據公眾號“實說勞動法”報道，在當今的網絡時代，“信息”和“數據”是高頻用詞。各國立法者的用詞不同，有些國家使用“個人數據”或“數據”這個詞，如歐盟《一般數據保護法案》（簡稱GDPR），再如法國的《數據處理、數據文件及個人自由法》、德國的《聯邦數據保護法》。而我國在法律條文中使用是“個人信息”，如我國的《網絡安全法》和《民法總則》都使用了“個人信息”的表述，我國的《民法典》也延續使用“個人信息”這個詞，比《民法典》更具體的是，我們專門制定了《個人信息保護法》，該法已于2021年8月20日經十三屆全國人大常委會第三十次會議表決通過，自2021年11月1日起施行。

那么作為HR該如何來把握這部法律呢？筆者幫助大家梳理一下HR必知的15大要點：

一、什么是個人信息？

《個人信息保護法》第4條對個人信息有明確的界定，即：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。與《民法典》對個人信息采取具體列舉式的定義不同，《個人信息保護法》采取抽象化概況式的定義。

《民法典》第1034條：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

結合以上兩部法律規定，公司在員工關系管理中必定會涉及員工的個人信息，而且在人力資源管理的各個環節中都涉及員工的個人信息。

二、什么敏感個人信息？

《個人信息保護法》第28條，對敏感個人信息有明確的界定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。照此規定，在員工關系管理中，用人單位會接觸員工大量的敏感個人信息，如指紋、人臉識別信息、健康信息、銀行賬號甚至行蹤信息等。

三、個人信息與個人隱私是什么關系?

對于該問題，《個人信息保護法》并無規定，《民法典》對此有相應的規定。按《民法典》第1032條規定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。從該條規定來看，私密信息屬于隱私的范疇，個人信息當然包含私密信息，個人信息中的私密信息當屬隱私的范疇。對此，《民法典》第1034條也有明確規定，個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定。

四、用人單位是法律規定的個人信息處理者嗎？

《個人信息保護法》第73條，明確規定了個人信息處理者的定義，個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。因用人單位在勞動關系管理中必然會涉及自主決定處理員工個人信息的目的和方式，屬于法律規定的個人信息處理者。

五、個人信息的處理包括哪些？

《個人信息保護法》第4條第2款規定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。相對于《民法典》，《個人信息保護法》在列舉個人信息處理的具體環節時又增加了“刪除”。

從以上規定來看，用人單位在員工關系管理中，處理員工個人信息也貫徹用工管理的全過程，如入職讓員工填寫相關信息、將員工個人信息提供給出資方、關聯方或合作方、登報送達相關通知會涉及公開員工的個人信息等。

六、處理個人信息必須要經過員工同意嗎？

按《民法典》第1035條，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：

（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；

從《民法典》規定來看，處理個人信息的前提一般是要經過自然人“同意”，但法律另有規定的除外。大家也知道，在勞動關系中，用人單位與勞動者存在管理與被管理的關系，如果處理個人信息都需要勞動者同意，那么用人單位的管理權將無法實施，如用人單位要實施人臉識別考勤，勞動者不同意用人單位采集人臉信息，用人單位就無法實施人臉識別考勤。好在《民法典》在強調“同意”的同時，也預留了口子，即“法律另有規定的除外”，現在這個法律就來了，那就是《個人信息保護法》第13條，具體規定如下：

《個人信息保護法》第13條 符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

從以上第二項規定來看，立法者專門點了一下“合同”、“勞動規章制度”、“集體合同”、“人力資源管理”等，即為履行合同或實施人力資源管理所必需而處理個人信息的，不需要取得勞動者同意，如為了管理需要安置監控設施設備、為了委托第三方發工資或繳納社保需要將員工信息提供給第三方合作伙伴等。有了這一條款的規定，終于可以使HR松一口氣了！不過松口氣的同時，HR新任務也來了，勞動合同、集體合同、規章制度是否已經有了相關鋪墊條款呢？如果沒有，是不是該修訂、完善自己管理的一套人力管理文本呢？

筆者認為，雖然《個人信息保護法》對人力資源管理中的職工個人信息處理有松綁，但“同意”這個要求，仍然會被裁判者看重，并以此判用人單位承擔不利后果的可能性也會增加。

七、處理敏感個人信息必須要經過員工同意嗎？

《個人信息保護法》第二章第一節第13條規定了處理個人信息的一般規則，但第二章第二節還專門規定了敏感個人信息的處理規則，其中敏感個人信息前面第二個問題已介紹，即：敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。

對于敏感個人信息的處理，《個人信息保護法》規定較為嚴格，其第28條第2款規定，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。第29條規定，處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。從這一條規定來看，處理敏感個人信息需要經過員工的單獨同意。這一規定估計很多HR看了又不淡定了，如考勤管理采集員工指紋或人臉信息，這涉及生物識別信息；安排職工健康體檢會涉及健康信息，病假管理中需要員工提供就醫資料等，這些都是醫療健康信息，這些都需要員工單獨同意才行。如果員工不同意該怎么辦？這會給員工關系管理帶來新的摩擦和沖突。

八、處理個人信息應遵循哪些原則？

如前所述，用人單位在員工關系管理中涉及大量的個人信息，處理個人信息也貫穿用工管理的各個環節，處理個人信息有哪些基本原則？對此，《個人信息保護法》第5條至第9條規定了處理個人信息應遵循的原則，具體總結如下：

1.合法原則：處理個人信息必須依法進行，不得通過誤導、欺詐、脅迫等方式處理個人信息。

2.正當原則：處理自然人個人信息應當具有正當性目的，不能出于窺探個人隱私或其他非法目的。

3.必要原則：處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，有一定的必要性。

4.誠信原則：誠信信用是所有民事活動的基本原則，處理個人信息，尤其是用人單位處理員工的個人信息更應注意誠信信用原則。

5.最小限度原則：不得過度收集個人信息，應當限于實現處理目的的最小范圍；應采取對個人權益影響最小的處理方式；對于獲得個人信息，應當注意知悉范圍或傳播范圍的限制，應限定最小的知悉范圍，尤其是在用工管理中，應當僅限于有關的管理層知悉，不能擴大至其他員工。

6.公開透明原則：應公開處理信息的規則，明示處理信息的目的、方式和范圍。

7.質量保證原則：處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響。如員工工作年限不準確會影響醫療期、年休假的計算。

8.安全保障原則：個人信息的使用與處理必須建立在保證信息安全的基礎上。

目測以上幾個原則，筆者認為在員工關系管理中處理個人信息的必要原則、最小限度原則是不易把握、易引發糾紛的，如用人單位為預防職場舞弊讓員工申報親朋好友關系，某知名電商曾要求職工申報同學關系，自小學同學開始申報，這個是否屬于符合必要和最小限度原則，是否屬于過度要求？再如，病假管理中，要求員工除提供掛號單、病假證明單外，要求員工提供病歷，是否屬于過度搜集個人信息？這些問題，肯定是仁者見仁智者見智了，且一旦發生勞動爭議，不同的價值取向就會導致案件結果的天壤之別。

九、向境外提供員工個人信息有哪些要求？

對于外資企業來說，在中國境內的公司出于人事管理的需要向境外母公司或關聯公司或合作伙伴提供員工個人信息的現象也屢見不鮮，這就涉及個人信息的跨境提供。對此，用人單位今后也要注意法律規定，具體而言，有以下幾點核心要求：

1.獲得員工單獨同意。對此，《個人信息保護法》第39條規定：“個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。”

2.達到一定數量的，應獲得主管部門的安全評估。對于需要向境外提供較大數量職工信息的，除獲得員工本人同意外，還應獲得主管部門的安全評估。對此，《個人信息保護法》第40條規定：“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。”筆者注意到，早在2017年4月11日, 國家互聯網信息辦公室就《個人信息和重要數據出境安全評估辦法（征求意見稿）》（“評估辦法”）發出公開征求意見的通知，但截止目前，該文件還未正式頒布，現在《個人信息保護法》已頒布，這個文件的頒布也應該不遠了。這對于外資企業會有重要影響，但筆者認為，職工規模不大的外資企業向境外提供職工信息量不大、不涉及敏感信息的，一般不需要走安全評估這個程序。

十、與第三方合作開展員工關系管理工作，應注意哪些事項？

在企業人力資源管理中，還經常會出現與第三方合作的現象，如人事代理中的委托招聘、委托背景調查、委托代發工資、委托代繳社保、委托購買商業保險；再如推行電子勞動合同的，將勞動者個人信息存儲在第三方平臺上等等。這些委托事項的處理，也涉及職工個人信息的處理。對此，《個人信息保護法》也有相應的規范，該法第21條規定，“個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。未經個人信息處理者同意，受托人不得轉委托他人處理個人信息。” 因此，用人單位在與第三方合作，涉及處理職工個人信息（處理的含義前面已介紹，包括收集、存儲、使用、加工、傳輸、提供、公開、刪除）的，雙方的商務合同中也應注意按照《個人信息保護法》的規定，增加相關個人信息處理的條款。

十一、員工在個人信息處理中有哪些權利？

《個人信息保護法》與民法典的有關規定相銜接，明確在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、復制權、更正權、轉移權、刪除權（又稱被遺忘權）、要求解釋權、代行使權等。有關員工的這些權利體現在《個人信息保護法》第四章中的個人在個人信息處理活動中的權利，不再具體展開介紹。

十二、單位作為個人信息處理者有哪些義務？

如前所述，用人單位也是法律規定的個人信息處理者，個人信息處理者的義務主要體現在《個人信息保護法》第五章的個人信息處理者的義務，具體可以歸納為以下幾點：

1.制定內部管理制度和操作規程

2.分類管理個人信息

3.采取安全技術措施

4.管理培訓內部人員

5.制定應急預案

6.其它相關措施

從以上規定來看，也為用人單位在個人信息管理的建章立制方面提供了指引。

十三、員工的個人信息受保護權與用人單位哪些權利會產生沖突？

按《民法典》和《個人信息保護法》規定，自然人的個人信息受法律保護。《個人信息保護法》第1條的立法目的明確規定是為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用。自然人在求職過程中、入職用人單位甚至從用人單位離職及離職后，也涉及個人信息保護。對此，《個人信息保護法》第2條規定：“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。”這表明，員工在職場上的個人信息也受保護，但職場上存在管理與被管理關系，員工的個人信息受保護權難免會與用人單位的相關權利產生碰撞、摩擦。

具體而言，筆者認為主要有以下幾個沖突：

1.員工個人信息受保護權與用人單位知情權。《勞動合同法》第8條規定：“用人單位有權了解勞動者與勞動合同直接相關的基本情況，勞動者應當如實說明。”由此可見，員工有個人信息受保護的權利，但用人單位有對勞動者相關信息知情的權利，這兩個權利就容易產生沖突，因為兩個權利的邊界不容易把握，什么是與勞動合同直接相關的基本情況也存在爭論。

2.員工個人信息受保護權與用人單位的管理權。勞動者與用人單位建立勞動關系之后，應當接受用人單位的管理，但勞動者在接受用人單位的管理中也有獨立的人格，在勞動關系領域就會產生員工個人信息受保護權與用人單位管理權的沖突，如用人單位將指紋考勤切換為人臉識別考勤，員工若拒絕用人單位采集人臉信息就會產生爭議；再如用人單位要為外勤、銷售人員配備具有定位功能的手機或電子產品，員工不同意的，也會產生爭議。

3.員工個人信息受保護權與用人單位的調查取證權。勞動者與用人單位有發生勞動爭議的苗頭時，用人單位需要調查、搜集證據，在調查取證時有可能涉及到調取監控視頻、對給員工配備的電子產品進行監控或恢復收據，這個過程中就會涉及員工的個人信息受保護權與用人單位調查取證權的沖突。

十四、用人單位處理個人信息不當有哪些風險？

《民法典》、《個人信息保護法》的相繼實施，將個人信息保護提到了前所未有的高度，用人單位在人力資源管理中也應提高處理個人信息的合規意識，否則，處理個人信息不當，會帶來相應的風險，具體風險點有以下幾類：

1.被曝光的風險。現代社會自媒體比較發達，每個人都是一個媒體人，這就要求HR在人力資源管理各環節處理個人信息時應注意法律的規定，否則，有被曝光的風險。如在招聘錄用環節讓員工填寫戀愛信息、婚育信息、計劃生育信息等，都有企業被求職者曝光的典型案例。

2.被信用懲戒的風險。《個人信息保護法》第67條規定：“有本法規定的違法行為的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。”

3.民事責任的風險。違反《個人信息保護法》處理個人信息，給員工造成損害的，應當承擔賠償責任，對此該法的第69條有明確規定。

4.行政責任的風險。違反法律處理個人信息，按《個人信息保護法》第66條和第71條的規定，應承擔相應的行政責任。

5.勞動爭議敗訴的風險。如前所述，員工的個人信息受保護權與用人單位的知情權、管理權、調查取證權會產生沖突，在員工的個人信息受保護權與用人單位知情權、管理權、調查取證權發生沖突時，如何取舍就決定了勞動爭議的輸贏，前面本號發布的大量案例都充分說明了這一點。

6.刑事責任的風險。對此，《個人信息保護法》第71條規定，違反本法規定，構成犯罪的，依法追究刑事責任。對于刑事責任，這里也不再過多展開。

十五、《個人信息保護法》實施在即，HR要做哪些具體工作？

通過前面14個問題的分析，HR其實也應該能感受要做的具體工作：

1.學習新法律。最起碼應該關注或學習一下最新頒布的《個人信息保護法》，在人力資源管理中增強個人信息保護的法律意識。

2.修訂勞動合同文本。《民法典》以及《個人信息保護法》的頒布，也是用人單位修訂、完善勞動合同文本的契機，尤其是《個人信息保護法》第13條對用人單位通過勞動合同、集體勞動合同文本實施人力資管理所必需處理個人信息作為可以不經個人同意的法定情形，更提醒用人單位在修訂勞動合同、集體勞動合同文本時注意增加處理個人信息的相關條款。最后再提醒一下，別傻乎乎再用政府提供的勞動合同示范文本了，也不要百度上隨便下載勞動合同文本了！

3.修訂《員工手冊》。通過前面分析，可以看出在用工管理的各個環節都可能涉及員工的個人信息，用人單位在行使知情權、管理權、調查取證權時，需要注意避免侵犯員工的個人信息權益。筆者認為，為避免相應的風險，用人單位重視員工個人信息保護，有必要制定相應的政策，有關政策內容應至少包括個人信息收集、個人信息保管、個人信息使用、個人信息傳輸、個人信息刪除等各個環節，有關政策規定要達到的目的應當滿足以下幾點：1）用人單位在處理員工個人信息時應注意避免侵犯員工的個人信息；2）為用人單位處理個人信息設定合理的鋪墊性條款；3）規范職場上員工與員工之間涉及個人信息的不當行為，如不能在公司內傳播他人的個人信息等。

4.設計相關表單。要全流程分析用工管理各環節涉及處理個人信息的具體事項、所隱藏的風險以及風險規避的措施，如在招聘環節對候選人進行背景調查的，應當設計“背調個人信息的授權書”，并讓應聘者簽字確認；再如入職環節，應當設計“個人信息授權使用聲明”等，并讓員工簽收等。

5.日常管理注意員工個人信息保護問題。以上幾個方面更多側重于文本的完善，文本的完善可以為日常管理提供很好的工具，但在日常管理中也應注意員工個人信息的保護，如對于員工提交的病假材料，HR要注意限定知悉范圍，否則，就有違安全保障原則；再如向員工公告送達解除勞動合同通知書時，應注意員工敏感個人信息的處理等。

從以上分析以及本號之前發布的典型案例來看，在勞動關系管理中，個人信息受保護權與用人單位知情權、管理權、調查取證權的關系將長期糾纏下去，在糾纏中也畢竟給我們貢獻更多的典型案例，本案今后也將繼續發布最新的典型案例。