引文

顾名思义，《个人信息保护法》是对个人信息进行保护的法律法规，那么先明确个人信息的定义和范围，企业方能有的放矢，针对性判断企业用工过程中哪些环节涉及到个人信息，进而判断自身是否依法履行了保护义务，是否存在违规风险，才能完善自身的劳动用工体系。

一、个人信息的定义及范围

01 定义

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

02 范围

依据《信息安全技术 个人信息安全规范》（GB/T 35273—2020）的界定，个人信息的范围举例如下：

（1）基本资料：如姓名、生日、性别、民族、国籍、家庭关系、住址、电话号码、电子邮箱地址等；

（2）身份信息：身份证、护照、驾驶证、社保卡、居住证等；

（3）生物识别信息：基因、指纹、掌纹、虹膜、面部识别特征等；

（4）网络身份标识信息：个人信息主体账号、IP地址等；

（5）健康生理信息：病历、诊断报告、用药清单、住（出）院小结、生育信息、既往病史、家族病史、传染病史等，以及与员工个人身体健康状况相关的信息，如体重、身高等；

（6）教育工作信息：学历、学位、教育经历、工作经历、职业、职位、工作单位、培训记录、成绩等；

（7）财产信息：银行账户、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信记录、交易和消费记录、流水记录等；

（8）通信信息：通信记录和内容、短信、彩信、电子邮件，以及描述员工通信的数据等；

（9）联系人信息：通讯录、好友列表、群列表、电子邮件地址列表等；

（10）上网记录：通过日志存储的员工操作记录，包括网站浏览记录、软件使用记录、点击记录、收藏列表等；

（11）常用设备信息：包括硬件序列号、软件列表等在内的描述个人常用设备基本情况的信息；

（12）位置信息：行踪轨迹、精准定位信息、住宿信息、经纬度等；

（13）其他信息：婚史、宗教信仰、性取向、未公开的违法犯罪记录等。

通过上述定义和范围，可见企业用工时涉及的个人信息种类繁多，从员工入职前，到员工在职管理，再到员工离职后，员工个人信息分布在企业用工的全流程。为便于理解，我们下面将按照企业用工的流程，先从员工入职前的员工个人信息保护进行阐述。

二、员工入职前，个人信息保护要点

员工入职前，企业的人力资源部门通常需要进行如下工作：

1.根据企业用工需求，人力资源部门自行或通过第三方发布招聘公告；

2.人力资源部门收集接收人员简历，并根据用工需求筛选合格候选人；

3.人力资源部门与合格候选人联系，进行笔试、面试后决定是否录取。

结合人力资源招聘的上述步骤，我们建议企业注意如下事项：

01 发布招聘公告阶段，企业应当履行告知义务

我们接受企业客户咨询时发现，很多企业管理者认为，收集、查阅、筛选应聘人员的简历，是为了订立、履行劳动合同所必需的事情，可以依照《个人信息保护法》第十三条的规定，不必取得应聘人员的同意，当然也不必进行告知。但实际并非如此，依据我们的执业经验，以及《个人信息保护法》条文理解与适用的规定，处理者即便基于法律、行政法规规定的情形处理个人信息，不需要取得个人的同意，但是仍要履行告知义务，即在处理个人信息前，应向个人告知相应的事项。

《个人信息保护法》规定，个人信息处理者在处理个人信息前，应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知：

① 个人信息处理者的名称或者姓名和联系方式；

② 个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

③ 个人行使本法规定权利的方式和程序；

④ 法律、行政法规规定应当告知的其他事项。

据此，我们建议，在招聘公告中列明拟招聘企业的名称等信息，例如：

【 】公司招聘公告

诚聘岗位：【】

工作职责：【】

任职要求：【】

有意应聘且符合条件者，请将您的简历投递至以下邮箱：【】，并注明申请意向岗位。注：为完成招聘需要，我们将会自动采集、使用如下个人信息：【】，保存期限为：【】；如您对上述说明存在疑问，可与我们的个人信息保护机构取得联系，联系方式：【】。（注：【】内的部分，请企业根据自身情况填写，下同）

02 收集、筛选简历阶段，企业应当履行注意义务

企业获取简历的途径主要分为两种，一种是自行获取，即通过自己运营的公众号、自媒体、官方网站等发布招聘公告，以获得个人投递的简历；一种是通过第三方获取，即通过人力资源公司、猎头、第三方运营的公众号、招聘平台等发布招聘广告，以获得个人投递的简历。

此处所说的注意义务，是指第二种途径获取简历的情形，即用人单位应对第三方提供个人信息尽到合理注意义务。由于《个人信息保护法》规定，两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，属于共同处理个人信息的情形，如侵害个人信息权益造成损害的，应当依法承担连带责任。

据此，为尽可能减少企业在此情况下的风险，我们建议企业注意如下方面：

（1）主体资质

依据《人力资源市场暂行条例》的规定，经营性人力资源服务机构从事职业中介活动的，应当取得人力资源服务许可证，其开展人力资源供求信息的收集和发布、承接人力资源服务外包等人力资源服务业务的，应当自开展业务之日起15日内向人力资源社会保障行政部门备案。因此，对于人力资源公司，我们建议企业审核其是否具有人力资源服务许可证，服务期间资格证是否持续有效，是否已经履行了法定备案义务。

依据《网络招聘服务管理规定》的规定，经营性人力资源服务机构从事网络招聘服务，应当依法取得人力资源服务许可证。涉及经营电信业务的，还应当依法取得电信业务经营许可证。因此，对于招聘平台，我们建议企业审核其是否具有前述资格证，服务期间资格证是否持续有效。

至于从事猎头服务的自然人和第三方运营的公众号，因为并无对应的人力资源资质规定，企业可能要承担更高的注意义务。

（2）约定权责

依据《个人信息保护法》的规定，个人信息共同处理者应当约定各自的权利和义务，如：

①第三方承诺，具有处理个人信息及履行本协议项下其他权利义务的一切法定资质和能力，双方以此为前提，签订本协议；

②双方已建立个人信息保护制度，设立了个人信息保护部门，列明对接人及联系方式，针对敏感信息进行特殊处理、保存等；

③第三方负责向个人告知信息接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；

③如任一方违反法律法规规定，国家标准规定，或者本协议约定的个人信息保护义务，守约方有权要求违约方支付违约金【】万元，并赔偿守约方的全部损失（包括应对被侵权人主张所支付的律师费等各项费用，以及先行向被侵权人支付的全部款项等）；

④如任一方违反法律法规规定，国家标准规定，或者本协议约定的个人信息保护义务，守约方有权单方解除与违约方签订的一切协议，如其他协议另行约定违约责任的，守约方有权一并主张等。

除约定双方权责外，企业还应对第三方有无落实相关义务承担监督义务，比如第三方是否向企业提供了取得个人单独同意的证明等等。

03 与候选人联系阶段，企业应当注意敏感信息

与候选人联系阶段，企业一般会要求个人提供身份证件、毕业证书、资格证书、前十二个月的工资流水、社保缴纳记录等材料，以核查其是否年满十八周岁、是否与简历陈述的教育背景及工作经历相符，薪水涨幅是否在合理区间等，甚至要求其进行入职前体检，对其进行背景调查等。

以上材料和行为涉及到敏感个人信息，由于敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害，因此《个人信息保护法》对于其保护提出了更高的要求。为此，敏感个人信息的范围又是企业管理人员应当把握的关键，结合上文所列举的员工个人信息类别，以及国家标准的规定，敏感个人信息主要是员工的财产信息、健康生理信息、生物识别信息、身份信息和婚史等其他信息，建议企业管理人员仔细甄别。

在此阶段，对于敏感个人信息，《个人信息保护法》要求：

（1）处理敏感个人信息前，应当先进行个人信息保护影响评估，评估处理活动遵循个人信息安全基本原则的情况，以及个人信息处理活动对个人信息主体合法权益的影响，并对处理情况进行记录，企业具体可参照全国信息安全标准化技术委员会组织制定和归口管理的《信息安全技术 个人信息安全影响评估指南》（GB/T 39335—2020）进行；

（2）处理敏感个人信息前，应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。需要注意的是，请勿采用事先拟制的如下类型条款要求候选人确认“其授予企业无期限限制、不可撤销、可任意转授权等处理敏感个人信息的权利”，该类条款无效。

结语

《个人信息保护法》作为我国首部个人信息保护方面的专门法律，其连同民法典、网络安全法、数据安全法等法律法规构筑了我国的个人信息保护体系，对我国的数据相关行业产生了持续而深远的影响。新法背景下，企业需要规制人力资源管理行为，以适应《个人信息保护法》提出的新要求，处理好与个人信息提供者、其他个人信息处理者之间的关系，共同实现个人信息保护的目标。