一、引言

2022年10月1日，国务院国有资产监督管理委员会发布的《中央企业合规管理办法》开始施行，这是国资委成立以来第一个针对合规管理发布的部门规章，对中央企业进一步深化合规管理提出明确要求；近年来，个人信息（数据）保护成为法律理论界和实务界均关注的热点。2021年1月1日《民法典》实施，《民法典》的最大亮点是人格权独立成篇，隐私权和个人信息保护是人格权的重要内容；2021年9月1日 《数据安全法》以及2021年11月1日《个人信息保护法》的实施，对个人信息数据的收集、处理、储存等各个环节的主体提出更加严格的要求。企业，作为劳动者的用人单位，在招聘、劳动合同的订立、履行等过程中，会收集、储存、使用到员工的个人信息，用人单位应根据相关法律的规定，建立完善企业的个人信息保护合规体系。

二、个人信息保护合规体系

个人信息保护合规体系建设，是企业合规体系中的一个重要专项，在建设时除遵守关于企业合规的系列规定外，笔者认为，还需要关注和注意以下事项：

• 《民法典》

  尤其是《民法典》第四编人格权第六章隐私权和个人信息保护的规定；

• 《数据安全法》

• 《网络安全法》

• 《个人信息保护法》

• 《信息安全技术.个人信息安全规范》（GB/T35273-2017)

• 《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020修正)

• 欧盟《通用数据保护条例》（GDPR）

第一类是一般个人信息，是指除隐私信息和敏感信息之外的个人信息，如员工的姓名等；

第二类是隐私信息，又叫私密信息；根据《民法典》第一千零三十二条第二项的规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。故判断隐私信息与非隐私信息的标准，是从个人的主观角度出发，是否愿意为他人知晓，是法律对人格权的保护。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的规定，自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等，属于个人隐私信息。

第三类是敏感信息，根据《个人信息保护法》第二十八条的规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”所以，敏感信息与隐私信息不同在于，隐私信息是从个体的主观出发，是个体不愿为他人知晓，而敏感信息是从客观出发，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。当然大量的敏感信息是隐私信息，大量的隐私信息也是敏感信息，但是保护手段是不同的。

个人信息处理时，一般要遵守告知和同意两大处理流程，当然，如是“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”等特殊情况时可免同意流程；而如是敏感信息，除告知和同意外，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下才可处理。

处理个人信息，应当遵循合法、正当、必要和诚信四大原则，不得通过误导、欺诈、胁迫等方式处理个人信息；处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第一阶段：劳动关系建立前的阶段，招聘求职阶段，也称前合同义务阶段；

第二阶段：劳动关系建立阶段

第三阶段：劳动关系履行和变更阶段

第四阶段：劳动关系解除和终止阶段

第五阶段：劳动关系结束后的阶段，亦称后合同义务阶段

第一阶段：劳动关系建立前的阶段，招聘求职阶段，也称前合同义务阶段

在该阶段，用人单位可以收集的信息是有范围的，根据《劳动合同法》第八条的规定，用人单位可以了解的求职者信息仅限于“与劳动合同直接相关的基本情况”，如“姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历”，对于与劳动合同不直接相关的基本情况，如员工的婚姻情况、生育情况，员工可以拒绝回答。

建议用人单位让求职者签署《应聘者背景调查个人信息处理授权书》、《个人信息同意书》等，如果用人单位委托第三方进行背景调查的，还需要从应聘者处获取向第三方提供其个人信息的授权。

第二阶段：劳动关系建立阶段

“敏感个人信息”与“个人信息”是特殊与一般的关系。《个人信息保护法》第13条适用于“个人信息”的合法基础“为订立或者履行个人作为一方当事人的合同所必需”，但能否适用于用人单位收集敏感个人信息的情形并未予以明确。对用人单位而言，采集的劳动者个人生物特征（如劳动者的指纹、面部特征等用于考勤、门禁）、医疗健康（如用于禁忌岗位、投保而收集的个人疾病史等）、金融账户（用于发放工资、报销款项等）等，都属于敏感个人信息。审慎起见，用人单位应在收集前取得劳动者的单独同意。

在签订劳动合同的同时，用人单位应将员工的个人信息按三种不同方式分类，赋予处理时不同的处理流程。

建议用人单位，修改劳动合同，增加个人信息处理的条款，要求新入职员工签署；员工入职时填写个人信息收集表，录入个人信息。用人单位对于个人信息的收集应当符合最小限度、合理的目的、合法等原则，并符合用人单位规章制度的要求；对于生物信息、医疗健康、金融账户等敏感信息的处理有“单独同意”。

第三阶段：劳动关系履行和变更阶段

用人单位对不同类型的雇员信息应区分不同处理方式，如对于个人信息的存储，第一步，用人单位应区分雇员个人敏感信息和非敏感信息进行存储，对于个人敏感信息，用人单位应准备单独告知同意函与雇员确认存储方式，建立风险评估报告及处理情况记录等并存储；第二步，针对生物识别信息，用人单位如无例外情形，不应存储原始个人生物识别信息(如员工面部图像原始文件等)，仅将其保留在识别设备终端以身份认证，在实现认证功能后删除可提取的原始图像。

在劳动关系的履行过程，用人单位的工作人员要有个人信息保护的合规意识，如用人单位在工作场所安装监控、GPS定位；调取工作邮箱、企业微信、工作电脑；员工提供患有精神类疾病的材料，企业前往医院核实等，涉及员工敏感信息时，要注意法律规定的特殊流程。

建议用人单位的规章制度中应当明确收集个人信息的范围、使用目的以及处理规则，并且不违反法律规定的，方能成为“不需个人同意”处理个人信息之依据；规章制度中还需要明确用人单位的个人信息保护职责，设置用人单位个人信息保护负责人以及员工行使查阅、复制等个人信息权利的规则等具体内容。

第四阶段：劳动关系的解除与终止阶段

尤其是用人单位行使过失性解除权时，进行解除宣告时注意隐私信息的保护，避免侵犯员工隐私权。

第五阶段：后合同义务阶段

关于离职员工的个人信息管理问题，《劳动合同法》第五十条规定：“用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查。”当然，该等情况下，用人单位应当停止除存储和采取必要的安全保护措施之外的处理。

另，对于离职员工，员工意向入职的新单位前来背调时要注意：

实践中，经常有劳动者从原单位离职后入职新单位，原单位主动向新单位提供或者在新单位对劳动者展开背调时向其提供劳动者原工作期间的工作表现、基本情况等涉及到个人信息的部分。劳动者离职后，用人单位应慎重使用其个人信息。《个人信息保护法》第十三条中所列举的合法基础，即“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；”能否适用这种情况仍有待商榷，原单位应慎重对待，否则很可能存在侵犯劳动者个人信息的法律风险。

三、结束语

参考文献：

[1] 周汉华：《个人信息保护的法律定位》，载《法商研究》2020年第3期，第47、51页。

[2] 张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期，第45页。

[3] 梁枫：《企业合规建设手册》，第72页

[4] 国务院国资委政策法规局负责人就《中央企业合规管理办法》答记者问-解读-中国政府网，2023年3月10日

来源：金诚同达

作者：庞春云，高级合伙人 上海办公室；业务领域：公司设立与合规、劳动法、诉讼与仲裁；联系方式：pangchunyun@jtn.com

特别声明：以上文章仅代表作者本人观点，不代表北京金诚同达律师事务所或其律师出具的任何形式之法律意见或建议。