《个人信息保护法》下的员工个人信息管理

全国人大常务委员会于2021年8月20日，通过了中国《个人信息保护法》（下称《个保法》），将于2021年11月1日起施行。本文将从员工入职、在职和离职的三阶段展开，对其中热点的个人信息保护问题结合《个保法》的规定进行简要分析。

个人信息的分类

《个保法》规定：“个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。在用工管理中，此类信息包括员工的姓名、性别、教育背景、职业资格、考勤记录等一般的个人信息。

除一般的个人信息外，《个保法》将“敏感个人信息”作为个人信息的一项分支，进行了更为严格的规定。敏感个人信息是一旦泄漏或者非法使用，容易导致自然人的人格尊严受到严重侵害或者人身、财产安全受到危害的个人信息。在用工管理中，该类信息包括员工的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。这类信息只有在具有特定的目的和充分的必要性，且采取严格保护措施的情形下，用人单位才可进行处理。

入职阶段

《劳动合同法》第八条规定：“用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明”，《个保法》第六条规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。可见，法律赋予用人单位收集员工个人信息的权利，同时又对该权利进行了限制。

员工的婚姻信息、生育信息，这些是否属于与劳动合同直接相关的信息？是否属于敏感个人信息？用人单位能否强制要求员工提供？我们认为，除非特定职位所必需，此类信息实质上并不属于履行合同所必需的个人信息，因此结合《个保法》的进一步规定，用人单位在员工入职阶段除非同时满足如下条件:（1）基于明确、合理的目的；（2）该个人信息与目的直接相关；（3）保证采取对个人权益影响最小的方式，否则不得收集此类个人信息。

在职阶段

员工在职阶段用人单位能否在员工的工作电脑上安装插件监控浏览记录，核查其是否存在违纪行为？用人单位能否登录员工的工作邮箱或者调取员工的微信聊天记录？

我们认为用人单位拥有对员工监督管理的权利，所以在合理范围内可以采取上述措施。根据《个保法》的规定用人单位的处理行为需秉持三项原则：（1）须是为经营和人员管理的必要目的；（2）遵循公开透明原则，明示处理的目的、方式和范围；（3）遵循合法、正当、必要和诚信原则。用人单位应当自查其行为是否符合《个保法》的原则性规定，并于《个保法》生效前及时自纠。

离职阶段

员工离职后，用人单位对员工的个人信息还能否保存？保存是否有时间限制？《个保法》第十九条规定个人信息的保存期限应当为实现处理目的所必要的最短时间。我们建议用人单位根据员工保密协议中约定的保密期限、竞业限制协议中约定的期限、诉讼时效等因素合理确定员工个人信息保存时间及保存的信息范围。在保存期限届满后，如可行，可做匿名化处理后持久保存。

违法后果

违反该法规定的，可面临的行政处罚包括：（1）责令改正，给予警告；（2）没收违法所得；（3）对违法处理个人信息的应用程序，责令暂停或者终止提供服务；（4）拒不改正的，并处一百万元以下罚款；（5）对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，可能处以五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

综上而言，《个保法》对个人信息的保护强调两方面内容，一是在满足一定前提时，个人信息处理者方可处理个人信息，二是个人信息处理者的法律责任与义务。用人单位管理员工个人信息时，首先应根据《个保法》的规定满足一定的前提条件，取得员工的同意，或是为了人力资源管理所必需，或是为了履行法定义务。

此外，用人单位还应建立个人信息保护的内部管理制度和操作流程，对个人信息进行分类管理，明确处理操作权限，制定信息安全事件应急预案等，在《个保法》规定的框架内搭建员工个人信息保护制度，保护员工权益，规范用人单位处理活动。

作者：志霖律师事务所高级合伙人谢阳