2021年8月20日《中华人民共和国个人信息保护法》（“《个人信息保护法》”）正式通过，于2021年11月1日开始执行，《个人信息保护法》的出台标志着公民个人信息保护进入新时代。结合此前的《网络安全法》《数据安全法》《电子商务法》《民法典》等逐渐形成了较为清晰的个人信息保护的法律规范框架。

个人信息是指以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息，此处的“自然人”当然包括劳动者，用人单位作为劳动者个人信息的收集者、存储者、使用者，必须按照法律规定进行处理，这对用人单位而言是前所未有的挑战。因为在用工过程中，个人姓名、性别、身份证号、银行账户等个人信息，包括敏感信息，用人单位都会掌握。为此，用人单位重视个人信息保护是个人信息保护时代的重要事项。

——劳动用工领域个人信息保护的特殊性

劳动关系并不是一种简单的平等法律关系，用人单位与劳动者存在较强的人身依附性，是管理与被管理的关系。劳动者同时作为个人信息的所有者，《个人信息保护法》同时赋予了劳动者对单位的管理措施说“不”的权利，比如，是否可以采取人脸识别的方式考勤，人脸识别涉及个人敏感信息，用人单位需要给予劳动者选择权，同样需要获得劳动者的同意。为此，用人单位如再像过去一样只按自己的意思采取管理措施显然不妥。然而，我们又必须看到，区别于其他个人信息保护，劳动关系项下的个人信息保护应充分考虑用人单位的管理自主权，而不是简单只从个人信息权保护的角度思考。

——用人单位管理权、个人信息保护权、隐私权等权利冲突与选择性保护

从招聘录用阶段开始，用人单位要求劳动者提交的简历和各种资料就包含了大量个人信息甚至敏感个人信息，这里既涉及用人单位的管理权，也涉及劳动者个人信息保护权、隐私权等权利。用工过程中，上述权利必然会有冲突，比如，用人单位基于管理的需要，要求劳动者披露对外兼职情况，劳动者以此属于个人信息或者隐私而拒绝呢？显然，这就涉及用人单位自主用工管理权、知情权与劳动者隐私权、个人信息权益冲突的问题。如何处理日常管理中的类似冲突，显然法律并不能给予全部答案，用工管理的边界、比例原则、自主权必要限制原则等需要理论和实践中的不断发展，也是今后处理具体问题时面临的一大难题。

——个人信息保护贯穿于劳动用工管理过程始终

用人单位从招聘、面试、入职、签订劳动合同、考勤等日常管理，到离职、档案转出等，几乎全过程时刻伴随着个人信息的收集、存储、使用、提供、删除等，不仅包括员工的姓名、年龄、住址、身份证号、社保缴费信息、工资账户信息等个人信息，甚至还包括员工的亲属信息，整合到一起势必是一网庞大的信息流。个人信息保护影响用人单位劳动用工管理的方方面面，哪怕一些行业内司空见惯的行为都需要重新进行思考与反思，例如员工入职前的背景调查、职场监控、指纹考勤等等。

考虑到用人单位的管理成本，如何对掌握的个人信息进行差异性保护，如何对大量的员工个人信息进行筛选分类，不仅考验用人单位管理能力，也对用人单位理解、适用法律提出了更高的要求。

——违反个人信息保护承担法律责任加重

《个人信息保护法》的出台对于违法违规的用人单位或个人在法律责任的承担上均加重。

民事责任：用人单位或个人不能证明没有过错的，应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定，难以确定的，根据实际情况确定赔偿数额。

行政责任：对于违法《个人信息保护法》则面临监管行政部门从责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务的行政处罚措施。对于拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

同时，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

刑事责任：违反《个人信息保护法》规定的，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

根据《刑法》第253条规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。用人单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

为此，兰台劳动特意制定《个人信息保护法》对企业用工合规影响的解读。本解读分为三部分，第一部分：《个人信息保护法》对企业用工的挑战；第二部分：企业应对《个人信息保护法》的相关建议；第三部分：企业个人信息用工合规现状调查清单。

一、《个人信息保护法》对用人单位带来的挑战

用人单位按照传统的“管理-服从”模式无法适应时代发展的需要，为此，用人单位需要从以下五个方面作出改变：

1.意识形态上的改变

首先，用人单位应从“管理者”的站位发生转变，注意区分一般个人信息和敏感个人信息，对收集到的信息建立分类分级处理的意识，需要获得员工本人进行授权同意的，应当及时取得员工授权同意。

其次，用人单位应放下以往的“身段”，积极与员工进行协商沟通。《个人信息保护法》中提到的“敏感个人信息”较一般信息对劳动者的影响更大，所以，法律规定了更高的授权要求和处理标准，了解员工内心需求，避免不必要的冲突对立，从而保障依法合规地开展工作。

再次，用人单位为了“图省事”，将员工个人信息统一收集、统一处理的方法也已严重不符当下的局面，应用于不同情景下的不同信息需要更细化、更区别化的规定。例如收集人脸信息与收集电话号码就存在本质上的不同，由于前者属于生物识别信息，属于敏感个人信息的范畴，而后者属于一般信息，获取授权时前者在程序上需要更加严谨。

意识的改变需要管理层和每一个员工改变此前习以为常的做法。

2.制度上的保障

用人单位作为个人信息的处理者，掌握的员工个人信息体量很大，不仅如此，近些年来，由于员工擅自收集、泄露客户个人信息的消息频繁爆出，这也为其他用人单位敲响了警钟。为此，用人单位用工过程中个人信息的保护至少包括两个维度，一方面是针对自身员工个人信息的保护，另一方面是规范员工行为不侵犯个人信息，包括客户信息，尤其是个人客户较多的机构，比如银行金融机构。

从意识上认识该问题是起点，从制度上有保障既是落实法律规定的需要，也是企业内部合规的基础，所以，企业亟需建立起个人信息保护的机制，同时对现有的个人信息保护与管理的制度进行不断的完善与调整，以防被不法犯罪分子“钻了空子”。

首先，制度建设上，公司章程和员工守则等重要文件中普遍缺乏对个人信息的规定，增加这方面的内容一是对员工行为加以约束，二是对用人单位收集、使用、传输、删除个人信息等程序进一步明确，提高用工管理的现代化、规范化，同时也为应对可能产生的纠纷提供行为上的依据。除了常规制度外，还有可能涉及重要事项的个人信息安全的评估机制等都需加以关注。

其次，在人员上，提高全体员工的个人信息保护的法治意识，严防内部信息泄露事件的发生，更应避免员工泄露客户信息等。人员设置上，需要考虑从职责、分工、制衡等角度重新梳理涉及个人信息保护的流程和事项，比如，是否对以往接触个人信息的人员等级权限进行调整等。

再次，在应急制度上，需要评估是否已经建立以及应急制度是否有效。一旦出现个人信息泄露事件，经过舆论一传播对整个公司的声誉口碑都是灭顶打击，个人信息保护的应急措施应早一步提上日程。

最后，在制度具体执行以及监督上，需要设置配套的保障措施，建立对个人信息的动态监管，对违法违规处理个人信息的行为设置一定的惩罚措施。同时，对内容执行的成果进行量化，总结经验，不断优化。监督机制同时也需要人力投入和技术支持，用人单位都应统筹考虑。

3.流程上的保障

此次《个人信息法》出现频率极高的一个词是“同意”，以往理所当然的用工管理流程都可能需要增加一个“取得劳动者同意”的前提。尤其对于敏感个人信息，《个人信息保护法》明确，敏感个人信息需要取得个人的单独同意，且在处理时除了告知必要事项之外还应当告知处理敏感个人信息的必要性以及对个人权益的影响。

因此，用人单位需要提前对收集的信息的性质进行区分，考虑在哪些用工管理的环节需要设置授权或同意的流程、采用何种方式获得授权，为后续流程的改变与设置奠定基础。同时，用人单位还应当考虑当员工拒绝授权时，如何进行下一步管理，例如，用人单位选择通过指纹打卡或“刷脸”打卡的方式进行考勤时，根据最高法院近期出台的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，应当同时提供其他验证方式，否则可能会承担民事责任。故当员工不同意指纹采集或“刷脸”的，如何进行考勤管理，需要用人单位作出抉择。

当然，法律上简单的“同意”两字转换成用人单位的管理活动会涉及许多问题，众多老员工的个人信息授权如何取得？是否必须单独授权，通过规章制度或集体合同是否可以解决该问题？如果员工不同意如何处理？这些都是在流程保障和落实中需要解决的问题。

4.技术上的保障

为了保障制度及流程的落地执行，技术层面的协同与支持同样重要。随着数据化转型的来临，越来越多的用人单位用工过程中的个人信息都通过OA、APP等技术手段实现，这些技术有自身开发的，也有外部供应商提供的，这些系统本身的安全性变得更加重要。不仅如此，从用人单位内部讲，不同部门职责不同，人力资源部门虽然负责人力管理工作，但指纹提取、面部识别、职场监控等技术以及执行可能归其他部门负责，这样，不同部门职责的衔接也是技术保障的一部分。

随着网络办公时代的来临，个人信息收集、存储及保密对技术的依赖将更加明显，技术设备的购置、更新、维护、使用等用人单位都需要认真规划，这些对于内部各部门协同工作亦将是一项不小的挑战。

5.对日常管理的影响

个人信息流动在用工管理的全周期，例如，入职前的背景调查，用人单位需警惕“暗地调查”带来的风险，应通过合法手段开展或委托有资质的第三方机构进行背调并如实告知拟入职员工并获取同意。再如入职后的电子监控，包括电脑监控和视频监控，很可能与员工的隐私权产生冲突，需要对监控的合法性、合理性、必要性进行评估，选择对员工隐私侵犯最小的方式或采取替代性方案进行管理，并对员工进行充分的告知，有些还需获得员工授权。离职后的个人信息管理同样重要，为避免可能的风险与纠纷，对离职人员的个人信息如何处理应当及时与员工本人进行协商、约定，及时对用人单位掌握的员工个人信息库进行更新、删除。再比如，其他机构要求用人单位配合其披露员工个人信息时，是否披露以及如何披露，这些都是问题。

《个人信息保护法》为用工合规管理提供了另外一个观察维度，此前用人单位习惯的个人信息搜集、处理、存储等问题都需要再次被合规审视。

二、建议和观察

《个人信息保护法》刚刚出台，尚未配备配套的法律法规、实施细则、解释说明等。从出台背景看，《个人信息保护法》此次主要针对的是互联网企业等大型或涉外的个人信息处理者，而劳动用工领域的个人信息如何监管规范，至少不是本次立法的重点监管领域。为此，很多问题的解决尚不明朗，仍有待后续进一步出台相关的法律法规、司法解释等予以明确。

尽管个人信息保护在劳动用工领域如何规范适用尚不明晰，但有一点不可否认的是，个人信息保护逐步加强将是未来发展的趋势，对单位的用工管理产生影响也是必然。基于上述，我们建议用人单位应：

1.树立个人信息保护的意识

充分意识到个人信息的重要价值与个人信息保护的重要性。个人信息蕴含着巨大的价值，得到妥善利用可以创造经济效益，保障用人单位正常经营管理，与此同时，对个人信息保护所带来的挑战亦要树立充分的危机意识，一旦疏忽大意，就会对单位的声誉、财产等产生巨大的影响，需要积极审视过往的不足，作出改变。用人单位应当未雨绸缪，用意识带动行动，从过去由用人单位主导管理的方式逐步向遵循合法、正当、必要和诚信的原则处理个人信息的方式转变，逐步清晰用人单位自主用工管理权、知情权与员工个人信息保护的边界，在动态中达到平衡。

2.持续关注并积极跟进后续出台的个人信息保护相关的立法和司法动向

由于《个人信息保护法》刚出台，执法部门的具体职责范围、个人信息权益的性质以及在劳动用工领域权益冲突情况下如何适用等问题均有待相关的法律法规予以进一步明确。在此情况之下，用人单位应当紧跟《个人信息保护法》后续的立法动向，在具体的要求与标准出台后，及时建立个人信息处理的制度与机制，合法采取相应措施，掌握个人信息保护的主动权。

一般来说，通过合理监控得到的证据可能是有效的，但用人单位频繁遇到的类似取证问题也将面临不确定性。我们看到有一些案例对于相关证据合法性不再采信，比如某员工和其他公司洽谈销售业务并亲口承认自己要“飞单”，公司提供了为员工配备手机录制的录音记录，该证据法院认为，除法律另有规定或者权利人明确同意外，任何组织和个人不得实施窃听他人私密活动、处理他人私密信息等行为，公司对劳动者履行工作职责进行管理监督无可厚非，但应当在合法合理的限度内行使权利。

3.加强个人信息保护的培训与宣传教育，强调打好刑事犯罪的预防针

违反个人信息保护的后果从不止步于民事赔偿。近些年来，企业因违规收集、使用个人信息受到行政处罚的案例屡见不鲜，更有甚者因出售、非法提供、获取公民个人信息等而触犯刑法红线，走上违法犯罪的道路，对企业而言，在全公司层面树立个人信息保护的观念是必不可少的。同时值得注意的是，用人单位对于个人信息类犯罪的预防不应只停留到单位犯罪的层面，在部分个人犯罪的案件中，存在单位未被认定构成犯罪，但被员工个人犯罪所牵涉导致单位承担连带民事赔偿责任的先例。总而言之，用人单位还应当通过加大培训宣传等方式将个人信息保护的重要性深入贯彻到每一位员工，只有这样才能防微杜渐，筑立起一道违法违规的防火墙。

三、企业个人信息用工合规现状调查清单

针对上文所说的挑战与建议，单位自查一下目前员工个人信息保护的现状非常有必要，我们从员工个人信息观念、制度、管理等方面制作了合规现状调查清单如下，供自查、参考：

1.个人信息保护合规观念

（1）单位是否将个人信息保护纳入合规管理

（2）单位是否对员工有基本的个人信息保护方面的培训、政策宣传等

（3）单位在使用采集员工个人信息的系统前，包括但不限于考勤系统、电子劳动合同签订系统等设备，是否对设备安装的必要性、安全性、第三方的合法性和可靠性，尤其是个人信息保护方面的能力进行评估

（4）单位是否对个人信息保护的违规行为进行过处理

（5）是否会定期了解关于个人信息保护方面的政策、法规等

2.员工个人信息保护的制度建设

（1）公司是否有个人信息保护制度，并且在制度中对于个人信息保护级别进行分类，从员工招聘、入职、在职、离职环节，对个人信息收集、存储、使用、传输、销毁以及披露等都有相关规定，同时，对发生个人信息安全紧急事件有安全应急预案并定期进行演练

（2）是否将非法处理个人信息列为重大违纪，并有相关的举报、调查以及处理制度

（3）公司对于接触员工个人信息的人员是否有保密职责的要求，是否签署保密协议、进行保密培训，并且有相关确认和留痕

（4）上述相关制度是否经过民主以及公示程序

3.用工管理流程中员工个人信息保护情况

——招聘

（1）招聘员工的渠道和方式是什么

（2）收集简历以及个人信息时是否符合相关的隐私政策或者个人信息保护的规定？如果与第三方合作的，第三方个人信息来源的合法性、对员工隐私权以及个人信息保护的情况是否了解

（3）如果超过第三方授权范围使用个人信息，比如将个人信息共享给关联公司，是否会获得相关授权或承担责任

（4）是否会进行背景调查

（5）背景调查时，是否会提前告知拟聘用的人，并且获得相关个人信息调查的授权

（6）对于参加面试或者拟聘用的人的个人信息是否有保护的措施和方法，相关信息是否会定期销毁

（7）是否在面试中使用系统，比如通过一些信息系统对员工进行筛选，如果使用，是否有隐私或者个人信息保护的措施和方法

（8）是否会定期评估招聘阶段个人信息保护的现状，并对相关岗位工作人员进行培训

——入职

（1）是否会填写员工个人信息保护承诺书，并建立员工个人档案

（2）是否对于员工个人信息收集、使用等获得员工授权，并对档案管理有制度上的规定

（3）是否会要求员工提交体检信息，或者婚育信息等个人信息，提交是否需要员工确认，并对这些信息的保护有更严格的要求

（4）是否有严格不允许获得的信息的要求，比如员工性取向等

（5）是否会签订电子劳动合同，如果签署，是否经过员工确认

（6）在劳动合同或者其他文件中，是否有关于员工个人信息保护方面的条款，尤其是单位在一定情况下搜集、使用个人信息的条款

——日常管理

（1）是否在日常管理中涉及指纹、人脸识别、行踪轨迹等考勤系统；对其中的敏感个人信息是否获得单独同意

（2）采取上述考勤是否获得员工授权，如果是第三方提供服务，是否对第三方存储数据的安全性等进行过评估；若员工不同意授权，是否有替代性方案

（3）是否会在办公区域或者办公设备上安装监控设备，是否提前告知员工并获得授权

（4）是否会对员工通讯设备，如电子邮箱、聊天记录等进行监控，是否提前告知员工并获得授权

（5）是否对存储个人数据的方式、安全性方面进行过评估以及定期改进

（6）如果发生特殊情况需要收集个人信息，是否会征得员工同意

（7）如果因为员工违纪调查，需要调查员工个人信息时，是否有侵犯员工个人隐私方面的评估

（8）如果第三方调取个人信息，是否会评估单位是否有披露权，并必要时获得员工同意

（9）如果涉及个人信息出境，是否有相关的法律合规评估，并获得员工同意

（10）对员工违纪、绩效等情况公示，是否会限定范围

（11）是否为员工提供便捷的撤回同意的方式

（12）是否利用个人信息进行自动化决策，是否充分告知员工并获得员工同意

——离职

（1）是否有对于离职员工的个人信息保护、销毁等具体措施的规定

（2）超过一定期限的个人信息的销毁方式

（3）接受第三方对离职员工进行背景调查时，是否评估过有无违反个人信息保护政策，例如在员工离职时要求员工签署接受第三方调查时单位的信息披露权等

——供应商的管理

（1）是否会对个人信息涉及第三方了解、收集、存储时的必要性、合法性、能力、资质等进行评估

（2）对于可能涉及了解、收集、存储员工个人信息的供应商是否有相关条款确保供应商不侵犯员工个人信息

（3）是否会对供应商进行过程管理，并将个人信息保护作为供应商是否合规的条件

（4）共同处理个人信息时，是否通过书面协议方式明确各自的权利与义务即法律责任

——其他

（1）对个人信息处理情况是否进行记录，是否制作了个人信息保护影响评估报告和处理情况记录并至少保存三年

（2）公司其他与个人信息保护相关的说明。

上述自查仅针对通用情况，每个公司根据具体情况会有特殊差异，比如，入职前是否可以对员工涉诉、涉刑情况进行调查，在职期间是否会要求员工提供家属等其他非个人信息等。

作者：程阳、余燕、刘松山