《个人信息保护法》背景下，企业应如何处理员工个人信息？

为何需要准确识别？

笔者认为，这不仅是因为《个保法》第四条及第二十八条对个人信息和敏感个人信息作出了定义，更是因为《个保法》对于个人信息处理者处理敏感个人信息时有更严格的规定，要求在处理这部分信息时应当履行充分的告知义务、采取更有效的技术或其他措施以保护个人信息的安全。

（1）严格限制处理敏感信息的范围和处理方式

根据《个保法》第二十八条第二款：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”企业在处理员工敏感个人信息前，需要注意两个基本原则：

▋ 目的是否特定？

个人信息处理者在处理敏感个人信息时的目的应当具有特定的指向性。如企业基于与员工缔结劳动合同的目的而需收集员工的身份证等敏感个人信息，则该等信息仅能用于缔结劳动合同。企业不得将此等敏感个人信息用于其他目的。

▋ 是否必要？

所谓必要，是指处理敏感个人信息应当符合必要性原则的要求，在有可替代性方案的情况下，应当避免收集和处理敏感个人信息。例如，用人单位要求员工提供银行卡账号用以发放工资可认定为具有充分必要性，而用人单位采集员工人脸信息用于考勤打卡是否具有必要性则有待进一步商榷。

（2）充分履行告知义务

依据《个保法》第十七条的规定，企业在处理员工个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知：个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序。

而企业如果需要处理员工敏感个人信息的，除了上述事项外，企业还应向员工明确、充分告知处理敏感个人信息的必要性以及对个人权益的影响。

（3）取得员工的单独同意

《个保法》第二十九条规定：“处理敏感个人信息应当取得个人的单独同意”。现行法律及相关规定并未就员工的单独同意如何落实进行规定或给出明确的指引。

那企业是否可以《个保法》第十三条第二项的规定，即“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为由豁免取得员工单独同意？

笔者认为，在现阶段法律规定尚不明确的情况下，企业在判断哪些属于“订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”？

首先，企业可参考《中华人民共和国劳动合同法》第八条及第十七条规定的，用人单位有权了解劳动者与劳动合同直接相关的基本情况；而在劳动合同的必备条款中，劳动者姓名、住址和居民身份证或者有效身份证证件号码，劳动者是需要主动提供给用人单位的。

第二，如果企业想通过规章制度和集体合同的方式处理员工敏感个人信息的，需要注意《个保法》第十三条第二项规定重点是在于“是否为实施人力资源管理所必需”，而非依法制定的劳动规章制度及集体合同，即使规章制度和集体合同均已经合法程序制定或签订，但是企业仍需从必要性角度出发，结合处理的场景、目的、方式和范围，来综合判定某一信息处理行为是否具有必要性，以及是否满足最小范围原则。

因此，在目前缺乏相关指引的情况下，笔者建议企业在人力资源管理中，如需处理员工敏感个人信息的，可让员工签订“同意书”的方式来取得员工的单独同意。如下所示：（上下滑动查看）

根据《信息安全技术 个人信息保护影响评估》（GB/T 39335-2020）3.4条规定，个人信息保护影响评估是针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

而个人信息保护影响评估流程可以分为四个环节进行：数据映射分析、个人权益影响分析、安全保护措施有效性分析、确定风险级别。

（1）数据映射分析

简而言之，企业需要结合在人力资源管理过程处理员工敏感个人信息的具体场景，对个人信息处理的各个环节所涉及的个人信息类型、处理目的、具体实现方式以及是否涉及第三方共享的的情况进行分析。

企业可以参考下表对管理过程中处理的员工敏感个人信息的场景进行梳理。

（2）个人权益影响分析

数据映射分析完成后，企业需根据调研结果进行个人权益影响分析，即分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响。具体来讲，企业可从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力” “人身财产受损”等四个维度进行分析，并最终得出严重、高、中、低四个级别。

如处理员工敏感个人信息时，企业并未取得员工的单独同意，亦未提供保障个人信息权益的有效救济路径，则在限制个人自主决定权的维度上，其处理活动将对个人权益有较为“严重”的影响。

（3）安全措施有效性分析

安全措施有效性主要侧重于分析个人信息安全事件发生的可能性，识别可能存在的个人信息安全危险源，并评估现有安全措施是否已足够应对可能产生的安全事件。因此其评估维度主要为网络环境和技术措施、参与人员与第三方、个人信息处理流程、业务特点和规模及安全态势，集中在技术手段、内部职权划分、商业发展等方面。

（4）确定风险级别

结合个人权益影响级别及安全事件的可能性等级，参考如下风险等级判定表，可得出风险等级，完成个人信息保护影响的综合评估。

企业在招聘录用阶段常见的个人信息保护合规风险可以按照主体进行区分：第一是企业自身；第二是第三方平台（招聘平台）。

（1）招聘渠道的个人信息该如何进行法律风险识别和评估？如何对招聘供应商开展个人信息尽调评估？在审核第三方渠道的《服务协议》中，应该注意哪些风险点？

招聘阶段一般会收集大量的与该候选人个人及工作相关的信息，因为企业还未与候选人形成劳动关系，为此还不能通过规章制度进行约束。因此在招聘阶段，应该特别注意简历等个人信息收集渠道的合法性，并注意履行“告知-同意"的合规动作。

如果通过第三方平台获得候选人简历的，建议企业与第三方平台公司签署协议，明确要求第三方平台向用人单位提供简历需经过求职者同意，同时约定如发生争议，应由第三方公司负责处理并承担相应的责任，以降低用人单位的自身风险。

同时应开展对招聘供应商的尽调，重点关注其是否具备相关资质（网络招聘中介机构需要取得业务许可资质）；是否制订了平台服务协议和服务规则、网络招聘服务用户信息保护制度、隐私政策；有无受到网信办等监管单位的处罚、目前整改进度以及是否存在严重违反红线的情形，避免受到波及。

（2）笔试、面试流程中，该注意哪些个人信息保护问题？

企业应该规范自身笔试题库、面试题库，谨慎进行录音录像，对于面试者也要做好个人信息保护法的培训工作。同时，在笔试、面试开始前，应向候选人进行充分告知，获得其同意后，再进行答题。

（1）企业如需采取员工人脸识别或指纹进行打卡考勤，企业应如何处理？

根据《信息技术安全 个人信息安全规范》相关指引可知，指纹、声纹、虹膜及面部特征等个人生物识别信息均属于敏感个人信息。所以企业应在充分告知员工的前提下，取得员工的单独同意。

参考《深圳经济特区数据条例》第十九条规定：“处理生物识别数据的，应当在征得该自然人明示同意时，提供处理其他非生物识别数据的替代方案。但是，处理生物识别数据为处理个人数据目的所必需，且不能为其他个人数据所替代的除外。”

企业需要处理员工的生物识别数据的，除了应征得员工明示单独同意外，还应当提供处理其他非生物识别数据的替代方案。但如果企业在特定人力资源管理场景中确需处理员工生物识别数据，无法用其他方式替代的，可以处理员工的生物识别数据。

（2）企业是否可以通过摄像头、AI监控系统监控员工的手机、电脑？有哪些风险？如何应对？

如要实施合规的监督监控，需要基于两个不同的合法性基础。

▋ 一个是基于人力资源管理所必要，可能会受到比较大的挑战，除非在特殊岗位上，如一些金融机构的风控岗位或者基于掌握内幕信息的人员.

▋ 一个是有无充分告知并获得员工同意，并且将个人信息与公司信息进行规定及区分，部分研发部门或者掌握企业商业秘密的部门，其电脑、手机可能都会有大量敏感信息，需要对其电脑、手机进行监控。通过充分告知，并经过员工同意，确定个人信息与公司信息的分界，才能更好地防范风险。

（3）在职期间，企业使用人力资源外包与劳务派遣服务，企业如何防范个人信息泄露风险？

这种场景下，涉及对外提供员工的劳动报酬支付情况、社保缴纳情况、劳动力资格与安全情况。需要与第三方约定双方权利义务，并进行定期监督。否则可能面临共同处理个人信息情形下的连带责任赔偿风险。

（4）集团内部涉及不同子公司，如何合法进行员工个人信息的共享？跨国公司能否向境外总部传输共享境内员工的个人信息？

需要结合集团内部的系统架构和存储服务器的情况进行分析。可能存在不同子公司和母公司，均独立存在服务器，存储员工个人信息，具体员工个人信息的查阅有权限划分，不能完全想当然即打通；也可能存在第三方软件公司（可能是关联方也可能是非关联方）开发员工个人信息系统，由其他关联公司委托该软件公司进行存储和受托管理。因此集团内部的所有员工个人信息均存储在第三方软件公司的服务器上。具体共享方案，还需要结合公司内部的系统部署进行论证。

跨国公司在满足如下要求的情况时，方可向境外总部提供中国员工的个人信息：

▋ 境内公司应就向境外提供员工个人信息事宜，取得员工本人的单独同意；

▋ 境内公司需与境外公司签署包含个人信息处理的相关协议文件；

▋ 根据法律法规完成个人信息安全影响评估等。

▋ 如果员工向企业请假（包括：病假、丧假、育儿假等），企业如需要求员工提供证明材料的，应该注意哪些问题？

首先，企业应当将员工需要提供哪些材料，写入企业的劳动规章制度中，作为合法性基础之一；其次，企业应当评估其要求员工提供的相关证明材料是否超过了必要性原则，如果超过了必要性范围，则企业不应再收集。

例如，在实务中，最常见的场景就是企业可能要求员工提供病历、住院志，甚至部分企业还要求员工提供诸如检验报告、医嘱单等材料。企业要求员工提供相应证明材料的本意是避免员工逃避工作，但是企业是否需要员工提供其从看病、检验、治疗等一系列过程所有材料，才足以证明其确有需要请病假？答案是否定的。所以企业在实务中，时刻要注意最小范围及必要性原则，非必要的员工个人信息，尽量不要收集和处理。

（1）用人单位处理雇员离职期间交接的配发工作设备中的个人信息有什么注意事项？

如未经离职员工同意或非基于合理需要的，不得不当使用或公开传播其配发工作设备中的个人信息。

笔者建议，如相关业务涉及工作设备交接的，应当将交接程序和设备中可能储存的个人信息处理事宜一并写入规章制度加以规定；或者也可以让离职的员工单独就设备交接事宜签订同意书。

同时企业应避免在未经雇员同意的情况下，对雇员配发工作设备中的个人信息进行拷贝、不当使用或公开传播。除非基于合法、合理且正当的原因，如配合司法机关调查取证的需要。

（2）存储离职员工信息的范围和期限？

《个保法》对于个人信息的保存期限仅规定“应当是实现处理目的所必要的最短时间”。

在实务中，企业可以通过与离职员工单独进行约定，明确保留时间、信息的使用目的和用途，以及是否可提供给第三方等，在使用目的完成后，企业应及时对该信息进行删除或匿名化处理；同时人力资源部门需对收集的离职员工个人信息进行定期排查，对过期个人信息进行删除或匿名化处理。

↓点击“阅读原文”

马上获取《企业数据合规风险速检清单》！