员工个人信息管理合规要点分析

作者：张丹

前言

随着个人信息安全合规工作的深入，目前多数企业均对个人信息合规工作给予响应并投入了相当成本以符合法规及监管要求。但在实践中，企业通常会遇到诸如“员工的信息是否属于个人信息保护的范畴？HR收来的未录用的简历如何处理？单位员工如需要刷脸打卡，需要如何进行合规操作？”等疑问。在此情形之下，探讨有关员工个人信息保护的企业合规应对极具现实意义。

正 文

在实际工作中，人事部门、法务合规部门及技术部门各司其职，通常对于诸如员工个人信息管理及合规工作这类跨部门事项难以入手。本文分为法规监管要点、实际场景合规要点及合规综合性建议三部分，拟对企业收集、使用及存储员工个人信息有针对性地提出合规建议，以期为企业员工个人信息管理工作提供参考。

1. 员工个人信息范畴

由上表可看出，受到监管保护的个人信息范畴较广。根据《个人信息安全规范》附录A的判断标准，若该信息能够识别出特定自然人，或已知特定自然人在其活动中产生的信息，均被判定为个人信息，应受到保护。我国目前尚无专门针对员工个人信息的法规要求，但是根据《劳动合同法》第八条，“用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。”因此出于管理和履行劳动合同的日常实践，企业有权收集必要的员工信息。该类信息在企业日常工作中通常体现为员工个人简历、生物识别信息、体检健康报告等形式。该类信息在多数情形下属于上述规定中所列个人信息。因此对落入个人信息范畴的员工信息部分，企业仍需遵守监管的要求合法合规进行收集、使用及存储。我们建议企业对个人信息的法规及监管文件给予关注，并针对人事工作涉及的员工个人信息进行梳理并纳入个人信息安全合规体系中。

2. 法律责任和风险

我们将在下文结合实际场景提供合规要点供企业在员工管理工作实践中参考。

1.员工入职前

（1）获取个人简历

在该阶段，若是申请人主动投递简历，则可被视为企业收集该个人信息已获取信息主体的授权同意。若是从第三方（包括招聘信息网站、猎头公司、外部推荐等）获取简历的，企业需向该第三方核实个人信息来源是否合法合规，是否获取该信息主体授权同意，以及对于向企业提供该简历是否告知信息主体并获取同意。对于长期合作的第三方，我们建议企业与其签订合作协议明确核实信息来源合法合规的核实义务和责任。

在简历筛选之后，对于未能进入面试机会的简历原则上应立即删除，或建立定期检查清理机制；对于需设立人才库或向关联方提供简历的，企业可通过邮件或其他电子方式获取该信息主体的授权同意，同时在使用过程中不应超过前述目的。

（2）获取面试信息

部分企业在员工面试时，仍旧需要面试者填写企业自行准备的个人信息表单，通常包括面试者年龄、性别、民族、户口所在地、家庭住址、婚否、教育背景、工作经历、家庭成员、甚至家庭成员的工作信息等。

这里需要注意，企业仅能获取与工作本身相关的信息，而不应超出最少必要收集的范围，民族、户口所在地、家庭住址、家庭成员信息等与工作岗位不直接相关，为非必要收集信息，除非由于岗位的特殊性，企业可以证明收集的必要性。

我们同时建议，企业可以在个人信息表末尾部分增加告知同意的条款，并加粗表示，要求面试者签字。HR面试人员自行记录的涉及面试者隐私信息的记录注意妥善保存，面试达到结果后立即删除。

（3）获取背调信息

企业委托第三方机构对拟入职的员工进行背景调查时，应在与第三方签署的合同中明确相应的保密条款，要求供应商在完成企业委托事项后及时删除委托信息。同时，企业也应通过电子邮件等方式告知候选人，公司可能会通过合法手段对候选人开展背景调查工作，并告知对外提供的候选人个人信息内容，获得候选人的授权同意。

（4）获取体检报告

体检报告已经成为企业必须收集的员工信息之一。根据《个人信息安全规范》3.2中所列定义，个人健康生理信息属于个人敏感信息。由于一旦泄露、非法提供或滥用可能危害人身和财产安全并可能导致个人名誉、身心健康受损或遭受歧视性待遇，该类信息需给予更多的保护。在此情形下，体检报告属于个人敏感信息，因此企业在向个人获取该类信息的时候，需符合相应监管要求。

我们建议企业在录用通知中明确说明该体检所查项目是否与工作具有相关性以符合最小必要原则，并可通过电子邮件回执等方式获得信息主体的明示同意，在员工办理入职手续时，再通过书面的方式获得员工的书面授权。在该等信息达到所需实现目的后即进行销毁或删除。

2.员工入职后

（1）个人档案建立

员工入职后按照企业常规管理需求通常被要求填写个人信息登记表，用以建立员工个人管理档案。员工主动填写行为可被视为授权同意企业收集该类信息。但为了符合目的明确、最小必要原则，我们建议企业在员工手册或劳动合同等文件中对收集个人信息范围、使用目的及保存期限等内容进行明确。企业可向入职人员明确仅收集与劳动合同相关内容，例如该入职人员的姓名、身份信息、教育背景、工作经验以及重大疾病史、犯罪记录证明等信息。并对收集后的汇总管理部门和查询个人信息记录的方式对其进行告知。对于存在可能向第三方提供可能的情形，企业可在收集个人信息的同时在前述规则中向入职人员告知，并在进行转让前再次对相关信息主体进行书面告知并获取同意。涉及到个人敏感信息的，如体检记录、身份证件信息等，根据《个人信息安全规范》9.1要求，还需告知敏感信息类型，接收方的身份和数据安全能力。

（2）生物信息的收集使用

考勤打卡场景下的合规要求。由于采用指纹打卡、门禁刷脸等技术的普及，采集员工指纹、面部特征等生物信息用以考勤管理的企业越来越多。根据《个人信息安全规范》5.4要求，收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。我们建议企业在初次收集前向员工发送书面告知信息并获取员工授权同意。同时在员工手册或工作管理文件中添加个人生物识别信息保护规则，并将此内容加入员工培训中。另外，根据《个人信息安全规范》6.3，企业如无例外情形，通常不应存储原始个人生物识别信息（如员工面部图像原始文件等）。我们建议企业可仅对该类信息的摘要信息进行存储，或不将该类图像上传至企业服务器，而仅将其保留在识别设备终端进行身份识别、认证；另外还可在实现认证功能后删除可提取的该类信息的原始图像。

（3）监控场景

工作环境监控场景下的合规要求。为保护企业商业秘密，一些企业会在内部设置监控体系对员工邮件往来进行监控。此外，出于工作效率提高和网络安全的考虑，企业通常会通过对监控流量和设置监测系统对异常访问和安全事件等进行自动或人工处理的决策机制。另外，一些特殊行业（如外卖、网约车行业）出于对工作质量追踪的需要，也会有追踪个人行踪轨迹的需求。

我们建议企业在实施不同方式的监控措施时，应先对监控的必要性、合理性以及风险后果进行评估，监控措施是否必须，是否有替代性方案？比如为防止员工浏览黄色网站，相比记录员工的网页浏览日志，安装网络防火墙是一种对员工隐私影响更少的方法；为了防止员工怠工，可以进行不定期的突击巡查，从而替代在半公开区域安装视频监控。切忌在更衣室、休息室、母婴室等较为私密的区域安装视频监控。

其次，企业应向员工告知监控的场景以及实施监控的目的，收集的信息类型以及会如何处理这类信息。与员工利益相关的此类措施还应进行民主讨论，取得大多数同意的结果。同时，在实施的程序性方面增强透明性，让员工认可监控的合理性。

由于监控信息涉及员工较为隐私的行为信息，我们建议企业应对该类信息的收集使用设置严格的管理制度以及访问权限，并明确责任人员、使用目的以及存储期限，防止信息泄露后对企业和员工个人造成不良影响。

（4）员工个人信息的跨境传输问题

一些企业由于办公地点位于不同国家，或出于管理要求需将员工信息传输至境外母公司，由此涉及个人信息跨境传输合规问题。根据《个人信息出境安全评估办法（征求意见稿）》的要求，企业在个人信息出境前，应进行自评估并向所在地省级网信部门申报个人信息出境安全评估。根据其第十四条要求，企业应与境外接收者签订合同或具有法律效力的其他文件，并应以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间。由于该文件尚未生效，我们建议企业根据该评估办法预先建立个人信息出境合规流程，并根据后续发布生效文件进行及时调整。

（5） 需进行委托、共享、转让、披露或公开的情形

在企业运营中存在需要将员工个人信息委托第三方处理或转让给第三方的情形，如企业将内部财务处理工作外包给第三方机构，或发生企业合并、分立或重组需将员工个人信息进行共享或转让。此外，还存在根据法律法规或监管要求，需要对员工个人信息进行披露或公开的情形，例如出于传染病疫情控制需要，对具有疑似症状员工信息向卫生部门报告；或依法进行员工个人信息公开，如网络运营者在设立网络安全负责人或个人信息保护负责人并将其个人信息向用户公开。

如涉及上述情形，我们建议企业在委托第三方的情况下，严格区分是否存在授权同意例外，按照《个人信息安全规范》9.1的规定对委托行为进行个人信息安全影响评估，对受托者采取监督措施并对受托者处理个人信息情况进行记录和存储，并制定相应发生风险的补救措施。在涉及到员工个人信息共享、转让的情况下，依照《个人信息安全规范》9.2的要求采取安全影响评估、向员工告知目的、接收方类型及可能的后果，并获得授权同意，对接收方进行监督并明确责任以及帮助员工履行其个人主体权利等措施。此外，还需对员工个人信息在传输过程中采取去标识化处理。

3. 员工离职后

在员工与企业解除劳动关系离职后，对于员工个人信息的处理，我们建议企业在与员工完成交接工作的过程中对该部分个人信息的处理进行书面约定，明确保留时间、该类信息的使用目的和用途，以及是否可以作为第三方对员工进行背景调查的依据对外提供等。在约定目的完成后，企业应及时对该信息进行删除或匿名化处理。根据工作实践，我们建议企业建立定期核对检查个人信息状况的机制，对已离职员工的个人信息进行及时合规处理。

由于目前对于企业员工个人信息保护工作需对个人信息保护法规及监管要求进行选择性适用，我们建议企业在建立或完善其个人信息安全合规体系的过程中，将员工个人信息保护作为其中一环进行制度文件设计及落地推行，并着重从以下四点加以考虑：

1. 对现有员工个人信息收集使用合规情况进行评估，区分一般个人信息与敏感个人信息并做分类整理。

2. 设立合规工作牵头机构，将人事部门、法务合规部门及IT技术部门相关人员集中处理该类工作，对员工个人信息合规工作加以设计，提高实操和可行性。

3. 对员工个人信息传输、存储等环节采取安全保护措施，设立诸如加密传输要求、访问限制、周期性检查审计工作等制度。

4. 由于近期个人信息和数据安全法规及监管要求发布及更新速度频繁，对监管要求密切关注并及时调整，必要时考虑委托专业机构辅助进行规则解读及合规建议等工作。