個人信息保護實務大全（下）

石先廣

向境外提供員工個人信息有哪些要求

對于外資企業來說，在中國境內的公司出于人事管理的需要向境外母公司或關聯公司或合作伙伴提供員工個人信息的現象也屢見不鮮，有很多企業的服務器甚至直接放在了境外。這就涉及個人信息的跨境提供，也有很多問題值得外企關注。

●個人信息跨境提供的前提條件

雖然對大部分外企來說，達不到服務器必須放在中國境內的觸發條件。服務器放在境外就屬于向境外提供個人信息了，需要滿足個人信息出境的前提條件，參見圖1、圖2：

這幾個前提條件，如同處理敏感個人信息，需要注意相關義務的履行。這里同樣存在“單獨同意”的理解與適用問題，就不再重復。個人信息跨境提供的，需要事前開展個人信息保護影響評估，并保存3年。

●個人信息跨境提供所需的條件

即便外企向境外提供個人信息滿足了前提條件，如單獨同意、影響評估報告也做好了等等，但個人信息跨境提供還需要滿足所需的條件，參見圖3。

估計外企HR看了以上條條框框比較頭疼，這也是最近不少外企HR、法務委托我們出具法律意見書，盡量說服外國人將涉及中國員工個人信息的服務器盡量放回中國境內的原因。畢竟，服務器放回中國境內，可以一勞永逸地解決上述問題，否則，今后可能面臨不少的溝通成本、涉及個人信息保護的事務性工作等等。

與第三方合作開展員工關系管理工作，應注意哪些事項

在企業人力資源管理中，還經常會出現與第三方合作的問題，如人事代理中的委托招聘、委托背景調查、委托代發工資、委托代繳社保、委托購買商業保險；再如推行電子勞動合同的，將勞動者個人信息存儲在第三方平臺上等等。這些委托事項的處理，也涉及職工個人信息的處理。對此，《個人信息保護法》也有相應的規范，參見圖4。

因此，用人單位與第三方合作，涉及處理職工個人信息的（處理的含義前面已介紹，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除），雙方的商務合同中也應注意按照《個人信息保護法》的規定，增加相關個人信息處理的條款。

《個人信息保護法》第二十三條規定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。

這里又出現了“單獨同意”的情形，如何理解和適用，如同前面的論述，這里不再贅述。

處理個人信息應遵循哪些原則

用人單位處理員工的個人信息，即便獲得了員工的同意或為實施人力資源管理所必需，在處理員工個人信息時也應注意法律規定的原則，《個人信息保護法》第五條至第九條規定了處理個人信息應遵循的原則，具體總結如下：

●合法性原則

處理個人信息必須依法進行，不得通過誤導、欺詐、脅迫等方式處理個人信息。

●正當性原則

處理自然人個人信息應當具有正當性目的，不能出于窺探個人隱私或其他非法目的。

●必要性原則

處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，有一定的必要性。

●誠信原則

誠實守信是所有民事活動的基本原則，處理個人信息，尤其是用人單位處理員工的個人信息更應注意誠實信用原則。

●最小限度原則

不得過度收集個人信息，應當限于實現處理目的的最小范圍；應采取對個人權益影響最小的處理方式；對于獲得個人信息，應當注意知悉范圍或傳播范圍的限制，應限定最小的知悉范圍，尤其是在用工管理中，應當僅限于有關的管理層知悉，不能擴大至其他員工；應保存最短的期限，《個人信息保護法》第十九條規定，除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。

●公開透明原則

應公開處理信息的規則，明示處理信息的目的、方式和范圍。

●質量保證原則

處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響，例如員工工作年限不準確會影響醫療期、年休假的計算。

●安全保障原則

個人信息的使用與處理必須建立在保證信息安全的基礎上。筆者認為，必要原則、最小限度原則是不易把握、易引發糾紛的，如用人單位為預防職場舞弊讓員工申報親朋好友關系，某知名電商曾要求職工申報同學關系，自小學同學開始申報，這個是否屬于符合必要和最小限度原則，是否屬于過度要求？

再如，病假管理中，要求員工除提供掛號單、病假證明外，還要提供病歷，是否屬于過度收集個人信息？這些問題，肯定是仁者見仁智者見智了，且一旦發生勞動爭議，不同的價值取向會導致案件結果的天壤之別。

員工在個人信息處理中有哪些權利

《個人信息保護法》與《民法典》的有關規定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、復制權、更正權、轉移權、刪除權（又稱被遺忘權）、要求解釋權、代行使權等。

有關員工的這些權利體現在《個人信息保護法》第四章中的個人在個人信息處理活動中的權利，不再具體展開介紹。員工的權利行使也會面臨不少問題，如離職員工要求用人單位刪除個人信息、歸還入職登記資料等，用人單位應保管多久？這涉及離職員工個人信息保管時間問題，有些信息還涉及勞動爭議處理，不能立即刪除，否則，會影響用人單位的舉證能力。09379C87-2122-40DD-844C-9C183688E497

用人單位在處理員工個人信息時有哪些義務

如前所述，用人單位也是法律規定的個人信息處理者，個人信息處理者的義務主要體現在《個人信息保護法》第五章中的個人信息處理者的義務，具體可以歸納為以下幾點：

1.制定內部管理制度和操作規程；

2.分類管理個人信息；

3.采取安全技術措施；

4.管理培訓內部人員；

5.制訂應急預案；

6.其他相關措施。

以上規定為用人單位在個人信息管理的建章立制方面提供了指引，用人單位的勞動規章制度中也應增加個人信息處理的相關條款。

員工的個人信息受保護權與用人單位哪些權利會產生沖突

按《民法典》和《個人信息保護法》的規定，自然人的個人信息權益受法律保護。但是，用人單位與勞動者之間存在管理與被管理的關系，員工的個人信息權益必然會與用人單位的相關權利產生碰撞、摩擦，具體而言，筆者認為主要有以下幾個沖突：

●員工個人信息權益 VS.用人單位知情權

《勞動合同法》第八條規定，用人單位有權了解勞動者與勞動合同直接相關的基本情況，勞動者應當如實說明。

由此可見，員工有個人信息受保護的權利，但用人單位有對勞動者相關信息知情的權利，這兩個權利就容易產生沖突。因兩個權利的邊界不容易把握，什么是與勞動合同直接相關的基本情況也存在爭論。

●員工個人信息權益VS.用人單位管理權

勞動者與用人單位建立勞動關系之后，應當接受用人單位的管理，但勞動者在接受用人單位的管理中也有獨立的人格，在勞動關系領域就會產生員工個人信息受保護權與用人單位管理權的沖突，如用人單位將指紋考勤切換為人臉識別考勤，員工若拒絕用人單位采集人臉信息就會產生爭議；再如用人單位要為外勤、銷售人員配備具有定位功能的手機或電子產品，員工不同意的，也會產生爭議。

●員工個人信息權益VS.用人單位調查權

勞動者與用人單位有發生勞動爭議的苗頭時，用人單位需要調查、搜集證據，在調查取證時有可能涉及調取監控視頻、對為員工配備的電子產品進行監控或恢復收據，這個過程中就會涉及員工的個人信息受保護權與用人單位調查取證權的沖突。

處理個人信息不當有哪些風險

《民法典》《個人信息保護法》的相繼實施，將個人信息保護提到了前所未有的高度，用人單位在人力資源管理中也應提高處理個人信息的合規意識，否則，處理個人信息不當，會帶來相應的風險，參見圖5。具體風險點有以下幾類：

●被曝光的風險

現代社會自媒體比較發達，每個人都是一個媒體人，這就要求HR在人力資源管理各環節處理個人信息時應注意法律的規定，否則，有被曝光的風險。如在招聘錄用環節讓員工填寫戀愛信息、婚育信息、計劃生育信息等，都有企業被求職者曝光的典型案例。

●被信用懲戒的風險

《個人信息保護法》第六十七條規定，有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。

●承擔行政責任的風險

違反法律處理個人信息，按《個人信息保護法》第六十六條和第七十一條的規定，應承擔相應的行政責任。

需要注意的是，若用人單位侵犯個人信息，除了對單位罰款外，還會對直接負責的主管人員和其他直接責任人罰款，若情節嚴重的，還有“禁止”的處罰措施，即禁止一定期限內擔任相關企業的“ 董事、監事、高級管理人員 ”和個人信息保護負責人。

●民事責任的風險

違反《個人信息保護法》處理個人信息，給員工造成損害的，應當承擔賠償責任，對此《個人信息保護法》的第六十九條有明確規定。

●勞動爭議敗訴的風險

如前所述，員工的個人信息受保護權與用人單位的知情權、管理權、調查取證權會產生沖突，在員工的個人信息受保護權與用人單位知情權、管理權、調查取證權發生沖突時，如何取舍就決定了勞動爭議的輸贏。這一點需要引起HR的注意，在處理有關事項時，應注意個人信息保護的有關規定，避免踏入其中的雷區。

●刑事責任的風險

對此，《個人信息保護法》第七十一條規定，違反本法規定，構成犯罪的，依法追究刑事責任。其實，侵犯公民個人信息早已入刑，而且還有配套的司法解釋：

職場上與個人信息相關的糾紛有哪些

根據已經發生或可能發生的糾紛情況，筆者認為，職場上涉及個人信息權益的糾紛大致有以下幾類，參見圖6。

●用人單位VS.勞動者

此類糾紛下又可以分為用人單位侵犯員工的個人信息權益糾紛，員工拒不配合用人單位處理個人信息糾紛和員工侵犯其他員工的個人信息權益，用人單位給予違紀處理糾紛這三類。

●勞動者VS.勞動者

此類糾紛下又可以分為勞動者處理工作有關事務侵犯其他員工個人信息權益和勞動者侵犯與工作無關的其他員工的個人信息權益兩類。

●勞動者VS.其他第三人

此類糾紛下又可以分為勞動者處理工作有關事務侵犯其他第三人的個人信息權益和勞動者侵犯與工作無關的其他第三人的個人信息權益兩類。

HR應做哪些落地工作

●學習新法律

最起碼應該關注或學習一下最新頒布的《個人信息保護法》，在人力資源管理中增強個人信息保護的法律意識。

●修訂勞動合同文本

《民法典》以及《個人信息保護法》的實施，也是用人單位修訂、完善勞動合同文本的契機。勞動合同文本不能僅僅局限于勞動法律規定的內容，為了拓展用工自主權，也為了降低涉個人信息處理的風險，用人單位需要在勞動合同文本中增加涉個人信息的相關條款。

●修訂《員工手冊》

通過前面分析可以看出，在用工管理的各個環節都可能涉及員工的個人信息。筆者認為，為避免相應的風險，用人單位應重視員工個人信息保護，有必要制定相應的規章制度，有關制度內容應至少包括個人信息收集、個人信息保管、個人信息使用、個人信息傳輸、個人信息刪除等環節。

●設計相關表單

要全流程分析用工管理各環節涉及處理個人信息的具體事項、所隱藏的風險以及風險規避的措施，如在招聘環節對候選人進行背景調查的，應當設計“背調個人信息的授權書”，并讓應聘者簽字確認；再如入職環節，應當設計“個人信息授權使用聲明”等，并讓員工簽收。

●依法要求開展個人信息保護評估（PISIA）

按法律規定，用人單位在員工管理中處理員工敏感個人信息、跨境提供個人信息、委托處理個人信息、向他人提供員工個人信息等，需要開展個人信息保護影響評估。

●日常管理注意員工個人信息保護問題

以上幾個方面更多側重于文本的完善，文本的完善可以為日常管理提供很好的工具，但在日常管理中也應注意員工個人信息的保護，如對于員工提交的病假材料，HR要注意限定知悉范圍，否則，就有違安全保障原則；再如向員工公告送達解除勞動合同通知書時，應注意員工敏感個人信息的處理等。

個人信息不明朗問題處理策略

如前所述，涉及“單獨同意”的事項，實施人力資源管理所必需是否可以依據《個人信息保護法》第十三條第二款不需要取得員工的“單獨同意”？個人信息處理的必要性原則的“度”如何把握？這些問題目前沒有答案，若遇到此類問題，如員工拒絕采集人臉信息，建議用人單位暫時采取保守化處理策略，不建議給予違紀解除激進化處理。待相關規則、裁判案例進一步明確后，再根據情況進行適度調整。畢竟，法律剛實施時，對于不明朗問題，裁判者也是偏保守思維者居多，如《勞動合同法》剛實施時，不管什么原因沒有簽訂書面勞動合同的，都判用人單位支付未簽訂勞動合同的2倍工資，后來裁判實踐又開始糾偏，大部分省市認為能證明是勞動者不愿意簽訂勞動合同的，可不支付2倍工資。

（本文完）

作者 勞達laboroot副主任律師、高級合伙人09379C87-2122-40DD-844C-9C183688E497