引文

随着数据经济的蓬勃发展，如何平衡个人权益保护与数据利用之间的关系，已成为立法者关注的要点。在此背景下，《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）颁布施行，实质规范了个人信息处理者对于个人信息从收集到删除全流程的法律义务。员工的个人信息属于《个人信息保护法》的规制范畴，因此我们尝试从拟入职员工（点击小字，查看入职篇）、在职员工及离职员工三个方面，探讨企业劳动合规的注意要点。本文是系列文章的第二篇，探讨有关在职员工的个人信息保护问题，以供各方参考。

在职员工，是指已与企业建立劳动关系，且未依法终止或解除劳动关系的员工。与入职前不同，对于在职员工，企业可以通过依法建立的个人信息保护制度，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

一、企业规章制度的一般要求

依据《中华人民共和国劳动合同法》的规定，企业应当制定规章制度，以保障员工享有劳动权利和履行劳动义务。因此，我们结合现行司法裁判观点，罗列了企业规章制度的一般要求，即任何规章制度如需生效，通常应满足如下条件：

01 制定主体合法

有权代表企业制定规章制度的，应是企业行政系统中处于最高层次，对于企业的各个组成部分和全体劳动者有权实行全面和统一管理的机构或人员，如董事会、董事长、总经理等。

02 内容必须合法

规章制度的内容，不得违反法律、法规和政策的规定，且不得违反集体合同的约定，即其规定的员工利益不得低于法律、法规、政策和集体合同规定的标准。

03 制定程序合法

企业制定规章制度，直接涉及员工切身利益时，应经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定。

04 公示规章制度

企业制定规章制度，直接涉及员工切身利益时，应当公示或者告知员工，告知可以通过告示牌、交付职工手册、进行职工培训等形式进行，关键在于必须使员工能够知悉制度内容。

05 无明显不合理

企业制定的规章制度，还应当符合合理性要求，但是否合理需结合企业的经营方式、生产状况、人事管理需求、员工岗位职责等具体情况进行分析，以符合社会一般认知和认同作为评价标准。

需要注意的是，个别地区的劳动仲裁委员会及人民法院认为，企业制定的规章制度虽不满足上述第1-3项的规定，但制度内容不违反法律、行政法规的规定，且不存在明显不合理的情形，并已向员工公示或者告知的，可以作为审理劳动争议案件的依据。

二、个人信息的分类管理

将个人信息保护纳入规章制度之中，除了需要遵守上述一般性要求之外，《个人信息保护法》还作出了特殊规定，其一是对个人信息实行分类管理。

01 信息分类

依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，有四类信息极易导致个人信息处理者承担刑事责任，即行踪轨迹信息、通信信息、征信信息、财产信息，再结合《个人信息保护法》对于敏感个人信息和个人信息的区分，因此，我们建议企业将个人信息至少分为三类进行管理，具体为：

（1）极敏感个人信息：行踪轨迹信息、通信信息、征信信息、财产信息；

（2）敏感个人信息：生物识别、宗教信仰、特定身份、医疗健康信息；

（3）一般个人信息：除上述极敏感个人信息和敏感个人信息外的其他个人信息。

02 管理措施

基于上述划分，我们建议采取以下分类管理措施：

（1）对极敏感个人信息、敏感个人信息及一般个人信息进行分别存储；

（2）对极敏感个人信息、敏感个人信息的存储和传输，采取加密、必要的去标识化等安全技术措施；

（3）对极敏感个人信息、敏感个人信息及一般个人信息的被授权访问设置不同的、合理的内部审批流程；

（4）对极敏感个人信息、敏感个人信息，处理前确认是否取得单独同意，并开展影响评估，评估时关注敏感个人信息的判定是否准确、收集目的是否正当合法、从第三方获得的数据是否得到正式的处理授权等。影响评估的基本原理见下图：

（注：取自《信息安全技术个人信息安全影响评估指南》）

三、个人信息处理人员的管理和培训

《个人信息保护法》要求，个人信息处理者应当负有人员管理义务，即合理确定个人信息处理的操作权限及定期对从业人员进行安全教育和培训。依据相关国家标准，建议企业作出以下规定：

01 人员管理

（1）对被授权访问个人信息的人员，建立最小授权的访问控制策略，使其只能访问职责所必需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限；

（2）对个人信息的重要操作设置内部审批流程，如进行批量修改、拷贝、下载等重要操作；

（3）设置信息保护负责人，对于信息保护事宜进行统筹管理、统一负责，并对安全管理人员、数据操作人员、审计人员的角色进行分离设置；

（4）确因工作需要，需授权特定人员超权限处理个人信息的，要求经信息保护负责人进行审批，并记录在册；

（5）对极敏感个人信息、敏感个人信息的访问、修改等操作行为，在对角色权限控制的基础上，按照业务流程的需求触发操作特权。

02 教育培训

（1）与从事个人信息处理岗位上的相关人员签署保密协议，并要求其在调离岗位、终止或解除劳动后继续履行保密义务；

（2）明确个人信息处理不同岗位的安全职责；

（3）与可能访问个人信息的外部人员签订保密协议，并监督其履行；

（4）定期（至少每年一次）或在个人信息保护政策发生重大变化时（以企业认定为准），对个人信息处理岗位上的相关人员进行专业化培训和考核，必要时外聘第三方服务机构进行。

四、制定安全事件应急预案

《个人信息保护法》要求，个人信息处理者应当制定并组织实施个人信息安全事件应急预案，结合相关国家标准，建议企业作出如下规定：

01 事件告知

如发生个人信息安全事件，及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人，难以逐一告知个人的，采取合理、有效的方式发布与公众有关的警示信息。

告知内容包括但不限于：

（1）安全事件的内容和影响；

（2）已采取或将要采取的处置措施；

（3）个人自主防范和降低风险的建议；

（4）针对个人提供的补救措施；

（5）个人信息保护负责人的姓名及联系方式。

02 应急处置

如发生个人信息安全事件，根据应急预案进行如下处置：

（1）记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；

（2）评估事件可能造成的影响，并采取必要措施控制事件发展，消除隐患；

（3）根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。

结语

《个人信息保护法》对于个人信息处理者，规定了较为详实的安全保障义务，如果处理个人信息侵害个人信息权益造成损害，适用过错推定原则，即个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任，而本文所论及的有关规章制度的建立及实行，是判定企业有无过错的重要依据。因此，我们建议企业依法建立个人信息保护相关规章制度，以适应《个人信息保护法》提出的新要求和新挑战。

本文作者：朱赫 程秋语