2021年11月1日，《个人信息保护法》颁布实施，作为我国第一部个人信息保护方面的专门法律，其明确了个人信息处理的基本原则，兼顾个人信息保护与合理利用，是一部给各行各业都带来深远影响的法律。《个人信息保护法》郑重落地后， 我们看到国家对于网络平台公司、金融行业各种侵权乱象的整治， 滴滴、中国农业银行等公司都相继收收到巨额罚单。在个人信息保护强监管的时代，这部法律对于企业人力资源合规管理也提出了很多新的要求。

首先让我们了解一下什么是敏感个人信息， 敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《个人信息保护法》明确了个人信息的处理规则，包括合法、正当、必要、诚信、最小够用、公开、透明、合理使用、告知同意等规则。

人力资源管理过程中不可避免地会接触到员工个人信息，可以说员工个人信息处理和保护问题贯穿整个人力资源管理过程，如何防范可能出现的法律风险，成为企业在新规下人力资源管理合规的新课题。今天我们通过梳理《个人信息保护法》中关于个人信息处理的原则和具体规定，为企业人力资源合规管理工作提出以下法律建议和风险提示：

一、企业人资源管理过程中接触到的员工个人信息，包括员工的身份证件号码、家庭住址、银行账号、指纹、人脸识别信息、体检报告等等，几乎都属于敏感个人信息，作为这些信息的收集者和保管者，企业应当采取必要措施确保信息安全，防止未经授权的访问以及个人信息泄露、篡改、丢失，例如对个人信息采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，与员工签订相关的保密协议并定期进行信息安全教育和培训，严格履行个人信息处理者的法定义务。发生或者可能发生个人信息泄露、篡改、丢失的，公司应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

二、入职环节员工一般都要填写入职申请表，我们发现很多公司入职申请表上收集了太多不必要的个人信息，例如配偶信息、女职工的婚育信息等与工作岗位无关的信息，这都属于过度收集个人信息的行为，违反了《个人信息保护法》正当、必要、最小够用原则，员工有权利拒绝提供上述信息。

三、《个人信息保护法》规定，处理敏感个人信息应当取得个人的单独同意，该同意应当由个人在充分知情的前提下自愿、明确作出。在日常人力资源管理中，很多管理行为稍有不慎就会触发多个法律风险点，引起不必要的法律纠纷。例如，为了考勤打卡需要收集员工的指纹、人脸信息；在工作场所安装摄像头监督员工的工作情况；要求销售人员、售后服务人员使用公司手机以便随时监控员工位置。首先， 以上管理行为最好在员工入职时能够书面征得员工的同意，并告知员工搜集上述信息的目的、处理方式，以免后期发生劳动争议时陷入被动。其次，上述监管行为应当遵守合法、正当、必要、诚信原则，监控应仅限于工作时间和工作场所，搜集到的个人信息仅限于工作使用，如果涉及员工个人隐私，公司应当承担保密义务。

四、很多公司的规章制度中都规定， 如果员工请病假，需要提供诊断证明、执业医师出具的病假条、病历、医药费单据、治疗单据等一系证明材料。《个人信息保护法》实施后的劳动争议中，我们看到多地法院以员工罹患疾病的细节应属敏感个人信息，公司要求提供证明材料应以必要为限，能够反映患病就诊事实即可，不应过分求全以免侵犯个人隐私。由此可见公司在病假管理中应当调整证明材料要求，遵守正当、必要、最小够用原则，以不侵犯员工医疗健康敏感信息为限。

五、个人信息的保存期限应当为实现处理目的所必要的最短时间。所以我们建议公司在员工离职后的合理时间内应当删除其相关的个人敏感信息，避免不必要的法律风险。

六、《个人信息保护法》第六十九条明确了侵害个人信息权益的过错推定责任，规定个人信息处理者如果不能证明自己没有过错的，就必须要为其处理个人信息侵害个人信息权益造成的损害承担损害赔偿等侵权责任。该规定对于减轻受害人的举证负担，保护其个人信息权益非常有利。因此，用工单位作为个人信息的处理者应当在处理员工个人信息过程中做好证据留痕工作，以免发生争议时陷入举证不能或举证不利的被动局面。

在数字化发展突飞猛进的今天，《个人信息保护法》的实施代表了国家对于个人信息保护极其严肃的法律立场，每个人都是这部法律的受益者，让我们一起践行和遵守这部法律，在保障个人信息安全的前提下共享信息时代带给我们的生活便利与发展机遇。

作者介绍

杜明哲，睿扬律师事务所合伙人，曾有多年在政府和世界500强公司的工作经历，积累了丰富的公司管理经验。从业以来，致力于公司治理、合规等领域的法律研究与实践。