世辉观点 || 《个保法》即将生效，HR应如何应对？

最近，秋招正如火如荼地进行，本市某大学的同学们在紧锣密鼓地寻找各自的第一份工作。

小陈是心气最高、目标最坚定的那个，他早早就在招聘网站上向唯一的目标A公司投递了简历。但随着手机一次又一次响起，小陈脸上没有喜悦，却越来越不堪其扰：“我明明只向A公司投递了简历，怎么给我打电话的全是其他公司？他们为何拿到了我的简历？”

室友小吴笑小陈太死板，“你也太凡尔赛了，有人给你打电话还不好，多个机会多条路嘛。”这几天，小吴不放过任何一个机会，已经参加了四五次面试。但这么多次下来，小吴渐渐对填写履历失去耐心。教育背景、实习经历、父母职务、婚姻和生育信息……小吴每次面对一张张表格，心里都直犯嘀咕：“太麻烦了吧！了解教育和实习经历理所应当，但家庭情况和我求职有什么关系？”

不过随着《个人信息保护法》（下文称“《个保法》”）即将在今年11月1日生效，小陈和小吴的烦恼有望逐步成为过去时。《个保法》着眼于个人信息保护的方方面面，对企业处理个人信息的规则与责任等进行详细规定。根据《个保法》，除了小陈小吴所关心的收集与使用外，个人信息的存储、加工、传输、公开、删除等行为，都属于个人信息的处理，应适用《个保法》的相关规则。

作为企业的HR，在日常工作中接触求职者及员工的个人信息已是家常便饭。《个保法》的出台，对于企业人力资源管理提出了哪些新要求？HR在日常工作中又应如何应对？大辉哥将聚焦企业人力资源管理全流程，梳理HR在《个保法》下可能面临的员工个人信息保护的重点问题。

作者：世辉律师事务所 | 张洪源 | 刘畅

1. 招聘阶段，HR应如何处理求职者个人信息？

岗位空缺，对HR来说，往往就意味着大量的简历和个人信息接踵而至。根据《个保法》，我们认为在处理求职者个人信息时，HR应特别关注下列问题：

求职者本人提交的简历——收集前应告知求职者相关事项并取得同意

根据《个保法》，企业在处理个人信息前需要向个人告知下列事项（下文称“应知事项”）：

• 企业的名称和联系方式；

• 个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

• 个人行使《个保法》规定权利的方式和程序。

根据以上要求，我们建议HR向求职者收集个人信息前可通过设置简历上传提示栏或邮件沟通等方式，向求职者全面告知应知事项，在征得本人同意后收集简历。

求职者个人信息——仅在必要限度内收集

求职者与企业尚未建立劳动关系，不接受企业管理。故与在职员工相比，企业收集求职者信息应当更加谨慎，仅在合理、必要的范围内进行收集。例如考虑到婚假的审批，企业收集在职员工的婚姻信息可能具备一定合理性，但同一行为对求职者而言往往缺少其必要性。我们建议，对于求职者，企业应仅收集其姓名、地址、联系方式等基本信息，以及教育背景、工作经历等对企业做出录用决定确有必要的信息。对于小吴而言，或许他终于可以放心地对一张张表格中待填的家庭信息说“No”了。

来自第三方平台的简历——与第三方平台约定权利义务

如从第三方平台（如猎头公司）获得简历，企业与第三方平台可能会构成《个保法》中的“共同处理”，此类情况下一旦一方侵害个人信息权益造成损害，另一方则需承担连带责任。

对此，我们建议企业可与第三方平台签署协议，明确双方的权利义务，包括要求第三方平台向企业提供简历需经求职者同意等，同时可以约定由第三方企业承担违规处理个人信息的责任，以降低企业自身风险。随着企业与第三方平台对求职者简历的处理日益规范，小陈的烦恼可能也会随之迎刃而解。

未入选求职者的简历——及时删除或取得同意后存储

在企业招聘结束后，对于未入选的求职者，企业通常应尽快删除其个人简历，以满足《个保法》中“个人信息的保存期限应当为实现处理目的所必要的最短时间”的要求。有些企业希望将未入选者的个人信息存入数据库以备不时之需，则有必要取得个人同意。对于需要利用匿名化处理后的信息进行相关就业分析的企业，由于该等信息不再属于个人信息，对其使用也不再需要个人同意。

从签到、打卡，再到指纹、面部识别，考勤方式变得越来越准确、方便。但鉴于这类生物识别信息的敏感性，《个保法》对这类信息的处理设立了一定限制。

指纹信息、面部识别信息——属于个人敏感信息

不同于普通个人信息，指纹和人脸等生物识别信息与宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息在《个保法》下被共同列举为敏感个人信息，其特征在于“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”。

在处理敏感个人信息时，企业需要满足下列条件：

• 取得个人的单独同意；

• 具有特定的目的和充分的必要性；

• 采取严格保护措施；

• 进行个人信息保护影响评估；

• 告知个人应知事项、处理其敏感个人信息的必要性及对其个人权益的影响。

收集指纹、面部识别信息——可能需取得个人的单独同意

在用工管理的语境下，除了取得个人同意，企业“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”（下文称“人力资源管理所必需”）是《个保法》下另一条常用的个人信息处理路径，这一规则也同样适用于敏感个人信息。换言之，如果企业处理员工个人信息符合人力资源管理所必需的情形，则处理员工个人信息无需征得其同意，处理敏感个人信息也无需基于其单独同意。

需要注意的是，尽管上述规定给予企业用工管理一定的灵活空间，但其要求企业严格满足法定要求：

• 企业处理的员工个人信息范围明确规定于劳动规章制度或集体合同中；

• 企业处理员工个人信息应为实施人力资源管理所必需，满足《个保法》下必要正当、最小范围等原则；

• 劳动规章制度和集体合同应按照法定程序制定，例如规章制度需要履行法定民主和公示程序，集体合同应按《集体合同规定》等要求订立。

不同于银行账户、病假条这些与工资发放、病假管理紧密相关的事项，指纹和面部识别信息是否属于考勤管理的必要信息在实践中存疑。即便将这类敏感个人信息纳入劳动规章制度或集体合同所规定的收集范围，其能否具有强制执行力仍存在讨论空间。对此，更加谨慎的企业可能会“左右开弓”，在规章制度或集体合同之外，通过单独的告知函、或在相关系统中通过划线、弹窗提示等方式取得个人单独同意，降低合规风险。

员工入职后，企业为更多地了解员工，常常会全面收集员工的各类信息，但此行为实际上并不被法律支持。《个保法》规定，处理个人信息应当遵循必要原则，具有明确、合理的目的，同时应当限于实现处理目的的最小范围，不得过度收集个人信息。为此，HR有必要对用工管理所涉及的繁杂的个人信息进行梳理：

根据法律规定收集

首先，《劳动合同法》明确赋予了用人单位了解员工“与劳动合同直接相关的基本情况”的权利，这些信息通常包括员工的姓名、性别、身份证件号码、联系方式和住址等，企业可以按规定收集。对于特定行业和岗位，为满足法律要求，企业可能需要了解一些特殊信息，例如餐饮、医疗、公共场所经营等企业可能需了解特定岗位员工的传染病信息；对于所属工种涉及相关职业病危害的女员工，企业可能需了解其婚育情况。

基于人力资源管理所必需而收集

如上文所提及的，企业还可以根据自身管理需要，在必要正当、最小范围等原则下确定实施人力资源管理所必需的信息，而如果没有明确、正当目的，超过合理的范围过度收集员工个人信息的行为则难以获得支持。

由于业务和管理需要的差异，不同企业需处理的个人信息范围也有所不同。例如，快递小哥的行踪轨迹与物流公司的业务开展密切相关，公司收集该等信息具有必要性和合理性，但其他类型的公司对员工行踪进行实时监控则可能缺乏必要性。

基于个人同意而收集

实践中，企业收集的某些个人信息可能超出上述法定或者人力资源管理所必需的范围之外（例如上文所提及的为考勤目的而获得的指纹、面部识别信息），但在企业具备明确正当的理由、符合必要合理等基本原则的前提下，可以通过征得个人同意的方式收集和处理。

人力资源管理中，涉及对外传输员工个人信息的情形可能包括企业以调查、审计为目的向专业服务机构提供员工资料、以及因委托发放工资而向人事公司提供员工账户信息等。根据《个保法》的规定，上述情形下，企业应当向员工告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。但是，如果企业对外传输员工个人信息符合上文所述的人力资源管理情形，则需将对外传输的相关事项在规章制度或集体合同中予以列明。同时，为降低风险，企业可以考虑就传输事宜同时征得员工的单独同意。

如果个人信息的传输涉及《个保法》规定的共同处理、委托处理和转移处理的情形，企业还需要根据具体场景履行相应义务。

企业如因业务需要而向境外提供个人信息（例如跨国公司向境外总部传输员工个人信息），除告知上述事项外，还应向员工告知其向境外接收方行使法定权利的方式和程序等事项。由于个人信息跨境传输的特殊性，企业还应满足下列条件之一：

• 通过国家网信部门组织的安全评估；

• 按照国家网信部门的规定经专业机构进行个人信息保护认证；

• 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。

关于上述《个保法》要求的个人信息保护认证及标准合同签订在实践中如何操作，相关部门暂未出台实施细则。但随着《个保法》的落地实施，相关实施细则也有望于近期出台，需要向境外提供个人信息的企业可对此继续保持关注。

《个保法》出台前，实践中个人就个人信息保护提起请求的权利并不经常受到关注，此种情况未来可能发生改变。《个保法》规定了个人在个人信息处理中的权利，并要求企业建立便捷的申请受理和处理机制，以便个人行使权利。在人力资源管理场景下，员工在个人信息的处理中有以下权利：

• 对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；

• 有权向企业查阅、复制其个人信息；

• 有权请求将个人信息转移至其指定的个人信息处理者；

• 如发现其个人信息不准确或者不完整的，有权请求企业更正、补充；

• 有权在处理目的已实现、无法实现或者为实现处理目的不再必要，以及《个保法》规定的其他情形下请求删除个人信息；

• 有权要求企业对其个人信息处理规则进行解释说明。

根据上述规定，我们建议企业根据自身情况建立员工行使个人权利的渠道，并将该等信息向员工充分告知，以满足《个保法》的相关要求。例如，企业可在员工手册等公司规章制度中专门设置个人信息保护章节，介绍员工行使权利的流程。

一般而言，员工离职，其个人信息也会在这家企业失去“生命”，个人信息的处理活动也将会随之停止。对于离职员工的个人信息，HR可以遵循以下规则处理：

建议存储的信息

根据《劳动合同法》的相关规定，用人单位对已经解除或者终止的劳动合同文本，至少保存两年备查。因此，劳动合同当中包含的员工个人信息，比如姓名、身份证号码、住址及联系方式等，属于用人单位在员工离职后应当保留的员工个人信息。关于包含员工工资金额、支付时间等信息的工资支付记录，《工资支付暂行规定》等文件也设置了保存两年以上备查的要求，企业应当遵守。

建议删除的信息

根据《个保法》的相关规定，个人信息的保存期限应当为实现处理目的所必要的最短时间。因此，对于指纹信息、面部识别信息等考勤所需的员工敏感个人信息，因员工离职后企业已无需对员工进行考勤，我们建议HR在员工离职后立即删除。

其他信息

对于员工的考勤记录、奖惩记录、绩效考评等信息，目前并无明确的存储或删除规定，但结合劳动争议仲裁时效，企业在员工离职后有必要至少保存相关记录一年以上。

此外，法律法规对特定工种员工的个人信息保存时限也有一些特殊规定。如根据《网络餐饮服务食品安全监督管理办法》，网络餐饮服务第三方平台提供者对食品安全管理人员进行培训和考核的记录保存期限不得少于两年。企业应根据具体情况保留特定工种离职员工的个人信息。

鉴于《个保法》对企业违规处理个人信息行为设置了较重罚则，除了在人力资源管理流程中完善对员工个人信息的保护，企业也需防范内部信息泄露。对此，我们结合《个保法》的相关要求，为企业提出以下四点建议：

权限分层管理

企业有必要在对个人信息进行分类的前提下，通过规章制度和技术手段划分个人信息处理人员的权限，分职级、分部门逐级确定个人信息处理人员所能接触个人信息的类别，从而降低因员工违法行为而引发的法律风险。

规章制度与保密协议

企业可以在规章制度中将非法处理个人信息明确定性为严重违反规章制度和劳动纪律的行为，并列明纪律处分后果。此外，企业也可以在与员工签署的保密协议中强调员工对其在工作中接触个人信息负有的保密义务，从而减少员工泄露个人信息的风险。

组织培训

《个保法》对包括HR在内的各类人员提出了更高的从业要求，企业有必要定期对处理个人信息的各类人员进行培训。培训完成后，企业也应注意保留培训记录证明等，以证明法定义务的履行，减免企业相关责任。

应急预案

根据《个保法》的要求，企业还需要制定个人信息安全事件应急预案，如发生或者可能发生个人信息泄露、篡改、丢失的，应立即采取补救措施，并通知相关部门和个人。企业可结合自身情况，将员工个人信息保护连同其他个人信息保护制定统一应急预案，由公司进行整体管理，也可以将员工个人信息作为独立类别形成应急预案。

《个保法》的生效已进入倒计时，我们相信小陈小吴们的烦恼会越来越少，而企业面临的挑战则会日益增多。个人信息保护已经成为每家企业合规工作的重中之重，企业只有结合自身情况，尽早采取合规措施，才能确保在同行业中处于上游，让数据合规为企业的发展保驾护航。

版权与免责

本文章仅供业内人士参考，不应被视为任何意义上的法律意见。未经世辉律师事务所书面同意，本文章不得被用于其他目的。如需转载，请注明来源。如您对本文章的内容有任何问题，可联系本文作者张洪源律师、刘畅律师或您熟悉的其他世辉律师。

张洪源 合伙人

zhanghy@shihuilaw.com

张洪源律师的主要执业领域为劳动法、劳动争议解决及社会保障法等。

张律师在劳动人事相关领域处理各类非诉讼和诉讼业务。张律师向客户提供劳动关系、外籍员工管理、商业秘密保护、竞业限制、工会、集体合同、工资薪酬、社会保险、福利及休假、职业健康、安全生产、员工个人信息保护等多方面法律意见。并且，张律师还长期处理劳动法方面的尽职调查与合规管理、企业并购、重组、搬迁等重大项目中的员工安置问题，以及经济性裁员等。

张律师在劳动争议处理方面也积累了丰富的经验，他代表客户参与和劳动人事相关的谈判与调解，代理劳动争议仲裁和诉讼案件。

张律师曾为众多大型国有企业、事业单位、跨国公司、大型民营企业提供法律服务，所涉及行业覆盖银行金融、物流、食品、咨询、保险、医疗、航空、汽车、软件科技等各类领域。

刘畅 合伙人

liuch@shihuilaw.com

刘畅律师的主要执业领域为劳动法、劳动争议解决及社会保障法等。 

刘畅律师曾为百余家大型国有企业、跨国公司、大型民营企业、事业单位提供法律服务，所涉及行业覆盖银行金融、咨询、保险、医疗、软件科技、快消、房地产、石油化工、航空等各类领域。

刘律师处理劳动人事相关领域的各类业务，包括为客户起草和审阅劳动合同、培训协议、保密与竞业限制协议、员工手册等各类雇佣文件和内部规章制度，并就劳动关系、外籍员工管理、女职工保护、商业秘密保护、竞业限制、工会、集体合同、工资薪酬、社会保险、福利及休假、人力资源重整、职业健康、安全生产等多方面问题为客户提供法律意见；刘律师还曾为众多企业在并购等重大项目中设计与交易方案相配套的员工安置方案、协助企业进行经济性裁员、为企业进行劳动法尽职调查；刘律师在这些方面拥有大量实践经验，善于为客户提供最切实可行的解决方案。

刘畅在处理劳动争议仲裁及诉讼案件方面也积累了丰富经验，其中涉及劳动关系解除或终止、工资薪酬、奖金提成、劳务派遣等争议。

• 跨境投融资系列 I《外商投资法》下修改合资合同和章程的要点分析

• 跨境投融资系列 II 外商投资监管变革浪潮来袭——企业如何应对
  

• 跨境投融资系列 II 人民币机构投资VIE架构项目的路径探析 – 以近期赴港上市项目为例

• 被BAT投资的剧本中通常有哪些经典桥段——战略投融资常见条款

• “跪”还是“贵”？经济实质法对红筹架构壳公司的影响

• 跨境投融资系列 II 新《外商投资法》要点简析

• 跨境投融资系列 II 红筹架构下人民币机构ODI路径解密 – 以近期赴港上市的新经济企业为例

• 跨境投融资系列 II 推开"ODI"之门        

  
  

• 辉说A股 || 新规之下突击入股影响几何？——股东信息披露指引解读

• 辉说A股 || 审核监管2.0：A股IPO现场检查和现场督导

• 走近科创板 II 如何在创业板 「2.0时代」乘风破浪？

• 世辉观点II 又㕛叒叕上市了？—— 一起聊聊港股二次上市
  

• 世辉A股 II 战略投资者投资A股锁价定增应了解的九大问题
  

• 世辉观点 II 新《证券法》背景下上市地的简要对比

• 走近科创板：带期权计划科创板上市你准备好了吗？

• 辉说A股 II 股权投资基金坚持优惠新政策难点解读看这篇就够了

• 走近科创板：发行上市篇 || 红筹企业境内科创板上市离我们有多远？

• 扫雷贴 II 2018年度港股上市被否案例全解析

• 上交所新发权威问答！16个科创板发行上市审核问答要点梳理

• 走近科创板：发行上市篇 || 九问九答解读科创板上市标准与制度亮点

• 医疗健康系列 || 医疗机构赴港上市或海外融资模式解密——以赴港上市的境内医疗机构为例
  

• 辉说基金 || 简析私募基金参与非公开发行的发展近况与基金特殊事项
• 辉说基金 || 简析《关于加强私募投资基金监管的若干规定》（征求意见稿）》所可能带来的挑战
• 辉说互金 II 靴子落地，民间借贷利率司法保护上限的新安排
  
• 辉说基金 II 从实操视角解读新出台的“便利管理人登记的通知”
• 辉说基金 II 30秒读懂私募基金募集管理规定
• 辉说基金 II 分配机制（二）
• 辉说基金 II 后续募集
• 辉说互金系列（一）II 基于保险经纪牌照外资准入实务谈谈互联网企业对保险业务的布局
• 辉说基金 II 分配机制（一）
• 辉说基金 II 创投企业税收优惠之新解读
  
  
  

• 辉说期权 || VIE结构下的员工股权激励计划和信托
  
• 辉说并购 II 并购价格机制之二：锁箱机制
• 辉说并购 II 并购价格机制之一：交割账目机制
• 辉说期权 II 盘他！非上市公司股权激励的个人所得税
• 辉说期权 II 员工创富记的背后——揭秘小米、美团等公司的员工股权激励计划
• 辉说期权 II VIE结构中境外ESOP的外汇问题
  
  

• 辉说医疗 || 加强医疗器械临床试验合规监管
• 辉说医疗 || 医疗器械注册(备案)人相关制度解读
• 辉说医疗 || “行稳”方能“致远”——浅析医药相关企业机构如何建立完善药物警戒合规体系
• 辉说医疗 || 医疗监管创新模式大湾区再试水-简评《粤港澳大湾区药品医疗器械监管创新发展工作方案》
  
• 辉说医疗 || 坚冰已破，航道初开——浅评《药品网络销售监督管理办法（征求意见稿）》与处方药网售
• 辉说医疗 || 疫情下互联网医疗的机遇和挑战