收集之后，企业如何进一步合规处理员工个人信息

在《国枫观察丨企业如何合规收集员工个人信息？》一文中，我们梳理了企业对于员工个人信息的收集场景及合规建议。而根据《个人信息保护法》，收集员工个人信息只是企业面临合规风险的第一环，员工个人信息的处理还包括存储、使用、加工、传输、提供、公开、删除等，企业对此也存在着许多误区。本文将继续梳理企业收集员工个人信息后存在的误区，并总结出企业处理员工个人信息的合规建议。

企业收集员工的个人信息后，面临的第一步就是个人信息的存储问题。员工个人信息的存储看似是一个简单的问题，企业会觉得，统一存储在企业电脑中，再设置密码防止员工个人信息泄露，就解决了员工个人信息存储的问题。但这种简单的做法，却还不够。

根据《个人信息保护法》第47条规定，处理目的已经实现的情况下，企业应当主动删除员工个人信息。从这一规定来看，候选人所填写的候选人信息表、提交的个人简历，仅为企业了解候选人之需，若最终候选人未被录用，企业应当主动删除，不能继续存储。

有些企业可能对于这类简历或信息还有其他使用目的，例如建立企业人才库、与猎头公司确认推荐候选人名单等，需要继续存储未被录用的候选人个人信息。但此时，企业已经超出了获得候选人个人信息时所确定的使用目的，企业并不能直接、自行留存未被录用的候选人个人信息。

对此，企业需要采取以下措施有限地存储未录用候选人的个人信息：（1）明确告知候选人，并取得其同意；（2）仅存储与企业使用目的关联的必要个人信息。

对离职员工的个人信息保管期限，法律并没有明确规定。但是，也有法律法规间接规定了与离职员工其他事项相关的期限，主要包括：（1）《劳动合同法》第50条规定，用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查；（2）《劳动合同法》第24条规定，员工承担竞业限制的时间不超过解除或者终止劳动合同后二年；（3）《劳动争议调解仲裁法》第27条规定，劳动争议申请仲裁的时效期间为一年。因此，企业有权储存上述期限内与此类义务履行相关的离职员工的个人信息。

除此以外，企业储存离职员工的其他个人信息并进行使用的，将缺少存储、处理员工个人信息的基础。例如，越来越多的企业会在每逢过年过节时向已离职员工发送祝福短信、发放节日礼品。这类行为虽然能够体现企业对离职员工的关怀，但缺乏必要依据，需要离职员工的特别同意。而随着个人信息保护的增强，离职员工若未明确知情并同意的，也可能对企业的这类行为产生顾虑。

显然以过低级别的统一存储管理方式，不利于员工重要、敏感个人信息的保护；而统一使用过高级别的存储管理方式，则不利于公司各业务部门对于员工基本个人信息的使用。对此《个人信息保护法》明确规定，企业需要对个人信息实行分类管理，企业不得笼统地存储、管理所有员工个人信息。

因此，企业对于员工一般个人信息以及敏感个人信息，应当进行分类管理。又或者，根据企业所属行业、企业所获得的员工个人信息类型，针对性地确定分类方法，并进行分类管理。基于员工个人信息的分类情况，企业还可以在存储和使用员工个人信息的过程中注意采取不同级别的保护措施和权限，例如设置文件访问密码、操作权限等，进一步防止员工个人信息泄露、丢失。

背调候选人、发放工资、办理社保、办理工作许可证、团建旅游、预订酒店机票等，企业都会将此类工作委托给第三方，由第三方提供外包服务。但外包服务，不等于责任外包，企业在向第三方提供员工个人信息之时，属于委托第三方处理员工个人信息。此时，企业也仍然是员工个人信息的处理者，需要承担责任并对受托人的个人信息处理活动进行监督[1]。

[1]《个人信息保护法》第21条

不同于欧盟《通用数据保护条例》（“GDPR”）区分个人信息控制者和处理者，并明确相应的地位和责任，我国的《个人信息保护法》只单一地设立了“个人信息处理者”的概念，没有采用类似GDPR的二元身份定义。《个人信息保护法》更着眼于由委托方企业对员工个人信息的处理承担主体负责，即使企业将相关服务外包给第三方，企业作为委托方仍然对于员工个人信息保护和安全承担责任，无法完全“甩锅”给第三方。所以，看似是第三方在处理员工个人信息，企业也需要通过事前、事中、事后多角度对第三方进行监督。

为了管理员工上的便利性，或为了建立集团人力资源库等各种原因，集团内部的各个企业之间对于员工个人信息的分享和传递会特别频繁。企业需要注意的是，此类情形下，实际上出现了不同企业法人主体。而根据《个人信息保护法》第23条的规定，企业需要向员工告知接收信息方的名称、处理目的、处理方式和个人信息的种类等信息，并取得员工的单独同意。在没有取得员工同意前，企业不得直接向集团关联企业提供员工个人信息。

进一步的，如果涉及到境内企业的上级集团企业是境外企业的，即使获得员工同意，也不能直接将员工个人信息提供给境外集团企业。根据《个人信息保护法》的规定，因业务等需要向境外提供个人信息的需要至少具备下列一项条件：（1）通过国家网信部门组织的安全评估；（2）经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（4）法律、行政法规或者国家网信部门规定的其他条件。

但是，即使满足了个人信息跨境提供的要求、获得了员工的特别同意，企业向境外集团公司提供员工个人信息的正当性和必要性也有待商榷。《个人信息保护法》所规定的正当、必要，应该是从个人信息提供者和监管的角度出发，而不能仅从企业集团管理员工的必要性出发。基于境外企业集团管理员工的要求，将境内企业较大数量的员工个人信息跨境提供，是否具有必要性和正当性也有待监管机构的进一步验证。

企业需要根据收集员工个人信息时向员工告知的处理目的、处理方式和处理的个人信息种类使用员工个人信息，如果发生变化，应当重新取得员工的同意。在此不赘述，企业对于员工个人信息使用可能存在的误区。企业应当切记，不得利用自己的强势地位，乱用、擅用员工个人信息。

相较于企业收集员工个人信息的合规而言，企业处置员工个人信息的合规更是一个系统的、综合的、长期的过程。我们尝试通过将其归类为文本合规、体系合规、执行合规三个部分，帮助企业逐步建立员工个人信息的合规处理制度。

文本合规指，需要围绕员工个人信息处置制定不同场景下的法律文本，企业内部有明确可依据的法律文本，是做好合规处置员工个人信息的第一步。企业需要梳理确定员工个人信息的处理目的、处理方式和处理个人信息种类，将其纳入企业规章制度或集体合同。同时，企业还可以进一步制定员工个人信息保护政策。参考互联网企业在网站、APP中公示的隐私政策相似，与员工单独达成处理个人信息的文件。

针对外包服务的情况，企业还需要进一步制定模板化的个人信息保护条款或单独的个人信息保护协议。在个人信息保护中，要求外包服务方健全个人信息保密制度、落实技术手段保护个人信息、外包服务完成后的个人信息删除义务等。

在内部的管理上，企业也需要制定全面的个人信息内部管理制度和操作规程。内部管理制度中，需要涵盖员工个人信息的分类方式及对应存储、加密管理要求，不同级别员工对于企业员工个人信息的获取权限和获取方式，员工个人信息的存储期限分类，员工个人信息对外披露情形及审批流程，员工个人信息泄露的应急处置措施等内容。通过织密法律文本的方式，使得企业在收集、存储、使用、加工、传输、提供、公开、删除员工个人信息时，有据可依。

体系合规指，基于文本合规的前提，进一步通过技术体系，完善员工个人信息处置的每个环节，尽可能避免人为因素的合规瑕疵。

随着《个人信息保护法》的实施，通过技术减少个人信息泄露风险、促进信息流动的方式也被越来越多的关注到。网络安全技术、加密传输技术、去标识化技术、隐私计算技术等都能够在一定程度上，减少员工个人信息的泄露风险。企业可以采取这类必要的安全技术措施，使得员工个人信息被加密后流动。

另一方面，根据制定的企业员工个人信息内部管理制度和操作规程，也可以将其技术化、软件化。企业可以在开发人力资源管理软件、企业管理软件的同时，关注员工个人信息管理平台的搭建，一体化地将员工个人信息的收集、存储、使用、传输、删除等在软件中得以操作。通过账号权限、软件自动化决策等方式，落实内部管理制度，避免员工违反个人信息内部管理制度。

执行合规指，实质上采取了遵循文本合规、体系合规的相关行为。

员工知情和同意是检验企业执行合规的基本准则，企业收集员工敏感个人信息时是否单独进行了告知并获得同意？企业委托第三方处理员工个人信息时是否单独进行了告知并获得同意？企业进行信息共享、信息出境时是否单独进行了告知并获得同意？等等。企业需要在处置员工个人信息的过程中，时刻就需要单独获得同意的事项，充分向员工告知。

在外包服务的情况下，法律规定，相关合同终止时，外包服务方应当将员工个人信息返还给企业或者予以删除，不得保留个人信息。无论合同的终止原因，从执行合规的角度出发，企业应力求有始有终，监督外包服务方及时和完整地归还员工个人信息，或者指令其全盘删除和销毁相关信息。建立合同终止时员工个人信息归还和销毁的流程，避免有文本、有体系却没有执行的虎头蛇尾现象，是企业合规的重要环节。

在执行合规中，企业开展合规自查和第三方合规尽调，也是保障企业各级别员工落实员工个人信息合规的重要方式之一。企业可以通过定期开展个人信息合规培训、不定期“钓鱼”测试等方式，监管企业合规的落实情况。而第三方合规尽调则可以体系化地全面调查企业对于员工个人信息的保护情况，专业机构可以通过文本审查、员工访谈、匿名测试等方式发现潜在的合规瑕疵。

随着法律法规对个人信息保护的重视，员工对个人信息的保护意识也逐步增强。对企业而言，尊重员工的员工个人信息，完善相应合规制度，能避免因员工个人信息带来的风险，还能提升企业形象和社会声誉。