大陸個人信息保護法專題文章(五)—個人信息保護法下企業處理員工個人信息的合規問題（中國大陸）

溫堅堅 律師、黃郁婷 顧問[1]

 《中華人民共和國個人信息保護法》（以下簡稱“《個保法》”）的出臺對於企業在勞動用工過程中處理員工個人信息提出了新的要求，企業也將面臨個人信息保護的合規風險。本文旨在針對與勞動法相關法律、法規及個保法中涉及企業員工個人信息部分進行梳理，以提示企業對員工個人信息保護的相關責任。

一、企業處理員工個人信息之合法依據

個保法第十三條第一款第(二)項明確規定，為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需情形下，個人信息處理者可處理個人信息。

依據《中華人民共和國勞動合同法》（以下簡稱“《勞動合同法》”）第八條規定，用人單位招用勞動者時應當如實告知勞動者工作內容……;用人單位有權瞭解勞動者與勞動合同直接相關的基本情況，勞動者應當如實說明。又按《中華人民共和國勞動合同法實施條例》第八條規定，勞動合同法第七條^[2]規定的職工名冊，應當包括勞動者姓名、性別、公民身份號碼、戶籍地址及現住址、聯繫方式、用工形式、用工起始時間、勞動合同期限等內容。

因此，企業收集與勞動合同直接相關的員工個人信息系有明確的法律依據，員工無正當理由不得拒絕提供該類信息。然須特別注意員工應提供的個人信息範圍僅限於與勞動合同直接相關的基本情況，通常為姓名、性別、身份證號碼、住址、聯繫方式等。員工其餘個人信息較難以個保法第十三條第一款第(二)項為合法依據予以處理。 

二、企業仍應取得員工單獨同意之情形

除上述提及的信息外,企業若需處理員工的其他信息，原則上應取得員工個人的同意。個保法特別規定了以下五種需要取得個人（包括員工）單獨同意的情形。

三、企業處理員工個人信息應遵循的規則

個保法第三條規定，在中華人民共和國境內處理自然人個人信息的活動，適用該法規定。因此企業在處理員工個人信息時也應遵照個保法之相關規定。個保法第五條至第九條針對個人信息的處理亦作出了明確的規定，企業應遵循下列歸納之原則對員工的個人信息進行妥善處理。

四、企業應採取的應對方式

企業違反個保法相關規定將會承擔相應行政責任、民事責任、刑事責任，建議企業從以下幾方面針對員工個人信息的處理進行把控。

1. 制定內部管理制度和操作流程，可按實際情況修訂《員工個人信息使用同意書》、《勞動合同》、《員工手冊》等有關個人信息的協議書。

2. 對員工個人信息實行分類管理，尤其注意把握敏感信息的處理。

3. 在實務可操作的前提下，採取相應的加密、去標識化等安全技術措施，加大員工個人信息的安全保障。

4. 明確個人信息處理的操作許可權，並定期對從業人員進行安全教育和培訓。

5. 制定並組織實施個人信息安全事件應急預案。

6. 注意保留企業內部履行員工個人信息保護義務的相關證據^[4]。

[1] 作者為上海理慈律師事務所律師與顧問，惟本文內容為個人意見，不代表事務所立場。

[2] 《勞動合同法》第七條，用人單位自用工之日起即與勞動者建立勞動關係。用人單位應當建立職工名冊備查

[3] 企業向境外提供個人信息涉及信息的跨境流通問題，可參考【理慈特輯】《個人信00息保護法》對信息跨境傳輸之特殊規定要求，https://www.leetsai.com/%e7%89%b9%e8%bc%af/feature-articles-on-chinas-personal-information-protection-law-3-special-regulations-and-requirements-on-cross-border-data-transmission-mainland-china?lang=zh-hant)

[4] 個保法第六十九條：處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。