收集和使用员工个人信息合规问题分析（下篇）

1. 

要求应聘者提供基本的个人信息（如教育背景和工作经验等）用于背景审查

1）要求应聘者提供与履行劳动合同不直接相关的个人信息；

2）未告知应聘者、未经其同意收集和使用其个人信息。

1）用人单位收集应聘者个人信息的范围应限于与劳动关系直接相关的基本信息，如应聘者的年龄、性别、工作经历、教育背景等；同时，因特定工作岗位性质的不同，用人单位也可以收集除前述基本信息之外的其他个人信息，如健康信息、违法犯罪记录等；

2）用人单位应避免收集与履行劳动合同不相关的个人信息，如婚姻状况、生育情况、家庭背景等；

3）用人单位应事先明确告知应聘者可能需要在其受雇于用人单位之前收集其个人信息，用于人力资源管理、背景审查等与员工雇佣有关的用途，并征得应聘者的书面同意。

2. 

聘请第三方服务提供商对拟录用员工进行背景审查

1）未告知拟录用员工、未经其同意，向第三方服务提供商提供其个人信息；

2）第三方服务提供商出现信息使用方面的违法行为（如超过用人单位授权范围收集拟录用员工个人信息、非法泄露其收集的个人信息等）。

1）用人单位应事先明确告知拟录用员工其个人信息可能会在受雇于用人单位之前被提供给第三方服务提供商，用于人力资源管理、背景审查等与员工雇佣有关的用途，并征得员工的书面同意；

2）用人单位应当在用人单位与第三方的合同或协议中明确约定第三方所获悉的拟录用员工个人信息仅可用于与背景审查相关的目的，且第三方应确保其在使用和处理员工个人信息时遵守相关法律规定，并明确约定用人单位不对第三方的任何违法的信息使用行为承担任何责任，第三方应自行承担违法责任，包括但不限于向员工承担侵权责任等；同时，如因第三方的前述行为给用人单位带来任何损失或责任，第三方应对用人单位承担责任，包括赔偿损失。

3. 

要求员工在录用后提供其他个人信息供用人单位存档备案

未告知员工、未经员工同意，对员工个人信息持续收集和保存。

用人单位应在员工入职时明确告知可能需要在员工受雇期间收集员工的个人信息，用于人力资源管理、报酬或福利安排、绩效管理、IT支持和服务等与员工雇佣或公司业务有关的用途，并征得员工的书面同意。

4. 

要求员工在信息变更时，及时将更新后的信息提供给用人单位

5. 

使用摄像头和录音设备对用人单位所在场所进行监控

1）对非公共的办公区域（如单独的个人办公室等）进行监控，无合理原因并且未经相关员工同意；

2）对隐私区域（如卫生间、更衣室等）进行监控；

3）监控所摄内容被随意获取或公开。

1）用人单位应尽量提前告知员工关于办公场所内监控设备的安装和使用情况，并对设有监控设备的办公区域进行明确标识，以提请员工注意；

2）用人单位应将监控的范围限于公开或半公开的办公区域，如公共办公区域、会议室、前台等。如需对单独的个人办公室进行监控，则需具备合理原因（如涉及用人单位的重要财产保护或基于其他安全需要等），或取得该办公室员工的书面同意；

3）用人单位应确保监控所得内容不被随意获取或公开。

6. 

对员工进行智能监视（如WiFi定位考勤、配置智能手环等）

1）未告知员工、未经员工同意对其进行智能监视；

2）在非工作时间和非工作场所对员工进行智能监视；

3）非法利用通过智能监视收集的员工个人信息。

1）用人单位应向员工明确说明用人单位将利用智能设备收集和使用其个人信息的合理性，并征得员工的书面同意；

2）用人单位应确保在通过智能监视收集的员工个人信息中，仅对与工作、履行职务相关的内容进行使用，并对无意收集的涉及到员工隐私的信息进行及时销毁。

7. 

监控和审查员工对工作邮箱和用人单位电脑的使用

用人单位在监控和审查员工对工作邮箱和用人单位电脑的使用时，将其中与工作内容无关的员工的个人信息予以公开、披露，尤其是将其中的个人隐私进行曝光。

1）用人单位应在员工入职时明确告知在职期间员工所使用的工作邮件、工作电脑以及其他网络或电子设备（“工作设备”）均系用人单位所提供且属于其所有，员工应仅为工作目的使用；

2）用人单位应告知员工出于企业管理需要，用人单位有权不时地监控和检查员工所使用的由用人单位所提供的各项设备和电子账户等；

3）用人单位可在其内部规章制度中单独设立“电子资源使用政策”，明确：

• 员工在不影响用人单位经营、网络系统运作与维护或其履行工作职责的情况下可在工作设备上处理少量私人事宜，但应严格禁止与公司业务无关的过度或不合理的个人使用，否则将构成严重违纪；

• 员工将工作设备用于私人事宜的，用人单位无义务对工作设备上所形成的个人数据承担任何责任；

• 员工不得用其私人电脑、其他设备及私人邮箱处理工作事务，不得将用人单位保密信息和文件转移至任何外部设备或私人邮箱，否则将构成严重违纪；

• 用人单位有权自行决定获取、检查、审查、屏蔽、复原和监控用人单位系统和存储在系统中的信息。

8. 

对违纪员工进行信息询问、调查及处分（包括通过录音、录像的方式）

1）在处分过程中，不当公开或处理员工以私人目的使用用人单位资源所产生的个人信息；

2）在私人区域内使用录音、录像设备对员工进行信息询问；

3）故意散播员工的个人信息。

1）用人单位审查、调查、公开或处理违纪员工的个人信息时应符合用人单位规章制度及法律规定，且应在合理和必要范围内实施；

2）用人单位应在员工入职时明确告知员工：对于涉嫌违反规章制度的员工，用人单位有权不时地就前述涉嫌违纪行为进行调查，包括与员工进行事实调查谈话或对员工的信息进行调查等，并可在非私人区域使用录音、录像等手段进行证据固定；

3）用人单位在处理员工的违纪信息记录时，应尽可能注意将传播范围限于员工个人及其他有必要知情的人员，尽量避免采取以社交软件群发、邮件群发等可能导致影响扩大的方式进行传播。

9. 

处理员工离职期间所交接的工作电脑或其他用人单位设备和设施中的个人信息

未经离职员工同意，不当使用或公开传播其工作电脑或其他用人单位设备和设施中的个人信息。

1）用人单位应避免在未经员工同意的情况下，对员工工作电脑中的个人信息进行不当使用或公开传播，除非基于合理正当的原因需公开（如司法机关调查取证的需要）；

2）用人单位应明确告知员工：如果员工离职期间要求拷贝工作电脑中的个人信息，用人单位可以允许，但将派员陪同，确保员工拷贝的信息仅为其个人信息，避免对用人单位的工作信息造成泄露；

3）用人单位应在内部规章制度中明确规定员工离职后不得拷贝或保留除个人信息外的工作信息，用人单位保留追究该员工法律责任的权利，并在入职时获取员工对该要求的书面确认。

10. 

用人单位并购交易和重组中对员工个人信息的披露和使用

1）未告知员工、未经员工同意，在并购交易中向收购方披露员工的个人信息（如员工社会保险信息等）；

2）收购方出现违法使用员工个人信息的情形；

3）未告知员工、未经员工同意，在重组项目中将员工的个人信息在各关联企业之间共享。

1）用人单位应在员工入职时明确告知并获取员工的书面同意：用人单位可能需要在员工受雇期间收集员工的个人信息，用于并购交易、重组等与公司业务有关的用途；

2）用人单位应当在收购合同或协议中明确收购方所获悉的员工个人信息仅可用于与项目或交易有关的目的，且收购方应确保其在使用和处理员工个人信息时遵守相关法律规定，收购方应自行对信息的不当使用承担责任；用人单位不对收购方的任何违法的信息使用行为承担任何责任，如收购方违反，用人单位可追究其法律责任，包括要求其赔偿损失。

11. 

将员工个人信息进行跨境传输

未向员工告知、未经员工同意，跨境传输员工的个人信息。

1）用人单位应在员工入职时明确告知并获取员工的书面同意：出于全球系统管理需要或其他与公司业务有关的目的，用人单位可能需要向境外传输员工的个人信息；

2）使用一体化人力资源管理系统的跨国公司应注意遵循个人信息跨境传输方面的法律要求；

3）用人单位可考虑与专业的网络安全服务提供商进行合作，分析如何妥善组织和开展数据跨境传输前的安全评估工作。

12. 

在劳动争议案件中向仲裁庭或法庭提供与员工个人信息相关的证据

不当使用或公开传播包含员工个人信息尤其是隐私的证据材料（如病假条、挂号及诊断证明等）。

1）用人单位应在司法程序中避免对包含员工个人信息尤其是隐私的证据材料进行不当使用或公开传播，除非基于合理正当的原因需公开（如司法机关调查取证的需要）；

2）如果证据涉及员工个人隐私，用人单位最好主动提示司法机关对案件进行不公开审理，限制接触证据的人员范围；

3）用人单位可以在内部规章制度中明确告知员工，并在员工入职时获取其书面同意：其有权就员工病假真实情况进行调查与核实，且员工需配合提供相应材料；

4）外资企业和跨国公司还应特别注意其向仲裁庭或法庭披露员工个人信息的行为是否符合用人单位内部政策。