企业个人信息处理合规实务系列（二）员工等相关人员个人信息处理

近期，我们刚为客户提供个人信息合规及出境相关的配套法律服务，其中包括帮助企业评估个人信息收集和处理是否满足合规要求，判断个人信息是否需要本地化存储，提供了个人信息的出境路径选择，协助准备个人信息保护影响评估报告、个人信息处理规则（告知）和同意书等。

企业不可避免地会在日常经营过程中涉及处理各类主体的个人信息。例如，企业需要处理员工、劳务人员的个人信息，业务开展的过程中会涉及处理合作伙伴联系人的信息，也可能会涉及从第三方获取相关个人信息或委托第三方处理个人信息的情形。不仅如此，药械企业还会涉及处理患者的个人信息、聘请的专家顾问的个人信息，还可能会因集团内部的管理需要，涉及数据出境。

《中华人民共和国个人信息保护法》（“《个保法》”）《数据出境安全评估办法》《个人信息出境标准合同办法》等相关法规对个人信息处理活动提出了明确的要求。2023年5月23日，国家市场监督管理总局、国家标准化管理委员会发布的GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》（“《实施指南》”） ，将于2023年12月1日起实施。

根据相关法律法规的要求及相关指南的指引，结合我们在服务客户的过程中遇到的不同处理场景，我们推出本系列文章，对个人信息处理的注意事项和相关经验予以总结，希望对企业的个人信息合规工作提供指引和帮助。

就员工、派遣/外包人员的个人信息，原则上企业应当在处理个人信息之前向个人告知相关的事项，即事先告知，以充分保证个人的知情权。而对于个人告知，《个保法》也规定了例外情形：由法律、行政法规规定的应当保密或者不需要告知的情形，可以不向个人告知；紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。除前述法律规定的例外情形外，企业若涉及收集个人信息、提供、公开个人信息、处理活动等发生变更等情形的，则需要按照要求履行告知义务。

1、收集个人信息^[1]

企业首次收集员工、派遣/外包人员信息时，需要就可能涉及的收集个人信息的情形，通过制定发布个人信息保护政策或个人信息处理规则等机制（“个人信息处理规则”），向个人告知：个人信息处理者的身份和联系方式等基本情况，个人信息的处理目的、处理方式，处理的个人信息种类、保存期限、安全措施等规则，个人的权利及行使方式和程序，处理个人询问、投诉的渠道和机制等内容。关于个人的权利及行使方式和程序，还可以考虑向个人告知以下内容，尽可能全面、清晰地阐述个人信息处理规则：个人复制或转移已被收集个人信息的方法；个人可再次查看个人信息保护政策的方法和路径；如涉及免于取得同意的具体情形，可予以说明。

若企业收集的个人信息涉及敏感个人信息的，例如员工、派遣/外包人员的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，还需要告知个人处理敏感信息的必要性以及对个人权益的影响。不满14周岁未成年人的个人信息也属于敏感个人信息，企业在收集员工、派遣/外包人员不满14周岁的未成年子女信息时，需要制定专门的个人信息处理规则以及保障措施，向未成年人的监护人告知收集个人信息的情形，以及收集未成年人个人信息的目的、必要性、监护人可代为行使的权利及实现机制等规则。此外，企业因员工、派遣/外包人员进出或考勤管理等需要处理其人脸、指纹等生物识别信息的，需要向个人告知处理个人生物识别信息的必要性及其对个人权益的影响，处理目的、方式，以及保存期限等规则。

企业间接获取个人信息的，如涉及从派遣/外包人员所在第三方公司获取派遣/外包人员的个人信息的，企业需向个人告知个人信息来源、需获取的个人信息种类及其必要性等。

2、提供、公开个人信息^[2]

企业涉及将员工、派遣/外包人员的个人信息向其他方提供（包括向境外提供）、公开或转移其个人信息的，需要向个人告知以下内容：

3、处理活动等发生变更^[7]

企业可在个人信息处理规则中说明当所处理的个人信息种类、处理目的、方式等发生变更时，会重新取得个人同意。当企业更新个人信息处理的规则时，需向个人告知更新部分的内容。当企业的个人信息处理活动发生一定的变更时，需向个人告知变更的原因，以及个人信息处理活动涉及的规则中发生变更后的内容；如需将已收集的个人信息用于临时目的处理时，宜告知个人临时性的目的及目的达成后的处理方式。

1、个人信息处理的合法基础

根据《个保法》第13条，企业是否可以处理个人信息，有如下七类合法基础，“取得个人同意”是其中之一，当存在其它合法基础时，处理个人信息无需取得同意：（一）取得个人同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。

企业与员工订立劳动合同，企业所处理的员工的个人信息若属于“（二）为订立、履行个人作为一方当事人的合同所必需，或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的”时，可免于取得个人同意。例如，企业因与员工订立劳动合同而收集姓名、联系方式、学历、工作履历等必要的个人信息，不需要取得个人同意。^[8]

企业收集处理派遣/外包人员的个人信息，可能是通过该等人员所属的第三方公司间接收集，也可能会直接从这些人员收集，若不存在其他合法基础，均应取得个人同意。

企业若基于“（三）为履行法定职责或者法定义务所必需”处理员工、派遣/外包人员的个人信息，例如为了履行法律规定的网络运营管理和网络安全保护等义务处理相关网络日志信息（如 IP 地址、访问时间等），则无需取得个人同意。^[9]

2、同意

实践中，企业收集处理员工、派遣/外包人员的个人信息种类、场景多样，除明确存在上述（二）-（七）的任一合法基础，企业所处理的个人信息应当取得个人同意。需要取得个人同意的场景可能包括：企业收集员工、派遣/外包人员的个人信息；企业从第三方间接获取派遣/外包人员的个人信息；企业向其他个人信息处理者（包括向境外）提供个人信息；企业在一定范围内或向不特定范围公开员工、派遣/外包人员的个人信息。^[10]

同意是个人对其个人信息进行处理自愿、明确作出授权的行为，包括通过积极的行为作出授权（即明示同意），或者通过个人的行为而推定其作出授权。^[11]取得个人同意时需要注意：在页面篇幅允许的情况下，宜在展示告知内容的同一页面征求个人同意；向个人明确需要其同意的内容，方便个人理解其相应操作是用于表达对个人信息处理活动的同意，避免使用不清晰的呈现方式影响个人对同意的判断；宜将对个人信息处理的同意与其他同意事项以合理方式区分开来，避免将其隐匿在其他同意事项中，导致个人忽略了个人信息处理规则。^[12]

3、单独同意

在基于个人同意处理个人信息的前提下，法律法规针对特定情形要求取得单独同意的，需取得个人的单独同意。

企业向他人提供个人信息（包括向境外提供）、公开个人信息、在公共场所收集个人信息用于维护公共安全之外的目的、处理敏感个人信息以及向境外提供个人信息这五类情形，需要取得个人的单独同意。^[13]单独同意是指个人针对其个人信息进行特定处理而专门作出具体、明确的授权行为，不包括一次性针对多种目的或方式的个人信息处理活动作出的同意，单独同意的告知内容与取得同意的方式需要与其他处理活动予以区分。^[14]单独同意是一种增强的“同意”方式，需通过增强告知的方式，针对需要单独同意的情形专门向个人进行充分告知后，由个人表达明示同意后取得个人单独同意。^[15]

若涉及多个需要单独同意的情形，例如同时涉及处理敏感个人信息和向境外提供个人信息的单独同意场景时，可向个人提供分项选择同意（如勾选、点亮等），各项选择各自独立、互不影响，个人可以撤回对特定处理活动的单独同意，此行为并不影响单独同意范围外的其他事项。^[16]在此种情形下，虽然通过提供分项同意的方式，就多个单独同意场景同时取得同意，但就每项取得同意的事项而言，其仍属于取得个人的单独同意。就企业处理员工、派遣/外包等人员的个人信息所涉及的单独同意，具体要点如下：

企业收集、处理员工、派遣/外包的敏感个人信息时，应通过“增强告知”向个人告知处理敏感个人信息的目的、处理的必要性和对个人权益的影响，获得个人单独同意。^[17]企业如为实现某一特定目的需要同时处理员工或派遣/外包人员的多项敏感个人信息的，可一并告知并一次性取得个人单独同意。^[18]

特定场景下，如企业使用人脸识别设备作为员工或派遣/外包人员出入公司或打卡考勤的方式时，需要收集个人的清晰照片并通过设备采集脸部识别信息，因涉及处理个人敏感信息中的生物识别信息，需遵守人脸识别相关法规以及《个保法》中关于敏感个人信息的要求。除单独同意外，人脸识别场景下的个人信息处理还需特别注意——不得强迫个人同意，要确保有除了人脸识别之外的方式（如刷卡、指纹等）可以进入公司，以保证同意的有效性。^[19]同时，企业也应采取应有的技术措施或者其他必要措施来保证所处理的人脸信息的安全。^[20]

如企业为实现某一特定目的处理敏感个人信息时，涉及收集、使用、提供等多个步骤个人信息处理活动或涉及多人的，且多个处理活动或多个主体拆分后无法达成该特定目的的，可一并告知并一次性取得个人单独同意。例如，如果企业使用了其他个人信息处理者的人脸识别技术，为进行身份鉴别需收集个人人脸识别信息并提供给其他个人信息处理者的，可对收集和提供的情形一并告知，并一次性取得个人的单独同意。^[21]

企业向他人提供其处理的员工或派遣/外包人员的个人信息，应当提前向个人告知接收方的身份（名称或者姓名）、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意，接收方变更原先的处理目的、处理方式的，应当依照《个保法》规定重新取得个人同意。^[22]企业委托第三方处理个人信息的，不属于向其他个人信息处理者提供个人信息的行为。^[23]企业向多个其他个人信息处理者提供个人信息，如提供个人信息的目的、方式、种类等一致，提供过程同时或在同一场景发生的，可在告知内容中逐一列举接收方的身份和联系方式，由个人一并进行同意。^[24]取得个人单独同意后，企业方可向其他方提供个人信息；此外，在提供敏感个人信息后，可考虑就所提供的个人信息种类、目的和接收方，及时通过短信、邮件等方式再次向个人告知，以便个人随时查询知悉。^[25]

企业向境外提供个人信息的，在遵守上述“向他人提供个人信息的单独同意”的要求的基础上，还需额外注意其他事项。企业在向个人告知境外接收方的身份、联系方式、处理目的、处理方式，个人信息的种类、保存时间、保存区域（至少具体到国家或地区）以及个人向境外接收方行使相关权利的方式等内容后，需要取得个人的单独同意。^[26]如果企业在收集个人信息时已事前单独就个人信息出境取得了个人同意，在满足出境其他条件的前提下，后续在出境时，可不再次取得个人单独同意。^[27]如果涉及境外接收方向其他境外第三方提供个人信息的，应当根据本文第一部分在向个人告知境外第三方的相关事项后，取得个人的单独同意。^[28]

企业如需公开员工、派遣/外包人员的个人信息，例如在企业的官方网站、微信平台介绍企业的组织结构、关键人员、相关业务负责人时，需要在公开个人信息前，向个人告知公开个人信息的种类，公开的目的、方式、范围（如向特定的群体予以披露或者向公众予以公开），可能对个人产生的不利影响以及个人的权利，并取得个人的单独同意。

此外，企业还需注意，公开个人信息对个人权益影响较大的，可主动与个人联系并告知，保证个人完全知情相关处理规则和公开可能产生的影响。如个人撤回对公开的同意，与公开渠道相关的个人信息处理者需通过断开链接、删除信息发布记录等措施，删除已公开的个人信息。其他个人信息处理者获取此前已公开的个人信息的，个人有权要求其进行删除。

除上述告知同意的实施要点外，企业还需注意其他相关个人信息处理的合规要点。

1、向境外提供个人信息

企业向境外提供员工、派遣/外包人员的个人信息，例如因跨国企业因集团内部管理的需要而向中国境外的母公司或其他关联公司提供员工、派遣/外包人员的个人信息，应当具备下列条件之一：（一）通过国家网信部门组织的安全评估；（二）经专业机构进行个人信息保护认证；（三）与境外接收方订立标准合同。^[30]具体参见我们往期对个人信息出境合规路径的相关文章《境内数据出境，你必须知道的那些事（五）个人信息出境的合规路径》。同时，企业应当采取必要措施，保障境外接收方处理个人信息的活动达到《个保法》规定的个人信息保护标准。^[31]

根据国家互联网信息办公室于2023年9月28日公开的《规范和促进数据跨境流动规定（征求意见稿）》，如果满足“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的”、“预计一年内向境外提供不满1万人个人信息”的情形的，则不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。^[32]

2、企业委托第三方处理个人信息

企业若需委托第三方处理员工、派遣/外包人员的个人信息，例如因薪酬发放等原因需委托第三方人力资源公司处理员工、派遣/外包人员的个人信息，此种受委托处理个人信息的情形，由委托方决定处理目的、处理方式，受托方根据委托方的指示和双方的约定处理个人信息。而对个人而言，承担个人信息保护相关义务的主体仍是是作为委托方的企业。因此，企业作为委托方需要与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；未经委托人同意，受托人不得转委托^[33]。委托处理与共同处理个人信息的场景不同，共同处理是由各方共同决定个人信息的处理目的和处理方式，各方均为处理者，故而对于侵害个人信息权益的行为，各方依法承担连带责任。^[34]

3、个人信息保护影响评估

无论是处理敏感个人信息、向他人提供个人信息、向境外提供个人信息还是委托第三方处理个人信息、公开个人信息，企业都需要根据《个保法》事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护的影响评估报告和处理情况记录应当至少保存三年。^[35]

本篇我们结合具体场景，总结了对企业处理员工以及派遣/外包人员个人信息的合规要求，具体包括企业在不同的个人信息处理活动场景下应当向个人告知的内容；企业处理上述人员个人信息的合法基础；取得个人同意、单独同意的相关要求，尤其是涉及处理敏感个人信息（包括人脸识别场景的个人信息处理）、向境外提供个人信息以及公开个人信息时所应满足的单独同意要求；以及整理了《个保法》下个人信息处理的其他主要合规要求。后续我们将整理分享，在员工、派遣/外包人员之外的其他个人信息主体场景下，企业可能会涉及的个人信息处理相关合规要求。