個人信息保護與企業用工合規問題研究

信息技術發展，大數據時代到來，個人信息保護已經刻不容緩。隨著《網絡安全法》、《數據安全法》和《個人信息保護法》的生效，我國在網絡安全和數據保護方面有了體系性的法律規定。企業在日常管理和經營活動中必然要涉及到處理員工個人信息的情況。大數據時代，企業需要收集、處理的信息，除了傳統的姓名、性別、年齡、身份證號等基本信息外，如今還包括有關員工的婚育、銀行賬戶、指紋、面部特征、學曆學位、資質證照、親屬相關信息、體檢信息、社保賬號、住房公積金賬號、出差記錄、性格喜好、個人行動軌跡、甚至電話記錄、郵件內容等許多敏感信息。如何在保障企業正常經營管理權時，避免違反個信息保護法律規定，這對企業用工合規問題提出了新要求。

首先，企業用工和管理所需要的獲得的信息多為敏感個人信息。企業在招聘員工、進行企業管理時，必然要了解、掌握並使用員工的諸如身心健康、金融賬戶、職業經曆等信息。隨著社會的發展，指紋打卡，人臉識別、車輛識別、保險保障等信息，也是企業用於企業管理甚至提供員工福利待遇所必需收集使用的信息。《個人信息保護法》第二十八條規定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。因此，對企業來講，做好保護員工個人信息保護是其應有的職責。

其次，企業規章制度的效力受到個人信息保護法律規定和理念制約。隨著個人信息保護理念的提升和法律規定的完善，企業經營管理所依據的勞動規章制度的內容也要逐步完善，違背個人信息保護規定及理念的一些做法將不會被仲裁司法機構所認可。比如，有些企業在規章制度中規定，員工請病假時，要求提供完整的病例材料、診斷結果等內容；有的企業在規章制度中規定，只接受指紋或者人臉識別打卡，強制收集員工的生物識別信息。可以預見的是，這些企業規章制度如不進行修訂，將會給企業帶來損害。

再次，企業行為違反《個人信息保護法》規定將面臨嚴重法律後果。從民事責任上來看，個人信息如被泄露和不正當使用，受害員工可以依據《民法典》、《個人信息保護法》的規定，向處理其信息的用人單位追究侵權責任；從行政責任上來看，根據《個人信息保護法》第66條的規定，違法處理個人信息，或者處理個人信息未履行保護義務，相關部門可以責令改正，給予警告，沒收違法所得，並處百萬甚至千萬元罰款。對直接負責的主管人員和其他直接責任人員可以處以百萬元以下的罰款，並可以決定禁止一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人等；從刑事責任上來看，違反個人信息保護規定，情節嚴重時將被依法給予治安管理處罰，甚至被依法追究刑事責任。一般情況下，雖然企業基於員工管理獲得的個人信息有限，但是這些信息都是個人敏感信息。《中華人民共和國刑法修正案（九）》規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。

最後，涉及個人信息保護的法律糾紛采取過錯推定的歸責原則，且舉證責任倒置，因此發生糾紛時企業敗訴風險極大。依據《個人信息保護法》第六十九條規定，處理個人信息時侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。盡管目前尚未有明確的依據《個人信息保護法》處理個人信息被侵權的裁判規則，但可以預見的是，一旦產生合理懷疑，企業只有用證據證實其已經按照法律規定履行了個人信息保護的相關義務，建立了完善的個人信息收集、儲存、加密等保護流程，建立了完善的企業個人信息保護合規制度，完成了對相關人員的制度培訓等，才能避免承擔法律責任。因此，個人信息保護對於企業而言，不只是不實施侵權行為，還應積極地按照《個人信息保護法》進行個人信息保護。

對於企業個人信息保護合規，有哪些方面或者說在什麼範圍內合規呢？是否不收集指紋、面部信息，不對外透露員工信息、隱私就可以了？當然不是。根據《個人信息保護法》第四條規定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。因此，在個人信息保護方面，企業的合規也應當涵蓋上述八項行為。

收 集

企業在招聘、錄用、管理活動中，不可避免會收集、獲取員工（含應聘人）個人信息。如應聘人員的個人簡曆中包含的個人身份證號、教育經曆、工作背景、聯系方式、家庭住址等等；用人單位為進行人事管理，要求員工提供的入職材料中包含的身份信息、社保信息、銀行賬戶、健康證明等；規章制度中要求員工請假時提供病曆資料、診斷證明，打卡考勤時要求提供的面部識別信息、指紋信息等等。《個人信息保護法》第六條規定，收集個人信息，應當限於實現處理目的的最小範圍，不得過度收集。所以企業在主動收集員工、應聘人員的個人信息時，應當堅持“最小必要”的原則，以企業在收集信息當時的需要為限，不得也沒有必要超範圍收集個人信息。

所謂“不得也沒有必要”，是指在當前立法及社會形勢下，企業過度收集個人信息時，員工可以不提供，而且員工即使提供虛假信息也不構成欺詐或違約，這樣一來不僅實現不了企業過度收集信息的目的，而且還有可能面臨投訴、曝光，甚至監管部門的處罰。比如有些企業在招聘時基於一些不合理甚至不正當的目的要求應聘者提供戶籍地、血型、星座等信息，有些企業考勤、門禁只允許指紋或者人臉識別，要求員工提供生物識別信息等等。另外，企業過度收集信息未必能帶來經營管理的便利，反而因其在信息的存儲、使用、加工、傳輸、提供、公開、刪除方面都負有法定的義務，一旦期間出現個人信息的泄露、濫用等，企業還要承擔法律責任。

存 儲

企業收集的員工個人信息後，應當采取適當的方式進行存儲。依據《個人信息保護法》第五十一條規定，個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取措施確保個人信息處理活動符合法律、行政法規的規定，並防止未經授權的訪問以及個人信息泄露、篡改、丟失。這些措施中就包括制定內部管理制度和操作規程，對個人信息實行分類管理，采取相應的加密、去標識化等安全技術措施，合理確定個人信息處理的操作權限，並定期對從業人員進行安全教育和培訓以及法律、行政法規規定的其他措施。比如紙質個人檔案信息只允許人事管理人員查閱，不得帶出；電子檔案信息、銀行賬號、工資收入等做必要的遮擋和加密等，做好個人信息的存儲工作。

使 用

企業收集、存儲員工個人信息的目的是為了使用，這也是個人信息處理的最重要的部分。依據《個人信息保護法》第六條，處理個人信息應當具有明確、合理的目的，並應當與處理目的直接相關，采取對個人權益影響最小的方式。對此，企業首先應當明確，個人信息是屬於個人而不屬於企業，企業只是為了管理才收集必要的信息，並負有保密和合理使用的義務；其次，企業應當設置個人信息內部使用審批規範，建立使用流程，以最小與必要為原則限制訪問人員與訪問內容，避免企業承擔責任；再次，根據員工個人信息使用目的限制使用範圍，員工提供個人信息一般與簽訂履行勞動合同，或與用人單位人事管理需要有關，原則上不應將員工個人信息用作其他用途；最後，企業規章制度並不能為企業濫用員工個人信息建立避風港，因為企業如果侵害個人信息，即使規章制度有規定，也不影響其承擔法律責任。

加 工

企業對所收集、存儲的個人信息進行篩選、分類、排序、加密等行為為信息的加工。企業在加工活動中也應遵循必要和最小原則，避免在信息加工中出現不必要的泄露、遺失而損害個人信息所有者的利益。

傳輸與提供

企業在出現特定情況需要將收集、存儲的信息提供給第三方，比如，在勞務派遣、薪酬外包等情況下，需要將勞動者的身份信息、金融賬號、薪資信息等提供給第三方處理；在面臨企業背景調查、企業合並分立或集團公司管理需要時，需要將與企業有關的員工架構、社保信息、薪資狀況等提供給第三方評估、使用。企業在向第三方提供信息時，一要履行告知-同意程序，對於在入職或者簽訂勞動合同時未告知或者未取得勞動者同意的，應當告知其向第三方提供相關信息的情況，取得勞動者的同意；二要堅持最小必要原則，根據第三方的實際需要提供，與相關業務無關的信息不得提供；三要做好風險管控工作，在訂立相關合同時，企業應當要求對方履行保密義務，在交付數據時采取必要的保密措施和加密手段，避免泄露遺失，並在事後做好個人信息的刪除工作等。

另，根據《個人信息保護法》第三章的規定，企業需要將個人信息跨境提供時，不僅應當向相關當事人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，取得個人的單獨同意，而且還要審查有無國際條約的限制或規定，是否需要通過國家網信部門組織的安全評估等等，並且應當按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，同時要求境外接收方采取必要措施、提供必要的承諾達到國內立法要求的個人信息保護標準。

司法實踐中，企業可能還會需要向官方的第三方比如人民法院、公安檢查部門、稅務部門提供個人信息。在這種情況下，企業調取、收集個人信息時，應做好審查和官方材料留檔工作。建議企業做好相關制度的建設，包括使用告知同意、管理人員、調取制度、調取範圍等內容，根據相關部門出具文件的明確要求有針對性的提供配合。

公 開

《個人信息保護法》第25條規定，個人信息處理者不得公開其處理的個人信息，取得個人單獨同意的除外。個人信息的相關權利屬於個人而非個人信息處理者所有，即使取得個人單獨同意，也盡可能的不要公開個人信息。故此，在特定情況下，比如企業因業務開展包括實施獎勵和宣傳而需要公開員工的職務、履曆、照片與視頻資料時，首先要征得員工個人同意；如果涉及到對員工違紀處罰、第三方調查等，則應使用、公開盡可能少的信息，以免造成不必要的糾紛。

刪 除

《個人信息保護法》第47條規定，處理個人信息處理者停止提供產品或者服務，或者保存期限已屆滿、個人撤回同意、個人信息處理者違反法律、行政法規或者違反約定處理個人信息、法律、行政法規規定的其他情形的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除。

企業履行對於個人信息進行刪除義務也是保護其免受損失的必要步驟。需要注意的是，《個人信息保護法》關於刪除的規定與《勞動合同法》及相關規定存在一定沖突，因此在操作上需要區別對待。

比如，對於勞動合同，根據《勞動合同法》第50條，用人單位對已經解除或者終止的勞動合同的文本，至少保存二年備查；對於工資發放記錄，根據《工資支付暫行規定》第6條，用人單位必須書面記錄支付勞動者工資的數額、時間、領取者的姓名以及簽字，並保存兩年以上備查。

對此，《個人信息保護法》第47條也規定，法律、行政法規規定的保存期限未屆滿，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理，且對相關信息做好管理和加密工作，建立信息使用審批制度，避免被濫用、泄露，保護企業自身利益。

《個人信息保護法》在第28條規定了敏感個人信息的內容，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等；並在第29條規定，處理敏感個人信息應當取得個人的單獨同意。

那麼，依據信息收集的最小必要原則，企業人力資源管理所必需的個人信息包括哪些信息？是否需要獲得員工“同意”才合規呢？

《勞動合同法》第十七條規定，勞動合同應當具備勞動者的姓名、住址和居民身份證或者其他有效身份證件號碼；勞動合同期限；工作內容和工作地點；工作時間和休息休假；勞動報酬；社會保險等以及法律、法規規定應當納入勞動合同的其他事項。故姓名、住址、身份證、健康狀況、知識技能和工作經曆等，應當認定為企業人力資源管理所必需的個人信息。

這些信息是否可以不取得員工個人同意而“處理”呢？一種觀點認為，《個人信息保護法》第13條規定不需要取得個人同意的，是企業招聘、管理員工所必需，且獲取員工單獨同意不具現實可能性，如果強加於企業，只能增加無謂的成本；也有觀點認為，企業收集到的個人信息都是與個人人身、財產密切相關的信息，如身份證號、銀行賬戶、保險信息、就學、從業經曆、醫療健康狀況等等，屬於需要經過員工“單獨同意”才可處理的敏感個人信息，不符合第13條第二款規定的情形。

鑒於目前針對第13條規定尚無明確判斷口徑和統一的標準，因此仍建議企業慎重處理涉及個人信息的相關事宜。以招聘為例，雖然不能避免收集時“強制同意”的嫌疑，但是可以在招聘信息中取得對應聘員工在使用、存儲、刪除等方面的授權同意，保障在這些方面的合法合規；其次，在簽訂勞動合同、入職告知書及制定勞動規章制度時，即使是屬於企業人力資源管理“所必需”的信息，也以取得對員工個人信息處理的書面同意為宜。

對於企業個人信息管理合規體系的建設，筆者認為應當從以下幾個方面入手：

首先是人員隊伍建設。提高企業自身和企業全體人員，尤其是人力、法務部門員工的個人信息保護意識和能力。《個人信息保護法》頒布後，如何履行保護個人信息的義務，避免企業本身和企業員工因違反《個人信息保護法》承擔法律責任，成為企業的主要問題。對於企業而言，除了在前述個人信息的收集、存儲、使用、轉移等方面要做到相應合規外，還應在人員隊伍上作出明確的分工和權限界定，各司其職，各知其“信息”，各負其責。這樣既能避免個人信息的泄露，也方便企業加強管理，追究違法違規者的責任。

其次是規章制度建設。以前，很少有企業從員工招聘至員工離職整個流程建立完整系統的以保護個人信息安全為目的的規章制度和行為守則。《個人信息保護法》生效後，建立個人信息保護規章制度將成為一種必須。一是在企業勞動合同、企業規章制度、員工手冊等方面增加個人信息保護方面的內容，對企業以及企業員工相關行為加以約束，避免侵犯個人信息安全的情形發生；二是完善相關人力、法務人員收集、使用、傳輸、刪除個人信息等程序的規章制度流程，在個人信息保護方面實現規範化、可操作化，為處罰違規者建立依據；三是建立應急制度，明確個人信息事件的應急措施、應急組織結構及相關應急職責，以便在個人信息安全事件發生後能夠及時應對。

再次，個人信息分類管理、風險評估制度建設。《個人信息保護法》生效後，企業應當對所收集、獲取的個人信息進行分類管理，明確數據類型及保護策略，制定具有實操性的使用、存儲和保護策略。比如針對個人敏感信息，保存時采取加密措施，盡可能縮減知悉範圍，規範非特定權限人員獲取相關信息的流程。同時，企業建立開展個人信息保護的風險評估制度，定時檢查、評估，發現企業個人信息安全隱，及時整改。

最後，技術設施建設。網絡時代的來臨，個人信息收集、存儲及保密對技術的依賴將更加明顯，也越來越網絡化。企業對於技術設備的購置、更新、維護、使用等都應加強監管，避免因為技術設備風險、技術能力不足導致個人信息泄露、丟失。

1. 入職招聘

在入職招聘階段，主要有人才招聘、背景調查、信息提供等方面涉及到個人信息處理問題。

在人才招聘時，應明示應聘人員提供與招聘崗位有關的個人信息，如不同意提供相關信息，可能會影響到企業對其是否滿足招聘崗位的判斷；對其提供的與勞動崗位無關的信息做好分類和加密工作。對於未錄取人員的個人信息，應做好處置和銷毀。

入職背景調查是企業在招聘員工尤其是重要崗位員工時了解與核實擬入人員的工作學習履曆、業績工作表現等信息的常用手段，屬於企業對於個人信息的處理行為。故此，亦應堅持合法、正當、必要及最小影響等原則，相關信息收集應僅限於與勞動合同直接相關的範圍內，包括求職者的學曆、職業資格、工作技能、工作經曆、是否已經存在勞動關系，以及其他與勞動合同訂立、履行相關的年齡、家庭住址、主要家庭成員、身體狀況，是否患有不適宜從事求職崗位的疾病等。另外需要注意的是，《個人信息保護法》並未將企業的入職背景調查作為“實施人力資源管理所必需”的情形，因此，無論是企業自行或者委托第三方進行入職背景調查，都需要征求被調查人同意。企業在委托第三方進行入職背景調查時也應當與調查人簽訂書面協議，明確個人信息處理目的、期限、保護措施等，同時要對其正常活動進行監督，保障其履行個人信息保護義務。此外，企業的入職背景調查應當在簽訂勞動合同或者發出錄用通知書前進行。企業如果在簽訂勞動合同後以勞動者不同意入職調查、不同意提供相關個人信息為由解除勞動合同，則可能面臨違法解除或承擔締約過失責任的法律風險。

企業對外提供勞動者個人信息時應征得勞動者的同意。根據《個人信息保護法》第十三條的規定，企業為給入職勞動者辦理社保、住房公積金和工資卡等相關手續而將其個人信息提供給社保部門、住房公積金管理等部門時，不需要經過勞動者同意。但是如果企業因勞務派遣、勞務外包以及其他情形而向第三方提供勞動者個人信息時，應征得勞動者的同意。

2. 日常管理

在日常管理中，企業需要明確以下幾個方面：

首先，企業不能以勞動者拒絕提供非必要的個人信息為由解除勞動合同。司法實踐中，經常出現一些勞動者拒絕向用人單位提供相關個人信息或者堅決反對企業收集個人信息的行為，如請病假時拒絕提交醫療診斷證明，考勤、打卡拒絕提供指紋或其他信息，拒絕企業在辦公區域安裝攝像頭等。請病假的證明材料、特殊行業的身體健康證明等屬於企業經營管理、履行勞動合同中的必要信息，但具體疾病情況、人臉識別信息、指紋等屬於非必要個人信息，勞動者不僅可以不提供，而且還可以撤回同意使用的意願，企業不得以此作為拒絕錄用或者解除勞動合同的事由。

其次，企業在規章制度或勞動合同中關於特定信息屬於實施人力資源管理所必需的條款可能無效。企業有權依據自身的性質和履行勞動合同收集必要的信息，同時也可以在規章制度或勞動合同中約定特定信息為實施人力資源管理所必需的信息。比如餐飲企業職工需要提供個人特定的健康信息，安保企業需要提供無犯罪記錄方面個人信息等等。但根據《個人信息保護法》的規定，如果相關信息屬於“個人敏感信息”，企業除了自身需要外，在對外使用、提供相關信息時，仍應當遵守《個人信息保護法》的規定，征得勞動者的同意。對於企業來講，建立個人信息分類，區分保護方案才是避免承擔法律責任的關鍵，希望借助企業規章制度、勞動合同規避義務的，可能只會帶來不必要的不利後果。

再次，企業有權依據規章制度對違反個人信息保護義務的勞動者處罰。企業保護個人信息，不僅需要落實到制度和文件中，還要依靠具體負責的工作人員。因此企業應當在依據用工管理權，對違法違規處理個人信息的勞動者進行處罰，以保證相關政策制度得以貫徹實施。但是需要說的是，企業必須依據勞動合同或者經過民主制定和公示程序的規章制度作出處罰。

最後，應對合規獲取的個人信息采取必要的保護和管理措施。企業必須明確的是，獲取行為的合法不代表事後處理行為的合法。以企業在工作區域安裝監控設備為例。《個人信息保護法》第二十六條規定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的，不得用於其他目的；取得個人單獨同意的除外。雖然如此，如何設置提示標識，如何確定監控人員的權限、制定調取、查閱監控錄像的條件，如何采取必要的加密措施等等，仍需注意合規。且即使勞動者對於安裝監控設備無異議，也不代表企業可以在告知的目的以外使用監控內容，不代表相關信息泄漏時企業就不承擔法律責任。又如員工請病假時提交的個人病曆或診斷證明。雖然企業是依據規章制度或獲得員工同意獲得這些個人信息，但如果後期保存不當、處理不當，導致信息泄露，企業仍要承擔法律責任。

3. 勞動關系終止

首先，勞動者違反《勞動合同》或者企業有關個人信息保護制度規定，情節嚴重的，企業有權解除勞動合同關系。這既是《個人信息保護法》對企業合規的要求，也是授予企業的相關權利。當然有關的個人信息保護制度，企業應當依法制定、送達勞動者，並依法定程序行使解除權。

其次，離職後員工的背景調查信息，應當征得離職勞動者的書面同意。員工離職後，除了履行法定職責、法定義務外，原則上不得再使用和提供離職員工的個人信息。如果其他第三方進行入職背景調查的，用人單位應當取得勞動者相關信息的全面同意，由勞動者對企業對外提供的信息進行單獨書面授權。

再次，勞動合同解除或終止後，對於勞動者違反競業限制的，企業是否需要取得勞動者同意才能進行調查。有觀點認為應當依據《個人信息保護法》第十四條和第十七條的規定，征得勞動者的同意，才能進行調查。對此筆者認為：第一，在《個人信息保護法》生效前，要求企業在勞動合同或者競業限制協議中取得勞動者對競業限制調查的同意，基本上不太現實，也不具有操作性；第二，勞動者違反競業限制義務在先，企業進行競業限制調查是權利自救的表現，在沒有過分侵害勞動者個人信息的情況下，應當認定具有合法性；第三，企業在進行競業限制調查時，應當僅限於勞動者是否違反競業限制義務的調查，包括工作單位、工作場所、工資待遇、社保繳納等證實勞動者違反競業限制義務的內容，不得過分侵害勞動者的個人信息和個人隱私；第四，《個人信息保護法》生效後，企業應當在勞動合同或者競業限制協議中增加勞動者同意企業在其離職後對其是否履行競業限制義務的情況進行調查的內容，取得授權。

最後，離職勞動者的個人信息，除了必要信息外，應當及時刪除。《個人信息保護法》第四十七條規定了個人信息處理者應當主動刪除個人信息的情況，包括處理目的已實現、保存期限已屆滿、個人撤回同意等情況，勞動者與用人單位解除勞動關系，企業已經沒有繼續占有、使用存儲個人信息的必要，應當及時刪除。同時，勞動關系具有特殊性，在勞動爭議案件中，用人單位一方負有較重的舉證義務，故此，企業在刪除相關信息時，一定注意按照《勞動合同法》等相關勞動法律法規的要求，做好相關文本、信息的保存工作。如《勞動合同法》第50條第三款就規定，用人單位對已經解除或者終止的勞動合同的文本，至少保存二年備查。因此，企業在履行刪除義務時，應當保留勞動合同、考勤記錄、休假記錄、工資流水等材料；但對於非必要保存的勞動者人臉識別信息、健康信息以及其他信息，應在勞動者離職後做好刪除工作。

另外，需要注意的是企業退休人員的個人信息處理問題。企業在勞動者達到退休年齡後，應及時到社保中心為勞動者辦理退休手續，並在退休手續辦理完畢後再行刪除勞動者的個人信息。另外，雖然退休勞動者與企業再次發生糾紛的情況很少，但也存在因工作年限、工資標準、檔案材料不一致而產生糾紛，因此對於勞動者勞動合同、入職證明等材料，建議在一定程度上備案保存。

本文作者：李雙慶，北京大成律師事務所。