人力资源外包如何保护信息安全(人力资源外包的风险有哪些如何避免)

《个人信息保护法》（以下简称“《个保法》”）颁布后，各类企业普遍关心，《个保法》之于人力资源管理的影响、《个保法》中都有哪些强制性要求以及作为用人单位在《个保法》于2021年11月1日实施前需要做好哪些准备。本文将简要分析《个保法》中具有代表性的新要求，以及在《个保法》即将实施的背景下，用人单位在人力资源管理合规方面可能面临的主要变化。

一、《个保法》对用人单位的适用

《网络安全法》（2017年6月1日实施）中首次提及“处理个人信息”的概念。而《民法典》（2021年1月1日实施）作为对所有民事法律关系作出总括性规定的法典，在“第四编 人格权”中再次肯定了个人信息受到法律保护。《数据安全法》（2021年9月1日实施）则进一步就包括个人信息处理在内的数据处理活动进行了规范。

《个保法》作为单独就个人信息保护进行规制的法律，明确了个人信息保护的诸多事项，具体包括但不限于个人信息处理的同意取得、敏感个人信息的处理、向境外提供个人信息、向第三方提供个人信息以及违反《个保法》的法律责任等。

对于用人单位而言，在《个保法》颁布前，《劳动合同法》第8条虽可作为劳动者向用人单位提供与劳动合同直接相关的基本情况的法律依据，但该条款并未对用人单位的个人信息保护作出要求。由于《个保法》适用于“在中华人民共和国境内处理自然人个人信息的活动”¹，其要求同样适用于用人单位，因此用人单位有必要根据《个保法》的有关规定修改人力资源管理政策及具体操作，以确保合规。

二、个人信息处理的最小、必要规则

在《个保法》颁布前，不少用人单位习惯于在确定处理目的之前即常规性地收集尽可能多的员工个人信息，以便用于后续人力资源管理所需。然而，在《个保法》规制下，用人单位必须在采取任何个人信息处理²行为之前，确定好个人信息处理的目的，并且将个人信息的收集、使用、加工控制在与处理目的直接相关以及实现处理目的的最小范围内。

《个保法》第5条至第7条对于个人信息的处理规则作出了规定：

1 处理个人信息的目的应当明确、合理；

2 对个人信息的处理应当与处理目的直接相关；

3 收集个人信息应当限于实现处理目的的最小范围；

4 处理个人信息应当采取对个人权益影响最小的方式；以及

5 处理个人信息应当遵循合法、正当、必要和诚信原则。

在对个人信息的处理作出规定的基础上，《个保法》还就敏感个人信息的处理规则作出了规定。在第28条中，《个保法》将敏感个人信息定义为一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息均被列为敏感个人信息。对于敏感个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，才能进行处理。

因此，鉴于距《个保法》实施之日不到一个月的时间，对用人单位而言，最为迫切的是根据收集的目的、个人信息的敏感程度以及对于实现处理目的的必要性将员工的个人信息进行分类，以决定哪些信息需要在劳动关系建立伊始就收集、哪些信息可以在后期或是通过单独同意进行收集，以及哪些信息不应当收集。此外，用人单位在处理敏感个人信息（例如面部识别信息、指纹、医疗健康信息）时，需要尤其谨慎。

三、取得个人信息处理同意的例外

根据《个保法》的规定，获取个人同意是处理个人信息的基本前提和要求。然而，《个保法》为人力资源管理所需的个人信息处理留下了一定空间。《个保法》的第13条规定，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需处理个人信息的，不需取得个人同意。遗憾的是，该条款并未明确规定“实施人力资源管理所必需”的具体要件，因此目前尚难以确定用人单位可以在何种程度上不经员工同意而处理其个人信息。

近期，据有关消息，最高人民法院正在制定个人信息有关司法解释。希望在有关司法解释出台后，前述问题能够得到明确。在此之前，对用人单位而言，较为稳妥的选择是采取审慎的态度，即：如果实践中对于有关的个人信息处理行为是否属于《个保法》规定的实施人力资源管理所必须或者是否属于《劳动合同法》规定的与劳动合同直接相关存在争议的，用人单位在处理员工个人信息前，最好取得员工的同意。

许多用人单位的做法是，在入职时请员工签署个人信息处理同意书。但在《个保法》项下，该类同意书并不能一劳永逸地保证此后所有个人信息处理行为的合法、正当，因为《个保法》第14条第2款规定，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人的同意。

另一个用人单位关心的问题是，什么样的同意具有法律效力。该问题在《网络安全法》以及《民法典》中均未得到明确；而《个保法》第14条第1款的规定填补了这一缺失，该条款规定处理个人信息的同意应当满足以下要件：

1 个人的同意应当在充分知情的前提下作出；以及

2 个人的同意的作出应当是自愿、明确的。

此外，根据《个保法》，如果用人单位收集的是员工的敏感个人信息，或者员工的个人信息将被跨境提供或者提供给其他处理者的，还需要取得员工的单独同意。

四、向境外提供个人信息将被严格监管

《网络安全法》及《数据安全法》中对向境外提供个人信息的限制主要是对关键信息基础设施的运营者作出的。而在《个保法》第38条中，对于个人信息跨境提供的限制扩展到了所有的个人信息处理者。鉴于此，对于在中国运营的跨国企业而言，当其需要将员工的个人信息共享给海外总部、在人力资源管理中引入海外第三方服务提供商或者需要因海外员工派驻而将员工个人信息提供给海外关联实体的，则需要满足下列条件之一：

1 按照国家网信部门的规定经专业机构进行个人信息保护认证；

2 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方权利和义务；或者

3 符合法律、行政法规或者国家网信部门规定的其他条件。

但是，一旦企业处理的个人信息达到国家网信部门规定的限制数量，则须遵循的规则有所不同：其在中国境内收集和产生的个人信息应当存储在中国境内，除通过国家网信部门组织的安全评估的，不得向境外提供（法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定）。

除满足前述向境外提供个人信息的前提条件外，《个保法》还要求个人信息处理者应当采取必要的措施，以保障境外接收方的个人信息处理活动达到《个保法》中规定的个人信息保护标准。

从《个保法》的前述规定中可以看出，许多实施标准后续将可能会由国家网信部门具体掌握，包括哪些属于可以进行个人信息保护认证的专业机构、标准合同的具体条款的制定以及触发安全评估的个人信息处理数量的确定等。因此，对于用人单位而言，现阶段的两难抉择在于，在《个保法》实施后、具体标准确定前，要采取什么样的态度——等待更加明确的法律法规出台，还是主动采取行动做好准备。当然，无论如何，个人信息跨境提供的监管趋于严格已成定局，或早或晚，跨国企业在员工个人信息的跨境传输方面可能都要有所调整。

五、委托处理或向其他处理者提供个人信息

在诸多情况下，向境外提供个人信息还涉及第三方对个人信息的处理。例如，在海外工作的外籍员工的个人信息可能被传输给移民机构申请签证等。在《个保法》项下，第三方对个人信息的处理将引发个人信息处理者的额外义务。根据第三方在个人信息处理中的不同角色，《个保法》在第21条和第23条中分别要求：

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、处理方式、个人信息的种类以及双方的权利和义务等，并应当对受托人的个人信息处理活动进行监督。

个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。

用人单位在前述两种情境下的注意义务是不同的：在前一种情境下，用人单位需要对受委托人的个人信息处理活动进行监督；而在后一种情境下，用人单位的义务主要在于提供个人信息给其他处理者之前进行信息披露以及取得同意。在人力资源管理实践中，前述两种情形的界限可能较为模糊，故综合评估用人单位在第三方个人信息处理过程中的决定权、第三方的个人信息处理活动的性质以确定用人单位应当履行前述何种义务，成为了关键。

六、违反《个保法》可能面临的法律责任

《个保法》颁布前，个人信息处理者面临的主要责任为《民法典》中个人信息权益受到损害的民事责任。如果个人信息处理者同时构成网络运营者、开展数据处理活动的组织，则《网络安全法》以及《数据安全法》中的行政处罚同样适用。此外，违反国家有关规定向他人出售或者提供个人信息，情节严重的，还可能引发刑事责任。

在前述立法背景下，《个保法》在第7章中确立了相关民事责任承担的举证责任倒置规则，并且设定了适用于所有的个人信息处理者的分档次的最高可达五千万元或者上一年度营业额百分之五的行政处罚³，具体而言：

1 民事责任的承担

个人信息处理者须证明自己对于个人信息权益的损害没有过错，否则应当按照《民法典》的相关规定承担包括停止侵害、排除妨碍、赔偿损失、赔礼道歉等在内的法律责任。

2 行政责任的承担

《个保法》中规定的行政责任包括被要求责令改正、给予警告、没收违法所得以及在拒不改正的情况下被处以一百万元以下的罚款。此外，直接负责的主管人员和其他责任人员将被处一万元以上十万元以下罚款。

违反《个保法》，如果情节严重，除被责令改正、没收违法所得外，还有可能被处以五千万元以下或者上一年度营业额百分之五以下的罚款；企业直接负责的主管人员和其他直接责任人员同时有可能被处十万元以上一百万元以下罚款。此外，前述人员还可能在一定期限内被禁止担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

目前，《个保法》对于相关处罚的认定标准并未明确。如前文所述，最高人民法院可能会通过出台有关司法解释，对前述处罚的具体标准等进行补充规定。

七、结论及实务建议

不少评论者认为，在国际范围内，《个保法》在GDPR模式以及美国模式外，建立了第三种个人信息保护模式。但不同于欧盟以及美国的个人信息保护规则或实践，中国尚未就员工的个人信息保护确立专门的规则。因此，考虑到人力资源管理的特性，如何在确保符合《个保法》规定的同时满足员工管理的必需成为了亟待解决的问题。

基于《个保法》相关事宜的技术属性以及复杂性，用人单位可以考虑寻求专业机构的帮助，以确保合规和提前采取必要的行动避免产生争议以及引发法律责任。我们建议，用人单位可以尽快采取以下的行动，并且密切关注近期的政策及法律法规发展及其带来的影响，以及时对相关变化做出回应：

1 全面综合地审阅涉及员工个人信息处理的人力资源管理操作及流程，包括但不限于招聘、入职、工作场所监控、第三方管理（例如劳务派遣及外包）以及对员工个人信息的保存及删除等，以识别超出必要范围的个人信息收集以及违反《个保法》的个人信息处理行为；

2 适当地调整、完善内部政策、工作流程以管控相关风险并减轻后期人力资源管理工作的负担；

3 识别可能将个人信息提供给外包方或者其他第三方的情景，并确保取得员工同意或履行其他法律规定的流程；

4 重点关注员工个人信息数据跨境传输。我们观察到，在目前中国大陆地区疫情趋于稳定的背景下，对外投资商业活动趋于活跃，越来越多的中国企业开始对海外派驻人员的个人信息采取集中化管理的模式。具体而言，前述人力资源管理安排涉及在不同司法管辖区域的数据收集、储存、共享、传输。这里的个人信息数据包括薪酬、纳税、社会保险、移民状态等，用人单位在处理的时候需要尤其谨慎。

我们将持续关注前述法律法规以及实施规则的最新动向，以向企业以及相关人士提供及时的专业观察及建议。我们欢迎各类企业及相关人士垂询，并很高兴为您提供政策解读以及实务指导方面的专业建议。如果您对其他最新动态、热点话题感兴趣，也敬请随时与我们取得联系。

注释：

【1】根据《个保法》第3条，该法律还具有域外管辖效力。

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。