适用场景
所有涉及中国境内员工个人信息处理的中国出海企业,尤其是有跨境数据传输需求、使用第三方服务或处理敏感员工信息的企业,在招聘、入职、日常管理及离职等全生命周期阶段均需关注。
核心要点
1. 员工信息处理的合法性基础:必要性与同意
《个保法》规定,为订立、履行劳动合同或实施人力资源管理所必需的员工个人信息处理,可豁免获取员工同意。但企业需严格界定“必需”的范围,避免过度收集与劳动关系无直接关联的信息,并确保相关规章制度依法制定并公示。
2. 敏感信息与跨境传输:单独同意的特殊要求
对于处理敏感个人信息、向境外提供个人信息等对个人权益影响重大的活动,即使符合“必需”原则,企业仍应采取更审慎的态度,通常需要获取员工的单独同意。但在紧急情况下(如突发公共卫生事件),可灵活处理。
3. 第三方数据处理:委托与提供的区分
企业向第三方提供员工个人信息,需区分“委托处理”和“向其他个人信息处理者提供”。委托处理(如云存储、内部调查)无需单独同意,但需签订协议并监督受托方;向独立第三方提供(如商业保险)则需告知员工接收方信息并获取单独同意。
4. 员工个人信息跨境传输的合规路径
中国出海企业将员工个人信息传输至境外,需满足行政监管要求(如通过安全评估、认证或签订标准合同),并履行告知义务、获取员工单独同意。同时,必须进行个人信息保护影响评估,并注意关键信息基础设施运营者和特定数量数据处理者的特殊规定。
5. 员工个人信息删除权的行使边界
在职员工通常无权要求删除企业合法收集的必要信息,但可要求删除超出必要范围的信息。未录用候选人或离职员工在法定或约定保留期限届满后,有权要求企业删除其个人信息,企业应遵循“最短必要时间”原则制定留存政策。
实务建议
- 定期审查并更新企业内部的劳动规章制度和员工手册,确保其符合《个保法》对员工个人信息处理的各项要求。
- 在招聘、入职、日常管理等环节,明确告知员工个人信息收集的目的、范围、方式,并区分哪些信息是劳动合同履行所必需,哪些需要单独同意。
- 为处理敏感个人信息、向第三方提供信息或进行跨境传输等高风险活动,设计并实施独立的同意获取机制(如单独同意书)。
- 与所有涉及员工个人信息处理的第三方服务商签订详细的委托处理协议,明确双方责任,并定期对其合规性进行监督和审计。
- 在进行员工个人信息跨境传输前,务必开展个人信息保护影响评估,并根据实际情况准备安全评估、认证或标准合同等合规路径。
- 制定并严格执行员工及候选人个人信息留存期限政策,确保在法定或约定时间届满后及时、安全地删除相关数据。
风险提示
- 误将所有员工信息处理活动都归为“合同履行或人力资源管理必需”,从而规避获取同意,可能导致违法风险。
- 未能区分“委托处理”与“向其他个人信息处理者提供”的法律义务,导致在第三方共享环节合规措施不到位。
- 忽视个人信息跨境传输的行政监管要求(如安全评估、标准合同),或未履行充分告知和单独同意义务。
- 未对员工个人信息处理活动进行个人信息保护影响评估,或评估流于形式,无法有效识别和应对风险。
- 缺乏明确的员工及候选人个人信息留存和删除政策,可能导致数据过度留存或无法响应个人删除请求。
- 对于关键信息基础设施运营者或处理达到特定数量个人信息的企业,未能遵守数据境内存储和出境安全评估的特殊规定。