避开员工个人信息收集和使用的风险点

曹丽娜

近年来，随着信息技术在中国的广泛应用和巨大发展，个人信息保护方面的法律、法规相继出台，第十一届全国人大常委会2012年12月通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》是我国个人信息保护立法进程中的重要里程碑，勾勒出了我国个人信息保护的基本框架；2015年，“侵犯公民个人信息罪”正式纳入《刑法》；2017年6月施行的《网络安全法》首次从法律层面明确了个人信息的定义；2017年10月施行的《民法总则》对个人信息保护作出原则性的规定；2020年3月国家市场监督管理总局、国家标准化管理委员会又发布了《信息安全技术个人信息安全规范》。

虽然我国现行法律体系对个人信息保护从不同维度作出了规定，但长期散落在不同的法律和规章中。即将在2021年实施的《民法典》中，首次将人格权独立成编，并在第六章中对个人信息的定义、收集、使用、存储和处理做出了系统明确的规定，体现了大数据时代国家层面对个人信息保护的重视。

收集和使用员工信息的风险点

企业与员工的劳动关系需要经历缔结、存续、终止三个阶段，在整个用工管理过程中涉及员工个人信息的获取、存储和传输，企业如何识别各个阶段的风险点，了解在此过程中所应遵守的相关法律义务十分重要。

●招聘录用中的风险

1.企业收集员工个人信息中的风险。企业基于用工的需要，在招聘过程中有权了解员工与工作相关的个人信息，对员工的工作能力进行评估，因此，企业在招聘录用环节，应根据业务、岗位需求等具体情况确定哪些是可以收集的，哪些是不可以收集的，证明其收集的合理性，避免过度收集造成侵权。

2.员工背景调查中的风险。企业在招聘员工的过程中，会与第三方背景调查机构合作，对一些核心岗位的员工进行背景调查，在候选人不知情的情况下展开背景调查，企业将承担法律风险，侵犯候选员工的个人信息权益，因此，企业在决定开展背景调查前，务必要获得候选人授权，这既是企业对自身的法律保护，也是对候选人个人信息保护的尊重。

●在职管理中的风险

1.企业日常人事管理中的风险。在日常管理务实中，企业对个人信息负有妥善保管的义务。实操中，有些企业在考勤时需要录入员工指纹、人脸识别特征打卡，这些都属于个人敏感信息，企业应采取加密、去标识化处理等技术手段加以存储，确保其收集、存储的个人信息安全，防止个人信息丢失、遭到篡改及泄露等风险。

2.企业监控检查员工工作中的风险。随着电子信息技术的发展，OA系统逐渐取代传统的办公方式，有些企业为了加强管理，会通过相关技术手段定期检查员工的电子邮件、电话、公司电脑的使用情况。而员工在使用这些设备和系统的过程中，个人信息和痕迹极易留存其中，成为企业侵犯员工个人信息保护的高风险点。企业应当提前告知员工原则上不得将办公设备用于处理个人事务，并保留对员工办公设备中的信息进行检查、监控、存储的权力，有效避免侵权的风险。

3.企业传输员工个人信息中的风险。随着行业专业化程度的提高，有些企业会根据需要将一些非核心性的事务外包给第三方机构处理，以降低人力成本，实现效率最大化，此时将涉及员工个人信息的转移。企业在与第三方机构交互信息时多采取合同方式进行概括式授权，一般不会取得员工个人的授权，而且信息传输过程中，极易造成泄露、丢失。此外，外资企业和跨国公司基于全球一体化管理的需求，向境外传输员工个人信息时，会涉及跨境传输个人信息方面的法律要求。

因此，建议企业至少应在信息传输出境前获得员工的书面授权，更为谨慎的做法是可考虑与提供网络安全服务的企业合作，开展个人信息出境传输前的安全评估，并加固数据安全传输防火墙，避免面临违法或涉诉的风险。

●离职管理中的风险

1.不当保管与披露的风险。根据《劳动合同法》的规定，企业对离职员工的劳动合同文本要保存备案，以往由于法律法规的缺位，导致企业对离职员工的个人信息不够重视，在缺乏管控的情况下，不排除有关人员将离职员工的个人信息打包卖给猎头公司、非法调查公司等。在国家不断强化对个人信息保护的背景下，企业应加强对离职员工个人信息的管理或在满足相关法律规定的条件下将这些信息及时删除。

2.离职员工调查的风险。员工离职后，企业对该离职员工的调查主要涉及两方面，一是竞业限制纠纷，二是接受员工新入职企业的背景调查。在竞业限制纠纷调查中，离职员工所进行的日常行为并不在离职企业的视野中，企业自行收集证据面临很大的风险和难度，采用跟踪拍摄收集个人行踪轨迹或向负有保密义务的第三方收集证据，可能会触犯《民法典》中“非法收集、非法使用人信息”的规定。在涉及接受离职员工所在新入职企业的背景调查中，除非员工离职前同意企业在其离职后可将其信息批露给第三方机构，否则公司存在侵犯员工个人信息的情形。

员工个人信息保护的實操建议

针对企业员工招聘、在职、离职三阶段中个人信息保护存在的风险、隐患，建议从以下三方面着手，应对不断细化的合规要求。

●知情同意

1.合法合规收集员工个人信息。企业在内部规章制度或劳动合同中，应当严格限定收集员工个人信息的范围，避免无关或过度收集信息。如果企业需要进一步获得员工的其他信息（如家庭情况、医疗状况），可以在表单中设计选填项，让员工自愿选择后填写。

2.获得员工的知情同意。企业在收集、处理员工个人信息时，应事先获得员工的知情同意，务必让员工了解企业收集个人信息的目的、收集范围、保存期限等。

据此，企业可以采取在入职手册中告知、在劳动合同中约定等方式取得员工的事先同意。疏于防范的企业若在入职环节未获得员工的知情同意，可在入职后的日常管理中，让员工签署同意函，获得员工的授权。企业决定对候选员工开展背景调查时，应取得候选员工签署的背景调查授权书，开展取得授权的“明调”。企业须做好合规性前置工作，事先获得员工签署的书面同意，在未来可能发生的相关纠纷中，企业便可以此进行有力的抗辩。

●处理限制

1.建立企业个人信息处理制度。企业为规范个人信息管理，应建立个人信息处理制度。在制度设计中，应包括以下几方面内容：其一，个人信息保护组织机构的设立，以及明确该机构与机构人员责任的规定；其二，个人信息收集、存储、使用、加工、传输、提供、公开等管理的规定；其三，个人信息保护监查的规定；其四，违反个人信息保护规章制度处罚的规定等。为使内部规章制度更加具有实操性，企业可通过专业机构或聘请具有专业知识的人员，帮助企业梳理内部流程，做好制度建设。

2.处理限制中的实操规范。处理限制，包含了对员工个人信息的收集、存储、使用、加工、传输、提供及公开等。在诸多情况下，涉及侵犯员工个人信息的人员多为内部管理人员，或是有权限接触到个人信息的人员。因此，企业应确定专人管理员工个人信息，明确其岗位职责，与其签订保密协议，并在其离职时履行好交接手续，防止资料外泄。

企业与第三方机构合作时，要选择具有征信资质的公司，并与第三方机构签署协议：确保其在收集员工个人信息时遵守相关法律规定；约定第三方机构负有保密义务，不得将获取的个人信息提供给他人；同时，注明免责条款，企业不对第三方任何违法使用信息的行为承担法律责任。

企业传输员工个人信息过程中，要进行去标识化处理，防止传输过程中的外泄。此外，企业确有必要向境外传输员工个人信息的，应严格按照相关规定，进行个人信息出境安全评估申报。

企业在处理离职员工的个人信息时，对需要保存的劳动合同文本，应考虑是否予以分类并单独存储，对已到期或不再需要存储的个人信息，在遵守相关法律规定的条件下予以删除。

●安全责任

1.加强信息安全培训。对大多数企业而言，个人信息保护处于企业用工管理的真空地带，企业对此并不重视。但在国家越来越强调个人信息保護的背景下，企业应加强对企业管理者和员工的培训，尤其是保密方面的培训，使管理者从制度层面重视加强个人信息保护建设，使员工在信息处理中更加规范操作，强化全员保密意识。

2.建立安全事件的处罚机制。企业应妥善保管员工的个人信息，做到信息保密和合理使用，禁止任何员工非法披露或使用企业收集的员工个人信息。对于实施了侵权行为的员工，企业可依据法律法规以及企业内部管理制度，对其予以批评、警告，构成严重违纪的予以解除劳动合同，触犯法律的移交司法机关处理。

法律的生命在于实施。信息化的浪潮席卷全球，人类进入信息社会的发展阶段。随着大数据、人工智能、云计算等技术的广泛应用，我国已经成为世界上网络数据生产和输出体量最大的国家之一。《民法典》顺应这一发展趋势，回应了大数据时代人们对个人信息保护的关切，是法律作为上层建筑符合信息时代社会经济发展的需要，也为下一步个人信息保护方面的立法确立了方向。

作者 上海江三角律师事务所 法律顾问