人力资源视角下员工个人信息保护解析及合规指引

文章来源：策略律师 编辑：北京华道众合咨询公司

问题探析

大厂监控与员工隐私受侵的事件频频发生。

如2020年，H＆M服务中心因监控数百名雇员，被处以3530万欧元的罚款。H&M公司通过主动或被动的方式对部分雇员的私人生活进行广泛记录，包括病情、请假期间的经历、家庭情况以及宗教信仰等，严重侵犯了雇员的个人信息权利。

又如郑州市光明山盟乳业员工李先生，因手机被公司装上联通公司推出的定位跟踪系统，随即将所在公司告上了中原区法院。对此，该公司人事部经理称，联通公司既然能推出这项业务，他们就能用。而联通公司称,卖菜刀的不是为了杀人，他们推出该项服务不是为了侵犯隐私权。

可见，打工人不能忍受的是，企业对员工的监控不是停留在工作范畴内，而是将触手探入员工的个人隐私中。

而在企业用工生命周期中，包括招聘录用、背景调查、休假管理、绩效评估、薪酬福利、纪律调查与离职档案等无不与个人信息密切相关，一方面涉及劳动者的隐私保护与个人信息权益，另一方面又涉及企业自主经营权。在新的立法与执法环境下，企业如何平衡二者利益，企业与员工应如何在合法范围内行使或捍卫自身权利呢？

2021年《民法典》实施后，隐私与个人信息保护得到了重新定义。2021年7月28日，最高院公布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，也直接影响到了现实生活中诸如考勤、门禁、防疫等用工环节的合规性。《个人信息保护法》（下称“《个保法》”）的颁布，成为保护员工个人信息的重要组成部分，也是处于各行各业的用人单位均无法忽视的问题。

一、关于隐私

根据《民法典》第一千零三十二条的规定：“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”

基于上述隐私的定义，隐私的表现形式包括：私人生活安宁、不愿为他人知晓的私密空间、私密活动、私密信息。其中，私人生活安宁是指个人的生活不受他人非法侵扰的状态。

在了解隐私的定义后，我们从案例中讨论涉及的信息是否属于隐私：

案例一某员工认为公司通过考勤软件收集其位置信息，而位置信息应当属于私密信息，故公司侵犯了其隐私权。某员工提出的“位置信息属于私密信息”的观点看似具有法律依据。但是，这一观点忽视了一个重要细节，即使用考勤软件打卡的隐含要求是：员工应当在工作时间内用软件汇报其所在位置，以证明其已正常出勤。因此，公司通过这一方式收集的信息只是员工甲在工作时间内的位置信息。根据常理，任何员工对于在工作时间内的位置信息不应具有合理的隐私期待，故该等信息不具有不愿为他人知晓的私密性，进而不应属于隐私。

案例二员工认为其手机通话信息属于私密信息，公司在未经其同意的情况下录音并通过数据恢复方式取得其通话录音，侵犯了其隐私权。而公司认为，员工所使用的是公司配发的工作手机，故储存在工作手机上的通话录音不属于隐私，公司有权收集并处理信息。

虽然工作手机确实属于公司所有，并配发给员工使用，但是公司既没有把对手机通话进行录音一事提前告知员工，也没有就恢复其通话录音一事取得员工的同意。在该等情况下，员工根据常理对于手机通话信息具有合理的隐私期待，故该等信息具有不愿为他人知晓的私密性，进而应当属于隐私。

二、关于个人信息

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

根据《个保法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

敏感个人信息的定义：《个保法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

三、隐私与个人信息两者关系

敏感信息与隐私信息之间存在交叉的关系。有些个人信息既是隐私信息也是敏感个人信息，如医疗健康、性取向、非工作时间的行踪信息；有些个人信息虽然是隐私，却并不是敏感个人信息，如个人的兴趣爱好；有些信息是敏感个人信息却未必是隐私，如种族或民族、宗教信仰、政治主张、面貌特征等。

综上，隐私需要结合具体情况从该信息自然人的人格尊严、人格自由关联紧密与否，该信息是否影响私人生活的安宁等角度来认定。个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息。而敏感个人信息，主要是从该信息被非法处理可能产生的危害后果这一角度来认定，应遵循更客观、明确的标准，否则信息处理者将无所适从。

《民法典》第一千零三十三条的规定，除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：

（一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；（二）进入、拍摄、窥视他人的住宅、宾馆房间等私密空间；（三）拍摄、窥视、窃听、公开他人的私密活动；（四）拍摄、窥视他人身体的私密部位；（五）处理他人的私密信息；（六）以其他方式侵害他人的隐私权。

基于《民法典》的上述规定，在遇到个人隐私的问题时，企业和个人应以取得权利人的明确同意为原则，以法律另有规定的情形为例外。对于如何遵守，用人单位会面临一个关键问题，即用人单位在处理个人信息中的私密信息时，能否适用《个保法》第十三条第(2)至(7)项的规定（比如按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需为由），而无须取得员工同意。根据现有法律规定，目前难以对此问题作出确定结论。

值得注意的是，根据《民法典》第1034条第3款的规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。这一规定确立了个人信息中的私密信息应优先适用隐私权规则的制度。这可能阻碍用人单位适用《个保法》第十三条第(2)至(7)项的规定处理个人信息中的私密信息。有鉴于此，在立法机关对此问题作出清晰的解释之前，用人单位宜采取谨慎的态度处理这一问题，以避免触发潜在法律风险。

四、信息监控是否侵犯员工的个人隐私

评判企业是否通过监控侵犯员工隐私，需要评判监控意图、监控内容等因素。如果公司没有提前将相关情况告知员工且获得同意，或者监控内容超出工作管理的必需限度，则涉嫌侵犯员工的隐私权，侵害员工的个人信息权益。但工作管理的必需限度，往往需要根据实际案例情况综合分析。

《个保法》对员工个人信息的保护力度非常强。从保护客体范围角度分析，《个人信息保护法》保护的员工的个人信息范围大于员工的隐私信息范畴。这意味着，在企业监控员工信息行为中，即便企业监控的信息并非员工的隐私信息，但属于员工的个人信息，便可能涉嫌侵犯员工的个人信息权益。

此外，《个保法》对于企业监控员工行为限制更多，其涉及了个人信息处理各环节，如《个保法》第四条规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。比如，企业监控员工个人隐私信息并未对其造成法律规定的侵害时，不会被认定为侵犯员工的隐私权。但企业收集、存储员工隐私信息的行为本身，可能涉嫌侵犯员工的个人信息权益。这也就意味着在出现相关纠纷时，除却“隐私权”，员工还可以通过“个人信息权益”保障自身合法权益。

《个保法》也明确提出了企业收集个人信息要遵循最小必要原则，变相地约束了“企业监控员工行为”的限度、方式、范围——“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。如果公司没有提前告知员工且获得员工同意，而监控的内容非工作管理所必需，则可能涉嫌侵犯员工隐私权，具体认定还要根据监控的具体细节而确定。

五、用人单位应当注意哪些问题？

基于上述介绍和讨论，我们建议用人单位在用工管理过程中围绕隐私与个人信息保护，应注意以下主要问题，以避免法律风险并实现合规。

（一）认真识别用工管理中可能遇到的员工隐私与个人信息

识别员工隐私与个人信息是用人单位遵守法律要求的前提。用人单位应当对其在用工管理全过程中的所有管理措施进行全面梳理，以便识别可能遇到的员工隐私及个人信息问题，也可以聘请专业机构进行外部评估、整改达成这一目的。

实际上，在用工管理全过程中的几乎所有环节都有可能涉及员工隐私与个人信息。例如：用人单位要求请病假的员工提供其病历、诊断证明等；用人单位在办公场所使用监控录像；用人单位搜查员工在办公场所使用的储物空间；用人单位收集、监控或分析员工在工作电脑、在公司电子邮件系统或在公司内部网络中储存或传输的信息；用人单位采取登报公告方式向“失联”员工送达解聘通知；用人单位在公司内部和外部通报员工的违纪行为等。

（二）向员工明示公司有权对个别信息进行收集、监控或分析

用人单位可以在规章制度中向员工明确告知：公司提供的员工工作电脑、公司提供的电子邮件系统和公司内部网络仅可用于工作用途。任何员工不应在该等设备中储存或传输隐私信息。

（三）增强企业内训

不从事法律行业的绝大多数员工，对于隐私、个人信息保护问题容易缺乏完整、准确的理解。员工对此方面问题的片面或错误理解容易引发争议。因此，用人单位应当定期向员工开展相关培训，以尽量避免因误解而引发的争议。

（四）建立安全管理以及紧急预案的合规体系

1.根据《个保法》要求，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。如制定内部管理制度和操作规程；对个人信息实行分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案以及法律、行政法规规定的其他措施。

2.建立个人信息负责人制度。根据《个保法》要求，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

（五）重视取得员工的“同意”

在现行法律下，目前难以对能否适用《个保法》第13条第(2)至(7)项的规定处理个人信息中的私密信息一事作出确定结论。为避免潜在法律风险，用人单位宜以谨慎的态度对待此事，把取得员工同意作为处理个人信息中私密信息的首选方案。

六、获得“同意”的注意事项

（一）是否只要员工签了“同意书”就能解决隐私与个人信息保护问题

根据《个保法》第十四条规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”

即在员工签署“同意书”之前，企业应履行充分告知的义务，在员工自愿、明确的前提下签署才具有法律效力。且对于如个人敏感信息、跨境处理信息、变更使用用途等情况还需单独或重新取得个人的同意。

（二）员工“同意”应当包含的内容

1.获取个人信息的范围

①应注意区分一般信息和敏感信息；

②应在各个环节注意，如招聘与入职（背景调查）、履行劳动合同（办公工具、网络、人脸或指纹识别的签到与考勤、办公场所管理、通讯工具、邮件、绩效考核、工资条）、变更劳动合同/岗位、解除与终止（离职后个人信息处理）等；

2.个人信息的处理应符合合法、正当、必要与诚信原则

一是合法，要满足法律、行政法规要求，要满足信息主体知情同意；二是正当，处理个人信息的目的和手段正当，还应满足向个人告知的前提；三是必要，个人信息处理者在必要限度内，不得进行与处理目的无关的个人信息；四是诚信，不得通过误导、欺诈，胁迫等方式处理个人信息。

3.个人信息的保存

如保存期限，个人信息的保存期限应当为实现处理目的所必要的最短时间。

4.告知方式

单独告知；规则制度的告知、公示等民主程序；单独“同意”事项的书面文件签字等。

（三）个人信息全流程处理规则

1.个人信息处理流程：收集——存储——使用——加工——传输——提供——公开——删除等。

2.根据《个保法》的要求，企业应建立：告知同意机制；单独/例外同意机制；重新同意机制；撤回同意机制。

参考文献：
1.君合法评丨后《个人信息保护法》时代员工个人信息保护问题的梳理和解析(二)
2.甲子光年丨大厂监控与员工隐私：消失的边界
3.兰台律所丨个人信息保护与企业用工合规管理

【返回 】