什么是个人信息？

《个人信息保护法》第四条对个人信息进行了概念性的定义。该法第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

而对于个人信息的定义，《民法典》本身做了更加明确的列举式定义。《民法典》第一千零三十四条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”由此可见，从自然人最为常见的姓名、出生日期等到自然人日常生活所可能涉及的生物识别信息、行踪信息等，均属于明确受到法律保护的个人信息。

 什么是敏感个人信息？

值得注意的是，《个人信息保护法》除在第四条对一般的个人信息进行了概念性的定义之外，还在第二章的第二节对“敏感个人信息”做了专门性的定义和保护规定。《个人信息保护法》第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”因此，用人单位在用工过程中如涉及到上述敏感个人信息的，应当更加慎重。

 哪些是《个人信息保护法》所规制的个人信息处理活动？

那用人单位对于员工个人信息的哪些处理活动会受到《个人信息保护法》的约束和限制呢？

根据《个人信息保护法》第四条第二款的规定，对于个人信息的收集、存储、使用、加工、传输、提供、公开、删除等均属于《个人信息保护法》所规制的个人信息处理活动。由此可见，《个人信息保护法》已基本涵盖了用人单位在用工过程中常见的个人信息处理行为。

结合《民法典》和《个人信息保护法》的相关规定，用人单位在收集、存储、使用、提供等处理员工个人信息的过程中，应当严格遵循以下原则：

(1)   合法性：处理个人信息必须依法进行，不得通过胁迫等方式处理个人信息，不得侵害自然人的个人信息权益；

(2)   正当性：处理个人信息应当具有明确、合理且合法的目的，不能以刺探他人隐私等不当目的为由处理个人信息；

(3)   必要性：处理个人信息时应当与处理目的直接相关，并且采取对个人权益影响最小的方式。特别是在收集个人信息的过程中，应当坚持最小范围原则，即限于实现处理目的的最小范围，不得过度收集个人信息；

(4)   诚信原则：处理个人信息时应当始终遵循诚实信用原则，不得通过舞蹈、欺诈等方式处理个人信息；

(5)   公开、透明原则：公开个人信息处理规则，明示处理目的、方式和范围；

(6)   质量保证及安全保障原则：用人单位应当在处理个人信息的过程中保证员工个人信息的质量，避免因个人信息不准确、不完整对员工个人权益造成不利影响，同时还应当采取必要措施保障所处理的员工个人信息的安全，避免造成不必要的泄露。

(1) 用人单位应当注意取得员工对于处理其个人信息的同意

《个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；……”《个人信息保护法》第二十九条规定：“处理敏感个人信息应当取得个人的单独同意。”

通过指纹、人脸识别等方式对员工的日常出勤进行考勤，向员工的银行账户支付相应劳动报酬，就员工申请的病假要求员工提供证明资料……上述种种情形均是用人单位在实际用工过程中的常见操作以及不可避免地情形。而收集、使用员工个人信息则成为了实现上述用工情形所必须的活动，特别地，上述情形中所涉及到的员工的指纹、人脸、银行账户、医疗情况等信息更是《个人信息保护法》所规定的生物识别、医疗健康、金融账户等敏感个人信息。根据《个人信息保护法》第十三条和第二十九条的相关规定，获得员工的同意就显得十分重要。

因此，笔者建议，用人单位与员工需要签署一份个人信息授权书，以获得员工对于用人单位对其个人一般信息、敏感信息处理、委托第三方处理以及或有的向境外提供等用人单位在实际人力资源管理活动中所可能涉及到的个人信息处理活动的同意。

(2) 用人单位应当尽快着手制定或修订规章制度，并修订劳动合同模板，以增设个人信息处理的相关条款

《个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：……（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；……”

需要提示用人单位注意的是，员工签署个人信息授权书并不是一劳永逸的方式。《个人信息保护法》第十五条规定：“基于个人同意处理个人信息的，个人有权撤回其同意。”换言之，对于已经作出的处理个人信息的同意，员工有权撤回。

也就是说，如果用人单位仅采取了获得员工同意这一条路径，最可能面临的问题就是在将来的用工过程中，员工基于个人考虑是有权撤回其对用人单位处理其个人信息的同意，甚至于，根据《个人信息保护法》第四十七条的规定[1]，员工在撤回同意后，可以要求用人单位删除其个人信息。故，一旦员工撤回其同意，在无其他处理员工个人信息的权利依据的情况下，用人单位在日后的用工过程中将会面临重重困难。

因此，用人单位及时制定或修订规章制度和劳动合同模板，增设关于个人信息处理的条款就显得至关重要。特别是根据《个人信息保护法》第十三条第二款的规定，员工撤回同意，不影响用人单位因履行劳动合同所必需或根据规章制度实施人力资源管理所必需的情形而对员工个人信息进行处理。

特别需要注意的是，对于规章制度的制定和修订并非用人单位单方完成即可，需要满足“依法制定”的前提条件，即应当结合《劳动合同法》第四条的规定，对用人单位制定或修订出的规章制度展开民主程序和公示程序。未经上述两程序的规章制度，其效力将存在极大的瑕疵。

(3) 用人单位在处理个人信息的过程中应当可能避免过度收集个人信息

必要性原则是用人单位在处理个人信息的过程中所应当遵循的基本原则之一，用人单位在实践中较为可能出现风险的情形之一就是难以恰当把握收集个人信息范围的尺度，导致过度收集个人信息。

例如，用人单位在对员工病假情况进行审核时，往往会要求员工提交相关证明资料，常见且合理的尺度是要求员工提交相应的病假证明单、挂号单、缴费收据等，但是如果用人单位除此之外还要求员工提供更为详细的治疗资料（例如要求精神疾病员工提供精神分析资料等），就有较大风险被认定为超过了必要限度，进而被认定为侵犯了员工的个人权益。

因此，笔者建议，用人单位在处理员工个人信息的过程中，应当严格遵循最小限度的原则，在确保信息处理目的能够实现的情况下，将需要处理的员工个人信息的范围缩至最小，尽可能降低对员工个人权益的影响。

(4)用人单位委托第三方机构提供服务时应当遵循《个人信息保护法》的规定

在用工实践过程中，用人单位往往会与第三方机构建立合作关系，由第三方机构负责处理员工的薪酬发放事宜、为员工购买商业保险或通过第三方平台与员工签订电子劳动合同等，以提高用工管理的效率及为员工提供公司的福利待遇。《个人信息保护法》对于委托处理个人信息的情形亦进行了相应规定。

一方面，用人单位应当与受委托的第三方机构在其合作协议中明确约定相关个人信息处理和保护的条款，对于信息处理的目的、期限、处理方式、个人信息的种类、保护措施等进行明确约定，并且用人单位应当时不时地对受托第三方机构对于员工个人信息的处理活动进行监督。另一方面，用人单位还应当向员工告知个人信息接收方（即受托第三方机构）的名称、处理目的、处理方式和个人信息的种类，并取得员工个人的同意。

(5) 跨国公司应当特别关注跨境个人信息处理的合规性问题

对于跨国公司来说，由于其总部或者公司的人力部门等机构可能位于中国境外，在用工过程中，不可避免地需要将员工的个人信息向境外予以披露。在《个人信息保护法》正式实施后，跨国公司需要特别关注个人信息跨境处理的规则。

第一，境内的用人单位应当满足以下任一条件：(1) 如果用人单位处理的个人信息数量达到了国家网信部门规定的数量的，应当通过国家网信部门内组织的安全评估；(2) 应当按照国家网信部门的规定经专业机构进行个人信息保护认证；(3) 按照国家网信部门制定的标准合同与境外接收方订立合同并明确约定双方的权利义务。

第二，跨国用人单位需要向境外提供员工个人信息的，同样需要向员工个人告知境外接收方的名称、处理目的、处理方式、个人信息种类以及员工向境外接收方行使其在个人信息处理活动中的权利的方式和程序等，并取得员工的同意。

(6) 用人单位作为个人信息处理者所负有的义务

第一，用人单位需要采取必要措施以确保个人信息处理活动的合法性和安全性，例如，制定内部管理制度和操作规程，对员工的个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，定期对从业人员进行安全教育和培训，并制定相关应急预案等。

第二，如果用人单位处理的个人信息数量达到了国家网信部门规定数量的，用人单位应当指定相应的个人信息保护负责人，以对日常个人信息处理活动进行监督。并且，用人单位需要将个人信息保护责任人的姓名及联系方式等报送给履行个人信息保护职责的部门。

第三，用人单位应当定期对其处理员工个人信息的情况进行合规检查，对于涉及敏感个人信息处理、委托第三方处理个人信息及向境外提供个人信息等特殊情况进行事先的影响评估，判断上述特殊情况下的个人信息处理是否符合相关基本原则，是否会对员工个人权益产生影响等。

虽然根据《劳动合同法》第八条的规定，用人单位对于员工与劳动合同直接相关的基本情况有知情权，但是在《个人信息保护法》出台后，用人单位的知情权与员工的个人信息受保护权之间可能就会存在或大或小的冲突。在新法刚刚颁布的情况下，对于用人单位的知情权、用工管理自主权与员工个人信息受保护权之间的界限掌握以及如何平衡权利之间的关系尚待于用人单位谨慎摸索，但不妨碍用人单位尽早采取相关措施，保证个人信息处理合规，尽可能减少不必要的冲突与风险。

[1] 《个人信息保护法》第四十七条规定：“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。”