制度、劳动合同规避义务的，可能只会带来不必要的不利后果。

再次，企业有权依据规章制度对违反个人信息保护义务的劳动者处罚。企业保护个人信息，不仅需要落实到制度和文件中，还要依靠具体负责的工作人员。因此企业应当在依据用工管理权，对违法违规处理个人信息的劳动者进行处罚，以保证相关政策制度得以贯彻实施。但是需要说的是，企业必须依据劳动合同或者经过民主制定和公示程序的规章制度作出处罚。

最后，应对合规获取的个人信息采取必要的保护和管理措施。企业必须明确的是，获取行为的合法不代表事后处理行为的合法。以企业在工作区域安装监控设备为例。《个人信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。虽然如此，如何设置提示标识，如何确定监控人员的权限、制定调取、查阅监控录像的条件，如何采取必要的加密措施等等，仍需注意合规。且即使劳动者对于安装监控设备无异议，也不代表企业可以在告知的目的以外使用监控内容，不代表相关信息泄漏时企业就不承担法律责任。又如员工请病假时提交的个人病历或诊断证明。虽然企业是依据规章制度或获得员工同意获得这些个人信息，但如果后期保存不当、处理不当，导致信息泄露，企业仍要承担法律责任。

3. 劳动关系终止

首先，劳动者违反《劳动合同》或者企业有关个人信息保护制度规定，情节严重的，企业有权解除劳动合同关系。这既是《个人信息保护法》对企业合规的要求，也是授予企业的相关权利。当然有关的个人信息保护制度，企业应当依法制定、送达劳动者，并依法定程序行使解除权。

其次，离职后员工的背景调查信息，应当征得离职劳动者的书面同意。员工离职后，除了履行法定职责、法定义务外，原则上不得再使用和提供离职员工的个人信息。如果其他第三方进行入职背景调查的，用人单位应当取得劳动者相关信息的全面同意，由劳动者对企业对外提供的信息进行单独书面授权。

再次，劳动合同解除或终止后，对于劳动者违反竞业限制的，企业是否需要取得劳动者同意才能进行调查。有观点认为应当依据《个人信息保护法》第十四条和第十七条的规定，征得劳动者的同意，才能进行调查。对此笔者认为：第一，在《个人信息保护法》生效前，要求企业在劳动合同或者竞业限制协议中取得劳动者对竞业限制调查的同意，基本上不太现实，也不具有操作性；第二，劳动者违反竞业限制义务在先，企业进行竞业限制调查是权利自救的表现，在没有过分侵害劳动者个人信息的情况下，应当认定具有合法性；第三，企业在进行竞业限制调查时，应当仅限于劳动者是否违反竞业限制义务的调查，包括工作单位、工作场所、工资待遇、社保缴纳等证实劳动者违反竞业限制义务的内容，不得过分侵害劳动者的个人信息和个人隐私；第四，《个人信息保护法》生效后，企业应当在劳动合同或者竞业限制协议中增加劳动者同意企业在其离职后对其是否履行竞业限制义务的情况进行调查的内容，取得授权。

最后，离职劳动者的个人信息，除了必要信息外，应当及时删除。《个人信息保护法》第四十七条规定了个人信息处理者应当主动删除个人信息的情况，包括处理目的已实现、保存期限已届满、个人撤回同意等情况，劳动者与用人单位解除劳动关系，企业已经没有继续占有、使用存储个人信息的必要，应当及时删除。同时，劳动关系具有特殊性，在劳动争议案件中，用人单位一方负有较重的举证义务，故此，企业在删除相关信息时，一定注意按照《劳动合同法》等相关劳动法律法规的要求，做好相关文本、信息的保存工作。如《劳动合同法》第50条第三款就规定，用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查。因此，企业在履行删除义务时，应当保留劳动合同、考勤记录、休假记录、工资流水等材料；但对于非必要保存的劳动者人脸识别信息、健康信息以及其他信息，应在劳动者离职后做好删除工作。

另外，需要注意的是企业退休人员的个人信息处理问题。企业在劳动者达到退休年龄后，应及时到社保中心为劳动者办理退休手续，并在退休手续办理完毕后再行删除劳动者的个人信息。另外，虽然退休劳动者与企业再次发生纠纷的情况很少，但也存在因工作年限、工资标准、档案材料不一致而产生纠纷，因此对于劳动者劳动合同、入职证明等材料，建议在一定程度上备案保存。

本文作者：李双庆，北京大成律师事务所。