石先广

向境外提供员工个人信息有哪些要求

对于外资企业来说，在中国境内的公司出于人事管理的需要向境外母公司或关联公司或合作伙伴提供员工个人信息的现象也屡见不鲜，有很多企业的服务器甚至直接放在了境外。这就涉及个人信息的跨境提供，也有很多问题值得外企关注。

●个人信息跨境提供的前提条件

虽然对大部分外企来说，达不到服务器必须放在中国境内的触发条件。服务器放在境外就属于向境外提供个人信息了，需要满足个人信息出境的前提条件，参见图1、图2：

这几个前提条件，如同处理敏感个人信息，需要注意相关义务的履行。这里同样存在“单独同意”的理解与适用问题，就不再重复。个人信息跨境提供的，需要事前开展个人信息保护影响评估，并保存3年。

●个人信息跨境提供所需的条件

即便外企向境外提供个人信息满足了前提条件，如单独同意、影响评估报告也做好了等等，但个人信息跨境提供还需要满足所需的条件，参见图3。

估计外企HR看了以上条条框框比较头疼，这也是最近不少外企HR、法务委托我们出具法律意见书，尽量说服外国人将涉及中国员工个人信息的服务器尽量放回中国境内的原因。毕竟，服务器放回中国境内，可以一劳永逸地解决上述问题，否则，今后可能面临不少的沟通成本、涉及个人信息保护的事务性工作等等。

与第三方合作开展员工关系管理工作，应注意哪些事项

在企业人力资源管理中，还经常会出现与第三方合作的问题，如人事代理中的委托招聘、委托背景调查、委托代发工资、委托代缴社保、委托购买商业保险；再如推行电子劳动合同的，将劳动者个人信息存储在第三方平台上等等。这些委托事项的处理，也涉及职工个人信息的处理。对此，《个人信息保护法》也有相应的规范，参见图4。

因此，用人单位与第三方合作，涉及处理职工个人信息的（处理的含义前面已介绍，包括收集、存储、使用、加工、传输、提供、公开、删除），双方的商务合同中也应注意按照《个人信息保护法》的规定，增加相关个人信息处理的条款。

《个人信息保护法》第二十三条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

这里又出现了“单独同意”的情形，如何理解和适用，如同前面的论述，这里不再赘述。

处理个人信息应遵循哪些原则

用人单位处理员工的个人信息，即便获得了员工的同意或为实施人力资源管理所必需，在处理员工个人信息时也应注意法律规定的原则，《个人信息保护法》第五条至第九条规定了处理个人信息应遵循的原则，具体总结如下：

●合法性原则

处理个人信息必须依法进行，不得通过误导、欺诈、胁迫等方式处理个人信息。

●正当性原则

处理自然人个人信息应当具有正当性目的，不能出于窥探个人隐私或其他非法目的。

●必要性原则

处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，有一定的必要性。

●诚信原则

诚实守信是所有民事活动的基本原则，处理个人信息，尤其是用人单位处理员工的个人信息更应注意诚实信用原则。

●最小限度原则

不得过度收集个人信息，应当限于实现处理目的的最小范围；应采取对个人权益影响最小的处理方式；对于获得个人信息，应当注意知悉范围或传播范围的限制，应限定最小的知悉范围，尤其是在用工管理中，应当仅限于有关的管理层知悉，不能扩大至其他员工；应保存最短的期限，《个人信息保护法》第十九条规定，除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

●公开透明原则

應公开处理信息的规则，明示处理信息的目的、方式和范围。

●质量保证原则

处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响，例如员工工作年限不准确会影响医疗期、年休假的计算。

●安全保障原则

个人信息的使用与处理必须建立在保证信息安全的基础上。笔者认为，必要原则、最小限度原则是不易把握、易引发纠纷的，如用人单位为预防职场舞弊让员工申报亲朋好友关系，某知名电商曾要求职工申报同学关系，自小学同学开始申报，这个是否属于符合必要和最小限度原则，是否属于过度要求？

再如，病假管理中，要求员工除提供挂号单、病假证明外，还要提供病历，是否属于过度收集个人信息？这些问题，肯定是仁者见仁智者见智了，且一旦发生劳动争议，不同的价值取向会导致案件结果的天壤之别。

员工在个人信息处理中有哪些权利

《个人信息保护法》与《民法典》的有关规定相衔接，明确在个人信息处理活动中个人的各项权利，包括知情权、决定权、查询权、复制权、更正权、转移权、删除权（又称被遗忘权）、要求解释权、代行使权等。

有关员工的这些权利体现在《个人信息保护法》第四章中的个人在个人信息处理活动中的权利，不再具体展开介绍。员工的权利行使也会面临不少问题，如离职员工要求用人单位删除个人信息、归还入职登记资料等，用人单位应保管多久？这涉及离职员工个人信息保管时间问题，有些信息还涉及劳动争议处理，不能立即删除，否则，会影响用人单位的举证能力。09379C87-2122-40DD-844C-9C183688E497

用人单位在处理员工个人信息时有哪些义务

如前所述，用人单位也是法律规定的个人信息处理者，个人信息处理者的义务主要体现在《个人信息保护法》第五章中的个人信息处理者的义务，具体可以归纳为以下几点：

1.制定内部管理制度和操作规程；

2.分类管理个人信息；

3.采取安全技术措施；

4.管理培训内部人员；

5.制订应急预案；

6.其他相关措施。

以上规定为用人单位在个人信息管理的建章立制方面提供了指引，用人单位的劳动规章制度中也应增加个人信息处理的相关条款。

员工的个人信息受保护权与用人单位哪些权利会产生冲突

按《民法典》和《个人信息保护法》的规定，自然人的个人信息权益受法律保护。但是，用人单位与劳动者之间存在管理与被管理的关系，员工的个人信息权益必然会与用人单位的相关权利产生碰撞、摩擦，具体而言，笔者认为主要有以下几个冲突：

●员工个人信息权益 VS.用人单位知情权

《劳动合同法》第八条规定，用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。

由此可见，员工有个人信息受保护的权利，但用人单位有对劳动者相关信息知情的权利，这两个权利就容易产生冲突。因两个权利的边界不容易把握，什么是与劳动合同直接相关的基本情况也存在争论。

●员工个人信息权益VS.用人单位管理权

劳动者与用人单位建立劳动关系之后，应当接受用人单位的管理，但劳动者在接受用人单位的管理中也有独立的人格，在劳动关系领域就会产生员工个人信息受保护权与用人单位管理权的冲突，如用人单位将指纹考勤切换为人脸识别考勤，员工若拒绝用人单位采集人脸信息就会产生争议；再如用人单位要为外勤、销售人员配备具有定位功能的手机或电子产品，员工不同意的，也会产生争议。

●员工个人信息权益VS.用人单位调查权

劳动者与用人单位有发生劳动争议的苗头时，用人单位需要调查、搜集证据，在调查取证时有可能涉及调取监控视频、对为员工配备的电子产品进行监控或恢复收据，这个过程中就会涉及员工的个人信息受保护权与用人单位调查取证权的冲突。

处理个人信息不当有哪些风险

《民法典》《个人信息保护法》的相继实施，将个人信息保护提到了前所未有的高度，用人单位在人力资源管理中也应提高处理个人信息的合规意识，否则，处理个人信息不当，会带来相应的风险，参见图5。具体风险点有以下几类：

●被曝光的风险

现代社会自媒体比较发达，每个人都是一个媒体人，这就要求HR在人力资源管理各环节处理个人信息时应注意法律的规定，否则，有被曝光的风险。如在招聘录用环节让员工填写恋爱信息、婚育信息、计划生育信息等，都有企业被求职者曝光的典型案例。

●被信用惩戒的风险

《个人信息保护法》第六十七条规定，有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

●承担行政责任的风险

违反法律处理个人信息，按《个人信息保护法》第六十六条和第七十一条的规定，应承担相应的行政责任。

需要注意的是，若用人单位侵犯个人信息，除了对单位罚款外，还会对直接负责的主管人员和其他直接责任人罚款，若情节严重的，还有“禁止”的处罚措施，即禁止一定期限内担任相关企业的“ 董事、监事、高级管理人员 ”和个人信息保护负责人。

●民事责任的风险

违反《个人信息保护法》处理个人信息，给员工造成损害的，应当承担赔偿责任，对此《个人信息保护法》的第六十九條有明确规定。

●劳动争议败诉的风险

如前所述，员工的个人信息受保护权与用人单位的知情权、管理权、调查取证权会产生冲突，在员工的个人信息受保护权与用人单位知情权、管理权、调查取证权发生冲突时，如何取舍就决定了劳动争议的输赢。这一点需要引起HR的注意，在处理有关事项时，应注意个人信息保护的有关规定，避免踏入其中的雷区。

●刑事责任的风险

对此，《个人信息保护法》第七十一条规定，违反本法规定，构成犯罪的，依法追究刑事责任。其实，侵犯公民个人信息早已入刑，而且还有配套的司法解释：

职场上与个人信息相关的纠纷有哪些

根据已经发生或可能发生的纠纷情况，笔者认为，职场上涉及个人信息权益的纠纷大致有以下几类，参见图6。

●用人单位VS.劳动者

此类纠纷下又可以分为用人单位侵犯员工的个人信息权益纠纷，员工拒不配合用人单位处理个人信息纠纷和员工侵犯其他员工的个人信息权益，用人单位给予违纪处理纠纷这三类。

●劳动者VS.劳动者

此类纠纷下又可以分为劳动者处理工作有关事务侵犯其他员工个人信息权益和劳动者侵犯与工作无关的其他员工的个人信息权益两类。

●劳动者VS.其他第三人

此类纠纷下又可以分为劳动者处理工作有关事务侵犯其他第三人的个人信息权益和劳动者侵犯与工作无关的其他第三人的个人信息权益两类。

HR应做哪些落地工作

09379C87-2122-40DD-844C-9C183688E497

●学习新法律

最起码应该关注或学习一下最新颁布的《个人信息保护法》，在人力资源管理中增强个人信息保护的法律意识。

●修订劳动合同文本

《民法典》以及《个人信息保护法》的实施，也是用人单位修订、完善劳动合同文本的契机。劳动合同文本不能仅仅局限于劳动法律规定的内容，为了拓展用工自主权，也为了降低涉个人信息处理的风险，用人单位需要在劳动合同文本中增加涉个人信息的相关条款。

●修订《员工手册》

通过前面分析可以看出，在用工管理的各个环节都可能涉及员工的个人信息。笔者认为，为避免相应的风险，用人单位应重视员工个人信息保护，有必要制定相应的规章制度，有关制度内容应至少包括个人信息收集、个人信息保管、个人信息使用、个人信息传输、个人信息删除等环节。

●设计相关表单

要全流程分析用工管理各环节涉及处理个人信息的具体事项、所隐藏的风险以及风险规避的措施，如在招聘环节对候选人进行背景调查的，应当设计“背调个人信息的授权书”，并让应聘者签字确认；再如入职環节，应当设计“个人信息授权使用声明”等，并让员工签收。

●依法要求开展个人信息保护评估（PISIA）

按法律规定，用人单位在员工管理中处理员工敏感个人信息、跨境提供个人信息、委托处理个人信息、向他人提供员工个人信息等，需要开展个人信息保护影响评估。

●日常管理注意员工个人信息保护问题

以上几个方面更多侧重于文本的完善，文本的完善可以为日常管理提供很好的工具，但在日常管理中也应注意员工个人信息的保护，如对于员工提交的病假材料，HR要注意限定知悉范围，否则，就有违安全保障原则；再如向员工公告送达解除劳动合同通知书时，应注意员工敏感个人信息的处理等。

个人信息不明朗问题处理策略

如前所述，涉及“单独同意”的事项，实施人力资源管理所必需是否可以依据《个人信息保护法》第十三条第二款不需要取得员工的“单独同意”？个人信息处理的必要性原则的“度”如何把握？这些问题目前没有答案，若遇到此类问题，如员工拒绝采集人脸信息，建议用人单位暂时采取保守化处理策略，不建议给予违纪解除激进化处理。待相关规则、裁判案例进一步明确后，再根据情况进行适度调整。毕竟，法律刚实施时，对于不明朗问题，裁判者也是偏保守思维者居多，如《劳动合同法》刚实施时，不管什么原因没有签订书面劳动合同的，都判用人单位支付未签订劳动合同的2倍工资，后来裁判实践又开始纠偏，大部分省市认为能证明是劳动者不愿意签订劳动合同的，可不支付2倍工资。

（本文完）

作者 劳达laboroot副主任律师、高级合伙人09379C87-2122-40DD-844C-9C183688E497