《个人信息保护法》对企业人力资源管理的影响和要求

《个人信息保护法》的施行，给企业的人力资源管理提出了新的要求和挑战，企业实施用工管理与处理员工个人信息密不可分，无论从筛选简历、招聘录用、再到日常管理到劳动合同解除与终止，员工个人信息保护问题贯穿整个人力资源管理过程中。如何防范用工在个人信息管理方面的风险，将成为企业在新规下人力资源管理的重中之重，每个企业都应该去学习和完善，本律师将《个人信息保护法》对企业人力资源管理的影响和要求做以解析。

1、什么是个人信息？

《个人信息保护法》第4条：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

《民法典》第1034条第二款：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

总结：个人信息是一种人格权，个人信息应当为可以用于识别特定自然人的各类信息，如用人单位已经将员工的相关信息作匿名化处理，无法再通过该等信息识别特定自然人的，则不属于上述法律规定的“个人信息”。

2、什么是敏感信息？

《个人信息保护法》第28条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

总结：敏感信息建立在个人信息之上，是更有针对性和价值的个人信息，个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14岁以下（含）儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

3、用人单位是否属于信息处理者？

《个人信息保护法》第73条：个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

总结：用人单位是个人信息的处理者

4、个人信息处理包括哪些行为？

《民法典》《个人信息保护法》第4条第2款规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第1035条：个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

5、用人单位可否将个人信息进行跨境数据传输？

《个人信息保护法》第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备安全评估、专业机构认证、国家网信部门制订的标准合同的条件之一；第39条规定，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

总结：在跨境数据流动场景中，企业应严格按照《个人信息保护法》、《网络安全法》与《数据安全法》的规定，慎重处理跨境数据传输的问题。

因为个人信息有时候很抽象，应用起来有一定难度，但是无论如何根据《民法典》和《个人信息保护法》的相关规定，用人单位处理员工个人信息，应当严格遵循以下原则，掌握好原则就可以正当开展使用。

1、合法、正当、必要、诚信原则：

用人单位处理个人信息应当依法进行，具有明确、合理、合法的目的；不得以误导、欺诈、胁迫等方式处理员工的个人信息；不得非法收集、使用、加工、传输员工的个人信息；不得非法买卖、提供或者公开员工的个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

2、最小程度原则：

用人单位处理员工个人信息应当与处理目的直接相关，采取对员工个人权益影响最小的方式；在收集员工个人信息时，收集范围应当限于实现处理目的的最小范围，不得过度收集员工个人信息；除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

3、公开、透明原则：

用人单位应当公开对员工个人信息的处理规则，明示处理目的、方式和范围。

4、质量保证原则：

用人单位应当在处理个人信息的过程中保证员工个人信息的质量，避免因个人信息不准确、不完整对员工个人权益造成不利影响。

5、安全保障原则：

用人单位应当对其处理员工个人信息的活动负责，应当采取必要措施保障所处理的员工个人信息的安全，避免造成信息泄露等信息安全事件。

1、根据《个人信息保护法》的相关规定，用人单位在以下情况下，应当事先取得员工的知情同意，否则不得擅自处理员工个人信息。

（1）用人单位自行收集员工个人信息的；

（2）用人单位已取得员工对个人信息处理的知情同意，但用人单位变更该类个人信息的处理目的、处理方式、处理的个人信息种类的；

（3）用人单位向第三方提供员工个人信息的；

（4）用人单位公开处理员工个人信息的；

（5）用人单位向境外提供员工个人信息的；

（6）用人单位处理员工敏感个人信息的。

但是，在上述情形下，如果用人单位处理员工个人信息属于法律规定的例外情况，则用人单位无须再就个人信息的处理取得员工的单独同意。

2、用人单位获取员工知情同意的方式

（1）制定、修订规章制度或修改劳动合同模板

用人单位可以制定或修订规章制度、修改劳动合同或签订补充合同，增设关于员工个人信息处理的条款，明确告知员工，用人单位将会收集员工的哪些个人信息、敏感个人信息，以及对于该类信息的处理目的、处理范围、处理方式、处理期限。但是用人单位对于员工个人信息处理的相关规定，应当合理且适当，不得违反《个人信息保护法》等与个人信息保护相关的法律法规，且应当遵守用人单位在处理员工个人信息过程中应当遵守的合法正当、最小程度等原则。

此外，为保证增设的员工个人信息处理条款的效力，如果用人单位制定或修订规章制度的，应当严格履行民主、公开程序。如果修改劳动合同或签订补充合同，则应当与员工协商一致。

（2）签署知情同意书

用人单位可以事先起草一份员工个人信息处理的知情同意书，要求员工签署。员工知情同意的范围应涵盖用工过程中一般可能会涉及的用人单位对员工个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理活动。

1、根据《个人信息保护法》的规定，用人单位为订立、履行劳动合同等合同所必须，或者按照用人单位劳动规章制度和依法签订的集体合同实施人力资源管理所必需的员工个人信息（以下简称“用工管理所必需的员工个人信息”），用人单位可以自主进行收集等处理活动。

2、根据《劳动合同法》的相关规定，用人单位有权了解员工与劳动合同直接相关的基本情况，员工应当如实说明；劳动合同中应当载明劳动者姓名、住址、身份证号码或其他有效身份证件号码等。

3、一般情况下，用人单位在员工招录阶段，可以要求员工提供姓名、年龄、身份证号码、电话号码、家庭住址、电子邮箱地址、学历信息、工作经验、个人掌握的技能及证书情况等与员工基本信息、岗位招录条件直接相关的信息，但是对于与工作无关的员工个人信息，尤其是员工的个人敏感信息，如员工的种族、宗教信仰等，应当避免主动收集。

4、由于“医疗健康”信息属于《个人信息保护法》规定的敏感个人信息，所以用人单位无论在招录阶段或是员工入职后的用工阶段，均应注意收集医疗健康信息的尺度，谨慎要求员工提供除影响员工正常工作之外的医疗健康信息。

5、用人单位要求用人脸、指纹等打卡，人脸、指纹个人信息属于个人敏感信息，用人单位收集时应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。雇员拒绝提供上述个人信息的情况下，用人单位应提供其他可替代的考勤方式或说明这一识别方式的不可替代性。

6、用人单位对销售、司机等岗位进行GPS定位，GPS定位信息和行程轨迹在个人敏感信息的范围内，用人单位收集上述信息的合理性取决于定位内容的必要性以及雇员对被定位的知情同意的权利是否得到保障。前者考量的因素包括雇员的具体工种、定位的时间；后者则要求用人单位收集上述信息的程序合法、合理。

1、责令改正、警告、没收违法所得、罚款（一般情节）：如用人单位未能按照《个人信息保护法》的要求处理或保护员工的个人信息，则可能被履行个人信息保护职责的部门（网信部门及政府有关部门）责令改正，给予警告，没收违法所得，拒不改正的，并处一百万元以下罚款。

2、罚款、责令停业、吊销营业执照（情节严重）：由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

3、对直接责任人罚款、禁止担任董监高：用人单位违法行为属于一般情节的，履行个人信息保护职责的部门有权对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；属于情节严重的，处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

4、记入信用档案：用人单位有相关违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

5、民事赔偿责任：如果用人单位在处理员工个人信息的过程中侵害了员工个人信息权益，对其造成损害，用人单位如不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

6、公益诉讼、治安处罚、刑事责任：用人单位有相关违法行为，侵害众多员工的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。用人单位行为构成违反治安管理的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。