2017年5月9日，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）发布，不仅严格定义了“个人信息”[1]，且对侵犯公民个人信息的犯罪行为加大了惩治力度，严密了刑事法网，再次将个人信息保护置于舆论热点。且，《民法总则》、《网络安全法》以及一系列配套法规的颁布与实施，昭示了中国加大了个人信息保护法律体系建设的力度。本文谨结合相关法律法规，试就雇佣关系下的员工个人信息相关四类情形的合规要点进行梳理与探讨，以飨读者。
　　一、招聘与录用
　　许多企业曾在招聘员工过程中，对一些员工尤其高管进行背景调查。考虑到背景调查所需的专业性，用人单位往往会委托第三方服务商进行背景调查。然而，今后此类委托将可能被认定为非法收集、传输、买卖、提供或公开他人信息[2]的违法行为，会被追究民事责任[3]甚至刑事责任[4]。所以，用人单位在进行相关员工的背景调查时，要格外注意须事先以书面形式获得待查员工的授权（如在offer、劳动合同里约定明确授权并由员工签字认可或让员工签写《员工个人信息许可书》），从而使用人单位有权收集及调查该员工个人信息。其次，用人单位须谨慎使用第三方背景调查服务商进行调查，避免构成非法买卖个人信息。如必须使用，应在与第三方服务商的服务协议中约定免责条款，要求第三方服务商在进行背景调查时必须依法进行，不得有任何违法违规行为。
　　此外，在录用员工时，用人单位往往要求员工填写《个人信息登记表》，要求员工书面披露其大量个人信息。这既是判断劳动者是否符合用工需求的需要，也是内部管理需要，劳动者正常情况下都会配合。但对于此类个人信息搜集，应局限于《劳动合同法》第八条法定授权的范围，即：用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。对此，一般理解为：
　　1、用人单位可以了解劳动者与劳动合同直接相关的基本情况，包括年龄、性别、学历、工作经验等，根据特定行业要求（例如食品行业、证券行业），还可以了解疾病信息、违法记录等。
　　2、与劳动合同不直接相关的信息，个人有权拒绝提供，如劳动者宗教信仰、婚姻状况、子女信息、个人爱好等。但是，员工个人出于全面介绍自身情况和争取聘用机会的目的，自愿提供相关信息的，不受限制。
　　用人单位对于了解到的个人信息，应当只能用于内部用工管理，除依法披露外，不得对外透露，更不得以盈利为目的出售。 
　　二、工作场所各类监控问题
　　考虑到保护商业秘密，许多企业都对员工的工作邮箱、工作电脑以及办公室内局域网使用进行了监控。这样公司不仅可见员工工作邮箱里的各种内容，员工通过办公室网络处理的个人邮件、个人电商买卖记录及QQ或微信的聊天记录，也处于公司监控之下。我们曾经代理过某科技公司解除其员工的劳动争议案件中，公司就是举出该员工工作电脑里的大量淘宝浏览记录，以证明员工“工作时间处理与工作无关事宜”而严重违纪解除。员工除了提起劳动争议之诉外，又向法院起诉公司侵犯其个人隐私权。
　　此外，一些敏感行业如银行或奢侈品门店，往往会在工作场所设置摄像头对员工的言行进行监控，此类监控也是引起纠纷的焦点之一。
　　新法律环境下，上述监控面临巨大合规风险，需要用人单位对上述监控行为作出一系列制度化及合理化安排，以保证监控过程及监控获取的个人信息使用均合规。
　　《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确要求企业“在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息”，并“应当公开其收集、使用规则”。《网络安全法》也强调了必要、公开及事先获得同意的原则。[5]
　　例如，有的单位在规章制度中，只规定了员工“不得使用工作邮箱处理与工作无关的个人事务”，或者“不得接收、发送信息”等，但这并不完善，为了满足上述相关法律法规要求的原则，常见的合规做法是在规章制度单独设立的“电子资源使用政策”中明确，“单位为了经营管理需要，将通过特定系统（或技术）对邮件、办公电脑及网络进行监控，并有权利用技术手段收集相关信息”等，以此体现制度的公开性和员工的知情权，并且单位应妥善保管和使用所收集的信息。
　　一般来说，用人单位对工作场所监控应注意如下问题：
　　1、根据中国劳动法基本原则，企业有权对员工进行工作管理，并有权对此进行制度性规定或者合同约定，员工也有义务遵守公司规定和管理，监控可以视为管理的一部分。此外，员工的工作邮箱、工作电脑以及办公室网络不应用于处理个人事务。对此原则，企业在员工手册中可设“电子资源使用政策”专章规定，对员工在工作时间内使用网络及工作邮箱给予明确的规定或指导。如对工作场所进行摄像监控，也应公开告知员工摄像机设立的时间、目的以及位置，不应秘密监控。
　　２、在员工入职培训时，可予以说明，并保留培训记录。如有必要，劳动合同中也可以简要约定或让员工签写《员工个人信息许可书》以获得员工事先书面许可。
　　严格保密责任，公司或接触人员对监控所取得的信息严禁进行传播或者披露。
　　三、员工个人信息使用与披露
　　根据人力资源与社会保障部发布的《就业服务与就业管理规定》，“用人单位应当对劳动者的个人资料予以保密。公开劳动者的个人资料信息和使用劳动者的技术、智力成果，须经劳动者本人书面同意。”而且，在我们代理的劳动争议案件中，劳动关系存续期间及之后的个人信息披露往往也是引起争议的焦点所在。
　　一些大型集团公司往往有对违纪员工进行公司内部通报批评的制度；或者在员工不辞而别或拒不接受公司解除劳动合同关系决定时，用人单位常会采取登报声明的公告送达方式。一些员工据此认为公司侵犯了其隐私权与名誉权，从而提起诉讼。虽然我国法律规定企业因内部管理而对员工作出的评价或认定，而被起诉侵犯名誉权的案件不予受理[6]。但是，此类评价或认定通知范围原本应限于员工个人或所在部门，若用人单位故意扩大，如常见的群发邮件或微信群发形式，也存在违规公开个人信息的法律风险，故此用人单位应谨慎处理相关信息或评价的通知范围。
　　此外，在劳动争议案件中，无论仲裁还是诉讼程序，用人单位都经常要向仲裁庭或者法庭提供证据，就可能需要公开或披露包含大量员工个人信息的证据资料，以证明特定事实。还有比较常见的如员工不断提交病假单泡长病假时，用人单位往往会要求员工提交病历、挂号及诊断证明等，而员工以此类文件属于个人隐私为由予以拒绝。对于此类情形，可从如下几点做好合规工作：
　　1、通过规章制度或相关文件提前获得特定情形下披露员工个人信息的授权。如于员工手册中规定：员工同意并认可用人单位有权就其病假真实情况进行调查与核实，且员工有义务提交相关病历等就诊材料等。
　　2、如果证据涉及个人隐私，则用人单位应当主动向司法机关提出，提示司法机关对案件进行不公开审理，以限制接触相关证据的人员范围，避免员工就此提出异议。
　　另外，对于外资企业和跨国公司，也要注意向法庭披露有关信息，是否符合公司内部的相关政策。 
　　四、员工个人信息的存储与跨境转移
　　实践中，一些跨国企业的员工入职时就会被要求在诸如EHRS之类全球人事管理电子系统上填写个人信息以备用人单位之后存储或使用，然而外企的此类系统的服务器往往都在境外。此外，有些企业可能需要将在中国境内收集的个人信息转移至境外，例如，企业需要将国内收集的个人信息传输给境外的服务商进行数据处理，或者跨国公司需要将中国员工个人信息转至总部以统一处理人事问题。凡此种种，都与我国一直强调的个人信息存储本地化[7]以及严格控制个人信息跨境转移的相关法律法规相悖，存在一定法律风险。
　　国家互联网信息办公室于2017年4月11日发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，强调了个人信息跨境转移除了要依规定进行安全评估外，更重要的一定要获得本人同意：“个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。未成年人个人信息出境须经其监护人同意。”
　　从合规和降低法律风险的角度出发，对于可能需要将个人信息数据转移至境外的企业，可考虑在使用条款和隐私政策中对此进行明确规定（例如，明确其个人信息可能会转移至境外，且其明确同意该跨境转移），确保获得所涉员工的事先明示的书面同意。
　　综上所述，随着非法获取、出售、使用个人信息的现象日益增加，个人信息保护已经成为社会关注焦点，我国对个人信息保护的监管也会越来越严格，势必不断推出新的法律法规，用人单位需要密切跟踪这一领域的法律进展，建立相关制度与政策以确保其收集和使用员工个人信息合法合规，避免由此产生的法律风险。 

[1] 《解释》第1条：刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
[2] 《网络安全法》第44条：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。
[3] 《民法总则》第111条：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。
[4] 《中华人民共和国刑法》第253条之一：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
[5] 《网络安全法》第41条第一款：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。
[6] 最高人民法院《关于审理名誉权案件若干问题的解释》第4条：“国家机关、社会团体、企事业单位等部门对其管理的人员作出的结论或者处理决定，当事人以其侵害名誉权向人民法院提起诉讼的，人民法院不予受理。”
[7] 《网络安全法》第37条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。