必看！企业用工合规典型场景全解——以《个人信息保护法》为视角

编者按

随着大数据、互联网、AI技术等新科技的不断发展，对于个人数据的收集和使用已经融入社会生活的方方面面。《个人信息保护法》生效至今已有一周年，其对于我国个人信息保护的实践发展具有跨时代的意义。站在企业的角度，员工个人信息管理贯穿于人力资源管理的方方面面，从员工招聘、缴纳社保到员工流动、劳动合同管理等，都会涉及到对于员工信息的采集与管理。

本文就目前《个人信息保护法》对用人单位用工管理的挑战、企业应当如何应对、如何从人力资源角度看员工信息保护等问题进行解读，以期为读者提供相应的实践参考。

一、《个保法》对用工合规发起新挑战

（一）用工合规意识转变

有权了解受雇佣员工的所有信息是原用人单位的固有认识，但随着《个人信息保护法》的出台，单位对员工信息的收集范围、收集后存储方式、收集后使用方式都受到了法律的约束。

对于处理个人信息，《个人信息保护法》建立了基本的“告知—同意”规则。因此，用人单位首先应转变“管理者”站位，收集处理员工个人信息应当履行告知义务，并取得授权同意。其次应注意区分一般个人信息和敏感个人信息，并对所收集信息进行分类分级处理，通过完善内部管理制度与安全技术措施，履行法定合规义务。

（二）用工管理制度亟需完善

当法律对员工的个人信息进行保护而对单位形成约束时，单位应当如何行使管理权；在制度、流程、人员储备方面是否需要进行改进，是否能够应对有关部门的监管，企业亟需建立起个人信息保护的机制，同时对现有的个人信息保护与管理的制度进行不断的完善与调整。

在日常工作过程当中涉及对员工信息的收集、使用、存储等问题，应当如何合规处理和应对？如何形成高效的范式程序？对企业而言，不仅需要完善经营管理所依据的劳动规章制度，同样考验用人单位对于个人信息流动全周期的合规管理能力，并对用人单位理解、适用法律规定都提出了更高的要求。

（三）企业违规法律后果加重

从民事责任上来看，个人信息如被泄露和不正当使用，受害员工可以依据《民法典》、《个人信息保护法》的规定，向用人单位追究侵权责任；

从行政责任上来看，根据《个人信息保护法》第66条的规定，违法处理个人信息，或者处理个人信息未履行保护义务，相关部门可以责令改正，给予警告，没收违法所得，并处百万甚至千万元罚款。对直接负责的主管人员和其他直接责任人员可以处以百万元以下的罚款，并可以决定禁止一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等；

从刑事责任上来看，违反个人信息保护规定，情节严重时将被依法给予治安管理处罚，甚至被依法追究刑事责任；

除此之外，涉及个人信息保护的法律纠纷采取过错推定的归责原则，即举证责任倒置，因此发生纠纷时企业败诉风险极大。

二、人力资源合规四大典型场景

（一）用人单位可以要求劳动者提供哪些个人信息？

根据《劳动合同法》以及《个人信息保护法》第十三条的规定，用人单位可以要求劳动者提供如下信息：

1、订立及履行劳动合同、为进行劳动用工管理所必要的信息，如身份证号、住址、联系方式、紧急联系人及联系方式、资格资质、工作经历等；

2、为履行用人单位法定义务所必须的信息，如为劳动者缴纳社会保险、住房公积金所必要的信息；

3、为应对突发公共卫生事件或紧急避险所必须的信息，如个人健康状况、14日内出行情况等；

4、取得劳动者个人同意的相关信息；

5、其他与劳动合同相关的信息公开信息。

从《个人信息保护法》的角度，收集劳动者信息，不仅需要遵循一般规定，还需要遵循总则中规定的原则，如最小必要原则，即收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息，只能收集与劳动合同履行相关的员工信息。对于原则的理解，既要符合单位对具体特定场景收集处理的行为合法性。也要求单位动态地看待不断变化发展的信息收集场景，因为职务履行的过程也是一个动态收集的过程。

（二）用人单位处理劳动者信息需要征得同意的场景

从《个人信息保护法》立法目的及法律整体规定看，即使通过规章制度和集体合同就个人信息处理进行了规定，有五种情况仍然需要劳动者单独同意，具体包括：

1、用人单位合并、分立、解散等需要转移劳动者个人信息；

《个人信息保护法》第二十二条，即个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

2、除法律规定外，劳动者个人信息要向第三方提供的；

《个人信息保护法》第二十三条，即个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

3、采集人脸等个人身份识别信息的；

《个人信息保护法》第二十六条，即在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的，取得个人单独同意的除外。

4、敏感个人信息；

《个人信息保护法》第二十八条，关于敏感个人信息，即只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。第二十九条，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

5、向境外提供劳动者个人信息。

《个人信息保护法》第三十九条，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

（三）劳动者可以拒绝提供个人信息的场景

在与履行劳动合同不相关的场景下，劳动者可以拒绝提供，但若是为了履行劳动合同所必要的信息，劳动者有义务提供。例如，基于劳动合同向工人支付工资及社保，用人单位需要处理劳动者身份证号、银行卡号、社保账号等信息；或为了方便公司的内部联系，建立包含员工姓名、性别、电话号码、邮箱地址等个人信息的通讯录。

与招聘职位无直接关系的个人信息，如婚姻状况、生活经历、与劳动能力无关的生理缺陷、亲属详细个人信息等。这些信息属于个人隐私，用人单位不能强求提供。员工因不愿提供此类信息，而不得不隐瞒或做了虚假陈述的，也不构成欺诈。

不过在此要建议劳动者在选择是否提供无关信息时，需要平衡自我权利保护与职业生涯规划。如果经过权衡之后还是选择不提供个人信息，用人单位虽无权强制要求提供，但确有可能影响未来晋升等。

（四）用人单位对劳动者个人信息所采取的保密措施

用人单位要有相应的保密制度保护劳动者个人信息。不是所有人都可以接触到员工个人信息，公司的保密制度需要明确规定哪些岗位可以接触到这些信息，对于如何接触、如何存储、查阅权限、查阅流程等问题，都要有相应的规范进行调整。同时，用人单位也要进行有关领域的培训。

三、员工管理场景中的焦点问题

（一）用人单位应当进行个人信息保护影响评估的场景

《个人信息保护法》明确对个人信息处理者提出了各种合规要求，其中包含了在特定情形下需要进行的个人信息保护影响评估（PIA）。具体在用工领域，需要进行PIA以提高用人单位数据合规程度，防范对劳动者信息合法权益造成损害的各种风险的场景有：

1、处理敏感劳动者个人信息；

2、利用劳动者个人信息进行自动化决策；

3、委托处理劳动者个人信息；

4、向其他个人信息处理者提供劳动者个人信息；

5、公开劳动者个人信息；

6、向境外提供劳动者个人信息；

7、其他对劳动者个人权益有重大影响的个人信息处理活动。

（二）用人单位违反个人信息保护相关规定，可能涉及到的这个法律责任有哪些？

在具体实务过程中，目前还没有用人单位因为违反《个人信息保护法》而被处罚，但这不代表不存在违法情况，风险无处不在。

按照《个人信息保护法》规定的话，如果真正面临违法事实，所采取的处罚包括：责令改正、罚款、吊销执照等。在目前，政府监管的重点并没有放在用人单位项下的个人信息保护。但在未来，“员工个人信息出境”场景可能会是高频的监管点。

（三）用人单位关于竞业限制管理的合规建议

要求员工签订竞业限制协议，是企业在激烈的商业竞争中保护自身商业秘密，以及防止竞争对手恶意挖角等的重要手段。而另一方面，从同业公司横向招聘是企业获取人才的最有效途径之一。所以实践中有些企业会通过规避、隐匿等方式协助负有竞业限制义务的人员（“竞业人员”），阻碍原企业的竞业限制调查取证和法律行动。修改后从2020年5月1日开始实施的《最高人民法院关于民事诉讼证据的若干规定》（“新证据规则”）为企业对员工违反竞业限制行为（“违约行为”）进行调查取证带来了“新方法”，新证据规则进一步明确和细化了一些规定，以及司法机构在举证责任分配问题上的变化趋势，使得这些方法可以在竞业限制纠纷中更具有可行性。

在入职方面，对用人单位的合规建议有：

1、对需要签署竞业限制协议的人员，建议进行相关的背景调查，若发现有竞业限制，可以做到“早发现早处理”；

2、用人单位对劳动者尽到充分的告知义务，要求劳动者如实告知竞业限制相关情况，有必要获取劳动者的承诺书；

3、若有必要，对于非明显的“两高一密”的劳动者，同时签署保密协议，以正名义；

4、签署完毕竞业限制协议，对竞业期限，公司，补偿标准，违约责任等进行详细的合理约定，不建议只在规章制度中做统一约定。

在调查取证方面，对用人单位的合规建议有：

1、核实劳动者的违约事实：核实劳动者是否存在创立其他企业或前往其他企业就职的事实；实操中一般对企业的股东监事等进行确认，或者社保缴纳单位、工资发放主体等等，需要用人单位通过合法渠道获取蛛丝马迹；

2、核实劳动者所在企业：核实该其他企业是否经营与用人单位相同或同类业务；实操中会对营业执照经营范围进行对比；

3、固定证据非常重要，适当的采用公证等方式固定证据；

4、双方谈判：及时维护公司和劳动者的合法权益。

（四）如何平衡企业的管理权与用户的隐私权？

企业首先要对员工告知收集信息的方式，保证员工的知情权。如，在办工场所安装监控摄像头、在办公电脑后台安装监控设备等，都有必要告知员工。

企业有收集员工信息的权利，员工也有保护自己信息的权利。但对于处于强势方的公司来说，收集、处理、使用员工的个人信息还是应该遵循《个人信息保护法》中最基本的一些原则。

企业也要用工自主权。用工自主权不能过度侵害劳动者的利益。劳动者作为法律上的主体，是一个权利的集合体，其人格权需要受到保护。

来源：iLaw合规 作者：程阳