企业人力资源管理环节的数据合规指引

企业在人力资源管理过程中，不可避免地需要处理员工的姓名、住址、人脸识别、金融账户等个人信息，《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律法规对此提出了严格的合规要求，企业在个人信息的收集、存储、传输等环节都需要充分履行合规义务。基于此背景，本文将为企业提供一份员工个人信息处理的数据合规指引，帮助企业在基于经营、管理需要收集员工信息时，尽可能防范个人信息保护方面的合规风险。

一

数据合规之于企业人力资源管理的重要意义

企业在人力资源管理过程中，不可避免地需要收集大量的员工个人信息，如员工入职时需要收集员工的姓名、身份证号码、住址等基础信息，在为员工购买社保、发放工资时需要收集员工的金融账号信息，在执行考勤制度或安保管理时需收集员工的人脸识别信息等。

此外，对于规模较大、人员较多的大型企业，其所收集、处理的员工个人信息量也随之增加，许多外资企业、跨境设立分公司、子公司的中国企业甚至还需要引入跨境人力资源管理（提请注意，此处还涉及数据出境的合规需要，本文暂不予展开讨论），该类企业在员工个人信息保护、企业自身内部数据合规方面承担着更为严格的义务。

根据中国的司法实务，企业不履行数据合规义务，将面临多重责任风险。如违规收集、存储个人信息，或者处理个人信息未履行规定的个人信息保护义务的，企业可能面临的风险包括但不限于：被责令改正、罚款、停业整顿甚至吊销营业执照等行政风险，员工以企业侵犯个人信息权请求赔偿等民事风险，企业与员工、公众的信任关系受损等企业声誉风险等。

可见，在当前数字时代，为尽可能地保护员工个人信息、维护企业生产经营稳定性与声誉、防范数据合规义务履行不到位带来的多方面风险，企业经营者为实施人力资源管理搭建完整的内部数据合规体系势在必行。

二

数据收集合规要点

1. 收集员工个人信息时注意标识“敏感信息”

公司收集员工信息时，首先应注意的即所收集信息是否属于“敏感信息”，根据《中华人民共和国个人信息保护法》，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。对此，建议企业在收集员工信息时与员工签订《员工个人信息收集声明》，并将一般个人信息与敏感信息以明显方式进行区分，列在文件的不同区域，对敏感信息部分，进行标黑、加粗等，从而证明公司已明确告知员工将收集哪些个人敏感信息，保障了员工的知情权。

2. 公司在处理个人敏感信息时应注意取得员工的“单独同意”

“单独同意”是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为。与之相对的概念是“一揽子同意”，即个人通过一次授权操作（例如在交互界面上主动勾选同意选项）来同意多种目的或方式的个人信息处理活动。单独同意须同时满足实质和形式的要求。在实质上，需满足《中华人民共和国个人信息保护法》所规定的“知情”“自愿”“明确”三个要件，通过“不同意则无法使用”“与其他授权捆绑同意”等强迫或变相强迫取得的同意无效。在形式上，需以独立弹窗、页面或者在隐私政策内突出文本等方式加以告知，并通过独立的弹窗、页面在告知用户后单独取得同意。对于同意获取的交互方式，可参考《信息安全技术个人信息告知同意指南（征求意见稿）》中列举的六种方式：

（1）设置交互式界面，由个人信息主体做出主动勾选、主动点击“同意”“下一步”“继续”滑动滑块、主动发送等动作表示意愿；

（2）由个人信息主体主动填写、输入个人信息表示意愿；

（3）由个人信息主体开启可收集个人信息的API、权限表示意愿；

（4）个人信息主体通过纸质或电子的书面声明、签字确认表示意愿；

（5）个人信息主体通过电子签名方式表示意愿；

（6）个人信息主体通过电话录音、视频录像等方式表示意愿。

三

数据存储及处理合规要点

1.完成个人信息安全影响评估

根据《中华人民共和国个人信息保护法》第五十五条的规定，处理敏感个人信息必须进行个人信息安全影响评估。敏感个人信息的处理可能对个人权益产生重大影响，因此法律要求在处理这类信息前必须进行事先评估，以确保处理活动的合法性、正当性和必要性，且个人信息保护的影响评估报告和处理情况记录应当至少保存三年。具体流程参考如下：

（1）准备阶段：确定评估对象（如人力资源管理系统涉及的敏感信息）、评估范围（数据类型等）及评估目标（确保数据安全性）。

（2）评估内容：个人信息处理流程分析，梳理各类个人信息在系统中的流转、存储和使用方式。

（3）风险识别：识别可能导致数据泄露、篡改、非法访问等安全风险的内容。

（4）安全措施评估：评估现有的技术措施（如加密、访问控制）和管理措施是否有效。

（5）评估结果处理：评估报告需明确潜在的安全漏洞和改进措施，报告结果需由公司高层签字确认。

2.加强对信息处理人员的合规培训及数据处理监督，防止员工个人信息从内部泄露。

首先，企业应在规章制度中向员工明确告知，企业提供的员工工作电脑、电子邮件系统和内部网络仅限于工作用途，任何员工不应擅自在该等设备中储存或传输隐私信息。

其次，企业应在制订的员工手册、劳动合同、规章制度等文件中对员工使用办公空间、设备、网络等行为进行规范并履行告知义务及其他相关法定程序。同时，企业还可以就数据合规事项制订相应的检查流程，如在录取员工时，请员工自愿签署《同意函／承诺书》，同意企业有权为了维护商业利益／反舞弊／反商业贿赂／内部调查，获取、接触员工的个人信息等，后续通过员工培训或其他合理方式告知员工公司拥有相应对个人信息的处置权限。

四

员工权利保护要点

1. 保障员工的知情权、决定权、查阅复制权等法定权利

《中华人民共和国个人信息保护法》作为保障个人信息权益的基本法，明确规定了个人在个人信息处理活动中的权利，主要包括：

（1）个人信息知情权和决定权——即个人在其个人信息处理中享有知悉包括存储方式、处理目的、处理方式、个人信息种类等事项，有权自由决定其个人信息被何人所处理，以何种目的、何种方式、在何种范围内被处理，除非法律、行政法规另有规定。

（2）个人信息查阅权和复制权——即个人信息主体有权查询并获取其被收集和存储的个人信息。具体而言，个人可以向数据控制者（如企业、机构等）提出查阅请求，了解其个人信息的处理情况，包括信息的种类、用途、共享情况和保存期限等；且个人信息主体在查阅其个人信息时，有权要求数据控制者提供该信息的副本。

（3）个人信息更正权、补充权、删除——即个人有权请求个人信息处理者对其不准确的个人信息进行更正、对不完整的信息进行补充，以及对信息进行删除的权利。

为保障员工的上述权利，企业应当制定清晰的内部政策与沟通渠道、为员工提供查阅和复制的便利条件、设立反馈与申诉机制等。

2. 保障员工知晓行使权利的方式

《中华人民共和国个人信息保护法》要求个人信息处理者建立申请受理和处理机制，以保障个人行使其相关权利，并要求个人信息处理者拒绝个人行权请求时，应说明理由。个人信息处理者应当公开其制定的个人信息处理规则，该规则应当便于查阅和保存，个人有权请求个人信息处理者对其制定的个人信息处理规则予以解释说明。具体包括：

（1）明确个人在向个人信息处理者行使权利时如要求查阅、复制或者要求删除的，应通过何种方式向个人信息处理者中的何人提出申请；

（2）明确个人提出申请时，要提供何种证明材料以证明其属于个人信息被处理的个人并确实享有其主张的权利；

（3）明确个人信息处理者在符合何种条件下于多长时间内受理个人的申请并向个人进行反馈等。

业绩新闻原创

原创 | 美国“对等关税”政策解读与企业应对之策

康达原创｜2023年新《公司法》修订下连带责任制度解析与合规指引

康达原创｜新公司法下股东出资加速到期制度的分析与实务探究——以惠某与陕西某工程有限公司案为例

浅析《执行异议和复议规定》第28条之构成要件——以长沙某国企通过案外人执行异议案件挽回2000余万元资产案为例

原创 | GDPR与PIPL下的中国企业数据跨境传输与存储法律风险概述

企业人力资源管理环节的数据合规指引

原创 | 保健品涉诈案件辩护刍议——以刑法谦抑性为视角

外商投资企业“五年过渡期”变更备案提醒