现行基准: 《个人信息保护法》+ 《劳动法》+《劳动合同法》
个人信息保护与劳动管理权交叉
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:数据分类分级 | 劳动合同解除 | 劳动者权益保护
核心法条
- 《个人信息保护法》第 13 条:用人单位按照依法制定的劳动规章制度和集体合同实施人力资源管理必需处理员工个人信息的,无需单独同意 [现行有效]
- 《个人信息保护法》第 28 条:生物识别、宗教信仰、特定身份信息等为敏感个人信息 [现行有效]
- 《个人信息保护法》第 29 条:处理敏感个人信息需取得单独同意,法律另有规定除外 [现行有效]
- 《个人信息保护法》第 4 条第 2 款:自然人因劳动管理关系处理个人信息,适用本法 [现行有效]
- 《劳动合同法》第 8 条:用人单位招用劳动者有权了解基本情况,劳动者应当如实说明 [现行有效]
- 《劳动合同法》第 39 条第(二)项:严重违反用人单位规章制度的,用人单位可以解除劳动合同 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2021-11-01 | 《个人信息保护法》施行,明确"实施人力资源管理必需"豁免同意 | 《个人信息保护法》第 13 条第 1 款第(二)项 [现行有效] |
| 2023-08-03 | 网信办发布《个人信息出境标准合同办法》等配套规定 | 网信办规定 [现行有效] |
一、劳动关系中个人信息的特殊性
1.1 个人信息保护与劳动管理权的张力
劳动关系具有天然的权力不对等特征,用人单位的管理权与劳动者的个人信息保护权之间存在结构性张力:
- 用人单位主张:基于用工管理、安全保障、绩效考核等需要,有权收集和处理劳动者个人信息
- 劳动者主张:个人信息受法律严格保护,不应因建立劳动关系而丧失自主控制权
《个人信息保护法》通过"人力资源管理必需"豁免同意规则回应了这一张力,但同时保留了"必需"边界的限制。
1.2 "人力资源管理必需"的范围
"必需"是指实现人力资源管理目的所不可缺少的,而非"有管理关系就什么都可以处理"。判断标准包括:
- 目的正当性:处理目的是否为了合法的用工管理目标
- 最小必要性:处理方式是否为达到目的的最小侵害手段
- 范围合理性:收集的信息种类、数量是否与人力资源管理直接相关
- 程序正当性:是否有合法的规章制度依据并经民主程序制定
二、劳动关系中常见的个人信息处理场景
2.1 招聘环节
| 个人信息类型 | 合法性分析 | 注意事项 |
|---|---|---|
| 教育背景、工作经历 | 合法,属人力资源管理必需 | 核实即可,不应过度收集 |
| 家庭成员信息 | 合法性存疑 | 除非与岗位利益冲突审查有关,否则超出必需范围 |
| 婚育计划询问 | 违法 | 涉嫌就业歧视和侵犯隐私 |
| 健康检查 | 有条件的合法 | 与工作相关的健康信息,不应涉及无关医疗信息 |
2.2 在职期间
| 场景 | 合法性分析 | 核心争议 |
|---|---|---|
| 工作手机/电脑监控 | 有条件的合法 | 需事先告知、限定于工作时间与工作设备 |
| 上下班打卡与定位 | 基本合法 | 定位时间应限于工作期间,下班后不应追踪 |
| 工作场所视频监控 | 有条件的合法 | 不应覆盖更衣室、卫生间等私人空间 |
| 社交媒体行为审查 | 争议极大 | 工作时间外和私人账号不属于单位管理范围 |
| 生物识别(指纹、人脸打卡) | 属敏感个人信息 | 需单独同意,且有替代方案 |
| 员工背景调查 | 部分合法 | 在职期间的背景调查比入职前审查门槛更高 |
2.3 离职环节
| 场景 | 问题 |
|---|---|
| 个人信息留存与删除 | 员工有权要求离职后删除个人信息,但用人单位可基于劳动纠纷举证需要保留 |
| 竞业限制中的个人数据收集 | 竞业限制期间收集前员工信息,需有合法依据,不适用"人力资源管理必需"豁免 |
三、"必需"边界的裁判标准
3.1 判断"必需"的司法方法
实务中判断用人单位是否超出"人力资源管理必需"范围,通常从以下维度审查:
- 是否存在明确的规章制度依据:规章制度应经过民主程序制定并向劳动者公示
- 是否履行告知义务:应向劳动者告知处理目的、方式和个人信息种类
- 是否提供拒绝渠道:敏感个人信息处理应提供书面同意/拒绝机制
- 是否最小化处理:收集的信息不应超出实现管理目的的必要范围
3.2 典型违法情形
以下情形通常被认定为超出"人力资源管理必需"范围:
- 收集与岗位无关的个人信息:婚育状况、家庭成员详细信息、个人征信记录等
- 非工作时间监控:下班后、休假日对个人手机进行定位追踪
- 强制收集个人社交媒体账号和密码:超出管理权边界
- 未经同意的生物识别信息采集:指纹、人脸、步态等敏感信息
- 强制公开个人隐私:要求员工在内部系统中公开个人联系方式等
- 以拒绝提供个人信息为由拒绝录用或辞退:除非信息确属岗位必需
四、违法处理的法律后果
4.1 行政责任
根据《个人信息保护法》第 66 条:
- 一般违法:责令改正、警告、没收违法所得、责令暂停或终止处理活动
- 情节严重:处 5,000 万元以下或上一年度营业额 5% 以下的罚款
- 直接责任人员:处 10 万元至 100 万元罚款,禁止担任董监高
4.2 民事责任
劳动者有权就个人信息违法处理提起民事诉讼:
- 要求停止侵害、排除妨碍、消除影响
- 要求赔偿损失(包括精神损害赔偿)
- 举证责任倒置:处理者证明其无过错的,不承担赔偿责任
4.3 劳动法后果
用人单位超出"人力资源管必需"范围收集和处理个人信息,劳动者可以:
- 依据《劳动合同法》第 38 条第(四)项——"用人单位的规章制度违反法律、法规的规定,损害劳动者权益的",单方解除劳动合同并要求经济补偿
- 对据此作出的纪律处分或辞退决定提起劳动争议,仲裁机构/法院可认定用人单位行为违法
五、敏感个人信息的特殊规则
《个人信息保护法》对"实施人力资源管理必需"的豁免不适用于敏感个人信息:
| 敏感个人信息类型 | 劳动法场景 | 处理要求 |
|---|---|---|
| 生物识别信息 | 指纹打卡、人脸识别 | 必须取得单独同意 |
| 医疗健康信息 | 年度体检、病假 | 需单独同意,且限于与工作相关部分 |
| 宗教信仰信息 | 少数民族员工 | 原则上不应收集 |
| 金融账户信息 | 工资卡号 | 属人力资源管理必需,但不应收集无关金融信息 |
六、企业合规建议
6.1 制度建设
- 制定专门的《员工个人信息保护制度》,明确信息收集范围、方式和保存期限
- 规章制度应经职工代表大会或全体职工讨论(《劳动合同法》第 4 条民主程序)
- 向劳动者出具个人信息处理告知书
6.2 实操要点
- 最小化收集:仅收集与岗位直接相关的信息
- 分类处理:区分一般个人信息和敏感个人信息
- 明确期限:离职后及时删除或匿名化处理
- 安全保护:采取技术和管理措施保护个人信息安全
- 替代方案:对敏感信息处理(如生物识别)应提供替代方案
6.3 竞业限制与个人信息保护的交叉
竞业限制期间的信息收集存在灰色地带:
- 原用人单位是否有权在竞业限制期内定期收集前员工的社保缴纳记录、新任职单位信息?
- 实务倾向:基于竞业限制协议的约定和合同履行的必要性,可以收集,但不应超出验证竞业限制履行所需的范围
知识库原始资料索引
法律法规
- 《中华人民共和国个人信息保护法》
- 《中华人民共和国劳动合同法》