《个人信息保护法》实施在即，HR该如何合理合法地处理员工个人信息？一定要小心再小心！

作者：CCPA 发表时间：2021-10-25 来源：创新型企业财税人才综合能力实训平台

《个人信息保护法》将于2021年11月1日实施，可以合理地预见伴随未来员工对用工场景下个人私密信息权利意识的逐渐觉醒，企业将可能更加频繁地遇到员工个人信息保护的争议。
 
在日常的人力资源管理工作中，从招聘信息的发出，到雇员离职后的争议，均涉及雇员个人信息的收集、存储、使用和传输。那么，个人信息的标准是什么？HR又该如何安全地处理私密个人信息呢？今天我们就来讨论讨论。
 
 
 
什么是个人信息
 
要想规避风险，我们首先需要清楚法律规定的“个人信息”的范畴是什么，它和我们通常认知中的个人信息存在什么差异。
 
《个人信息保护法》的规定：
 
(1)个人信息的主体只能是自然人；
(2)个人信息具有可识别性（不包括匿名化处理后的信息）；
(3)个人信息必须具有一定形式的载体，
 
即以电子或者其他方式记录（未进行记录的自然人的活动或谈话就不属于个人信息）。
 
与HR最相关的是用工管理场景下的私密个人信息，它又包括哪些呢？
 
 
 
法律规定用工管理场景下的私密个人信息是兼具“私密性”和“可识别性”两项特征的信息。
 
《民法典》第1034条第4款的规定，
 
个人信息中的私密信息，适用有关隐私权的规定；
没有规定的，适用有关个人信息保护的规定。
 
这一规定确立了个人信息中的私密信息应优先适用隐私权规则的制度。用人单位宜采取谨慎的态度处理这一问题，以避免面临潜在法律风险。
 
在用工场景下，常见的个人信息中的私密信息包括婚育信息、健康信息、银行账户信息、工作时间以外的位置信息、性取向、未公开的犯罪记录等。
 
 
 
 
HR该如何正确进行员工个人信息的收集和处理？
 
《个人信息保护法》出来之后，我们会发现HR工作可能处处是“坑”，一不小心就深陷其中。
 
那么，如何面临这种复杂的情况呢？
 
1、员工档案信息的收集

员工入职后，根据用工需求，都需要建立花名册或者详细档案，会涉及到员工姓名、性别、身份证号码、户籍地址、现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。
根据《民法典》第111条规定，自然人的个人信息受法律保护。企业依法收集、使用、加工、传输个人信息当然不违法，所谓依法是指，在招聘订立劳动合同阶段，企业有权根据《劳动合同法》了解员工与履行劳动合同相关的信息，比如基本信息、健康情况、知识技能、学历、职业资格、工作经历、家庭住址、家庭成员构成等。

所以企业在员工在职期间，应该谨慎收集、妥善保管，并在员工离职后2年后，进行合理销毁。

 
2、遵守“告知-同意”规则
 
《个人信息保护法》第五条至第九条规定了处理个人信息应当遵循合法、正当、必要和诚信原则、明确性和相关性原则、最小程度原则、公开透明原则、完整性和准确性原则、安全保障原则等一整套基本原则；以及个人信息处理的“告知-同意”规则。
 
其中，“告知-同意”规则是《个人信息保护法》中的核心内容，在个人信息处理规则中处于核心地位。
 
“告知同意规则”，亦称“知情同意规则”，是指任何组织或个人，在处理个人信息时，应当对信息主体即其个人信息被处理的自然人进行告知，在取得同意后方可从事相应的个人信息处理活动，否则所涉处理行为构成违法，除非法律另有规定。
 
 
也就是说，我们处理个人信息应当在事先充分告知的前提下取得个人同意。建立该规则的目的，在于信息处理者需将处理个人信息的目的、用途、后果告知信息主体，使信息主体出于自身的真实、完整意志，同意信息处理者的请求，以此彰显对信息主体人格独立性与自主性的尊重。
 
“告知同意规则”包含了“告知规则”与“同意规则”，二者相辅相成、紧密联系。
 
关于“告知-同意”这一核心规则，《个人信息保护法》第13条第(2)项至第(7)项规定了基于个人同意以外的可以合法处理个人信息的六种情形(下称“六种法律许可情形”)。
 
也就是说，在以下情形下，我们不必须遵循“告知-同意”的规则。
 
情形一：
为订立、履行个人作为一方当事人的合同所必需，
或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。
 
情形二：
为履行法定职责或者法定义务所必需。
 
情形三：
为应对突发公共卫生事件，
或者紧急情况下为保护自然人的生命健康和财产安全所必需。
 
情形四：
为公共利益实施新闻报道、舆论监督等行为，
在合理的范围内处理个人信息。
 
情形五：
依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
 
情形六：
法律、行政法规规定的其他情形。
 
 
 
3、处理个人信息的注意事项

根据《民法典》第1035条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：
（1）征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外；
（2）公开处理信息的规则；
（3）明示处理信息的目的、方式和范围；
（4）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
同时企业和HR要谨记，在处理员工的个人信息时不得泄露或者篡改其收集、存储的个人信息，未经员工同意，不得向他人非法提供其个人信息。