在劳动用工领域，员工个人信息保护贯穿招聘入职、员工简历、背景调查、劳动合同签订、日常考勤管理、病假管理、违纪行为调查、劳动关系解除等方方面面。对用人单位而言，《个人信息保护法》第六十六条规定，违反本法规定处理个人信息或者未履行个人信息保护义务的，由个人信息保护职责部门责令改正，拒不改正的处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，处五千万元以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。此外还有刑事及民事赔偿责任。

《个人信息保护法》第13条规定，符合下列情形之一的，个人信息处理者方可处理个人信息：（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。这为用人单位合法处理员工个人信息提供了法律依据和操作指南，但不意味着可以擅自、随意，甚至违法处理员工个人信息，用人单位应当在该法正式生效前这三个月的窗口期抓紧制定、修订、完善劳动合同、规章制度等人力资源管理文件，员工个人信息处理和保护提供支撑和依据。

一、用人单位处理保护的个人信息范围

什么是个人信息？《民法典》第1034条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

《个人信息保护法》没有再进一步细化罗列，而是采取了抽象概况的方式规定个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，但对敏感个人信息进行了界定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息，但不包括匿名化处理后的信息。

按此规定，在员工关系管理中，用人单位接触的劳动者的身份信息、宗教信仰、教育背景、工作经历、家庭成员、健康状态、银行账号、车辆牌照、社交账户、甚至行踪信息等等，均属于法律保护的个人信息。

二、什么是用人单位处理个人信息？

《个人信息保护法》第4条第2款规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。相对于《民法典》，《个人信息保护法》在列举个人信息处理的具体环节时又增加了“删除”，这也就意味着在劳动关系解除终止时增加了用人单位删除员工个人信息的要求，但这里的删除并不是劳动合同合同解除后即理解删除有关离职员工的所有信息，而是有“保护”、有“选择”的进行处理，对于离职员工的个人信息保存期限以及期限届满如何处理应予以细化处理。如现行劳动法规用人单位对已经解除或者终止的劳动合同文本至少保存二年备查、工资支付记录应当保存两年、在涉及农民工工资支付的领域应当按照工资支付周期编制书面工资支付台账至少保存三年等，此外鉴于劳动争议案件的仲裁时效，对于考勤记录、违纪处理记录及劳动者签署的必要规章制度应当设置超过仲裁时效的保护期限，以防范潜在发生的诉讼仲裁案件。

对于个人信息的存储，应当坚持合法性、正当性、必要性，坚持诚信原则、最小限度原则、安全保障原则，其中必要性、最小限度原则是最不易把握、易引发纠纷的。《劳动合同法》规定了“用人单位可收集的员工个人信息”限于“与劳动合同直接相关的基本情况”，结合实践中多数用人单位的操作，前述信息主要包括：姓名、性别、民族、国籍、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人（或主要家庭成员）等，但对于婚姻、生育状况、性取向、家庭情况、宗教信仰等信息，一般认为前述信息与劳动合同的履行没有必然关联，不属于“与劳动合同直接相关”的信息，因此不建议用人单位收集，须对《员工入职登记表》等必要文件进行调整，不得过度收集个人信息，应当限于实现处理目的的最小范围；应采取对个人权益影响最小的处理方式；对于获得个人信息，应当注意知悉范围或传播范围的限制，应限定最小的知悉范围，尤其是在用工管理中，应当仅限于有关的管理层知悉，不能扩大至其他员工。

三、用人单位处理个人信息应坚持以“告知-同意”为首要原则

全国人大常委会法工委经济法室副主任杨合庆在解读《个人信息保护法》时说，“‘告知-同意’是法律确立的个人信息保护核心规则，是保障个人对其个人信息处理知情权和决定权的重要手段。”《民法典》第1035条规定，处理个人信息的，应当征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外。这是处理个人信息的一般前提，但在劳动关系中，用人单位与劳动者存在管理与被管理的关系，如果处理个人信息都需要劳动者同意，那么用人单位的管理权将无法实施，故《个人信息保护法》第13条规定，为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需个人信息处理者方可处理个人信息，这也为用人单位合法处理个人信息预留了“口子”，但限定了以劳动合同、集体合同、规章制度是否已经有了相关条款为前提，如果用人单位未制定《个人信息处理授权书》、《个人信息保护规定》，劳动合同当中也未进行必要的约定，那用人单位就不当然享有处理的权利。从司法裁判的角度，在制定劳动合同、集体合同、规章制度时，用人单位往往占据主导地位，即便制定了相关的条款以应当以事先“告知”，经过劳动者“同意”为前提，这是司法审查的重中之重，因此用人单位应当如实告知员工信息用途，并通过书面方式，得到员工书面同意，并向员工明确说明其权利义务及相应救济途径。

四、用人单位应建立个人信息保护合规制度体系

规章制度是企业管理的根本制度，《劳动合同法》赋予了用人单位依法制定规章制度并作为企业管理依据的权力，用人单位应当用足、用好、用对。《个人信息保护法》第五章对个人信息处理者的义务进行了专章规定，在劳动用工领域即是对用人单位个人信息处理合规管理和保障个人信息安全的要求，加重了管理者的责任与义务，要求企业按照规定制定内部管理制度和操作规程、实行分级分类管理、采取相应的安全技术措施、明确操作权限并定期开展培训、制定实施安全事件应急预案；指定个人信息保护负责人对个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、进行自动化决策、委托处理个人信息、向第三方提供个人信息、公开个人信息、跨境提供个人信息等高风险处理活动，进行事前风险评估评估内容主要包括：

1. 个人信息的处理目的、处理方式等是否合法、正当、必要；

2. 对个人权益的影响及安全风险；

3. 所采取的安全保护措施是否合法、有效并与风险程度相适应等。

同时，评估报告及相关处理情况应至少保存3年；履行个人信息泄露通知和补救义务等。

五、用人单位与第三方共享个人信息应细化管理

用人单位在人力资源管理中，还经常会出现与第三方合作的现象，如人事代理中的委托招聘、委托背景调查、委托代发工资、委托代缴社保、委托购买商业保险；再如推行电子劳动合同的，将劳动者个人信息存储在第三方平台上等等。这些委托事项的处理，也涉及职工个人信息的处理。对此，《个人信息保护法》也有相应的规范，该法第21条规定，“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。” 因此，用人单位在与第三方合作，涉及处理职工个人信息（处理的含义前面已介绍，包括收集、存储、使用、加工、传输、提供、公开、删除）的，双方的商务合同中也应注意按照《个人信息保护法》的规定，增加相关个人信息处理的条款，明确相关个人信息保护的权利义务和责任。对于间接获取的个人信息，用人单位应要求信息提供方说明个人信息来源，并对其个人信息的合法性进行确认，并要求信息提供方提供相应授权等。

六、个人信息保护负责人是个人信息保护第一责任人

《个人信息保护法》第五章对个人信息处理者义务进行了专章规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。在劳动用工领域，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等，因此用人单位人力资源负责人也就成了个人信息处理和保护的实际负责人、第一责任人。

《民法典》、《个人信息保护法》的相继实施，将个人信息保护提到了前所未有的高度，用人单位在人力资源管理中也应提高处理个人信息的合规意识，否则，处理个人信息不当，会带来相应的风险：

1.被曝光的风险；2.被信用惩戒的风险；3.行政责任的风险，违反法律处理个人信息，按《个人信息保护法》第66条和第71条的规定，应承担相应的行政责任；4.民事责任的风险，违反《个人信息保护法》处理个人信息，给员工造成损害的，应当承担赔偿责任，对此该法的第69条有明确规定；6.刑事责任的风险，对此《个人信息保护法》第71条规定，违反本法规定，构成犯罪的，依法追究刑事责任。