用人单位收集员工家庭信息的范围（用人单位员工个人信息的保护）

用人单位员工个人信息的保护

企业的人力资源管理活动，也就是我们所说的“选人、用人、育人和留人”的过程 ，在企业进行人力资源管理的过程中，会进行大量的数据和信息的处理，这其中就包括大量员工个人信息。我国《个人信息保护法》于2021年11月1日正式实施，那么我们企业应该如何调整和完善现有实务操作才能满足“个保法”的要求？

个人信息处理者：

是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。在本次讲解的内容中，企业就是我们所说的个人信息处理者。

个人信息的处理：

包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

个人信息的定义：

个保法第四条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，但不包括匿名化处理后的信息。

全国信息安全标准化技术委员会编制的《信息安全技术 个人信息安全规范》（GB/T35273-2020）提出了两种路径来判断某一信息是否属于个人信息：

识别：从信息到个人，由信息本身的特殊性识别出特定自然人，比如从身份证号码直接识别出特定个人，或结合姓名、生日、性别、家庭住址或工作单位等间接识别出特定个人，此类能直接或间接识别出特定自然人的信息即为个人信息；

关联：从个人到信息，已知特定自然人在其活动中产生的信息即为个人信息，比如个人位置信息、个人通话记录、个人浏览记录等。

那么，我们想象一下在用人单位日常的人力资源管理过程中，都会处理哪些信息？这些信息是否属于个保法所定义的个人信息呢？

1、首先，在招聘和建立劳动关系的过程中，我们会筛选简历、进行面试、确定拟录用人员、签订劳动合同，以及进行员工背景调查，那么在这些活动中，往往企业会收集到员工的姓名、性别、民族、宗教信仰、出生年月、身份证号码、电话号码、邮箱、家庭住址、学历证书、婚姻状况、生育状况、家庭成员信息（姓名、电话、工作单位、岗位等）。

2、员工入职以后，人力资源部门需要为员工办理社保、发放工资、办理请休假、管理考勤等等，那么企业将会收集员工的门禁监控图像、社保和公积金账户信息、银行卡信息、病例资料、指纹、人脸识别信息等。

3、此外，有些企业还会对员工的电脑和移动设备进行监控，并保存员工的上网记录、通话记录、聊天记录、位置信息等。

由此可见，用人单位在日常人力资源管理的活动中处理的个人信息，绝大多数都属于个保法定义的“个人信息”。

去标识化与匿名化处理

匿名化与去标识化都是个人信息脱敏的技术手段，但个保法只规定“匿名化处理后的信息”不属于个人信息。

匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程，即经匿名化后的信息与特定个人之间关联关系将被完全切断。

去标识化，是指通过对个人信息的技术处理，使其在不结合额外信息的情况下，无法识别特定个人，且额外信息被分开存储并受技术、管理措施的保护。

去标识化的信息，在二次标识后能重新识别到特定个人，并不能达到个保法要求的“不能复原”这一绝对标准。因此，去标识化的信息仍是个人信息，企业处理去标识化的信息仍然需要遵守个保法的各项规定。

处理员工个人信息应遵循的原则：（一）“告知—同意 ”核心原则

用人单位在处理员工个人信息时应当及时充分告知员工本人，并取得员工的同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

用人单位告知的内容与方式：

根据个保法的规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰、易懂的语言真实、准确、完整地向个人告知下列事项：

（一） 个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使个保法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

以上规定事项发生变更的，应当将变更部分告知个人。

（一） 合法、正当、必要和诚信原则。

用人单位在处理员工个人信息过程中应当符合法律、行政法规等相关的规定、符合社会和政策或行为规范的要求、符合员工利益或社会公共利益，并具有必要性。用人单位不得通过误导、欺诈、胁迫等方式处理个人信息。

（二） 严禁过度收集个人信息。

《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”而在实践中，用人单位常有过度收集个人信息的情况，比如员工的婚姻状况、生育情况，大家可以考虑一下算不算过度收集个人信息？

（三） 公开、透明原则。

企业在处理个人信息时应当事先充分告知，包括处理的目的、方式和范围，并取得个人同意，同时，保障个人撤回同意、拒绝或限制性提供个人信息的权利。

（四） 保证个人信息准确的原则。

用人单位在处理员工个人信息的过程中，应当保证个人信息准确，避免因个人信息不准确、不完整对个人权益造成不利影响。

（五） 采取必要保障措施。

用人单位应当对处理员工个人信息活动负责，采取必要措施保障员工个人信息在处理活动中的安全。

2、不需要员工同意的特殊情形：

（1）为订立、履行个人作为一方当事人的合同所必需；

（2）按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

那么什么才是“依法制定的劳动规章制度”呢？需要满足以下几个基本的条件：

1、 程序合法：

用人单位在制定、修改或决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的重大事项时，应当经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定。

2、 内容合法；

3、 公告公示：规章制度要告知劳动者，可以在企业的公告栏

张贴公示，也可把规章制度作为劳动合同附件发给劳动者，也可以把规章制度印成小册子向每个劳动者发放，但都要留有书面记录。

（3）为履行法定义务所需，如应人民法院、人民检察院、公安机关的要求需要提供；

（4）为应对突发公共卫生事件，或紧急情况下为保护自然人的生命健康和财产安全所必须；

（5）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（6）依照个保法的规定在合理范围内处理个人自行公开或者其他已经合法公开的个人信息。

（二）敏感个人信息

《中华人民共和国个人信息保护法》对敏感个人信息做出了如下定义： “敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。

从国家推荐的标准来看，全国信息安全标准化技术委员会编制的《信息安全技术 个人信息安全规范》（GB/T35273-2020）将个人信息分为一般个人信息和个人敏感信息，并在附录A、附录B中详细列举了信息类型。该规范对个人敏感信息进行了列举：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息。该规范还特别强调：“通常情况下，14岁以下（含）儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息”

个保法对敏感个人信息的处理行为提出了更加严格的要求，比如，只有具有特定的目的和充分的必要性，并采取严格保护措施的情况下，个人信息处理者方可处理敏感个人信息，以及处理敏感个人信息应当取得个人单独同意等。

因此，企业需要对员工个人信息进行梳理、分类、采取不同等级的保护措施，对于没有必要存储的个人信息，尤其是敏感个人信息，应该予以删除或匿名化处理，以避免增加内部管理负担与合规风险。

人力资源管理过程中个人信息处理的合规建议：一、招聘信息的处理

企业招聘时会获得大量简历，上面包含应聘者的个人信息。企业对应聘未成功者的信息处理一般只是提示作为企业后备人才纳入储备库中，目前这种做法已经不适应法律要求。建议企业在招聘信息中明确应聘未成功者简历的处理方式，若要将信息纳入人才储备库中，应当征得同意并建立人才库管理规范以做到合法合规。

二、“背调”的规范

员工背景调查环节的信息保护问题主要分两方面：一是企业对员工进行背景调查；二是企业收到其他公司对员工的背景调查。对第一种情况，建议企业在“背调”前征得员工的书面同意，并在书面文件中明确调查范围；对第二种情况，若企业事先未征得员工同意，不建议企业向他人透露员工的信息。

三、入职员工信息的分类

绝大部分企业都要求员工填写《员工信息采集表》等文件，其内容包括姓名、联系方式、住址、学历、婚姻状况、健康状况等。上述信息部分属于订立合同实施人力资源管理所必须，部分属于应当征得员工同意方可收集。企业应当进行区分，并告知员工信息收集的目的、使用方式、保护措施等。

四、员工信息日常管理

用人单位作为个人信息的处理者，应当根据员工个人信息的处理目的、处理方式、个人信息的种类以及对员工个人权益的影响、可能存在的风险等，采取下列措施确保员工个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一） 制定内部信息管理制度和操作规程；

（二） 对个人信息实行分类管理；

（三） 采取相应的加密、去标识化等安全技术措施；

（四） 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五） 制定并组织实施个人信息安全事件应急预案；

五、离职员工信息处理

员工离职并不代表企业必须要删除员工的个人信息，当然也不代表企业可以随意处置信息。企业应当准确区分哪些信息属于实施人力资源管理所必须，哪些信息属于需经员工同意才可处理。无论上述哪一类信息，企业都应当做好保护措施，未经员工许可前不得向他人披露。

,