首页 > 资讯 > 用人单位对雇员个人信息管理保护合规指南（二）：入职篇

用人单位对雇员个人信息管理保护合规指南（二）：入职篇

泰然健康网
2024-12-14 11:01

在前言篇，我们阐述了雇员个人信息保护的现状、现行法律框架和立法趋势、常见的争议问题等内容。本篇以入职阶段为切入视角，从收集、存储、使用、传输四个阶段分别解析用人单位对求职者和雇员的个人信息保护。入职篇是具体化用人单位对雇员个人信息管理保护合规指南的开篇，为方便读者理解和查询，对相关问题及具体争议点详细展开的同时，我们分别作出了简答和详解两种类型的合规建议。

【问题列表】

问题1. 用人单位通过第三方企业获取应聘者简历时有什么注意事项？
用人单位获取简历需要事先确认什么内容吗？后续和应聘者的接洽中是否可以进一步规避风险？

问题2. 求职/入职登记表中可收集的个人信息范围？
求职登记表和入职登记表可收集的信息是否有所不同？入职过程中可以收集雇员婚姻、怀孕及其他身体信息吗？

问题3. 用人单位可以获取的劳动者健康状况/体检信息范围？
用人单位可以获取雇员健康状况吗？用人单位强制要求雇员体检的范围是否有限制，可以进行乙肝表面抗原测试和妊娠测试吗？雇员生理信息过度公开的界定？

问题4. 用人单位对未入职的应聘者简历、体检信息、求职/入职登记表的存储、删除要求？
未入职的应聘者信息是否应该及时删除？可以出于储备人力的目的存储一段时间吗？

问题5. 用人单位能否公开求职者的个人信息？
求职者个人信息的知情范围是否应该限缩？其个人信息在单位内可传播范围是否应该限制？

问题6 用人单位是否可以向第三方传输求职雇员的个人信息？
用人单位出于档案存储、背景调查或其他目的，向第三方传输求职雇员的信息有哪些注意事项？

问题1. 用人单位通过第三方企业获取应聘者简历时有什么注意事项？

【争议点】
用人单位获取简历需要事先确认什么内容吗？后续和应聘者的接洽中是否可以进一步规避风险？

【合规建议】

1. 简答：用人单位需要事先确认应聘者意愿。

详解：近来，招聘网站泄露简历的事件受到关注。用人单位应审查确认第三方企业（如招聘平台、猎头公司等）和应聘者签订的协议内容中涵盖“应聘者同意由用人单位获得简历中包含的个人信息”，并由第三方企业承担未能征求应聘者同意的责任，避免陷入个人信息风险。

2. 简答：用人单位可进一步规避风险。

详解：用人单位在后续和应聘者的接洽中可要求应聘者直线联系用人单位，即发送简历至邮箱或通过其他官方渠道（如小程序、官方网站等）。用人单位可制作使用应聘者信息的格式文件（征求应聘者同意用人单位处理其信息，收集其个人信息的目的、范围、保存期限等个人信息的使用情况。）

问题2. 求职/入职登记表中可收集的个人信息范围？

【争议点】
求职登记表和入职登记表可收集的信息是否有所不同？入职过程中可以收集婚姻、怀孕及其他身体信息吗？

【合规建议】
1. 简答：用人单位设置的求职登记表和入职登记表收集的信息应当是不同的，求职者（面试阶段）填写的求职登记表内容应限缩在一定范围内。

详解：求职登记表是用人单位在笔试或面试阶段要求求职者填写的登记表，此时尚未确认求职者的入职情况，不应对个人信息作过度的收集。具体来说，应仅收集个人基本信息（包括姓名、生日、性别、民族、国籍、住址、等）和个人教育/工作信息（包括工作经历、教育经历、学历、学位等）。

2. 简答：用人单位经雇员同意后可收集雇员婚姻、怀孕等信息，但雇员隐瞒真实情况的，不得成为辞退雇员的理由。涉及特殊工种，可要求提供上述信息。

详解：《劳动合同法》第八条确认了“用人单位可收集的雇员个人信息”仅限于“与劳动合同直接相关的基本情况”。《劳动合同法实施条例》第八条规定，职工名册应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。但在实际的人力管理活动中，用人单位往往会倾向于收集更细致、更全面的雇员个人信息。

针对婚姻、生育状况等信息是否属于“与劳动合同直接相关的信息”的问题，司法实践中，裁判者一般认为其与劳动合同的履行没有必然关联，属于个人隐私的范畴，不属于“与劳动合同直接相关”的信息。用人单位在没有特殊业务要求的情况下，无权收集此类信息。如2017年，广州中院审理了一起林某离职案。林某在已婚的情况下，入职申请表的婚姻状况栏填写“否”，且在入职申请表中填写承诺“其填写的内容真实无误，若有不实，承诺由用人单位解除劳动关系，并接受公司的处理，不要求任何经济补偿。用人单位据此条款，认定辞退林某无需承担经济补偿责任。经法院审理认为：婚姻情况不是与劳动合同有直接相关的信息，对于此类信息，劳动者即使未如实说明，也不能认定为构成欺诈。

特殊工种的情况指的是用人单位的业务可能使女性应聘者暴露在危险环境下的（如核辐射等），则其应要求女性应聘者提供生育情况。

问题3. 用人单位可以获取的劳动者健康状况/体检信息范围？

【争议点】
用人单位可以获取雇员健康状况吗？用人单位强制要求雇员体检的范围是否有限制，可以进行乙肝表面抗原测试和妊娠测试吗？雇员生理信息过度公开的界定？

【合规建议】
1. 简答：地区规定不同，但基础健康状况在用人单位可获取信息的合理范围内。

详解：根据《上海市劳动合同实施条例》第八条的规定，用人单位在招用劳动者时，有权了解劳动者健康状况、知识技能和工作经历等情况，劳动者应当如实说明。《江苏省劳动合同条例》规定，除与健康情况、知识技能和工作经历等相关信息外，劳动者还应当提供居民身份、学历以及是否负有竞业限制义务等个人信息。与之相反，北京的劳动合同条例并未将劳动者的健康状况列入“与劳动合同直接相关”的个人信息范围之内。虽然各个地区对雇员健康信息收集的规定不同，但基础健康状况在用人单位可获取信息的合理范围内。

2. 简答：用人单位不得强制进行与用工无关的体检项目，除特别规定外，不得进行乙肝表面抗原测试或妊娠测试等可能带有就业歧视的体检项目。

详解：《就业服务与就业管理规定》第十九条规定，用人单位招用人员，除国家法律、行政法规和国务院卫生行政部门规定禁止乙肝病原携带者从事的工作外，不得强行将乙肝病毒血清学指标作为体检标准。根据《人力资源和社会保障部关于切实做好维护乙肝表面抗原携带者入学和就业权利工作有关问题的通知》《关于进一步规范招聘行为促进妇女就业的通知》等通知，用人单位不得进行带有就业歧视的体检项目，如乙肝抗原测试、妊娠测试等。

3. 简答：用人单位应提供措施保护雇员生理信息的隐私权。

详解：雇员体检报告属于个人敏感信息。根据《信息安全技术个人信息安全规范》，用人单位收集此类信息应确保经过员工的“明示同意”，并要注意遵守采用加密等安全措施对个人敏感信息进行存储。用人单位可基于用工需要查看体检报告，但应采取必要措施确保雇员体检报告仅限于单位专职负责此事项的雇员查看。同时，专职雇员负有保密义务。用人单位未采取保护措施或保护措施不当，导致体检结果的知晓范围不正当扩大的，承担相应责任。

问题4 .用人单位对未入职的应聘者简历、体检信息、求职/入职登记表的存储、删除要求？（入职的雇员个人信息存储可见【在职篇】）

【争议点】
未入职的应聘者信息是否应该及时删除？可以出于储备人力的目的存储一段时间吗？

【合规建议】
1. 简答：用人单位人力资源部门需对收集的应聘者个人信息或雇员个人信息进行定期排查，对过期（未入职）个人信息进行删除或匿名化处理。

详解：根据《网络安全法》等四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”《信息安全技术个人信息安全规范》进一步确认了“收集个人信息的最小必要条款”。具体来说，这一原则要求用人单位在确认求职者未成功达成雇佣关系后，应及时删除其个人信息。

2.确有需要存储的，应明确告知应聘者可能会收集、存储在求职期间的个人信息，仅用于人力资源的管理或储备等与雇佣相关的业务，并征得应聘者书面同意。

问题5. 用人单位能否公开求职者的个人信息？

【争议点】
求职者个人信息的知情范围是否应该限缩？其个人信息在单位内可传播范围是否应该限制？

【合规建议】
1. 简答：求职者简历内容属于其个人信息。用人单位可基于人力资源需要查看简历或求职登记表，但应采取必要措施确保仅限于在特定范围内传播前述信息。

详解：日前，杭州的郭女士在面试得到offer后因离家太远放弃。随后，她的个人信息被该公司人力资源岗位的雇员发布在了微信朋友圈。郭女士前往该公司要求用人单位承担责任后，人事当场道歉并确认删除朋友圈。

2.有权查看简历或求职登记表的范围应仅限于人力资源专职雇员及其他确有必要的雇员（如招聘岗位的负责人等），相关雇员负有保密义务。用人单位未采取保护措施或保护措施不当，导致求职者个人信息的知晓范围不正当扩大的，承担相应责任。

问题6. 用人单位是否可以向第三方传输、共享求职雇员的个人信息？（跨境传输内容详见【在职篇】）

【争议点】
用人单位出于档案存储、背景调查或其他目的，向第三方传输求职雇员的个人信息有哪些注意事项？

【合规建议】
简答：用人单位传输求职雇员信息时的注意事项涵盖多个维度。

详解：用人单位在使用人力资源公司的外包服务场景或出于自身存储信息目的的情况下，需要将求职者个人信息提供给第三方。根据《个人信息保护法（草案）》规定，个人信息处理者共同处理个人信息，侵害个人信息权益的,依法承担连带责任。在此场景下，用人单位应主动核实合作伙伴的数据合规能力（技术安全措施及数据保护合规制度），详细审查合作合同，并明确双方关于雇员个人信息保护的权利义务和责任。

结语：

作为合规措施，在处理上述需要征得求职者/入职者同意的情形时，建议用人单位准备单独的格式同意函，明确对个人信息的处理方式、目的、范围，以及阐明各个阶段的需要由求职者/入职者知情同意的事项，在招聘或入职环节请求职者、雇员阅读知悉并由其签字确认。

下一篇指南我们将进入劳动用工中最重要的一环：在职篇。涉及的问题包括“对用人单位配发给雇员的电脑、手机、邮箱进行监控”、“GPS监控雇员位置信息”、“是否需要对雇员信息分级分类存储”、“如何处理雇员敏感信息”等热点问题的解析和建议。