《个人信息保护法》于2021年11月1日正式生效，该法的诞生，在保护个人信息权益、规范个人信息处理活动以及促进个人信息合理利用上将具有划时代的意义。对企业而言，从员工的背景调查、薪酬管理、猎头招聘到人事外包的各个人力资源领域都涉及《个人信息保护法》事项，但是企业不能再随心所欲地“处理”员工的个人信息。因此，HR部门亟须厘清人力资源管理流程中涉及个人信息保护的环节，根据《个人信息保护法》的要求具体应对。

1、完善入职的前背景调查

《个人信息保护法》第14条规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”

在招聘环节对候选人进行背景调查时，企业或接受企业委托提供背景调查服务的第三方人力资源机构，需要保证应聘人员充分知情，且需要签署《应聘者背景调查个人信息处理授权书》后，方可以处理其个人信息。

2、修订入职时的劳动合同

《个人信息保护法》第13、14条指出为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需时不需取得个人同意。同时个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

因此用人单位一方面在修订劳动合同时注意增加处理个人信息的相关条款，要求新入职员工签署。另一方面用人单位对于个人信息的收集应当符合最小限度、合目的、合法等原则，在符合用人单位规章制度的情况下，让员工在入职时填写个人信息收集表以及签署《员工个人信息处理授权书》进行规范。

3、重视在职员工个人隐私信息保护

《个人信息保护法》第28条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”

该条款强调不得过度收集个人信息，以及收集敏感信息时员工有知情权。HR应该注意这些敏感数据在人力资源领域都有涉及：

• 生物识别：门禁时用到的人脸识别、指纹识别系统

• 医疗健康：员工体检报告、医疗报销单据

• 金融账户：薪酬发放时的银行账户信息

• 行踪轨迹：员工居家办公、出差时根据位置判断来跟踪员工出勤率的移动打卡技术

在员工管理的各个环节都可能涉及员工的个人敏感信息，企业在依法进行情况了解、企业管理及调查取证时，需要注意避免侵犯个人敏感信息，并主动告知并获得员工签字确认。

4、规范弹性福利方案

《个人信息保护法》第24条规定：“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”

在致力打造员工极致体验的时代，人力资源领域也在通过各种方式对员工进行分析，比如利用强大的数据统计能力，通过企业个性化的弹性福利系统为员工推送定制化的福利产品，以此来提高员工的满意度。最常见的就是对应员工的生日、特定节日，有针对性的推送祝福和福利产品。

由于员工选择福利通常也要消耗对等的福利积分，严格来说这也是一种软性的商业营销。基于《个人信息保护法》的明确要求，企业要提前告知员工相关数字化系统会通过分析员工个人信息进行专属推送和推荐，并让员工有便利的方式来同意接受或者拒绝此功能。

5、注重离职员工个人信息管理

员工离职后并不意味着企业就无权再处理员工个人信息，此时还应充分考虑如何履行竞业限制协议、劳动争议处理以及法律法规对于工资记账凭证等资料保存期限的要求。因此在员工入职时签订的《员工个人信息处理授权书》中，对于授权期限的设置要延续到离职后的一定期限，并且在规章制度中明确离职后个人信息的处理或者个人信息删除的相关规则。

6、跨国企业向境外提供员工个人信息需获得员工同意

《个人信息保护法》第39条规定：“个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。”

对于外资企业、跨国企业来说，在中国境内的公司出于人事管理和业务开展的需要会向境外母公司或合作伙伴提供员工个人信息，这就涉及个人信息的跨境提供。对此，外资企业或跨国企业要特别注意：在符合法律、行政法规或者国家网信部门规定的条件下，依法向境外提供员工个人信息前需获得员工单独同意。

7、选择规范优质的第三方人力资源服务机构合作

《个人信息保护法》第21条规定：“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。”

在企业人力资源管理中，通常需要与第三方人力资源服务机构合作，进行招聘、背景调查、代发工资、委托代缴社保等服务。这些委托事项的处理，也涉及员工个人信息的处理。因此，用人单位在与第三方机构合作，涉及处理员工个人信息的，双方的商务合同中也应增加相关个人信息处理的条款。

《个人信息保护法》对于不同的信息种类以及处理方式，为作为“信息处理者”的企业设置了不同的义务，如有处理不当，不仅将招致劳动争议的风险，更有可能是面临行政责任乃至声誉受损的风险。因此选择第三方人力资源服务机构合作时，需要提高对方对员工个人隐私保护的服务标准。

连智领域Links 一直以来都将员工个人信息的隐私保护视为头等大事。以连智领域Links 搭建的Links One 人力资源管理平台为例，Links One具有极佳的用户体验和支持多国语言，员工可以轻松管理自己的数据并修改个人详细信息，保证员工个人信息安全的同时可以大大减轻人力资源团队的管理负担。通过大规模的渗透测试以确保用户安全，员工可以无忧地访问数据和更新个人信息。借助Links强大的IT基础架构，可以确保客户获得最高级别的信息安全性。

Links One 集整合多国薪酬数据的报告功能，智能薪酬仪表板功能，以及全球领先的HCM于一身，使亚洲跨国企业的薪酬管理变得简单有效。并基于云计算提供全面薪酬解决方案，满足用户在亚洲的薪酬、休假和福利等人力资源需求。

连智领域Links可以为您提供薪酬外包、人事外包、人力资源咨询和其他人力资源外包服务。无论是薪酬管理还是猎头招聘，与专业的人力资源机构合作，可以助力HR走出执行层面，更紧密的去配合企业核心业务的开展，立即免费咨询。

1、《个人信息保护法》第13条指出为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需时不需取得个人同意。

用人单位一方面在修订劳动合同时注意增加处理个人信息的相关条款，要求新入职员工签署。另一方面用人单位对于个人信息的收集应当符合最小限度、合目的、合法等原则，在符合用人单位规章制度的情况下，让员工在入职时填写个人信息收集表以及签署《员工个人信息处理授权书》进行规范。

2、在致力打造员工极致体验的时代，人力资源领域也在通过各种方式对员工进行分析，利用强大的数据分析能力，通过企业个性化的弹性福利系统为员工推送定制化的福利产品，以此来提高员工的满意度和参与感。

由于员工选择福利通常也要消耗对等的福利积分，严格来说这也是一种软性的商业营销。基于《个人信息保护法》的明确要求，企业要提前告知员工相关数字化系统会通过分析员工个人信息进行相关祝福福利推送和推荐，并让员工有便利的方式来同意接受或者拒绝此功能。

3、《个人信息保护法》对于不同的信息种类以及处理方式，为作为“信息处理者”的企业设置了不同的义务，如有处理不当，不仅仅将招致劳动争议的风险，更有可能是面临行政责任、民事责任乃至声誉受损的风险。

选择相第三方人力资源服务机构合作时，需要提高对方对员工个人隐私保护的服务标准的要求。连智领域Links 搭建的Links One 可以整合多国薪酬数据的报告，覆盖亚太地区的薪酬管理。Links One具有极佳的用户体验和支持多国语言，员工可以轻松管理自己的数据并修改个人详细信息，保证员工个人信息安全的同时可以大大减轻人力资源团队的管理负担。通过大规模的渗透测试以确保用户安全，员工可以无忧地访问数据和更新个人信息。借助Links强大的IT基础架构，可以确保客户获得最高级别的信息安全性。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。