法務視角下的企業用工數據合規要點

“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。近年來國家出臺了一些列法律法規，不斷完善對個人信息的保護力度。

一、個人信息保護的相關法律法規

1、《中華人民共和國網絡安全法》

2016年11月7日通過，自2017年6月1日起施行。

2、《中華人民共和國民法典》

2020年5月28日通過，自2021年1月1日起施行。

《民法典》第1034條：

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等

3、《常見類型移動互聯網應用程序必要個人信息範圍規定》

2021年3月，國家互聯網信息辦公室等四部門聯合發布《常見類型移動互聯網應用程序必要個人信息範圍規定》，落實《中華人民共和國網絡安全法》關於個人信息收集合法、正當、必要的原則，規範移動互聯網應用程序（App）個人信息收集行為，保障公民個人信息安全。本規定2021年5月1日起施行。

4、《中華人民共和國個人信息保護法》

2021年8月20日通過，自2021年11月1日起施行。

《個保法》第4條：

個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息

5、《個人信息出境標準合同辦法》

2023年2月24日，國家互聯網信息辦公室公布《個人信息出境標準合同辦法》，自2023年6月1日起施行。

出臺《辦法》旨在落實《個人信息保護法》的規定，保護個人信息權益，規範個人信息出境活動。

6、《快遞電子運單》和《通用寄遞地址編碼規則》

2023年，市場監管總局發布《快遞電子運單》和《通用寄遞地址編碼規則》兩項國家標準。

《快遞電子運單》國家標準設立專門章節，強化個人信息保護內容。首先，禁止顯示完整的個人信息。快遞企業、電子商務經營主體等應采取措施，避免在電子運單上顯示完整的收寄件人個人信息。收寄件人姓名應隱藏1個漢字以上，聯系電話應隱藏6位以上，地址應隱藏單元戶室號。其次，推薦對個人信息進行全加密處理。快遞企業、電子商務經營主體等宜采用射頻識別、手機虛擬安全號、電子紙等技術手段，對快遞電子運單上的個人信息進行全加密處理。另外，國標還規範了個人信息相關內容的讀取權限。快遞電子運單上隱藏的、加密的信息內容，僅限於快遞企業及其授權的第三方、相關管理部門，使用相關設備合法

二、企業用工數據合規的基本原則

在個人信息保護不斷完善的大環境下，企業用工數據合規非常重要，遵循的基本原則有哪些？

處理個人信息的合法性基礎如下：

《個人信息保護法》第13條

符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍內處理個人信息；

（六）依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

哪些情況下，企業用工處理用工個人數據信息時候需要取得個人單獨同意？

三、合規建議

背景調查場景下

企業對於招聘關鍵技術人員、高管等核心成員，在招聘過程中，往往會對候選人進行背景調查，在此場景下，合規建議如下：

1）需要獲得被調查人的書面同意；

2）遵循合法、正當、最小必要的原則，不得過度收集；

3）與第三方簽訂保密條款，要求第三方在完成委托事項後對背調信息進行刪除；

4）求職者拒絕背調，但已經發出錄用通知的，不予錄用，將承擔締約過失責任。

個人檔案建立場景下

員工入職後，企業必然需要建立員工個人檔案，以加強對員工基礎信息管理，在此場景下的合規建議如下：

1）勞動合同/員工手冊增加個人信息收集相關內容；

2）告知可能向第三方提供的情形，並另行獲取同意；

3）敏感信息，單獨同意。

監控管理場景下

目前，大多數公司會在公司管理範圍內安裝監控設施，以監控員工日常的工作，在此情況下的合規建議：

1）就監控制定清晰且嚴格的內部管理制度；

2）充分告知-同意為前提，避免侵犯員工隱私；3）定期評估監控行為的必要性及合理性；

4）設定訪問權限，制定安全措施。

生物信息收集場景下

目前，很多公司會對員工采取指紋打卡、刷臉打卡等生物信息收集，以管理員工考勤等行為，在此情況下，合規建議如下：

1）單獨告知-明示同意；

2）員工手冊中增設個人生物識別信息保護規則；

3）原則上不存儲，功能實現後刪除。

內部調查場景下

企業為了規範員工行為，對違法違紀行為進行調查，很多企業會自行調查或委托第三方進行調查，以查清違法違紀事實，在此情況下，合規建議如下：

1）事先獲得員工同意，免除公司法律責任；比如通過員工手冊進行明確告知，並取得員工的簽字確認。

2） 為外部機構設定的嚴格保密義務，調查結束後對信息進行銷毀或返還。

數據跨境傳輸場景下

作為跨國公司，用工數據信息跨境傳輸非常常見，在此情況下，合規建議如下：

1）告知-明示同意；

2）建立個人信息出境合規流程；

3）遵循個人信息出境的相關規定；

4）建立境外數據存儲方采取數據安全保障措施。

離職階段

員工離職階段，對其個人信息數據處理同樣非常重要，在此場景下的合規建議如下：

1） 遵循法定存儲要求；

2）對離職後必要個人信息的處理有明確約定；

3）基於特定目的，需要處理其他個人信息的，單獨告知該員工並重新獲得同意。

綜合

綜上，為了降低企業用工數據管理風險，建議如下：

1）在勞動規章制度中盡量完整的列舉處理員工個人信息的典型場景，設定處理方式及範圍，同時設置適當的概括性條款；

2）以管理制度、員工手冊等方式進行公示。