導(dǎo)讀企業(yè)員工個(gè)人信息保護(hù)全流程合規(guī)要點(diǎn)前言《中華人民共和國個(gè)人信息保護(hù)法》已經(jīng)全國人大常委會審議通過，將于2021年11月01日實(shí)施。作為用人單位，在勞動用工視....

企業(yè)員工個(gè)人信息保護(hù)全流程合規(guī)要點(diǎn)

前言

《中華人民共和國個(gè)人信息保護(hù)法》已經(jīng)全國人大常委會審議通過，將于2021年11月01日實(shí)施。作為用人單位，在勞動用工視角下，處理招聘、員工入職登記、入職調(diào)查、指紋或面容打卡、行為管理、辦公場所監(jiān)控等，均涉及到員工個(gè)人信息的處理及保護(hù)。隨著國家出臺多項(xiàng)法律法規(guī)政策強(qiáng)調(diào)對個(gè)人信息的保護(hù)，“入職過程中是否能收集婚姻、生育及其他身份信息”、“用人單位是否對配發(fā)的電腦實(shí)施監(jiān)控”、“可否通過GPS監(jiān)控員工位置信息”、“用人單位在員工離職后是否還可以存儲個(gè)人信息”等常見的問題，在新法規(guī)下將對應(yīng)不同的合規(guī)路徑。那么，作為用人單位，該如何操作才不會侵犯到員工的個(gè)人信息權(quán)利、才能夠合理規(guī)避相關(guān)風(fēng)險(xiǎn)呢？本手冊將為您一一進(jìn)行解答。

第一部分 通用篇

01 什么是個(gè)人信息？

個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息【匿名化，是指個(gè)人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程】。

02 什么是敏感個(gè)人信息？

敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

03 什么是個(gè)人信息處理？

個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

04 什么情況下才能處理員工個(gè)人信息？

符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：

（一）取得個(gè)人的同意；【該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。】

（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

（三）為履行法定職責(zé)或者法定義務(wù)所必需；

（四）為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；

（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；

（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；

（七）法律、行政法規(guī)規(guī)定的其他情形。

依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。

05 在處理個(gè)人信息前，應(yīng)告知個(gè)人哪些事項(xiàng)？

個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：

（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；

（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；

（三）個(gè)人行使本法規(guī)定權(quán)利的方式和程序；

（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。

前款規(guī)定事項(xiàng)發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個(gè)人。

個(gè)人信息處理者通過制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的，處理規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存。

除外情形：

有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。

緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

第二部分 招聘篇

06 企業(yè)通過自運(yùn)營的APP、公眾號、小程序、網(wǎng)站等第三方平臺收集應(yīng)聘者簡歷時(shí)，應(yīng)注意哪些問題？

【簡答】應(yīng)聘者自行向用人單位投遞簡歷的，已經(jīng)實(shí)際得到了本人同意，但需注意的是，對提交紙質(zhì)版本簡歷的，建議要求應(yīng)聘者簽字；

對于在用人單位自身網(wǎng)站/app設(shè)置的求職信息窗口，建議特別增加隱私政策并征得同意，對于涉及提交敏感個(gè)人信息的，應(yīng)當(dāng)單獨(dú)提示敏感個(gè)人信息收集的目的和必要性，并單獨(dú)征得同意；

對與第三方平臺或主體合作查看獲取求職信息/簡歷（如BOSS直聘、58同城、獵頭等），建議簽訂協(xié)議明確第三方平臺或主體收集信息的合法性義務(wù)、以及上傳、提供信息已經(jīng)征得信息提供者同意等條款，即明確第三方平臺獲得應(yīng)聘者信息收集的同意與傳輸?shù)耐狻Ｍ瑫r(shí)，在與平臺求職者取得聯(lián)系后，建議要求求職者另行單獨(dú)向用人單位提供簡歷。

【合規(guī)建議】《個(gè)人信息保護(hù)法》（尚未生效）第十三條對個(gè)人信息處理者收集信息的明確規(guī)定，企業(yè)在應(yīng)聘者參加面試、應(yīng)聘前，仍然應(yīng)當(dāng)明確地告知候選人自己對其個(gè)人信息獲取、使用、處理的目的、方式、范圍等規(guī)則，征求其授權(quán)同意。

07 企業(yè)的求職登記表可以向應(yīng)聘者收集哪些信息？企業(yè)有權(quán)收集婚姻、懷孕及其他身體信息嗎？

【簡答】用人單位設(shè)置的求職登記表意義是在于了解求職者的基本信息，求職者在面試階段填寫的求職登記表內(nèi)容應(yīng)限縮在一定范圍內(nèi)。收集信息的范圍僅限于與訂立、履行勞動合同直接相關(guān)的信息；用人單位經(jīng)雇員同意后可收集雇員婚姻、懷孕等信息，但雇員隱瞞真實(shí)情況的，不得成為辭退雇員的理由。涉及特殊工種，可要求提供上述信息。

【合規(guī)建議】求職登記表是用人單位在筆試或面試階段要求求職者填寫的登記表，此時(shí)尚未確認(rèn)求職者的入職情況，不應(yīng)對個(gè)人信息作過度的收集。具體來說，應(yīng)僅收集個(gè)人基本信息（包括姓名、生日、性別、民族、國籍、住址等）和個(gè)人教育/工作信息（包括工作經(jīng)歷、教育經(jīng)歷、學(xué)歷、學(xué)位等）。針對婚姻、生育狀況等信息是否屬于“與勞動合同直接相關(guān)的信息”的問題，司法實(shí)踐中，裁判者一般認(rèn)為其與勞動合同的履行沒有必然關(guān)聯(lián)，屬于個(gè)人隱私的范疇，不屬于“與勞動合同直接相關(guān)”的信息。用人單位在沒有特殊工種如特殊業(yè)務(wù)要求的情況下，無權(quán)收集此類信息。

特殊工種的情況指的是如用人單位的業(yè)務(wù)可能使女性應(yīng)聘者暴露在危險(xiǎn)環(huán)境下影響女性生育（核輻射、磁輻射等），則其應(yīng)要求女性應(yīng)聘者提供生育情況；餐飲行業(yè)可要求員工提交體檢報(bào)告與健康證明。

08 未經(jīng)勞動者同意，企業(yè)是否可以擅自向背景調(diào)查的服務(wù)方提供勞動者個(gè)人信息？

【簡答】未經(jīng)勞動者同意，企業(yè)嚴(yán)禁擅自向背景調(diào)查第三方提供勞動者個(gè)人信息。

【合規(guī)建議】如需對勞動者進(jìn)行背景調(diào)查的，事先以書面形式取得勞動者的授權(quán)，例如可在應(yīng)聘申請中要求員工簽署許可確認(rèn)函，明確告知?jiǎng)趧诱咂鋫€(gè)人信息將可能提供給背景調(diào)查服務(wù)方用于背景調(diào)查；

企業(yè)應(yīng)謹(jǐn)慎使用背景調(diào)查服務(wù)方，在與服務(wù)方的服務(wù)協(xié)議中約定免責(zé)條款，要求服務(wù)方在進(jìn)行背景調(diào)查時(shí)必須依法進(jìn)行，不得有任何違法違規(guī)行為，對于服務(wù)方的任何行為引起的責(zé)任均由服務(wù)方自行承擔(dān)。

09 用人單位能否公開應(yīng)聘者的個(gè)人信息？是否可以向第三方傳輸、共享求職雇員的個(gè)人信息？

【簡答】應(yīng)聘者簡歷內(nèi)容屬于其個(gè)人信息。用人單位可基于人力資源需要查看簡歷或求職登記表，但應(yīng)采取必要措施確保僅限于在特定范圍內(nèi)傳播上述信息。

【合規(guī)建議】有權(quán)查看簡歷或求職登記表的范圍應(yīng)僅限于人力資源專職員工及其他確有必要的員工（如招聘崗位的負(fù)責(zé)人等），相關(guān)員工負(fù)有保密義務(wù)。用人單位未采取保護(hù)措施或保護(hù)措施不當(dāng)，導(dǎo)致求職者個(gè)人信息的知曉范圍不正當(dāng)擴(kuò)大的，承擔(dān)相應(yīng)責(zé)任。用人單位在使用人力資源公司的外包服務(wù)場景或出于自身存儲信息目的的情況下，需要將求職者個(gè)人信息提供給第三方。根據(jù)《個(gè)人信息保護(hù)法》（尚未生效）規(guī)定，個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益的,依法承擔(dān)連帶責(zé)任。在此場景下，企業(yè)應(yīng)主動核實(shí)合作伙伴的數(shù)據(jù)合規(guī)能力（技術(shù)安全措施及數(shù)據(jù)保護(hù)合規(guī)制度），詳細(xì)審查合作合同，并明確雙方關(guān)于雇員個(gè)人信息保護(hù)的權(quán)利義務(wù)和責(zé)任。

10 招聘環(huán)節(jié)結(jié)束后，是否及時(shí)對未錄用者的個(gè)人信息進(jìn)行刪除、銷毀或匿名化處理？

【簡答】第七條公司需對收集的應(yīng)聘者個(gè)人信息進(jìn)行定期排查，對未入職個(gè)人信息及時(shí)進(jìn)行刪除或匿名化處理。確有需要存儲的，應(yīng)明確告知應(yīng)聘者可能會收集、存儲在求職期間的個(gè)人信息，僅用于公司的管理或儲備等與招聘相關(guān)的業(yè)務(wù)，并征得應(yīng)聘者書面同意。

【合規(guī)建議】根據(jù)《網(wǎng)絡(luò)安全法》第四十一條規(guī)定：網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。”《信息安全技術(shù) 個(gè)人信息安全規(guī)范》進(jìn)一步確認(rèn)了“收集個(gè)人信息的最小必要條款”。結(jié)合該條款主旨來說，這一原則要求用人單位在確認(rèn)求職者未成功達(dá)成雇傭關(guān)系后，應(yīng)及時(shí)刪除其個(gè)人信息。

確有需要存儲的，應(yīng)明確告知應(yīng)聘者可能會收集、存儲在求職期間的個(gè)人信息，僅用于人力資源的管理或儲備等與雇傭相關(guān)的業(yè)務(wù)，并征得應(yīng)聘者書面同意。

第三部分 在職篇

11 用人單位收集雇員敏感個(gè)人信息有前置要求和程序嗎？

【簡答】用人單位收集雇員個(gè)人信息有應(yīng)遵從的前置要求和程序。

【合規(guī)建議】用人單位收集雇員信息，應(yīng)遵守前置要求和程序。收集敏感個(gè)人信息的前置要求是具有特定的目的和充分的必要性；前置程序是取得個(gè)人的單獨(dú)書面同意，且向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人的影響。從用人單位角度出發(fā)，“取得單獨(dú)書面的同意”的要求是區(qū)分收集雇員的非個(gè)人敏感信息和個(gè)人敏感信息，對于不同類型的個(gè)人敏感信息，更好的做法是將其逐一單列并設(shè)置對應(yīng)的勾選。

【法律規(guī)定】《個(gè)人信息保護(hù)法》（尚未生效）第二十九條 處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。第三十條 個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第十七條第一款規(guī)定的事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響；依照本法規(guī)定可以不向個(gè)人告知的除外。

12 用人單位可以對其配發(fā)的電腦、手機(jī)、郵箱進(jìn)行監(jiān)控嗎？

【簡答】用人單位可以對單位配發(fā)的電腦、手機(jī)、郵箱進(jìn)行監(jiān)控，監(jiān)控內(nèi)容不能對外公開。

【合規(guī)建議】用人單位是否可以對其配發(fā)的設(shè)備進(jìn)行監(jiān)控取決于監(jiān)控內(nèi)容的必要性和雇員對被監(jiān)控的知情同意的權(quán)利是否得到保障。

在前者的語境下，如監(jiān)控?cái)z像頭是否僅設(shè)置在公開辦公區(qū)域；電腦、手機(jī)或其他設(shè)備是否屬于由企業(yè)購買、提供或支付一定購買補(bǔ)貼的工作設(shè)備、是否在工作時(shí)間內(nèi)使用；郵箱是否屬于企業(yè)配備的工作郵箱、是否與單位內(nèi)部網(wǎng)絡(luò)相連等問題都是考量的因素。

后者則要求用人單位對監(jiān)控的正當(dāng)性予以說明并提示。第一步，用人單位應(yīng)在雇員入職時(shí)告知雇員，單位會對其相關(guān)的物理、抽象空間進(jìn)行監(jiān)控；第二步，用人單位需區(qū)分非個(gè)人敏感信息和個(gè)人敏感信息獲得雇員明確清晰的“同意收集”的授權(quán)，其中個(gè)人敏感信息應(yīng)逐項(xiàng)列出；第三步，用人單位應(yīng)對負(fù)責(zé)監(jiān)控的人員權(quán)限進(jìn)行限制，如知情人員的范圍和知情的內(nèi)容都是特定的；第四步，用人單位對在監(jiān)控過程中獲得的雇員信息應(yīng)當(dāng)保密、不得外泄。

13 用人單位是否可以使用人臉、指紋等考勤方式？

【簡答】用人單位可以使用人臉、指紋等考勤方式。在雇員拒絕提供上述個(gè)人信息的情況下，用人單位應(yīng)提供其他考勤方式。

【合規(guī)建議】人臉、指紋等個(gè)人信息屬于個(gè)人敏感信息，用人單位收集時(shí)應(yīng)單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識別信息的目的、方式和范圍，以及存儲時(shí)間等規(guī)則，并征得個(gè)人信息主體的明示同意。

雇員拒絕提供上述個(gè)人信息的情況下，用人單位應(yīng)提供其他可替代的考勤方式或說明這一識別方式的不可替代性。

【法律規(guī)定】《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第五問：小區(qū)、寫字樓、用人單位、國家機(jī)關(guān)等能否強(qiáng)制刷臉門禁進(jìn)出？

答：司法解釋第十條規(guī)定，“物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗(yàn)證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗(yàn)證方式的，人民法院依法予以支持。”雖然該條僅提及物業(yè)和建筑物管理人，但考慮立法宗旨，應(yīng)包括用人單位和相關(guān)行政事業(yè)單位設(shè)置刷臉門禁的情形。

14 用人單位是否可以對雇員位置進(jìn)行GPS定位？

【簡答】用人單位是否能對雇員位置進(jìn)行GPS定位取決于雇員工種和定位時(shí)間。

【合規(guī)建議】GPS定位信息和行程軌跡在個(gè)人敏感信息的范圍內(nèi)，用人單位收集上述信息的合理性取決于定位內(nèi)容的必要性以及雇員對被定位的知情同意的權(quán)利是否得到保障。前者考量的因素包括雇員的具體工種、定位的時(shí)間；后者則要求用人單位收集上述信息的程序合法、合理。對此，我們建議：

（1）該等信息的收集應(yīng)當(dāng)滿足最小化、必要性原則，告知并獲得員工書面同意。

（2）該信息的收集應(yīng)當(dāng)僅限于工作時(shí)間和工作場所。

【法律規(guī)定】《個(gè)人信息保護(hù)法》（尚未生效）第二十八條 敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。第二十九條 處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

15 用人單位對不同類型的雇員信息應(yīng)區(qū)分存儲嗎？

【簡答】用人單位對不同類型的雇員信息應(yīng)區(qū)分存儲。

【合規(guī)建議】

第一步，用人單位應(yīng)區(qū)分雇員個(gè)人敏感信息和非敏感信息進(jìn)行存儲，對于個(gè)人敏感信息，用人單位應(yīng)準(zhǔn)備單獨(dú)告知同意函與雇員確認(rèn)存儲方式，建立風(fēng)險(xiǎn)評估報(bào)告及處理情況記錄等并存儲；

第二步，針對生物識別信息，用人單位如無例外情形，不應(yīng)存儲原始個(gè)人生物識別信息(如員工面部圖像原始文件等)，僅將其保留在識別設(shè)備終端以身份認(rèn)證，在實(shí)現(xiàn)認(rèn)證功能后刪除可提取的原始圖像。

16 用人單位應(yīng)對雇員提出個(gè)人信息權(quán)利要求的措施包括哪些？

【簡答】用人單位應(yīng)明晰細(xì)化各階段雇員的個(gè)人信息權(quán)利內(nèi)容及行使要求。

【合規(guī)建議】第一步，用人單位應(yīng)設(shè)置雇員個(gè)人信息處理告知函，確認(rèn)收集信息的合理性和必要性，列明雇員享有的個(gè)人信息權(quán)利內(nèi)容、行使方式及程序。第二步，用人單位應(yīng)在和雇員簽訂的《勞動合同》中，闡明具體職位類型對應(yīng)可合理處理的信息內(nèi)容，個(gè)人敏感信息應(yīng)單獨(dú)列出并征得同意。第三步，用人單位應(yīng)在企業(yè)規(guī)章制度中規(guī)定雇員未如實(shí)告知相關(guān)個(gè)人信息的責(zé)任以及雙方解決爭議的方式。如若雇員隱瞞此類信息，則單位有權(quán)要求雇員提供相關(guān)個(gè)人信息，拒不提供的，則視情況可對該雇員作出處理。

17 用人單位行政人員代替員工向第三方采購服務(wù)時(shí)是否要征得員工同意？

【簡答】用人單位需要根據(jù)具體的采購服務(wù)，提前告知員工，并獲得員工的同意。

【合規(guī)建議】公司經(jīng)營中，通常會向第三方采購服務(wù)，如代理預(yù)訂機(jī)票、酒店、火車票，印制名片等。前述服務(wù)均需向服務(wù)提供方提供員工姓名、身份證號碼、聯(lián)系方式等敏感的個(gè)人信息。對前述場景我們建議：

（1）獲得員工的明示同意（如在勞動合同中約定或者簽署書面同意文件）；

（2）與相關(guān)供應(yīng)商簽署的合同中應(yīng)當(dāng)對于前述個(gè)人信息的使用方式、保密要求等作出約定。尤其是在為員工印制名片時(shí)，需要向供應(yīng)商提供大量員工信息，特別需要在與供應(yīng)商簽署的合同文本中作出明確的要求。

18 如果因?yàn)閱T工違紀(jì)調(diào)查，需要調(diào)查員工個(gè)人信息時(shí)，是否侵犯員工個(gè)人隱私？

【簡答】用人單位應(yīng)根據(jù)實(shí)際情況，對需要調(diào)查的個(gè)人信息告知員工，并征得雇員的同意。

【合規(guī)建議】當(dāng)員工涉嫌違法違規(guī)、違反公司規(guī)章制度或者被舉報(bào)時(shí)，公司會對員工進(jìn)行相關(guān)調(diào)查，調(diào)查中可能會涉及到對員工郵箱、公司配發(fā)電腦、手機(jī)等物品的檢查以及公共資源中涉及被調(diào)查人員個(gè)人信息的匹配。前述物品和信息中可能會涉及員工個(gè)人信息。為了使調(diào)查更加合規(guī)合法，需要與員工簽署相關(guān)文件，對前述物品、信息的收集、使用予以明確。為此，我們建議：

（1）與員工簽署文件，明確公司有權(quán)對前述物品和信息進(jìn)行檢查和收集，員工同意并配合公司調(diào)查中對前述信息的收集和檢查，且對公司免除法律責(zé)任。

（2）對于聘請外部機(jī)構(gòu)（如律師事務(wù)所、會計(jì)師事務(wù)所或者其他調(diào)查機(jī)構(gòu)）協(xié)助調(diào)查的，應(yīng)當(dāng)與外部機(jī)構(gòu)及其參與人員簽署保密協(xié)議，并要求在結(jié)束調(diào)查后銷毀或者返還收集到的信息，確保信息的安全。

19 當(dāng)企業(yè)控制權(quán)變化時(shí)，對員工信息如何處理？

【簡答】當(dāng)企業(yè)控制權(quán)變化，涉及到員工信息的，需要重新告知員工，并獲得員工的書面同意。

【合規(guī)建議】當(dāng)企業(yè)發(fā)生分立、合并或者重組等情形時(shí)，對員工個(gè)人信息的控制主體也會發(fā)生相應(yīng)變化。對于新主體，應(yīng)當(dāng)在分立、合并、重組時(shí)充分考慮對員工信息的處理，如需改變原有主體與員工約定的內(nèi)容的，如用途改變等，應(yīng)當(dāng)重新告知員工，并獲得員工書面同意。

20 用人單位向境內(nèi)第三方傳輸員工信息數(shù)據(jù)時(shí)有什么流程？

【簡答】用人單位應(yīng)根據(jù)規(guī)定告知員工相關(guān)信息、征得員工的同意；用人單位應(yīng)對第三方數(shù)據(jù)合規(guī)能力進(jìn)行評估，監(jiān)督第三方個(gè)人信息處理過程，并約定雙方的權(quán)利義務(wù)。

【合規(guī)建議】一方面，用人單位向境內(nèi)第三方傳輸數(shù)據(jù)應(yīng)取得員工同意，向員工告知接收方的身份、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類。接收方應(yīng)在上述范圍內(nèi)處理個(gè)人信息，變更的應(yīng)重新取得個(gè)人同意。另一方面，用人單位應(yīng)監(jiān)督第三方處理信息的過程。第一步，用人單位應(yīng)核實(shí)第三方的數(shù)據(jù)合規(guī)能力，設(shè)置數(shù)據(jù)保護(hù)技術(shù)措施、風(fēng)險(xiǎn)評估機(jī)制、外部監(jiān)督機(jī)制等體系；第二步，用人單位應(yīng)在同第三方的合作合同中明確雙方關(guān)于雇員個(gè)人信息保護(hù)的權(quán)利和義務(wù)，約定委托處理的目的、期限、處理方式、個(gè)人信息的種類以及保護(hù)措施等；第三步，用人單位應(yīng)確認(rèn)合作完成或提前解除情況下，員工個(gè)人信息保存期限以及期限屆滿如何處理雇員的個(gè)人信息；第四步，用人單位應(yīng)同第三方約定侵權(quán)發(fā)生后，內(nèi)部分擔(dān)責(zé)任的方式，及因?qū)Ψ角謾?quán)致使本方承擔(dān)責(zé)任后的處理方式等。

21 企業(yè)員工個(gè)人信息出境

【簡答】用人單位對于員工出境，需要向員工告知境外接收機(jī)構(gòu)的相關(guān)信息，處理方式、處理目的等必要信息，并需要獲得員工的單獨(dú)同意。

【合規(guī)建議】當(dāng)前，絕大多數(shù)跨國企業(yè)因?yàn)榫W(wǎng)絡(luò)構(gòu)架的原因，對于員工信息的存儲通常會選擇在中國大陸以外的場所，此種情形下構(gòu)成個(gè)人信息出境。雖然員工數(shù)據(jù)出境與客戶數(shù)據(jù)出境在出境原因、目的和用途等方面存在差異，但也應(yīng)當(dāng)遵循個(gè)人信息出境的相關(guān)規(guī)定，告知員工并獲得同意，進(jìn)行安全評估，要求數(shù)據(jù)存儲方采取保障數(shù)據(jù)安全的措施等。

【法律規(guī)定】《個(gè)人信息保護(hù)法》（尚未生效）第三十九條 個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。

第四部分 離職篇

22 員工離職后，企業(yè)應(yīng)當(dāng)如何對員工的信息進(jìn)行處理？

【簡答】企業(yè)在與員工終止勞動關(guān)系后，因保存和處理員工個(gè)人信息的必要基礎(chǔ)已喪失，除法律法規(guī)等另有規(guī)定（如保存員工個(gè)人檔案、工資信息）外，企業(yè)應(yīng)當(dāng)主動刪除該員工個(gè)人信息。

23 企業(yè)需繼續(xù)使用離職員工個(gè)人信息的，是否重新向離職員工進(jìn)行告知并獲取同意？

【簡答】企業(yè)需繼續(xù)使用離職員工個(gè)人敏感信息的，應(yīng)當(dāng)重新向離職員工進(jìn)行告知并獲取同意。

【合規(guī)建議】企業(yè)在特殊情況下仍需要使用員工信息的，對于此前已經(jīng)告知并取得授權(quán)的個(gè)人非敏感信息，可不再重復(fù)告知，但涉及提交敏感個(gè)人信息的，應(yīng)當(dāng)單獨(dú)提示敏感個(gè)人信息收集的目的、合理性和必要性，列明員工享有的個(gè)人信息權(quán)利內(nèi)容、行使方式及程序并單獨(dú)征得同意。

【法律法規(guī)】《個(gè)人信息保護(hù)法》（尚未生效）第二十八條 敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。第二十九條 處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

第二十九條 處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。第三十條 個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第十七條第一款規(guī)定的事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響；依照本法規(guī)定可以不向個(gè)人告知的除外。

24 企業(yè)使用離職員工的個(gè)人信息時(shí)，應(yīng)當(dāng)遵循的原則？

【簡答】企業(yè)保留離職員工的意義是在于保留公司離職員工的工作痕跡，以便與企業(yè)工作的延續(xù)性，同時(shí)保護(hù)員工和公司免于糾紛，幫助企業(yè)改進(jìn)管理模式，提高企業(yè)管理水平，因此，企業(yè)保留離職員工的個(gè)人信息內(nèi)容應(yīng)限縮在一定范圍內(nèi)，遵循最小、充分必要原則。

【合規(guī)建議】對于非必需的個(gè)人信息，企業(yè)應(yīng)當(dāng)避免過度收集，收集信息的范圍僅限于與訂立、履行勞動合同直接相關(guān)的信息，特殊崗位法律法規(guī)另有規(guī)定的除外。

25 是否需要對離職員工的個(gè)人信息進(jìn)行分級分類，并根據(jù)法律的不同要求進(jìn)行處理？

【簡答】企業(yè)應(yīng)當(dāng)對離職員工的個(gè)人信息進(jìn)行分類，對不同類型的個(gè)人信息，區(qū)分不同標(biāo)準(zhǔn)的保護(hù)力度，采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施。

【合規(guī)建議】企業(yè)應(yīng)區(qū)分離職員工個(gè)人敏感信息和非敏感信息進(jìn)行存儲，對于個(gè)人敏感信息，用人單位應(yīng)準(zhǔn)備單獨(dú)告知同意函與雇員確認(rèn)存儲方式，建立風(fēng)險(xiǎn)評估報(bào)告及處理情況記錄等并存儲。針對生物識別信息，用人單位如無例外情形，不應(yīng)存儲原始個(gè)人生物識別信息(如員工面部圖像原始文件等)，僅將其保留在識別設(shè)備終端以身份認(rèn)證，在實(shí)現(xiàn)認(rèn)證功能后刪除可提取的原始圖像。

26 在信息保存期限屆滿后或已無必要存儲時(shí)，對離職員工的個(gè)人信息是否需要進(jìn)行刪除、銷毀或匿名化處理？

【簡答】原則上，在員工與企業(yè)間的勞動關(guān)系終止或解除時(shí), 企業(yè)即喪失收集、存儲、處理員工信息的基礎(chǔ), 應(yīng)當(dāng)及時(shí)刪除員工信息或進(jìn)行匿名化處理。但根據(jù)各行業(yè)保留期限的特別規(guī)定或企業(yè)特殊需要，企業(yè)在一段合理時(shí)間內(nèi)需要繼續(xù)保留其個(gè)人信息，并通過勞動合同、員工隱私政策、規(guī)章制度或者與員工簽署單獨(dú)文件中予以約定。信息保存期限屆滿或已無必要存儲時(shí)，單位應(yīng)當(dāng)及時(shí)刪除相關(guān)信息或匿名化處理。

【合規(guī)建議】企業(yè)需對收集的離職員工的個(gè)人信息進(jìn)行定期排查，對期限屆滿或無需儲存的個(gè)人信息及時(shí)進(jìn)行刪除或匿名化處理。

27 在第三方機(jī)構(gòu)或招聘企業(yè)向企業(yè)收集離職員工的個(gè)人信息時(shí)，企業(yè)是否有義務(wù)核實(shí)其正當(dāng)性，并將提供的個(gè)人信息限制在必要范圍之內(nèi)？

【簡答】企業(yè)有義務(wù)采取必要措施確保離職員工個(gè)人信息安全，未經(jīng)離職員工同意，企業(yè)嚴(yán)禁擅自向第三方提供離職員工的個(gè)人信息，法律法規(guī)另有規(guī)定的除外。

【合規(guī)建議】企業(yè)因履行勞動合同向員工采集的個(gè)人信息，如需向其他第三方提供，應(yīng)當(dāng)取得離職員工同意，并向員工告知接收方的身份、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類。同時(shí)，用人單位應(yīng)對第三方數(shù)據(jù)合規(guī)能力進(jìn)行評估，監(jiān)督第三方個(gè)人信息處理過程，并約定雙方的權(quán)利義務(wù)。法律法規(guī)有規(guī)定需要企業(yè)履行配合義務(wù)的，企業(yè)應(yīng)核實(shí)相關(guān)文件的真實(shí)性和合法性。

28 在缺乏合法性基礎(chǔ)上處理離職員工的個(gè)人信息需要承擔(dān)哪些法律責(zé)任？

【簡答】企業(yè)在員工個(gè)人信息侵權(quán)中適用過錯(cuò)推定責(zé)任原則，企業(yè)在員工個(gè)人信息權(quán)益受到侵害而不能證明自己沒有過錯(cuò)的，須承擔(dān)侵權(quán)責(zé)任。

【合規(guī)建議】違反個(gè)人信息保護(hù)相關(guān)法律規(guī)定的，用人單位違法行為將被記入信用檔案予以公示，企業(yè)及其主管人員、直接責(zé)任人員將受到相應(yīng)行政處罰；構(gòu)成犯罪的，將依法追究刑事責(zé)任。

29 離職員工個(gè)人信息保護(hù)的責(zé)任人、責(zé)任部門及其權(quán)限是否明確？

【簡答】企業(yè)應(yīng)當(dāng)對員工個(gè)人信息的采集、存儲、處理等制定嚴(yán)格的內(nèi)部管理制度和操作規(guī)程，對員工個(gè)人信息管理流程進(jìn)行必要的合規(guī)性審查。

【合規(guī)建議】必要的合規(guī)性審查具體措施包括但不限于：（1）企業(yè)應(yīng)當(dāng)明確個(gè)人信息處理的責(zé)任部門及相關(guān)責(zé)任人員；（2）開展個(gè)人信息安全影響評估，包括員工個(gè)人信息收集是否遵循目的明確、選擇同意、最少夠用等原則；個(gè)人信息處理是否對員工合法權(quán)益造成不良影響；個(gè)人信息安全措施的有效性；去標(biāo)識化處理后，數(shù)據(jù)重新識別出員工身份的風(fēng)險(xiǎn)；共享、轉(zhuǎn)讓、公開披露員工個(gè)人信息對員工合法權(quán)益可能產(chǎn)生的不利影響；個(gè)人信息安全事件對員工可能產(chǎn)生的不利影響等；（3）具備適當(dāng)?shù)臄?shù)據(jù)安全能力，落實(shí)必要的管理和技術(shù)措施；（4）對員工個(gè)人信息控制者進(jìn)行管理和培訓(xùn)；（5）進(jìn)行員工個(gè)人信息安全審計(jì)，如對相關(guān)制度、規(guī)程以及安全措施的有效性、個(gè)人信息違規(guī)使用或?yàn)E用等情況進(jìn)行審計(jì)。