避開員工個人信息收集和使用的風險點

曹麗娜

近年來，隨著信息技術在中國的廣泛應用和巨大發展，個人信息保護方面的法律、法規相繼出臺，第十一屆全國人大常委會2012年12月通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》是我國個人信息保護立法進程中的重要里程碑，勾勒出了我國個人信息保護的基本框架；2015年，“侵犯公民個人信息罪”正式納入《刑法》；2017年6月施行的《網絡安全法》首次從法律層面明確了個人信息的定義；2017年10月施行的《民法總則》對個人信息保護作出原則性的規定；2020年3月國家市場監督管理總局、國家標準化管理委員會又發布了《信息安全技術個人信息安全規范》。

雖然我國現行法律體系對個人信息保護從不同維度作出了規定，但長期散落在不同的法律和規章中。即將在2021年實施的《民法典》中，首次將人格權獨立成編，并在第六章中對個人信息的定義、收集、使用、存儲和處理做出了系統明確的規定，體現了大數據時代國家層面對個人信息保護的重視。

收集和使用員工信息的風險點

企業與員工的勞動關系需要經歷締結、存續、終止三個階段，在整個用工管理過程中涉及員工個人信息的獲取、存儲和傳輸，企業如何識別各個階段的風險點，了解在此過程中所應遵守的相關法律義務十分重要。

●招聘錄用中的風險

1.企業收集員工個人信息中的風險。企業基于用工的需要，在招聘過程中有權了解員工與工作相關的個人信息，對員工的工作能力進行評估，因此，企業在招聘錄用環節，應根據業務、崗位需求等具體情況確定哪些是可以收集的，哪些是不可以收集的，證明其收集的合理性，避免過度收集造成侵權。

2.員工背景調查中的風險。企業在招聘員工的過程中，會與第三方背景調查機構合作，對一些核心崗位的員工進行背景調查，在候選人不知情的情況下展開背景調查，企業將承擔法律風險，侵犯候選員工的個人信息權益，因此，企業在決定開展背景調查前，務必要獲得候選人授權，這既是企業對自身的法律保護，也是對候選人個人信息保護的尊重。

●在職管理中的風險

1.企業日常人事管理中的風險。在日常管理務實中，企業對個人信息負有妥善保管的義務。實操中，有些企業在考勤時需要錄入員工指紋、人臉識別特征打卡，這些都屬于個人敏感信息，企業應采取加密、去標識化處理等技術手段加以存儲，確保其收集、存儲的個人信息安全，防止個人信息丟失、遭到篡改及泄露等風險。

2.企業監控檢查員工工作中的風險。隨著電子信息技術的發展，OA系統逐漸取代傳統的辦公方式，有些企業為了加強管理，會通過相關技術手段定期檢查員工的電子郵件、電話、公司電腦的使用情況。而員工在使用這些設備和系統的過程中，個人信息和痕跡極易留存其中，成為企業侵犯員工個人信息保護的高風險點。企業應當提前告知員工原則上不得將辦公設備用于處理個人事務，并保留對員工辦公設備中的信息進行檢查、監控、存儲的權力，有效避免侵權的風險。

3.企業傳輸員工個人信息中的風險。隨著行業專業化程度的提高，有些企業會根據需要將一些非核心性的事務外包給第三方機構處理，以降低人力成本，實現效率最大化，此時將涉及員工個人信息的轉移。企業在與第三方機構交互信息時多采取合同方式進行概括式授權，一般不會取得員工個人的授權，而且信息傳輸過程中，極易造成泄露、丟失。此外，外資企業和跨國公司基于全球一體化管理的需求，向境外傳輸員工個人信息時，會涉及跨境傳輸個人信息方面的法律要求。

因此，建議企業至少應在信息傳輸出境前獲得員工的書面授權，更為謹慎的做法是可考慮與提供網絡安全服務的企業合作，開展個人信息出境傳輸前的安全評估，并加固數據安全傳輸防火墻，避免面臨違法或涉訴的風險。

●離職管理中的風險

1.不當保管與披露的風險。根據《勞動合同法》的規定，企業對離職員工的勞動合同文本要保存備案，以往由于法律法規的缺位，導致企業對離職員工的個人信息不夠重視，在缺乏管控的情況下，不排除有關人員將離職員工的個人信息打包賣給獵頭公司、非法調查公司等。在國家不斷強化對個人信息保護的背景下，企業應加強對離職員工個人信息的管理或在滿足相關法律規定的條件下將這些信息及時刪除。

2.離職員工調查的風險。員工離職后，企業對該離職員工的調查主要涉及兩方面，一是競業限制糾紛，二是接受員工新入職企業的背景調查。在競業限制糾紛調查中，離職員工所進行的日常行為并不在離職企業的視野中，企業自行收集證據面臨很大的風險和難度，采用跟蹤拍攝收集個人行蹤軌跡或向負有保密義務的第三方收集證據，可能會觸犯《民法典》中“非法收集、非法使用人信息”的規定。在涉及接受離職員工所在新入職企業的背景調查中，除非員工離職前同意企業在其離職后可將其信息批露給第三方機構，否則公司存在侵犯員工個人信息的情形。

員工個人信息保護的實操建議

針對企業員工招聘、在職、離職三階段中個人信息保護存在的風險、隱患，建議從以下三方面著手，應對不斷細化的合規要求。

●知情同意

1.合法合規收集員工個人信息。企業在內部規章制度或勞動合同中，應當嚴格限定收集員工個人信息的范圍，避免無關或過度收集信息。如果企業需要進一步獲得員工的其他信息（如家庭情況、醫療狀況），可以在表單中設計選填項，讓員工自愿選擇后填寫。

2.獲得員工的知情同意。企業在收集、處理員工個人信息時，應事先獲得員工的知情同意，務必讓員工了解企業收集個人信息的目的、收集范圍、保存期限等。

據此，企業可以采取在入職手冊中告知、在勞動合同中約定等方式取得員工的事先同意。疏于防范的企業若在入職環節未獲得員工的知情同意，可在入職后的日常管理中，讓員工簽署同意函，獲得員工的授權。企業決定對候選員工開展背景調查時，應取得候選員工簽署的背景調查授權書，開展取得授權的“明調”。企業須做好合規性前置工作，事先獲得員工簽署的書面同意，在未來可能發生的相關糾紛中，企業便可以此進行有力的抗辯。

●處理限制

1.建立企業個人信息處理制度。企業為規范個人信息管理，應建立個人信息處理制度。在制度設計中，應包括以下幾方面內容：其一，個人信息保護組織機構的設立，以及明確該機構與機構人員責任的規定；其二，個人信息收集、存儲、使用、加工、傳輸、提供、公開等管理的規定；其三，個人信息保護監查的規定；其四，違反個人信息保護規章制度處罰的規定等。為使內部規章制度更加具有實操性，企業可通過專業機構或聘請具有專業知識的人員，幫助企業梳理內部流程，做好制度建設。

2.處理限制中的實操規范。處理限制，包含了對員工個人信息的收集、存儲、使用、加工、傳輸、提供及公開等。在諸多情況下，涉及侵犯員工個人信息的人員多為內部管理人員，或是有權限接觸到個人信息的人員。因此，企業應確定專人管理員工個人信息，明確其崗位職責，與其簽訂保密協議，并在其離職時履行好交接手續，防止資料外泄。

企業與第三方機構合作時，要選擇具有征信資質的公司，并與第三方機構簽署協議：確保其在收集員工個人信息時遵守相關法律規定；約定第三方機構負有保密義務，不得將獲取的個人信息提供給他人；同時，注明免責條款，企業不對第三方任何違法使用信息的行為承擔法律責任。

企業傳輸員工個人信息過程中，要進行去標識化處理，防止傳輸過程中的外泄。此外，企業確有必要向境外傳輸員工個人信息的，應嚴格按照相關規定，進行個人信息出境安全評估申報。

企業在處理離職員工的個人信息時，對需要保存的勞動合同文本，應考慮是否予以分類并單獨存儲，對已到期或不再需要存儲的個人信息，在遵守相關法律規定的條件下予以刪除。

●安全責任

1.加強信息安全培訓。對大多數企業而言，個人信息保護處于企業用工管理的真空地帶，企業對此并不重視。但在國家越來越強調個人信息保護的背景下，企業應加強對企業管理者和員工的培訓，尤其是保密方面的培訓，使管理者從制度層面重視加強個人信息保護建設，使員工在信息處理中更加規范操作，強化全員保密意識。

2.建立安全事件的處罰機制。企業應妥善保管員工的個人信息，做到信息保密和合理使用，禁止任何員工非法披露或使用企業收集的員工個人信息。對于實施了侵權行為的員工，企業可依據法律法規以及企業內部管理制度，對其予以批評、警告，構成嚴重違紀的予以解除勞動合同，觸犯法律的移交司法機關處理。

法律的生命在于實施。信息化的浪潮席卷全球，人類進入信息社會的發展階段。隨著大數據、人工智能、云計算等技術的廣泛應用，我國已經成為世界上網絡數據生產和輸出體量最大的國家之一。《民法典》順應這一發展趨勢，回應了大數據時代人們對個人信息保護的關切，是法律作為上層建筑符合信息時代社會經濟發展的需要，也為下一步個人信息保護方面的立法確立了方向。

作者 上海江三角律師事務所 法律顧問