《个人信息保护法》（以下简称“《个保法》”）于2021年11月1日正式生效。《个保法》的生效进一步引起了企业对个人信息保护合规的重视，尤其是个人信息保有量较大的互联网企业、数据企业及快消企业。然而，无论企业所处哪一行业，也不管企业规模大小，其都不可避免地需要面对员工个人信息（为本文之目的，员工个人信息包括应聘者、具有劳动关系的雇员及其他用工形式下雇员的个人信息）合规的问题。鉴于此，本文对员工个人信息处理合法性基础的选择进行了分析，并从场景化的角度对员工个人信息保护合规进行了简要梳理，以帮助企业更好地了解和开展员工个人信息保护合规。

根据《个保法》第十三条第二款后半段，“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”是一项专门为人力资源管理场景所制定合法性基础。然而，由于该合法性基础成立的前提是除了为实施人力资源管理所必需外，还要求企业具备依法制定的劳动规章制度或依法签订的集体合同。从立法角度来看，该条一方面希望为人力资源管理这一普遍存在的场景提供明确的合法性基础；同时，又担心企业滥用该合法性基础侵害个人权益，进而要求企业具备合法的劳动规章制度或集体合同。该限制使得企业不能将“实施人力资源管理所必需”作为处理员工个人信息的唯一合法性基础，而需区分不同雇员身份和场景合理确定不同的合法性基础。

招聘属于人力资源管理的重要环节之一，招聘阶段企业为了招聘符合岗位需求的员工，需要获取大量的应聘者个人信息，包括收集简历、开展背景调查等。应聘者和企业在应聘阶段尚未形成劳动关系，显然不能适用集体合同。此外，《劳动法》第四条和《劳动合同法》第四条均规定了用人单位应制定和完善劳动规章制度，但《劳动法》和《劳动合同法》所述之规章制度适用于具有劳动关系的劳动者；从审慎解释的角度，应认为《个保法》第十三条所述之劳动规章制度应与《劳动法》和《劳动合同法》具有同一内涵。因此，《个保法》第十三条第二款中的劳动规章制度不应适用于尚未建立劳动关系的应聘者。

鉴于人力资源管理所必需的合法性基础存在限制，则企业不得不重新选择处理应聘者个人信息的合法性处理。一般而言，取得应聘者的同意是最为简单且可行的合法性基础。但需要注意的是，应聘场景下，企业除了自行收集应聘者个人信息外，还可能从猎头公司等第三方处收集应聘者个人信息。此时，确保信息提供方收集和提供个人信息的合法性尤为关键。对第三方而言，其收集和提供个人信息的合法性构建可选择应聘者的同意，在与应聘者签署协议的情况下亦可基于履行合同所必需收集和提供个人信息。

合规建议：

1） 针对应聘场景起草知情同意书，在收集应聘者个人信息前可通过签署知情同意书的形式依法告知应聘者并取得其同意。

2） 委托第三方收集应聘者个人信息时，应与第三方签署书面委托协议，明确约定双方关于个人信息保护的权利义务，并要求第三方依法取得应聘者关于收集和提供个人信息的同意或与应聘者签署适当的合同。

员工在职期间，公司原则上可以依据实施人力资源管理所必需处理员工的个人信息，但需依法制定相应的规章制度或签订集体合同。除此之外，需要注意的是，与公司间没有劳动关系的用工场景下，可能无法基于实施人力资源管理所必需处理该等人员的个人信息。

如前所述，集体合同和劳动规章制度仅适用于具有劳动关系的劳动者，而实践中存在多种用工形式。在非劳动关系的用工场景下，企业基于管理等必要同样也会收集该等人员的个人信息。此时，企业可以考虑选择的合法性基础包括知情同意和履行合同所必要。

其次，即便已经制定劳动规章制度或签订了集体合同，不排除企业可能会基于人力资源管理以外的目的收集、使用员工的个人信息。从必要性原则角度出发，一旦企业的处理行为不属于为人力资源管理所必需，则企业需重新寻找合法性基础。

除企业自己处理员工个人信息外，企业委托第三方处理员工个人信息或向第三方提供员工个人信息的情形也较为常见。从告知的角度，企业需要明确告知员工委托处理和对外提供的情形，包括第三方的名称、联系方式、处理目的及个人信息种类等。从个人信息保护的角度，企业需对第三方处理个人信息的行为进行约束和监督，以保障数据安全，维护员工个人利益。

合规建议：

1） 企业应制定员工个人信息保护政策或签订有关员工个人信息处理的集体合同，为企业合法处理员工个人信息提供有效的合法性基础。

2） 非基于人力资源管理所必需处理员工个人信息的，应评估是否具有知情同意以外的合法性基础，如无，应告知员工并取得其同意。

3） 针对非劳动关系的人员，应通过签署书面协议或知情同意书，以构建企业处理其个人信息的合法性基础。

4） 涉及委托或对外提供个人信息的，应与第三方签署书面协议，明确约定有关个人信息保护的权利义务，尤其是要求第三方确保个人信息安全，不得转委托，不得超出约定的目的和方式处理个人信息。

员工离职后，公司与员工之间的劳动关系不复存在。此时，“实施人力资源管理所必需”原则上不能再作为处理员工个人信息的合法性基础。通常情况下，处理离职后员工的个人信息的合法性基础可以从如下三个主要方面去寻找和建构：

1） 履行公司的法定职责或法定义务。员工离职后，如法律对员工个人信息存储存在特定要求的，则该等信息留存则成为履行公司的法定义务。譬如，《劳动合同法》第五十条规定，用人单位对已经解除或者终止的劳动合同的文本，至少保存二年备查。劳动合同本身承载了员工个人信息，对劳动合同保存的要求也一定程度上意味着相应的个人信息需要保存两年。但需要注意的是，基于履行法定职责或义务处理个人信息的处理方式往往也受法律的限制，多数情况下法律仅要求保存以备查。在保存备查的情况下，企业不得将保存备查的个人信息用于其他目的，除非取得其他合法性基础。

2） 履行合同所必要。员工入职或在职期间，会和公司签署劳动合同、培训合同等。基于履行相应合同必要仍需在员工离职后处理员工相应个人信息的，公司可基于履行合同必要这一合法性基础继续处理员工个人信息。

3） 知情同意。在没有其他法定合法性基础的情况下，合法性基础的检索就会回到知情同意上。如果企业在员工离职时或离职后，基于特定目的再次取得个人的同意，则企业可继续处理该个人的个人信息。

合规建议：

1） 在与员工签署劳动合同或其他协议时，应充分考虑员工离职后所需的处理个人信息的情形，将离职后必要的个人信息处理行为在合同中进行明确约定，避免未来就个人信息处理行为合法性产生争议。

2） 如在员工离职后确需基于其他特定目的处理其个人信息的，建议在离职时单独告知员工并重新取得其同意。

对跨国企业而言，为了进行全球化的人力资源统一管理，向境外提供员工个人信息属于较为常见的处理方式。根据《个保法》，数据跨境提供需要从三个层面进行合规：第一，如前所述，需要具有合法性基础，通常表现为人力资源管理相关制度；第二，满足《个保法》第三十八条规定的条件之一，包括：1）通过国家网信部门组织的安全评估，2）按照国家网信部门的规定经专业机构进行个人信息保护认证，3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，4）法律、行政法规或者国家网信部门规定的其他条件；第三，采取必要的安全保障措施并进行个人信息保护影响评估。

关于《个保法》第三十八条规定的条件，需相关部门进一步出台实施性法规予以明确。譬如，国家网信部门规定数量的个人信息处理者目前尚未明确标准。根据《数据出境安全评估办法（征求意见稿）》，处理个人信息达到一百万人的个人信息处理者向境外提供个人信息和累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。由于该法规尚未正式颁布，目前仅可供合规参考。此外，国家网信部门制定的标准合同也尚未公布。

即便如此，现阶段下，如实施员工个人信息跨境转移，仍应取得合法性基础，完成个人信息保护影响评估，按照必要的原则提供个人信息，并采取有效的安全保障措施，避免数据泄露或非法处理。同时，可以参考其他法域的实践，起草和签署数据跨境协议。

员工个人信息处理区别于业务场景，相对独立；但由于员工个人信息处理场景自身的多样性以及《个保法》对“实施人力资源管理所必需”这一合法性基础的限制，导致员工个人信息处理并不能简单地依赖于单一的合法性基础。无论是完善劳动合同还是制定一份详尽的员工个人信息保护制度均无法一劳永逸地解决人力资源管理场景下个人信息的处理。因此，企业应严格区分应聘者、具有劳动关系的雇员及其他用工形式的雇员，并结合不同的场景和法律关系背景，合理选择处理个人信息的合法性基础。除此之外，对于特殊的个人信息处理行为，如委托处理、跨境转移等，还需按照《个保法》分别落实必要的合规措施。