导读：企业在用工管理过程中将不可避免地对员工个人信息进行处理，应当遵守《个人信息保护法》规定的有关个人信息处理者的义务。本文结合案例对企业用工管理过程中收集员工个人信息的“最小必要性”原则提出了相应的思考，企业应当限于实现处理目的的最小范围收集员工个人信息，不得过度收集个人信息。

自《个人信息保护法》2021年11月1日生效以来，对企业处理员工个人信息的行为就提出了更高也更明确的要求。根据《个人信息保护法》的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。因此，在企业对员工进行用工管理的过程中将不可避免的对员工个人信息进行处理，企业也通常扮演着《个人信息保护法》规定的个人信息处理者的角色，而企业的人力资源管理部门往往是个人信息处理的实际执行者。然而在实际与公司人力资源部门的工作对接过程中，我们注意到公司人力资源部门对于何为依法依规的处理员工个人信息却并没有一个明确的概念。

因此，为帮助企业人力资源部门理解在用工管理过程中针对员工个人信息的处理原则，笔者在本文中将以收集个人信息的角度出发提出相应的思考。

一、用工管理过程中的员工个人信息

根据《个人信息保护法》的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

如果把上述定义具象到企业用工管理过程中可能收集到的个人信息，则笔者认为可能包括但不限于如下分类：

1.   个人基本信息：员工入职签署劳动合同：姓名、国籍、家庭住址、手机号码、电子邮箱、员工生日等；

2.   个人身份信息：身份证号码、社保卡卡号、居住证信息、护照信息等；

3.   个人生物信息：面部特征、声音特征、指纹信息、基因信息等；

4.   个人财务信息：收入情况、纳税情况、社保公积金缴纳情况、工资卡卡号、员工申报的财产情况等；

5.   个人教育、工作信息：工作经历、教育经历、学历、学位、从业资格等；

6.   个人健康信息：体检报告、诊疗记录、个人病史、家族病史等

7.   其他个人信息：通讯记录、通讯录、网页浏览记录、行动轨迹、员工近亲属情况等。

二、收集员工个人信息的“最小必要性原则”

根据《个人信息保护法》第六条第二款之规定，“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”但是对于企业来说，本文前述列举的个人信息都有可能在不同的适用场景下需要收集，比如基于反腐败调查的原因，需要收集员工的家庭成员信息、员工个人以及直系亲属的投资情况、从业情况等等，基于公司保密管理的原因，需要收集员工通讯记录、网页浏览记录等，基于公司门禁管理的原因，需要收集员工的个人生物信息等。那么该如何理解“最小必要性”，以下案例或许可以更直观的体现。

案件事实：员工甲在与A公司的《劳动合同》履行期间，因病休假，期间员工甲向A公司提交了医院的诊断证明书。A公司向员工甲发送律师函，内容为：员工甲提交的病假文件存在缺少部分病历、心理治疗凭证、心理治疗单据、医药费凭据、心理治疗材料、精神分析治疗材料，要求员工甲收函后向A公司出具完整的请病假资料，如无法提供，A公司将考虑不得不视员工甲的行为为旷工，并依法进行后续处理。此后，A公司向员工甲发送律师函，内容为：员工甲的配偶使用员工甲的工作邮箱向A公司及律师发送邮件，员工甲将邮箱密码透露给第三方，将工作邮箱交由第三方使用；员工甲未对欠缺的病假证明予以补充提交，视为旷工，员工甲严重违纪，故解除与员工甲的劳动关系。

裁判分析：在本案中，A公司在员工的病假管理中，要求员工提供病例、挂号单和病假单尚处于合理范围，但是要求员工提供心理治疗材料、精神分析治疗材料的要求，则属于过度采集个人信息，违反了个人信息处理的“最小必要原则”，以此解除劳动合同应属违法解除。对员工甲来说，无论是生理疾病或心理疾病，患病的细节应属个人隐私范围，A公司要求提供的病历等应以必要为限，能够反映员工甲患病就诊事实即可，但不应过分“求全”。

三、 思考

从以上案例可以看出，《个人信息保护法》规定的“最小必要原则”事实上给企业对员工的用工管理设定了较为严格的边界。企业要求病假员工提供详细的诊疗文件作为病假依据，在企业或者说人力资源管理部门的视角看可能无可厚非，但事实上可能已经违反《个人信息保护法》的规定。从以上案例更进一步的思考，在当前企业用工管理过程中，论最为“棘手”的员工病假原因，“抑郁症”等相关病例或许可以名列其中，因为企业一旦处理不当就有可能造成无法挽回的严重后果，但是如果企业无法对员工病假情况加以识别，那么类似“抑郁症”等病情可能会成为少数员工“浑水摸鱼”的挡箭牌， 从而影响企业正常的用工秩序。

加之《个人信息保护法》第六十九条规定，“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”也就是说，企业在用工过程中处理员工个人信息不当的责任承担原则是“无过错责任”。结合《个人信息保护法》有关“最小必要原则”的规定，仅仅在收集员工个人信息的阶段中就已经对企业提出了较高的要求，企业应当尽可能在事前评估需要收集的员工信息范围，限于处理目的的最小范围收集个人信息，从而避免因过度收集个人信息而导致的企业合规风险。