石先廣

大數(shù)據(jù)時代，信息、數(shù)據(jù)已經(jīng)成為熱點話題。對微觀個體而言，個人信息和個體利益密切相關(guān)；對宏觀整體而言，眾多個人信息匯集在一起涉及國家安全。因此，個人信息保護的立法、執(zhí)法、司法工作成為各國重點關(guān)注事項。

自《個人信息保護法》2021年11月1日正式施行以來，筆者接到了很多關(guān)于員工關(guān)系管理中的個人信息保護方面的咨詢，為此筆者還專門開發(fā)了實務(wù)類課程，開始為一些企業(yè)提供與《個人信息保護法》相關(guān)的人力資源管理文本梳理、修訂、完善的專項服務(wù)。結(jié)合近期的工作和思考，筆者現(xiàn)將這些問題較為全面地梳理成文，以期對HR的工作有所幫助和啟發(fā)。

人力資源管理是否屬于規(guī)制的對象

這是很多HR關(guān)注的前提問題，如果這部法律和人力資源管理無關(guān)，HR自然不用花時間和心思學習它；如果這部法律和人力資源管理有關(guān)，HR才需要了解和學習它。

根據(jù)《個人信息保護法》第七十三條，個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。顯然，《個人信息保護法》保護的對象是自然人的個人信息，規(guī)制對象是處理自然人個人信息的主體。順著這個思路往下分析，誰會是處理自然人的個人信息的主體呢？大概有以下幾類：公共事務(wù)管理者、服務(wù)提供者、人力資源管理者、其他涉及處理個人信息者。所以，因用人單位在勞動關(guān)系管理中必然會涉及自主決定處理員工個人信息的目的和方式，用人單位對內(nèi)員工關(guān)系管理，也屬于法律規(guī)定的個人信息處理者。

從以上分析來看，人力資源管理屬于這部法律規(guī)制的對象。所以，這就決定了HR在今后的工作中要和這部法律經(jīng)常打交道。

如何識別某項信息是否屬于個人信息

這是HR要了解的基本問題，即在日常管理中要能識別哪些屬于員工的個人信息。對此，《個人信息保護法》第四條對個人信息有明確的界定，明確了個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。與《民法典》對個人信息采取具體列舉式的定義不同，《個人信息保護法》采取抽象化概況式的定義（如圖1）。

結(jié)合以上兩部法律規(guī)定可知，一項信息是否構(gòu)成個人信息，關(guān)鍵看該項信息是否具有“識別性”。從《民法典》的列舉來看，HR在員工關(guān)系管理的各個環(huán)節(jié)都會涉及大量的員工個人信息（如圖2）。

什么是敏感個人信息

需要注意的是，《個人信息保護法》在第二章第二節(jié)專門規(guī)定了敏感個人信息的處理規(guī)定?！秱€人信息保護法》第二十八條規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

除法律對此有一定的列舉外，我國的《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273—2020）對敏感個人信息還有更為具體的列舉（如圖3）。

從以上列舉來看，在員工關(guān)系管理中，用人單位會接觸到員工大量的敏感個人信息，如指紋、人臉識別信息、健康信息、銀行賬號甚至行蹤信息等。

個人信息、敏感個人信息與個人隱私是什么關(guān)系

隨著社會的進步，大家對個人信息、隱私越來越看重，那么個人信息、敏感個人信息、隱私之間是什么關(guān)系呢？從時間軸來看，在個人信息這個概念沒有出現(xiàn)之前，司法裁判中對涉及個人信息的保護一般歸類為隱私范疇，并按隱私權(quán)的相關(guān)規(guī)定進行保護。因為，按照隱私權(quán)的定義，私密信息屬于隱私保護的范疇。

《民法典》第一千零三十二條規(guī)定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。

在個人信息權(quán)益未被法律保護前，只有個人信息中的私密個人信息才能獲得隱私權(quán)保護。如今，“個人信息”的出現(xiàn)，并上升為法律規(guī)定的權(quán)益。正如《個人信息保護法》第二條所述，自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權(quán)益。

其實，《民法典》中也有個人信息權(quán)益受保護的規(guī)定（《民法典》第一千零三十四條：個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定）。這樣，個人信息權(quán)益就進入“隱私權(quán)”和“個人信息權(quán)益”的二元保護時代。

由此可見，個人信息權(quán)益受損害，涉及個人私密信息的，可以適用隱私權(quán)的規(guī)定進行救濟；不涉及個人私密信息的，可以用個人信息權(quán)益進行托底保護。值得思考的是，“私密信息”是否等于“敏感個人信息”，這個問題還有待進一步研究。

個人信息的處理包括哪些環(huán)節(jié)

《個人信息保護法》第四條第二款規(guī)定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。相對于《民法典》，《個人信息保護法》在列舉個人信息處理的具體環(huán)節(jié)時又增加了“刪除”（如圖4）。

從以上規(guī)定來看，用人單位在員工關(guān)系管理中，處理員工個人信息也貫穿用工管理的全過程，如入職讓員工填寫相關(guān)信息，將員工個人信息提供給出資方、關(guān)聯(lián)方或合作方，登報送達相關(guān)通知會涉及公開員工的個人信息等都屬于處理個人信息的范疇。