2023年5月22日，恒和信午餐会第207期，王泽林、崔永飞律师以“员工数据收集、使用和出境的合规路径探讨”为题作了精彩分享。

01

王泽林律师对员工数据的范围、员工数据的收集等内容进行分享。

王泽林律师

四川恒和信律师事务所

员工数据的范围

员工数据主要指的是在劳动用工场景下员工的个人信息，即用人单位以电子或者其他方式记录的与已识别或者可识别的员工有关的各种信息，不包括匿名化处理后的信息，其大致包括企业在劳动人事管理中获取的员工个人简历、面试信息、背景调查信息、体检报告、员工个人档案、员工指纹或面容、员工薪资水平、定位信息等等。

在发布前，有关员工个人信息保护的要求散见于《劳动合同法》《中华人民共和国职业病防治法》等法律法规中，其存在语焉不详、未成体系之弊端，难以引起企业对员工个人数据权益保障的重视。因此，实践中大多企业为提高产品的合规性减少争讼的发生，遂将其数据治理及隐私保护工作的重心放在产品和业务发展上。而明确提出企业作为员工个人信息处理主体，完善了个人信息保护的体系，因此针对员工个人信息的保护在将来会成为企业数据合规治理的重点之一。

案例分享

在2020年的时候，德国汉堡数据保护和信息自由委员会开出了一张高达三千余万元的罚单，是因为H&M这个快消公司超范围收集了员工的个人信息。其处罚力度之高，显示了欧盟在治理、保护个人数据时的严肃性，给我们国内有欧盟业务且能被GDPR规制的企业敲响了警钟。H&M因对员工数据的收集方式和途径多种多样，且大大超出了工作相关的范围而遭受该次巨额处罚。

例如，在员工休年假或病假，甚至短暂的事假之后，主管团队就会与员工进行所谓“欢迎回归谈话（Welcome Back Talks）”，并在会谈中记录包括员工的假期经历、生病症状及诊断情况在内的多项个人信息。其中一部分信息以数字化的方式被记录和存储，并可以被一些经理级别主管读取。公司收集这些信息的目的，除了对个人工作绩效进行细致的评估之外，还被用以对员工进行个人画像的描写，以便有针对性的制定有关其工作的措施和决策。

员工在不知情的情况下被公司收集和储存了大量个人隐私信息。直到2019年10月份，因为公司服务器的一次配置错误，这些数据在几个小时的区间内打开对全公司的访问权限，造成公司内部的数据泄露，这一违法收集员工隐私信息的恶性事件才东窗事发，为人所知，引发了媒体的报道及员工的投诉。

国内《个保法》规定的处罚标准一样不低，六十六条规定了对企业的顶格处罚为5000万元罚款或上一年度营业额百分之五的罚款。去年7月21日，滴滴公司因违规被网信办处以80.26亿的罚款；新浪微博在2021年1月至11月间也因违规行为被数次罚款，累积一千四百余万元。但这些公司都是因为业务方面的数据违规而遭受处罚，并非因其对员工信息收集或处理的违规而遭受处罚。

概言之，企业对其员工数据进行收集、处理时，明确员工数据的范围是首要任务，这有利于数据收集、处理等行为的作出。

数据收集

（一）员工数据收集场景及来源

员工数据收集的场景包括招聘、面试、入职、发放薪资福利/报税、劳动管理等。在这些场景中搜集的主要信息为员工的姓名、性别、年龄、地区、手机号码、教育背景、资质证书、银行卡信息等等。员工数据主要来源于第三方提供、公开渠道获取及直接搜集。

（二）特殊群体数据收集规定

关于员工中特定群体数据收集的规定主要列举两点：其一，妇女群体的数据收集。人社部、教育部等九部委在《关于进一步规范招聘行为促进妇女就业的通知》中中提出了明确要求：不得询问妇女婚育情况、不得将妊娠测试作为入职体检项目、不得将限制生育作为录用条、不得差别化地提高对妇女的录用标准。这实际上就是要求用人单位不得收集女员工婚姻、妊娠情况等个人信息，有利于保护女性隐私与就业权利；其二，患有非禁止从事相关工作疾病人群的数据收集。2008年生效的《就业服务与就业管理规定》，明确要求用人单位招用人员，除国家法律、行政法规和国务院卫生行政部门规定禁止乙肝病原携带者从事的工作外，不得强行将乙肝病毒血清学指标作为体检标准。结合而今《民法典》《个保法》等相关法律的规定即得出结论：如并非存在患有特定疾病则禁止从事相关工作的情况，用人单位也不得收集员工是否携带乙肝病毒或患有乙肝的个人信息。

（三）员工数据收集的合法性基础

企业在收集员工个人信息时，着重应关注其收集信息的合法性来源。第十三条对合法性基础做了相关规定，包括如下几点：取得个人同意；为订立履行个人作为一方当事人的合同所必须或依法依规实施人力资源管理所必需；为履行法定职责或法定义务所必需；为应对突发公共卫生事件或紧急情况下为保护自然人的生命健康和财产安全所必需；为公共利益实施新闻报道、舆论监督等行为；在合理范围内处理个人信息、依照个保法规定在合理范围内处理个人自行公开或者其他已经合法公开的个人信息等等。

（四）如何做好员工数据收集

在求职阶段，企业应在相关文件中载明收集使用个人信息的规则，告知收集个人信息的用途；在入职阶段，将相关规则作为劳动合同的附件，包括企业内部依法制定的涉及员工个人数据的规章制度和集体合同中涉及员工个人数据的相关条款；在履职阶段，只要涉及员工数据的相关规则需及时更新至员工手册，将员工手册和公司数据保护政策作为公司进行劳动管理的规章制度；特别场景下，收集员工数据需单独告知，比如收集体温、核酸等信息。

案例分享

王泽林律师在2023年年初代理的一则劳动纠纷案件时，其委托人之前在太古里一家奢侈品店担任店长职位，委托人于2022年6月被该奢侈品店的运营单位（简称“用人单位”）解除了劳动合同，用人单位给出的解除劳动合同的原因是该店长违反单位的规定，侵吞公司财产。

王泽林律师在案件代理前期，根据当事人的描述并结合相关证据，认为公司提交的证据并不能达到证明其侵吞公司财产的标准。但在开庭时，用人单位方的代理人当庭提交了利用技术手段恢复的该店长在公司平板电脑上登陆个人微信与一些店铺常客的聊天记录，这些聊天记录在一定程度上能够证明该店长却有“吃回扣”的事实。质证时，王泽林律师除因未见原始载体，否定了该证据的真实性，也因用人单位恢复员工个人微信聊天记录有不当使用之嫌疑，否定了该证据的合法性，提出了其收集证据的过程违反了个人信息保护的必要性原则。该案目前虽未下裁决，但对于劳动纠纷案件可以给予一点启示：无论是原、被告（申请人/被申请人），在涉及员工个人数据相关证据的举证、质证过程中，对证据合法性给予一定的关注，或更有利于达到己方的代理目的。

02

 崔永飞律师对员工个人信息不同处理场景下的合规要点进行分享。

崔永飞律师

四川恒和信律师事务所

崔永飞律师指出，“处理”是一个集合概念，是指个人信息从收集到删除全生命周期中的各个环节，包括：收集、储存、使用、加工、传输、提供、公开、删除等，因而个人信息的收集、委托处理、对外提供、公开及出境等皆为“处理”行为。

委托处理

在实践中，企业可能不具备某些处理能力，或因个人信息数量大、业务复杂，需要委托其他细分领域的主体进行处理。典型场景如：劳务派遣、委托第三方机构进行背景调查或是在使用指纹/人脸门禁等内部考勤系统时，可能会采购第三方提供的产品或服务。

在此类委托处理的情形下，企业应当确保与受托方的合作协议中明确该供应商作为受托方的角色和义务，以及委托其处理的目的、期限、处理方式、所涉员工个人信息的种类、保护措施等内容，并确保企业有效监督管理受托方对员工个人信息处理活动的合规情况。此外，如果涉及如行踪轨迹、人脸识别信息等敏感个人信息，还应当注意通过如合同约定的方式要求受托方落实充分有效的加密存储、分类分级管理等安全保障措施，以保护员工个人信息的安全。

对外提供

典型场景如：为员工购买高端商业保险向他人提供员工个人信息、下级公司向集团提供员工个人信息及关联公司之间发生的员工个人信息共享等。企业应当注意两个方面：规划设计与接收方的合同内容，以及征得员工的单独同意。前者与委托处理的场景相似，企业应当确保在与接收方的合同中明确规定员工个人信息的处理目的、处理方式、所涉员工个人信息种类等内容。后者则可以由企业通过起草员工隐私政策、要求员工签署相关个人信息保护告知同意函等文件方式予以实现，以确保能够向员工依法披露接收方的名称或者姓名、联系方式、处理目的、处理方式和员工个人信息的种类，并征得员工的单独同意。当然，取得单独同意既可以采用纸质文件的形式，也可以采用电子签章或者OA系统跳出勾选框等方式进行。

随后崔永飞律师从法律关系、权利义务、告知同意规则、责任承担四个方面对比了委托处理和对外提供的差异，其指出两者的本质区别在于：委托处理场景中，受托人无法脱离委托人意志自主决定处理目的及方式，而在对外提供场景中，接收方作为独立的个人信息处理者对其处理活动负责。

公开

典型场景如企业在其官方网站或自媒体平台上公开员工个人信息。此场景下的合规要点在于一是要向员工告知拟公开的个人信息种类、公开的渠道及目的；二是取得员工的单独同意。

值得注意的是，无论是委托处理员工个人信息，或是对外提供、公开员工个人信息，亦或是数据出境，企业均应当事前进行个人信息保护影响评估（PIA），在落地与实操方面，企业可以参考该机制相配套的国家标准《信息安全技术个人信息安全影响评估指南》.

出境

“出境”作为个人信息处理活动的特殊场景，已经成为目前数据合规领域最炙手可热的主题之一。随着近期国家互联网信息办公室《个人信息出境标准合同办法》的发布，《个人信息保护法》第三十八条下的三种个人信息出境路径皆已明晰：（一）通过国家网信部门组织的安全评估；（二）经专业机构进行个人信息保护认证；（三）与境外接收方订立标准合同。

崔永飞律师简明扼要地讲解了三种不同路径下的合规要点及实务操作步骤，他指出，数据出境的每条路径都涉及不同的程序和要求，需要准备的材料及处理周期也略有不同，企业应当结合其出境业务场景以及不同类别的数据，因地制宜地选择最适合自身的出境路径。

数据出境安全评估由于具有法定强制性，因此只要触发相关条件则应优先适用，只有在未触发安全评估的情况下，才可选择保护认证或标准合同作为出境的合法依据。无论选择何种出境路径，企业均需要满足三项必备条件：a.取得合法性基础；b.开展个人信息保护影响评估；c.与境外接收方签订完备的法律文件。