望衡法评 | 劳动关系中个人信息处理若干法律问题（三）

用人单位作为个人信息处理者应当遵循合法、正当、必要和诚信的原则处理劳动者个人信息。不仅应当注意信息收集过程及内容合法，还应对该等信息及相关人员进行合规管理，并采取必要措施保障所处理的个人信息的安全，确保个人信息处理活动符合法律法规的有关规定。

《中华人民共和国个人信息保护法》（“《个保法》”）第五十一条规定：“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施”。

据此，用人单位在处理劳动者个人信息活动中负有安全防范义务，即用人单位应采取必要措施确保个人信息处理活动的合规及安全。我们建议，用人单位可参照国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》的有关规定，制定企业内部安全系数高、可操作性强的个人信息保护制度与操作规范。

用人单位也可依据个人信息的敏感度进行分类、分级管理并区分操作权限，对能够获知该等信息的人员范围进行必要限缩；设立企业内部信息审批流程，并加强对相关人员的安全教育和培训，提高积极防范风险的思想意识。

同时，用人单位还应在技术层面对该等信息采取有效的安全保护措施。例如，使用加密、去标识化的技术，使无关人员无法取得信息或在不借助其他信息的情况下无法识别特定自然人。此外，用人单位还应制定个人信息安全事件应急预案，以便事件确实发生时相关部门和人员能够及时做出响应和处置，避免事件扩大或升级，更大程度的减少事件造成的损失。

《个保法》第五十五条规定：“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动”。

据此，用人单位在特殊情况下处理劳动者个人信息活动时负有事前影响评估义务，即用人单位对个人信息处理活动的合法性、安全保护措施的有效性，以及对个人信息主体合法权益可能造成的损害风险进行评估。

当用人单位需处理劳动者敏感个人信息、进行自动化决策、委托其他单位或个人处理、对外提供、公开个人信息，或向境外提供劳动者个人信息时，应当提前进行个人信息保护影响评估，并对处理情况进行记录。通过评估可以有效识别用人单位在处理个人信息活动时的错误及疏漏，帮助其有针对性的进行整改，降低合规风险；且有利于用人单位动态评估其个人信息处理行为对劳动者合法权益的实际影响及潜在风险。

《个保法》第五十六条规定：“个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年”。

根据上述法律规定，用人单位可参照《信息安全技术个人信息安全影响评估指南》有关规定，对个人信息处理活动进行合法合规程度检验，判断其对个人信息主体合法权益造成的各种风险，以及评估用于保护个人信息主体的各项措施是否有效。

同时，还可以确定安全事件发生的可能性以及风险级别。评估内容应包括个人信息处理的目的、方式是否具有合法性、正当性、必要性，对个人权益的影响和安全风险，以及所采取的保护措施是否合法、有效并与风险程度相适应。据此形成的个人信息保护影响评估报告和处理情况记录应当至少保存三年。

《个保法》第五十七条规定：“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人”。

据此，用人单位在处理劳动者个人信息活动中负有补救通知义务，即用人单位在劳动者个人信息安全事件发生时或意识到可能发生时，应立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

鉴于该义务的触发条件中既包括已发生的情形，又包括未发生但可预见的情形。为避免对适用范围的理解过于模糊和宽泛，给用人单位造成过重的义务负担，用人单位可根据安全事件的具体情形判断，如采取措施能够有效避免危害发生的，可以不通知劳动者个人。但履行个人信息保护职责的部门认为可能造成危害的，有权要求用人单位通知劳动者个人。

本文主要根据《个保法》“第五章个人信息处理者的义务”，就用人单位在处理劳动者个人信息活动时最常见的三项义务进行的分析和解读。用人单位在理解和适用时，应结合自身企业规模、特点有针对性的制定个人信息合规策略，在依法合规的框架内搭建个人信息保护合规管理制度体系。