劳动用工全流程中员工个人信息保护的合规要点

来源:通力律师

文章摘要
在用人单位日常经营和劳动用工场景中, 从招聘录用、入职体检、日常管理到离职处理的全流程, 不可避免地需要接触与收集应聘者及正式员工的各类个人信息, 不仅包括个人基本资料、教育工作信息、通信信息、联系人

在用人单位日常经营和劳动用工场景中, 从招聘录用、入职体检、日常管理到离职处理的全流程, 不可避免地需要接触与收集应聘者及正式员工的各类个人信息, 不仅包括个人基本资料、教育工作信息、通信信息、联系人信息等“一般个人信息”, 部分的身份信息、财产信息、健康生理信息、生物识别信息等还可能落入“敏感个人信息”的范畴。
在员工个人信息处理活动中, 如何合法合规处理大量员工的个人信息与隐私保护问题, 如何保障员工依法享有的个人信息主体权利, 已经成为我国用人单位亟待应对和解决的关键问题。
本文对用人单位收集、使用应聘者及员工个人信息的若干具体场景进行分析, 明确所处理的个人信息种类和范围, 并提出针对性的实务建议, 旨在进一步增强劳动用工全流程中的合规水准, 供读者借鉴。
一、招聘录用环节
(一) 招聘申请阶段
1. 所处理信息的范围
用人单位在通过网络媒体发布职位招聘信息时, 往往会通过收集简历、填写个人情况等方式处理应聘者的个人信息, 包括:

2. 相关规定及要求
在招聘阶段, 用人单位尚未确定具体签订劳动合同的对象, 也没有进入劳动合同缔约过程, 故难以通过《个人信息保护法》第十三条中“订立、履行合同所必需”、“实施人力资源管理所必需”免除获得个人同意的义务。因此, 用人单位应当依照《个人信息保护法》第十七条的要求, 以显著方式、清晰易懂的语言真实、准确、完整地向应聘者充分告知用人单位的名称和联系方式, 以及需要收集的个人信息种类、保存期限、处理目的、处理方式等事项, 取得个人同意。此外, 隐私政策应向应聘者公开, 并且便于应聘者查阅和保存, 当隐私政策相关事项发生变更时, 用人单位还需及时告知。
具体而言, 隐私政策等个人信息处理规则应当包括: (1)简历的使用目的; (2)简历保留期限; (3)应聘者行使权利(如要求删除其个人信息)的程序和联系人; (4)用人单位如要求应聘者在简历中提供身份证、护照等敏感个人信息的, 应告知收集敏感信息的必要性, 以及该类信息可能对个人造成的影响。
3. 实务建议
(1) 在应聘者注册招聘网站时, 首先加入《用户协议》《隐私政策》的勾选设计取得应聘者的授权, 注册即代表应聘者已认真阅读并同意遵守前述个人信息处理规则。设置附件勾选按钮时不得替应聘者默认勾选, 而应确保应聘者以主动点击“同意”选项等方式完成授权动作。如应聘者拒绝提供相关个人信息, 将无法使用招聘系统的投递功能, 但不影响其他功能。
(2) 在登录应聘者账号时, 通过招聘平台页面弹窗、温馨提示的方式向应聘者充分告知, 如“尊敬的用户, 您好!为了加强对您个人信息的保护, 根据最新法律法规要求, 我们制定了《隐私政策》相关条款, 请您仔细阅读并确认, 我们将严格按照政策内容使用和保护您的个人信息, 感谢您的信任”, 同时加入“我已阅读并同意”的选项, 获取应聘者的同意。
(3) 当应聘者完成个人简历、求职意向等相关信息的填写, 在点击“确认提交”前也可以进一步设置《隐私政策》附件勾选按钮或者招聘页面跳窗, 告知应聘者收集身份证等敏感个人信息的必要性以及对个人权益的影响, 以实现《个人信息保护法》《信息安全技术个人信息处理中告知和同意的实施指南》等规定中关于“充分告知+单独同意”的要求。
(4) 对于不再参与后续笔面试环节的落选应聘者, 建议用人单位及时删除相关个人信息。若将落选者的简历信息转移至人才库, 则应当采取加密处理、去标识化等安全手段进行存储, 但仍需定期删除。
(二) 背景调查阶段
1. 所处理信息的范围
用人单位在招聘新员工时, 为核实应聘者提供信息的准确性、真实性、完整性并评估拟聘用员工和岗位的匹配度, 用人单位可能会对拟录用员工展开的背景调查, 如联系其在过往实习或工作经历的证明人等。参考国家标准《信息安全技术个人信息安全规范》附录A的个人信息示例, 背景调查中常见的个人职业、职位、工作单位、工作经历、培训记录等信息均应判定为个人信息, 属于个人教育工作信息。

2. 相关规定及要求
《个人信息保护法》第十三条将人力资源管理所需的场景限定在“订立、履行合同”和“依法制定的劳动规章制度和依法签订的集体劳动合同实施人力资源管理”, 非出于以上目的处理员工个人信息的, 应当取得员工的同意。通常认为, 用人单位可以收集与劳动合同直接相关的员工工作履历等个人信息, 但向拟录用员工原工作单位进行背景调查, 以核实过往工作经历与考评表现等情况, 仅仅只是用人单位实现人力资源管理的一种辅助手段, 并非法律规定的必经程序环节。
因此, 在对拟录用员工实行背景调查之前, 用人单位应当向应聘者充分履行告知义务, 并明确应聘者合规有效地修改、撤回个人信息的方法, 以获得应聘者的书面同意和授权。
3. 实务建议
实践中, 建议用人单位专门就背景调查事项向拟录用员工发送通知, 通过《背景调查通知书》等书面形式告知并提醒查收授权短信或邮件, 要求及时签字确认, 事前取得同意。在涉及到委托第三方进行背景调查的情况下, 还需明确告知第三方背调机构的名称、涉及的个人信息类型等。
若单独取得应聘者的授权书存在一定难度, 建议用人单位明确向应聘者书面说明将对其进行背景调查。如直接在《拟录用通知书》中规定“我们将根据您提供的原单位联系方式、联系人等相关信息进行背景调查”等内容, 一并对背调的主要内容、范围以及不合格的后果作出约定, 此时应聘者填写招聘信息或者接受录用的行为均可以视为其同意用人单位获取个人信息的授权。[2]
在完成背景调查后, 用人单位应当妥善保存应聘者个人信息及其提供的原单位联系信息, 不予录用的情况下需及时删除或进行匿名化处理。
(三) 入职体检阶段
1. 所处理信息的范围
部分用人单位在拟录用员工入职前, 不仅需要收集与应聘者身体健康状况相关的个人信息, 还要求应聘者体检合格, 不合格将不予录用。其中, 涉及到应聘者个人因生病医治等产生的相关记录, 属于敏感个人信息。

2. 相关规定及要求
根据《劳动合同法》《上海市劳动合同实施条例》《江苏省劳动合同条例》等相关规定, 由于体检报告能够直接和全面地反映拟录用员工的身体状况, 原则上属于与签订劳动合同直接相关的基本情况, 故用人单位可以在招聘录用阶段采集应聘者的健康信息, 但应当区分所属行业制定体检项目, 严格限制在实现处理目的之最小范围内。
对于非特殊行业的入职检查, 用人单位有权要求拟录用员工提供体检报告, 根据应聘者的身体健康状况进一步评估, 确认是否发放录用通知书。2022年5月5日发布并实施的《国务院办公厅关于进一步做好高校毕业生等青年就业创业工作的通知》在第十四条明确, 不得违法违规开展乙肝、孕检等检测。故原则上, 用人单位可以按照医院体检科对入职体检的检查项目直接进行体检或者根据用人单位确定的体检项目进行体检, 但不得要求应聘者提供乙肝检测、女性孕检、艾滋病检测等特殊健康信息。如果用人单位以该类体检项目不合格而拒绝录用, 会被认定存在就业歧视的合规问题, 将面临极高的合规风险。
对于医疗器械、食品生产、化妆品、公共场所经营等关系着社会公众利益的特殊行业, 用人单位在招聘特殊岗位员工时, 有权依据《药品管理法》《食品安全法》《化妆品生产经营监督管理办法》《公共场所卫生管理条例实施细则》等法律法规, 收集员工与禁止从业的特定疾病有关的健康生理信息。用人单位应根据所属行业和招聘岗位的要求以及拟录用员工的就业经历, 安排其进行具有行业、岗位和潜在健康隐患针对性的特定体检项目, 避免招聘到患有职业病或疑似职业病以及有职业禁忌的人员。
3. 实务建议
由于入职体检通常涉及到以往病史、家族病史、传染病史等敏感个人信息, 建议用人单位严格遵守个人信息处理的授权同意规定: (1)在开展入职体检前, 根据工作岗位实际, 合理确定入职体检项目, 通过《入职体检通知书》等书面形式将体检形式及具体项目明确告知拟录用员工, 充分说明处理该等个人健康生理信息的必要性, 获得拟录用员工的单独授权, 未经其同意不得私自增加检查项目。(2)在完成入职体检后, 建议要求拟录用员工自行获取体检报告并向用人单位主动提供, 尽量避免由用人单位直接从相关医疗机构的数据库中调取体检信息。
(四) 签订劳动合同阶段
1. 所处理信息的范围
用人单位与拟录用员工签订劳动合同时, 通常会一并要求填写入职登记表。除了拟录用员工本人信息外, 还可能收集其直系亲属或者紧急联系人的姓名、联系方式、工作单位及职位等相关个人信息。

2. 相关规定及要求
《劳动合同法》第八条的规定可知, 用人单位依法享有收集、获取、查询、披露应聘者及员工与劳动合同直接相关的个人信息的权利, 但仍应当严格遵照《民法典》《个人信息保护法》等相关法律法规的要求, 遵循“最小必要”原则, 避免过度收集。
相较于前几个阶段, 劳动合同签订过程中所处理的个人信息更多。其中, 用人单位需要重点关注拟录用员工婚姻生育信息的收集, 在实践中可能存在极大的合规风险, 如无充分理由的, 应当谨慎收集。一方面, 由于婚史和生育信息均属于个人敏感信息, 也即个人隐私, 婚姻生育状况与劳动合同的签订与履行没有直接联系或必然的关系, 员工并无告知义务且有权拒绝告知; 另一方面, 男女平等是我国的基本国策, 收集员工的婚姻生育状况可能会有就业歧视之嫌。因此, 根据《女职工劳动保护特别规定》中对于女员工的保护义务, 如果用人单位仅因女员工在入职阶段填写“虚假婚姻生育状况”或者拒绝提供而直接不予录用, 则被裁审机关认定为缺乏个人信息处理之必要性的风险较大。
3. 实务建议
为实现用人单位与拟录用员工签订的劳动合同以及人力资源管理需要, 建议用人单位通过在《员工手册》当中添加附件《个人信息保护承诺书》, 尽量涵盖劳动用工全流程需收集到的全部信息范围、用途、使用方式、保存方式, 以及员工合规有效地修改或撤回个人信息的方法等, 在员工入职时由其签收确认, 完成告知的公示与同意的获取, 明确就人力资源管理下员工个人信息处理活动取得其单独授权。
对于拟录用员工联系人信息处理活动的授权, 建议用人单位在《劳动合同》《入职登记表》等文本中, 要求拟录用员工就其提供直系亲属或者紧急联系人信息做出承诺。也即, 员工向用人单位提供这类第三人的个人信息, 应当以其已获得当事人就个人信息处理的同意为前提。如果员工未向直系亲属及紧急联系人告知信息处理的目的、方式、个人信息范围等信息并获取该等联系人同意, 则员工应当承担相关责任。
同时要求员工书面保证其所提供信息的真实性、准确性、完整性, 并将员工个人信息造假行为列为严重违反公司规章制度的行为, 明确该情况下用人单位可以单方解除劳动合同且不支付任何补偿金的权利。
二、人力资源管理
(一) 考勤打卡管理
1. 所处理信息的范围
用人单位若采用指纹打卡、人脸识别、定位打卡等考勤方式, 根据《信息安全技术个人信息安全规范》附录B的个人敏感信息举例, 可知指纹、虹膜、面部识别特征都是典型的个人生物识别信息, 而一旦泄露、非法提供或滥用可能危害人身和财产安全, 极易导致个人名誉、身心健康受到损害或歧视性待遇等, 应判定为个人敏感信息。

2. 相关规定及要求
结合《个人信息保护法》第二章第二节对于敏感个人信息的处理规则, 用人单位在适用前述考勤操作之前, 应当采取严格保护措施, 并向员工告知处理敏感个人信息的必要性以及对个人权益的影响, 以取得员工个人的单独同意。但是仅出于考勤打卡目的而收集员工的指纹、人脸及定位信息, 可能不具备处理敏感个人信息的特定目的和充分必要性, 存在被认定为非“实施人力资源管理所必需”的数据处理活动的合规风险。
根据2021年7月27日最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条的规定, 除非为提供产品或服务所必需, 否则不得要求自然人同意处理其人脸信息, 不得强迫或变相强迫自然人同意, 不得以与其他授权捆绑的方式要求同意。同时, 《深圳经济特区数据条例》第十九条明确, 处理生物识别数据的, 在征得该自然人明示同意时, 还应当提供处理其他非生物识别数据的替代方案。因此, 如果用人单位要求员工必须同意通过指纹或人脸完成打卡, 则可能构成对前述法律法规的违反。
3. 实务建议
建议用人单位履行充分的告知义务并获得员工的单独同意, 通过自动化决策基于定位信息与行踪轨迹进行考勤分析。在人脸、指纹识别认证后, 及时删除原始的图像收集信息, 并采取较高安全保护措施, 确保此类个人敏感信息的安全性。同时提供不会用到生物识别信息的替代方案, 即对于不同意指纹打卡或人脸打卡的员工, 建议用人单位采取其他的传统打卡方式供其选择, 以实现考勤管理目的, 避免违法收集个人敏感信息的风险。
(二) 监控设施管理
1. 所处理信息的范围
用人单位对于监控设施的管理, 主要分为工作场所和办公设备监控。一方面, 为实施人力资源管理所必需, 用人单位通常会在公共办公区域安装摄像头进行监控, 用于安保、监督、调查等目的。另一方面, 用人单位也对员工的办公手机、内部电脑等设备进行监控, 可能涉及大量员工个人信息的处理, 尤其是网页浏览记录、聊天记录等敏感个人信息。

2. 相关规定及要求
(1) 工作场所监控
《个人信息保护法》第二十六条明确在公共场所安装图像采集、个人身份识别设备, 应当为维护公共安全所必需。用人单位为保证办公场所人、财、物的安全, 在正常行使用人单位监管权的合理范围内, 有权将监控摄像头安装在多人工作的公共场所, 而非更衣间、休息室等员工私人生活区域, 也不应在非工作时间继续监控收集。
若涉及员工考勤造假、迟到早退、打架斗殴、违规违纪等情况, 用人单位可以调取录音录像作为证据材料, 证明员工存在违反《员工手册》等规章制度的行为。但需注意, 后续发生劳动仲裁时因调查取证收集的员工个人信息应当严格仅用于诉讼目的, 不应轻易公开, 做好保密措施, 并在实现目的后及时删除。
(2) 办公设备监控
用人单位要求员工使用内部办公设备并采取实时监控, 有助于保护重要数据资产和提高业务运营效率, 便于防范员工离职带来的泄密风险、岗位空缺风险以及开展内部反舞弊调查, 具有一定的可行性和合理性。但就员工而言, 工作和私人生活无法完全区分开, 有一些原本应该是与工作无关的个人信息也会沉淀到工作场所的系统里面, 用人单位的强监控措施可能构成对其个人隐私以及个人信息权益的侵犯。
在司法实践中, 用人单位对员工办公设备的信息监控或数据调取, 是否具有必要性, 存在较大争议。根据《个人信息保护法》第六条和第二十九条等规定, 用人单位在工作场所安装监控系统、监管员工行为之前, 应当明确告知员工并获得员工的同意, 涉及敏感个人信息的还应当取得员工的单独同意。如果用人单位未经告知和员工明确同意便进行监控和数据调取, 则容易使得相关证据因缺乏合法性而被裁审机关排除。
3. 实务建议
建议用人单位通过《员工手册》《隐私政策》《个人信息保护承诺书》《电子通讯媒体和公司设备使用手册》等内部规章制度文本, 提前取得员工关于工作场所和办公设备监控的书面授权, 具体包括:
(1) 充分告知工作场所监控的范围、目的、存储方式、安全措施等信息, 取得员工的事先同意。此外, 尽量在办公监控区域设置显著的提示标识, 如“您已进入监控范围内”, 并提示员工做好信息防护, 包括穿着、密码登录等。
(2) 提前向员工告知用人单位将对其使用的工作邮箱、电脑、手机等与工作相关的其他电子设备及电子账户进行合理监控, 保留对员工办公设备中的信息检查、监控、存储的权利, 例如就工作电脑、工作网络的适用设定隐私排除条款, 通过监控或监控软件获得涉个人信息的证据, 应与员工当面核对。
(3) 明确员工在职期间工作设备应仅为工作目的, 原则上不得使用用人单位的内部系统或专用设备处理与工作无关之个人事务, 也不得使用员工的私人电脑、其他设备及私人邮箱处理工作相关事务, 并获取其事先同意。
(三) 对外传输管理
A.向第三方传输
1. 所处理信息的范围
若用人单位存在单独的人力资源服务提供商, 如代发工资、代缴社保、购买商业保险、制作通讯录、建立人才库、出差团建等涉及员工信息的第三方传输活动, 所收集个人信息的范围和种类应根据实际情况进行明确。
2. 相关规定及要求
在判定第三方的主体定位时, 由于人力资源服务提供商与用人单位之间为委托关系, 二者并非共同决定员工个人信息的处理目的和处理方式, 故该等第三方服务提供商属于“委托处理者”, 而非“共同处理者”。
依据《个人信息保护法》《信息安全技术个人信息安全规范》等相关规定, 用人单位在委托人力资源服务提供商等第三方处理员工个人信息时, 应符合以下要求: (1)用人单位在向第三方提供员工信息前应进行安全影响评估, 确保第三方达到适当的数据安全能力要求, 并采取能够有效保护员工的措施; (2)明确向员工告知第三方名称、个人信息类型、处理目的和方式等, 委托行为不得超出已取得员工授权同意的范围; (3)与第三方签订充分严格的委托协议与保密协议, 约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等; (4)对第三方的个人信息处理活动进行监督, 确保第三方不会超出约定的处理目的、处理方式等, 也不会在未经用人单位同意的情况下擅自转委托他人处理员工个人信息; (5)准确记录和保存向第三方提供员工个人信息的情况, 包括提供的日期、规模、目的以及第三方服务提供商基本情况等。
3. 实务建议
建议用人单位在《隐私政策》《员工手册》《个人信息保护承诺书》等文本中, 向员工告知第三方服务提供商的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类, 以及用人单位和第三方所承担的相应法律责任, 取得员工的同意。若涉及身份证、银行账户等敏感个人信息, 建议根据具体委托处理的情形, 取得员工的单独同意, 避免被认定为概括授权。
B.数据跨境传输
1. 所处理信息的范围
在跨国公司或者同一经济实体内部中, 基于员工信息管理、员工入离调转管理、薪资福利发放等出境目的, 用人单位作为数据处理者, 需要向境外关联公司或者人力资源专业软件服务商提供员工姓名、身份证、电话号码、电子邮件地址、银行账号等个人信息, 往往将涉及到人力资源管理场景下员工个人基本资料、个人身份信息、个人教育工作信息与个人财产信息的数据跨境传输活动。
2. 相关规定及要求
根据《个人信息保护法》《数据出境安全评估办法》《网络安全审查办法》等相关规定, 用人单位在跨境处理员工个人信息前, 应当做到: (1)明确告知员工境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及员工向境外接收方行使个人信息主体权利的方式和程序等事项, 并取得员工的单独同意; (2)事前进行个人信息保护影响评估, 并对处理情况进行记录, 个人信息保护影响评估报告和处理情况记录应当至少保存三年; (3)督促境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准; (4)除法律法规规定可以豁免的情形外, 需依法满足数据出境安全评估、个人信息保护认证或个人信息保护标准合同备案等数据出境的相关要求。
但根据2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》, 明确在“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理, 必须向境外提供内部员工个人信息”的情形下, 不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证, 极大降低用人单位在员工个人信息数据出境时的合规成本。
3. 实务建议
建议用人单位持续关注个人信息出境相关监管政策的出台, 评估人力资源管理场景下的数据跨境传输活动是否属于上述豁免情形。对于已开展部分数据出境合规工作的用人单位来说, 仍建议继续开展内部摸排和个人信息保护影响评估工作, 查漏补缺, 同时将个人信息保护影响评估报告留档备查。
(四) 病假审批管理
1. 所处理信息的范围
用人单位出于监督管理之目的, 通常要求员工在申请病假时, 一并提交病历单、诊断报告等材料予以证明, 这类个人因生病医治等产生的相关记录均属于个人健康生理信息, 即个人敏感信息。建议用人单位在《员工手册》《个人信息保护承诺书》等规则文件中, 明确向员工告知计划采取的存储方式、保护措施、使用方式、公开条件等。

2. 相关规定及要求
员工在提交病假申请时是否履行了用人单位要求的必要手续, 需要具体情况具体判断, 这也是平衡劳资双方权益的关键。当员工患有不愿被他人知晓的特殊疾病时, 用人单位不可过度苛求员工提供个人敏感信息, 对于该等私密信息的处理需要获得员工明确同意。如(2021)京03民终106号经典案例[3], 北京三中院认为员工患疾病的细节应属个人隐私, 公司要求提供的病历、心理证明材料、费用凭据等应以必要为限, 能够反映员工患病就诊事实即可, 但不应过分求全, 以免侵犯个人隐私, 侵害患者权益。
3. 实务建议
基于“最小必要”原则, 用人单位作为个人信息处理者, 通过病假审批及核查的方式进行病假管理时, 建议仅要求员工提供必要信息, 如医疗机构出具的病历或诊断证明, 足以证明其因病需要休息即可, 不得过度采集员工精神分析治疗记录、手术记录等无关细节信息。
(五) 合规调查管理
1. 所处理信息的范围
当员工出现违纪违法事由或者遭受投诉举报时, 用人单位需要开展纪律合规、刑事处罚及犯罪记录的调查, 可能涉及员工银行账户、流水记录、交易和消费记录等个人敏感信息的收集活动。

2. 相关规定及要求
对于违纪行为本身及调查过程中的监控视频、录音等信息, 均应当采取相应的加密、去标识化等安全技术措施妥善保存, 未经同意不得擅自公开, 亦不得侵犯员工个人隐私。即使处理处分本身合法, 但为了对内部员工起到震慑作用, 用人单位可能会通过群发邮件、通报批评等方式进行公告处分, 甚至在其官网公示员工相关的个人信息及违纪解除劳动关系或降职降岗等情况的书面说明。除非有法律明确规定的公示要求, 否则前述对外发表公告或声明的行为是否属于“实施人力资源管理所必需”, 是否具有必要性、正当性和合理性, 将存在较大争议。
因此, 无论是前期收集或要求员工再提供证明的调查取证阶段, 还是后期的公示公告处理, 用人单位均应当严格按照《个人信息保护法》等相关法律的要求与内部规章的规定保护好员工个人信息。
3. 实务建议
建议事先通过《员工手册》《个人信息保护承诺书》等文件向员工明确违反规章制度的相关后果, 例如: (1)员工可能存在违法违规行为时, 用人单位有权在合理范围内收集员工个人信息进行合规调查; (2)员工无正当理由拒绝违纪调查或不予配合, 则用人单位可以单方解除劳动合同; (3)经核查确认员工存在违纪事由的, 用人单位有权将合规调查的处理结果向全体员工进行公告, 但公示的范围应仅限于员工内部, 且公开的内容中不得涉及员工其他个人信息甚至隐私或敏感信息。
三、劳动关系解除
(一) 员工离职阶段
1. 所处理信息的范围
劳动关系的解除主要存在员工单方解除、用人单位单方解除和双方协商解除三种情景。如需履行劳动合同下的竞业限制义务, 用人单位在员工离职后可以收集个人银行账号等信息以发放竞业限制补偿金, 也可以要求员工定期填写《竞业限制信息反馈表》并向用人单位进行书面汇报。其中, 通常需要离职员工提供新入职工作单位的名称、经营范围、通信地址、工作岗位、人事部门联系人与电话等信息, 以及劳动合同、经营管理性文件、社保与个税缴纳证明等文件。

2. 相关规定及要求
根据《个人信息保护法》第十九条规定, 个人信息的保存期限应当为实现处理目的所必要的最短时间。因此, 用人单位应在规定时间内及时删除或无痕销毁部分存储期限已到期或无需存储的离职员工信息。如基于竞业限制等特殊情况, 用人单位仍然需要储存与离职员工相关的个人信息, 应当取得该离职员工的同意, 并采取去标识化、匿名化处理等合规措施。但需注意, 在用人单位进行竞业限制履行情况调查时, 尽量在员工授权的事项范围内处理或者通过公开渠道调查取证, 避免超过合理必要之限。
3. 实务建议
员工离职或用人单位与其解除、终止劳动关系的, 建议用人单位及时且主动删除相关个人信息, 分类并单独存储劳动合同, 对《劳动合同法》第五十条规定需要保存的劳动合同文本两年备查。若签订有保密及竞业限制协议, 建议在《竞业限制义务开始通知书》《竞业限制信息反馈表》等文件中约定属于为履行前述协议处理个人信息的范围, 明确离职员工负有配合用人单位调查协议履行情况的义务, 拒绝配合调查或提供就业报告信息则视为违约。同时通过离职员工在签收回执上的确认, 取得其就个人信息处理活动的同意, 以及新入职单位联系人信息的授权。
(二) 新单位背调阶段
1. 所处理信息的范围
员工从用人单位离职后, 下一家拟聘任工作单位为验证工作背景的真实性, 可能会联系用人单位了解该离职员工的工作经历、考评表现、岗位情况、工作年限、离职原因等个人信息。

2. 相关规定及要求
用人单位应当注意核查新工作单位是否就背调事项取得该离职员工的授权, 未经本人同意, 不得私自对外提供其个人信息。若新单位能够出示离职员工同意接受背调的证明文件, 用人单位可以在必要限度内配合新单位核实该员工相关信息, 如离职员工的姓名、身份证号码、职位、劳动合同期限等。
3. 实务建议
建议用人单位仅提供离职证明中已有的个人信息, 但是除此以外的信息, 如离职员工在职期间的工作绩效、考评结果等主观评价尽量不对外提供。
四、对用人单位的合规建议
1. 明确有权收集并处理个人信息的范围
除了免除个人同意的法定豁免情形外, 用人单位应当在应聘者或员工授权的处理目的、处理方式和个人信息的种类等范围内处理其个人信息。建议通过《隐私政策》《拟录用通知书》《背景调查通知书》《入职体检通知书》等事前获取应聘者的同意, 并在《劳动合同》《入职登记表》《员工手册》等内部规章制度文本中添加附件《个人信息保护承诺书》, 明确就人力资源管理下员工个人信息处理活动取得书面授权。
2. 涉及个人敏感信息, 应充分告知并获得单独同意
如前所述, 用人单位在劳动用工全流程中均可能涉及应聘者或员工的个人敏感信息。除了在内部制度文本中履行告知义务外, 建议用人单位根据实际需求区分特定场景, 再次向员工明确说明其收集的个人敏感信息、处理目的、必要性以及对个人权益的影响, 以实现《个人信息保护法》《信息安全技术个人信息处理中告知和同意的实施指南》等规定中关于“充分告知+单独同意”的要求, 避免被认定为概括授权的风险。
3. 严格采取安全技术措施, 保障信息主体合法权益
用人单位应当根据人力资源管理的实际需求, 建立员工个人信息分类管理制度, 进一步加强员工个人信息保护方面的合规制度建设。一方面, 对已获取的个人信息, 用人单位须采取相应的加密、去标识化处理等安全技术手段进行存储, 以防止应聘者及员工个人信息的丢失、篡改及泄漏等。另一方面, 建议用人单位将个人信息的收集、处理、传输、保密、违纪处分等纳入管理规范, 不断完善《隐私政策》《员工手册》《个人信息保护承诺书》等内部规章制度, 及时公开并告知个人信息处理规则的变更事项。
最后, 旨在为用人单位提供清晰准确的员工个人信息保护指南, 我们准备了《用人单位员工个人信息保护合规自查手册》。如您有兴趣进一步了解相关细节, 请联系我们。
注释
[1] 加粗的为敏感个人信息, 下同。
[2] 该种形式也能得到司法裁判的认可, 如(2023)京0105民初17432号、(2021)粤01民终22736号等案例。
[3] 参见达科信息科技(北京)有限公司与谢涛劳动争议二审民事判决书。

技术驱动法律,专业成就未来