从人力资源角度谈员工信息收集合规之法条解读

2022年第05期    作者:文│杨傲霜    阅读 897 次

继《民法典》之后，又一直接规制个人信息处理的法律出台。2021年8月20日，《个人信息保护法》在第十三届全国人民代表大会常务委员会第三十次会议上通过，自2021年11月1日起施行。由此，我国以立法形式显著加强了对个人信息的保护。从《个人信息保护法》设置的罚则力度不难看出我国对个人信息侵权行为的惩治决心。

大数据时代下，企业需要处理员工个人信息的场景似乎有增无减。从获取姓名、年龄、身份证号、联系电话、地址等基本信息，到获取健康、行踪轨迹、生物识别等敏感信息，超过一定程度，信息爆炸可能成为负担。无论从法律还是经济成本角度看，用人单位都应寻求处理员工个人信息的合规路径。本文将带领读者从人力资源管理与劳动法的角度，对《个人信息保护法》重点条款进行初步分析，以供进一步探讨。

 

一、《个人信息保护法》第4条：员工“个人信息”定义与员工信息处理各阶段情形

（一）法条原文

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

（二）法条解读

1. 以“员工”为个人信息主体

个人信息权指向“自然人”，也就是员工个人的信息。如果是因员工设立公司而产生的其公司相关信息，不属于《个人信息保护法》的保护范围。

2. “处理”员工个人信息的8种情形

《个人信息保护法》第4条列举了个人信息处理的8类情形，分别是收集、存储、使用、加工、传输、提供、公开、删除。

收集：指用人单位取得员工（含应聘候选人）个人信息的行为。其中包括员工主动提供与应用人单位要求提供的个人信息。例如，应聘者主动提供其个人简历、教育与工作背景；员工主动提供病假单，要求享受医疗假期。此外，用人单位为进行人事管理，会要求员工提供入职材料，主动披露其身份信息、家庭信息、医疗信息。

《个人信息保护法》第6条规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”因此，用人单位应当以“最小必要”为原则，不作过度收集。

存储：用人单位对收集的员工个人信息进行存储，多以书面、电子形式存储，再进行后续的信息处理。首先，存储时间最短化。根据《个人信息保护法》第19条，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。因此，用人单位应当遵循实现信息处理目的的最短时间要求。其次，劳动合同解除或终止后，建议告知离职员工，对存储的员工个人信息进行删除或匿名化处理，但法律另有规定的除外（请见下文“删除”）。

使用：用人单位对员工个人信息进行分析和利用。首先，对员工个人信息控制者设置内部使用审批流程，以最小与必要为原则，限制访问人员与访问内容；其次，根据员工个人信息使用目的，限制使用范围。员工提供个人信息一般与签订履行劳动合同或与用人单位人事管理相关，除员工同意外，不应将员工个人信息用作其他用途。

加工：指个人信息处理者对所收集、存储的个人信息进行筛选、分类、排序、加密、标注、去标识化等活动。

传输与提供：首先，按劳务派遣、劳务外包、薪酬外包、背景调查外包以及集团公司要求，往往需要将员工个人信息传输给第三方进行共享、委托处理，这就需要根据《个人信息保护法》的规定处理。其次，《个人信息保护法》第38条规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一……”此处法律明确规定“确需”向境外传输，故用人单位应当考虑是否达到“确需”将员工个人信息保存于境外服务器的要求。如果确需向境外提供的，则应当遵守国家相关规定与要求。

公开：《个人信息保护法》第25条规定：“个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。”因此，法律对公开处理个人信息进行了严格的规定。对于用人单位因业务开展需要公开员工的职务、履历、照片与视频资料的，员工一般不会持异议；但是如果对员工违纪行为进行公开通报或者在第三方背景调查时公开，则应当充分重视其法律风险。

删除：《个人信息保护法》第47条明确规定了应当删除个人信息的5种情形。对此，首先，《劳动合同法》第50条规定，用人单位对已经解除或者终止的劳动合同的文本，至少保存两年备查。《工资支付暂行规定》第6条规定，用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字，并保存两年以上备查；用人单位在支付工资时应向劳动者提供一份其个人的工资清单。其次，在没有相关法律规定保存期限的情况下，个人信息保存期限越长，泄露、遗失的可能性就越高；因此，笔者仍建议用人单位按照《个人信息保护法》第19条规定的“最短时间”原则保存个人信息。

二、 《个人信息保护法》第13条：员工“个人信息”处理的合法性依据

（一）法条原文

符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

（二）法条解读

本条法律是个人信息处理的合法性依据，分为以下两种情形。

1. 取得个人同意

“告知-同意”是各国普遍认可处理个人信息的基本原则。实践中，很多用人单位让应聘人员与员工签署个人信息授权同意书，但该同意书应当如何拟定？“告知-同意”是基本原则。根据《个人信息保护法》第17条，取得员工授权同意时，还需告知员工相关权利与权利行使方式，即“告知”是“同意”的前提条件与义务，下文将对此进行具体阐述。

2. 法定无须个人同意的情形

根据《个人信息保护法》第13条第2款规定，“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”时，处理个人信息无需征得信息主体同意。

所谓订立、履行与人力资源管理所必需，可以参考《劳动合同法》第8条，即“用人单位有权了解劳工与劳动合同直接相关的基本情况”。但至于何谓与劳动合同直接相关的基本情况，未见有进一步的法定解释。笔者认为，从狭义解释，姓名、住址、身份证号、健康状况、知识技能和工作经历等均可以是与劳动合同直接相关的基本情况，可以参照《劳动合同法》第17条、《上海市劳动合同条例》第8条、《江苏省劳动合同条例》第11条、《山东省劳动合同条例》第10条进行处理；从广义解释，用人单位可以通过制定规章制度与订立集体合同，向员工明确人力资源管理所必需的员工个人信息。

需要说明的是，用人单位的规章制度必须审慎规定哪些是“人力资源管理所必需”的员工个人信息，不得任意扩大化规定。对此，可以参考《劳动合同法》第39条，即员工严重违反用人单位规章制度的，用人单位可以解除劳动合同并不支付经济补偿。此处的“严重违反”用人单位规章制度，并非出现用人单位单方面规定的“严重违反”行为即可以作解雇处理，而是需要符合一般公众认识的“严重”标准与劳动争议案件司法实践标准。例如，《员工手册》规定迟到1次即属于“严重违反”用人单位规章制度，这明显是无效规定。即使《员工手册》经过民主程序并向员工公示，用人单位以此为由解雇也将被认定为违法解除劳动合同。此外，法律为限制用人单位的权利，同时规定了“依法制定”规章制度与“依法签订”集体合同。用人单位需要根据《劳动合同法》第4条及按法定程序制订规章制度与集体合同后，才能将其有效适用于员工，以及为处理员工信息奠定合法性基础。

三、《个人信息保护法》第17条：用人单位告知的内容与方式

（一）法条原文

个人信息处理者在处理个人信息前，应当以显著方式、清晰、易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

（二）法条解读

处理个人信息的基本原则是“告知—同意”。对于招聘员工与员工管理中涉及的员工个人信息，建议要求员工签署“个人信息处理同意书”，这就要确保员工是在充分知情的情况下自愿作出同意。《个人信息保护法》第17条对征求员工同意的要求如下：

1. 告知时间

用人单位要求员工提供个人信息前，应当根据《个人信息保护法》第17条的规定，向员工履行告知义务。

2. 告知方式

即“以显著方式、清晰、易懂的语言真实、准确、完整地向个人告知”。该要求与欧盟GDPR第12条的规定相仿，即控制者应采取适当措施，以简洁、透明、易于理解和容易获得的形式，向数据主体提供第13条和第14条中提到的任何与处理相关的信息，以及进行第15至第22条和第34条规定的各项沟通，特别是专门针对儿童的任何信息。

3. 告知事项（详见表1）

4. 告知保存期限：最短时间

首先，《劳动合同法》第50条规定，用人单位对已经解除或者终止的劳动合同的文本，至少保存两年备查。《工资支付暂行规定》第6条亦载明，用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字，并保存两年以上备查。其次，在没有相关法律规定的情况下，个人信息保存期限越长，泄露、遗失的可能性就越高。笔者建议用人单位按照《个人信息保护法》第19条的规定，除法律、行政法规另有规定外，对于个人信息保存的期限应遵循为实现目的所必要的“最短时间”。

5. 告知员工可行使的权利与行权方式

在员工（含应聘者）授权用人单位处理其个人信息的同时，用人单位也应当告知员工可以根据《个人信息保护法》第4章“个人在个人信息处理活动中的权利”行使其权利，并说明其行使权利的方式，例如员工有权向人力资源部要求修订或撤回其个人信息。

需要说明的是，如果用人单位处理的员工个人信息是签订劳动合同与人力资源管理所必需（即《个人信息保护法》第13条第2款规定），员工是否仍享有单方撤回、删除的权利，目前尚存在争议。笔者认为，对于签订劳动合同与人力资源管理所必需的员工个人信息，用人单位有权单方面处理，无须员工授权同意；否则用人单位无法履行其管理权，这也与劳动法律法规中用人单位与员工并非平等双方主体的原则相一致。

结语《个人信息保护法》已于2021年11月1日生效，以上三项法条解读针对的是人力资源部门目前最关心并亟待解决的合规问题，欢迎大家一起探讨解读及进一步制订相关合规方案。

 

杨傲霜

北京大成（上海）律师事务所合伙人，上海律协劳动与社会保障业务研究委员会委员业务方向：劳动与人力资源、争议解决、公司与并购