答：员工个人信息属于《个人信息保护法》的个人信息范畴。企业处理员工个人信息，受《个人信息保护法》约束。

答：之前劳动法体系没有很好解决劳动者的隐私和个人信息保护问题。《个人信息保护法》出台后，劳动者的说明义务，以及企业对劳动者个人信息的使用，特别是监控，包括通过一些科技手段获取员工入职前后，甚至离职后的个人信息，以实现自身管理或者防范企业风险的目的，可能受到很大的挑战，需要把握好企业经营自主权、劳动者个人信息保护义务之间的平衡。这个有赖于司法实践对《个人信息保护法》在劳动领域的回应，以及企业和律师把握好这些关系的比例和度。稍有不慎，可能就侵犯了劳动者的隐私权、个人信息权益，导致企业受到诉讼维权的困扰，为企业的声誉带来污点。

答：最高人民检察院2021年8月发布了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检查工作的通知》，里面提到对于就业等重点领域处理的个人信息，以及处理100万以上的大规模个人信息应当重点保护。为此，需要关注未来在员工个人信息处理上，可能会受到人民检察院在公益诉讼方面的重点关注。

答：《个人信息保护法》第四条有明确定义，第四条第一款规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

这个问题核心需要关注我们是在一个企业的语境下谈员工个人信息，企业在做内部员工个人信息保护工作的时候，需要注意做好对这块的划分。形式上电子和非电子的员工个人信息都包括在里面，经过匿名化的员工个人信息除外。

《个人信息保护法》第二十八条第一款，明确了敏感个人信息的定义，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

答：这个问题和个人信息的识别是一致的，只是增加了特定对象（员工）及特定场景（不同工作和非工作场景）。我们建议企业在做数据合规时，就应该在数据盘点过程中，把员工个人信息作为盘点对象。这是其一。其二，要通过部门访谈和清单的方式，快速收集到和员工个人信息有关的字段。其三，结合不同员工的身份，以及工作场景，在上述清单中进行分门别类，方便企业填写。例如全职员工、实习生、派驻人员、访客、灵活用工人员，在投递简历、背调、入职、考勤、离职等等场景下，会需要收集和使用哪些员工个人信息。

实务中，员工个人信息合规不仅仅是人力资源部的事情，可能涉及业务部、法务部、合规部等。因为员工个人信息收集、使用的场景非常多。人力资源部无法全面覆盖。例如一些基金公司的员工个人信息可能会在业务部层面对外提供使用，人力资源部无法覆盖业务场景下的员工个人信息流转。

为此，具体员工个人信息的合规如果希望全覆盖，就要组建牵头部门，完成员工个人信息场景和流转的全覆盖。当然实务中，也可以考虑以人力资源部来切入，涉及其他部门的，可以进行协调合作完成。

答：这个问题在员工个人信息保护纠纷中比较常见。我们看到的很多案例，员工会以隐私受到侵犯为由进行抗辩。而《个人信息保护法》的出台，为员工与企业进行抗辩提供了新的抓手，即个人信息权益的保护。隐私权和个人敏感信息有重合，也有差别。举例，身份证信息属于敏感个人信息，但是不属于私密信息。

隐私权的客体是个人不愿为人知晓的私密信息，其保护手段主要是通过民法典中隐私权保护的规则进行，其主要是以防卫为主；而个人敏感信息的保护采取了积极的方式，主要是通过《个人信息保护法》以及民法典的个人信息权益的规则进行保护，其赋予了员工非常多的个人信息权益工具性权利，如删除权，复制权、可携权等。

未来在企业管理员工的不同场景下，如处理其个人信息不当，可能员工会分别以隐私和个人信息受到侵犯，主张自己的权益，企业面临多重挑战。区分员工个人敏感信息和隐私的范围，有利于企业做好对应的制度文本和管理策略，满足法律上的不同要求。

答：建议企业在完成内部数据盘点和分类分级工作中，将员工个人信息的分类分级一起考虑进去。员工个人信息的个人信息处理者也是用人单位，往往与企业消费者或者C端的个人信息的个人信息处理者是同一个主体。通过分类分级后，相关的保护策略是存在一致性的。例如员工的人脸信息和消费者的人脸信息，在使用和存储策略上，就存在一致性。

答：招聘阶段一般会收集大量的与该候选人个人及工作相关的信息，包括联系电话、婚姻状态、体检、心理测试、信用信息、犯罪记录、背景调查后的信息等。因为用人单位还未与候选人形成劳动关系，为此还不能通过规章制度进行约束。因此在招聘阶段，应该特别注意简历等个人信息收集渠道的合法性，并注意履行“告知-同意”的合规动作。

对于招聘供应商的尽调，需要关注目前他们的商业模式，评估其收集、使用候选人信息的合法性问题。重点关注其是否具备相关资质（网络招聘中介机构需要取得业务许可资质）；是否制订了平台服务协议和服务规则、网络招聘服务用户信息保护制度、隐私政策；有无受到网信办等监管单位的处罚、目前整改进度以及是否存在严重违反红线的情形，避免受到波及。

用人单位一般在和第三方渠道签署的服务协议中，应明确要求其承诺保证数据安全、数据采集合法性的条款，但是仅仅签署类似承诺仍然不足够，建议要按照上述尽调流程，了解其简历采集的流程，避免构成共同处理个人信息，从而承担连带责任的风险。

答：可能涉及收集候选人的个人隐私或者与应聘岗位无关的个人信息，或者对面试过程进行录音录像，违反了必要性原则，甚至存在就业歧视等违反劳动法的问题。为此建议用人单位应该规范自身笔试题库、面试题库，谨慎进行录音录像，对于面试者也要做好个人信息保护法的培训工作。同时，在笔试、面试开始前，应向候选人进行充分告知，获得其同意后，再进行答题。

答：用人单位可能通过第三方渠道或者自身发布岗位需求，并要求候选人填写相关个人信息。用人单位及其第三方渠道（主要是网络招聘中介机构）应结合岗位和特定用途，收集必要信息。例如：

（1）基于用户注册，实名认证，收集候选人的手机号码；
（2）基于招聘单位识别求职者、岗位需求匹配、与候选人联系的目的，收集候选人的姓名、年龄、性别、健康状况、电子邮箱、求职意向；
（3）基于候选人简历和招聘单位是否匹配，收集候选人的学校、学历、专业、毕业时间、受教育情况、历史上的就业信息；
（4）基于候选人身份认证，收集候选人的身份证号码。

上述是收集候选人个人信息时，结合岗位情况，需要考虑的个人信息的必要范围。

除此以外，按照《个人信息保护法》要求，还要履行告知、同意的义务。如果涉及敏感个人信息，还需要候选人的单独同意。例如人脸信息等。

如果通过第三方平台获得候选人简历的，建议用人单位与第三方平台公司签署协议，明确要求第三方平台向用人单位提供简历需经过求职者同意，同时约定如发生争议，应由第三方公司负责处理并承担相应的责任，以降低用人单位的自身风险。

答：参考《网络招聘服务管理规定》第二十六条的规定，以网络招聘服务平台方式从事网络招聘服务的人力资源服务机构应当记录、保存平台上发布的招聘信息、服务信息，并确保信息的完整性、保密性、可用性。招聘信息、服务信息保存时间自服务完成之日起不少于3年。

如果是网络招聘服务中介机构，则自服务完成之日起不少于3年。但如果是用人单位，原则上如果不再录取该候选人，就应该删除其个人信息，或进行匿名化处理，满足个保法存储最小必要原则。

答：考虑到录用通知书中会涉及员工入职时间、岗位，特别是薪酬待遇，涉及员工个人敏感信息。为了避免泄露，建议对邮件附件采取加密或者设置密码的方式，避免泄露。如发出纸质通知，也建议快递必需是员工亲自签收，快递单上不要披露详细录取通知书的内容，避免泄露。

答：用人单位在开展候选人背景调查过程中，因涉及简历以外大量的个人信息收集，需要其签署授权同意书或单独同意。特别是将候选人个人信息对外提供或者委托第三方背调公司进行处理时，则很可能涉及侵犯候选人个人信息权益、甚至隐私权的风险。

为此，一些背调公司或者招聘单位会提前和候选人沟通确认，获得过往用人单位联络人的电话，并让候选人与过往用人单位联络人确认背调公司会打电话的时间范围，取得之前用人单位联络人的认可，背调公司再与其过往的用人单位联络人进行联络，了解其个人的性格、工作情况，以便更好判断其是否适合在新单位工作。

至于网络招聘中介机构在对外提供候选人信息给用人单位或者委托背调公司开展背调服务时，需要特别关注候选人在网络招聘中介机构的授权情况，以及是否触发需要“单独同意”（如对外提供），或者无需再次获得同意（如委托处理、基于订立、履行合同所必要的合法性基础）的情形。

答：对“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必 需”这一条款的解读存在不同的观点。

部分人士认为，从文义解释的角度而言，前述条款的“和”字代表需要同时满足“按照依法制定的劳动规章制度”及“依法签订的集体合同”才可依据人力资源所必需而处理员工个人信息。但是实践中相当一部分企业并未设置工会也未签订集体合同，即使设置了工会，也只有一部分签署了集体合同。

部分专家学者认为，只需要符合“按照依法制定的劳动规章制度”或“依法签订的集体合同”其中一个条件，即可依据人力资源所必需而处理员工个人信息。

综上，与员工签署一般的劳动合同（非集体合同）并依法制定的劳动规章制度对员工个人信息实施管理，已足以保障员工的合法权益。后一解读观点可能更符合《个人信息保护法》的立法初衷。

除此以外，什么是所谓“实施人力资源管理所必需”？这一条存在较大不确定性，未来将面临司法审查。“…也不是所有出于人力资源管理工作的需要都意味着可以不取得个人的同意就处理个人信息，只有在按照依法制定的劳动规章制度和依法签订的集体合同而实施的人力资源管理中必须处理个人信息的情形中，才可以不取得个人同意而处理个人信息。这样就排除了企业依据自身制定的不合理的劳动规章制度而以实施人力资源管理所必需为由处理职工的个人信息，也防止了企业随意扩大解释人力资源管理的范围任意处理职工的个人信息[1]。”“用人单位不能随意以人力资源管理所必需而对其处理个人信息的行为主张免责[2]。”

为此，如果存在不确定性风险，建议用人单位仍然要求员工签署授权同意个人信息处理的《授权书》等法律文件。同时建议用人单位应通过民主程序依法制定涉及个人信息保护的相关制度条款，明确个人信息范围、使用目的、处理规则等，以避免事后缺失处理个人信息的处理依据。

答：不可以强制。建议提供可替代方案，或者在充分告知的前提下，提供单独授权同意书。此外，如处理员工个人敏感信息，还需要提前完成个人信息安全影响评估。

此外，如果以某些员工作为用人单位的形象代言人，需要提前获得员工在肖像、个人信息上的同意。如果劳动合同等文件不能覆盖，还需要与该员工单独签署授权文件。

答：用人单位要结合不同场景、不同合法性基础，配置对应的制度、文本。其中可准备统一的个人信息授权处理文件，同时敏感个人信息的处理，原则上应该通过单独同意授权书解决。在员工手册/员工个人信息保护制度中，也应该增加不同场景下员工个人信息的处理活动。在劳动合同、保密及竞业限制协议等相关劳动法文本中，也应考虑增加相关员工个人信息保护、处理的条款。

建议用人单位在起草员工的同意授权函时，可考虑包含如下内容：

（1）员工授权单位使用个人信息的范畴（如管理需要，可以罗列包含员工个人身份信息、银行信息、指纹信息等敏感信息）；
（2）明确许可用人单位可以通过何种方式搜集信息；
（3）授权用人单位可以如何处理员工的个人信息，包括日常管理和紧急情况等不同场景下用人单位可以使用员工个人信息的范畴；
（4）员工个人信息跨境传输的特别规则；
（5）用人单位存储个人信息的期限。

答：这个问题比较普遍。如要实施合规的监督监控，需要基于两个不同的合法性基础。一个是基于人力资源管理所必要，可能会受到比较大的挑战，除非在特殊岗位上，如一些金融机构的风控岗位或者基于掌握内幕信息的人员；一个是有无充分告知并获得员工同意，并且将个人信息与公司信息进行规定及区分，部分研发部门或者掌握企业商业秘密的部门，其电脑、手机可能都会有大量敏感信息，需要对其电脑、手机进行监控。通过充分告知，并经过员工同意，确定个人信息与公司信息的分界，未来在调查案件过程中，才能有的放矢。

针对一些特定行业，可能涉及采集员工的行踪轨迹信息，如快递行业、外卖行业。但是企业也应对于查阅员工行踪信息进行权限管理，避免内部员工可以随意查阅其他员工的行踪轨迹信息，可能涉嫌侵害他人隐私。

答：如公开一些员工的考评结果，特别是重大处罚记录及其原因，可能会涉及员工隐私，在对外披露时，需要提前注意进行脱敏。

答：用人单位往往通过本地化存储或者采购云服务的方式，存在公有云或者私有云上。用人单位应注意备份、灾备，对于云服务商做好尽职调查。用人单位如果是CIIO，可能还需要对云服务进行安全评估。如涉及在境外存储员工个人信息的，需要注意符合个人信息出境的法律合规要求。

此外，企业人力资源部一般会建立专门的档案室或者档案库，对企业业务的客户信息、离职的员工个人信息及其相关档案进行保存。具体可以参考《档案法》的要求完善自身档案管理制度，加强信息化建设。

答：这种场景下，涉及对外提供员工的劳动报酬支付情况、社保缴纳情况、劳动力资格与安全情况。需要与第三方约定双方权利义务，并进行定期监督。否则可能面临共同处理个人信息情形下的连带责任赔偿风险。

答：需要完成PIA的情形具体场景举例：

（1）处理敏感个人信息；

设置人脸识别、指纹打卡考勤机器

（2）利用个人信息进行自动化决策；

可能与第三方网络招聘服务中介机构或者与云服务商合作，针对候选人进行简历的匹配；或者对员工的考评、升职进行AI评估；或者通过自动化决策对员工进行辞退；或者企业采购人力系统，对适合自身的员工进行画像，并对候选人进行自动化决策，均涉及需要提前做好PIA以及满足《个人信息保护法》的相关“告知-同意”等合法性要求。

（3）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

在团建场景下，为员工订立酒店、机票等；向集团内其他关联公司提供员工个人信息；委托三方培训机构或者律师事务所对员工进行培训；投融资或者招投标场景下，对律所、会计师事务所、招标机构提供员工个人信息。

（4）向境外提供个人信息。

企业总部为完成招聘、公司内部人力资源管理等工作，需要上传境外员工或者候选人个人信息至总部进行统一管理；为便于内部文档共享和管理，企业通常建立全球文档管理平台，对企业内部文档进行整合；跨国公司为全球统一管理向境外总部传输员工个人信息；跨国企业将人力资源管理的IT系统的服务器设置在境外，或者服务器设置在境内但为境外总部提供访问入口。

（备注：境外含港澳台。）

PIA的开展，建议嵌入到公司OA系统中。通过设置上述场景，由业务部门或者其他相关部门进行发起，输入相关字段和PIA需要的信息，并由技术部和法务部进行评估审核，发表意见，并最终形成报告，由个人信息安全负责人签字确认，并做好时间戳留痕。实务中，需要线上和线下交流，确保该流程能够高效推进。具体可以参考《个人信息安全影响评估指南》（GB/T 39335-2020）。

答：需要结合集团内部的系统架构和存储服务器的情况进行分析。可能存在不同子公司和母公司，均独立存在服务器，存储员工个人信息，具体员工个人信息的查阅有权限划分，不能完全想当然即打通；也可能存在第三方软件公司（可能是关联方也可能是非关联方）开发员工个人信息系统，由其他关联公司委托该软件公司进行存储和受托管理，因此集团内部的所有员工个人信息均存储在第三方软件公司的服务器上。具体共享方案，还需要结合公司内部的系统部署进行论证。

答：《个人信息保护法》生效后，跨国公司在满足如下要求的情况时，方可向境外总部提供中国员工的个人信息：（1）境内公司应就向境外提供员工个人信息事宜，取得员工本人的单独同意；（2）境内公司需与境外公司签署包含个人信息处理的相关协议文件；（3）根据法律法规完成个人信息安全影响评估（PIA）等。

答：实务中，病情证明，除了员工提供病假单，可能还需要把病历卡给公司。公司需要了解员工去了哪些医院、公司还要员工提供挂号单、检测报告，才最终批准或事后核实员工的病假。这些需要在规章制度中进行明确规定，并且需要重新评估其人力资源管理所必需或者收集这些个人信息是否过多，对于超出必要性范围的信息，则不再收集。

答：例如，员工离职后不交出企业工作微信号，导致企业无法使用该工作微信号。为此需要提前列全离职交接清单，避免离职后，再索要存在难度。再如，公司将写明员工身份证号等个人信息的解雇通知书贴于信封外进行快递送达，或者将员工的违纪行为向外界通报，可能涉及侵害员工的隐私权、名誉权。相关案例法院支持了侵犯隐私权的诉讼请求。对于公开员工个人信息的情形，需要做好内部的脱敏安排。

答：需要结合行业情况及法律规定进行分析。例如法律规定用人单位需保存工资支付记录等信息两年进行备查，并且还可能需要应对离职员工的劳动诉讼。对于行业情况，基金行业，存储的员工个人信息档案，一般要存储20年。对于离职后的员工个人信息，应该专门存储，不应随意调用和查阅、使用。

答：依据公司内部规章制度，公司通过内部审计、自行发现线索、内部或者外部举报，启动内部调查。

内部调查事项涉及利益冲突、利益输送、商业贿赂、提供虚假材料、虚假陈述、虚假病假/病例卡、违纪事项、员工竞业限制义务的履行等。

答：例如：

（1）公开途径收集信息。例如从第三方平台查看其教育和工作经历；在裁判文书网查看涉诉情况；在社交网络平台查看员工位置信息。
（2）查看员工入职时及在职期间向公司提交的资料。例如，个人简历信息、相关证明材料。
（3）收集员工在职期间的工作记录。例如，查看员工的工作手机、工作邮箱、工作电脑等。
（4）从相关方了解。例如，询问举报人、客户、供应商或者其他知情人，请相关方提供与被调查人的私人沟通记录等。
（5）调查过程中要求员工提供。例如，对员工进行访谈，要求员工提供私人手机、微信聊天记录，要求员工提供病假期间的出行记录等。
（6）监控录音、录像。例如，对员工开展调查的全过程进行录音、录像。
（7）其他方式。例如，对员工进行跟踪的法律问题。

答：首先是电脑和手机是不是企业提供的；其次是公司内部有无公示的制度或者说明，明确充分告知员工；再次是在员工入职前或者在职期间，提前获得了其同意，最后就是在具体调查过程中，调查小组的独立性和保密性，以及其查阅相关信息的必要性，避免扩大化。

实务中，有法院认为，公司在办公电脑中安装超级眼电脑监控软件，目的是为了便于工作，是企业自我管理行为，其目的是正当的，不具有窥探员工个人隐私的主观故意。但在另一个案件中，公司超出员工同意的范围，查看了员工手机全部内容，并将其导出。法院认为该公司侵犯了员工私人微信对话记录，属于侵犯员工隐私权的行为。

为此，对于员工的个人微信是否属于个人隐私，需要结合使用微信的具体场景进行判断，不可一概而论。

答：此项理由是否能够成立，我们建议仍需要根据处理个人信息的“合法、正当、必要和诚信原则”来进行判断，超出必要范围处理个人信息的行为无法取得合法性基础。

此外，还需注意的是，该等处理个人信息的合法性基础应当是以相关劳动规章制度以及集体合同为依据，若企业缺失该等劳动规章制度或集体合同，则仍可能无法豁免取得员工对处理其个人信息的同意。

答：《刑事诉讼法》规定“任何单位和个人发现有犯罪事实或者犯罪嫌疑人，有权利也有义务向公安机关、人民检察院或者人民法院报案或者举报”。因此在企业对犯罪事实或者犯罪嫌疑人进行举报的情况下，处理个人信息可能将被豁免取得个人的同意。但如果企业在调查后发现不存在犯罪事实，或在调查后不进行举报，我们认为难以依据“履行法定义务”的理由豁免取得员工对处理其个人信息的同意。

答：企业内部调查中经常会聘用外部律师、审计团队、法证技术团队处理个人信息，或向该等机构与母公司提供员工个人信息。根据相关法律法规规定，向第三方提供员工个人信息的，应当取得员工单独同意，并披露第三方身份；委托第三方处理员工个人信息的，应当事先进行个人信息安全影响评估。

但现实中诸多调查是在员工不知情的情况下进行，若采取“告知-同意”这一路径取得处理员工个人信息的合法性基础，显然无法实现调查目的。因此我们建议企业应当事先建立有效的劳动规章制度，明确将企业内部合法的调查行为作为豁免取得个人同意的事项之一，同时严格限制处理个人信息的范围。而在员工访谈环节，应当尽可能取得员工对向第三方提供其个人信息的单独同意。

此外，建议企业事先对委托该等类型的第三方处理员工个人信息进行个人信息安全影响评估，以免未来在进行调查时没有足够的时间完成该等评估，影响调查进度。

答：根据相关法律法规要求，向境外提供员工个人信息的，应当取得员工的单独同意，并向其披露境外信息接收方的身份，还需要事先进行个人信息安全影响评估，甚至需要向网信部门申报个人信息出境安全评估。

在跨国企业内部调查中，往往首先需要向境外母公司提交调查，我们认为尽管跨国企业集团对全球人力资源进行统一管理在商业上有其合理性，但却难以突破劳动合同的相对性，因此向境外母公司提供境内员工个人信息的合理性值得公司进行认真评估。确需向境外提供员工个人信息的，若无法对该等信息进行匿名化处理，则“告知-同意-披露-评估”这一套流程将成为处理个人信息的必要前提。

此外，若向境外执法机关或司法机关提供员工个人信息的，可能还需取得中国主管机关的批准。

答：设备所有权归属于公司，并不当然意味着公司在任何情况下均可以毫无顾忌地处理其中包含的任何员工个人信息。尤其在未取得员工同意，或涉及到处理员工隐私的情况下，公司应当更为慎重。

我们建议公司处理该等设备中的个人信息时，应当严格限制数据的处理范围，并事先通过详细的规章制度向员工声明公司设备的使用目的、公司权利，以及公司可能对该等设备采取的行为，在派发设备时便取得员工的同意。

答：一般可以放到员工手册中，也可以单独制订员工个人信息保护制度。按照劳动法的规定，应该经过与全体员工或工会的讨论等民主程序，并且向员工进行公示和送达。实务中，很多企业的员工手册没有完成上述流程，无法发生法律效力，导致无法满足员工个人信息管理的合法性基础。

答：按照《个人信息保护法》，包括复制权、查阅权、更正权、删除权、可携权、逝者近亲属个人信息权益等。考虑到行业特殊性，以及可能是基于订立、履行合同所必要、或者是基于人力资源管理所必要，上述权益的响应，可能也会面临用人单位的合法抗辩。

答：加强员工个人信息保护的理念，特别是对处理员工信息的关键岗位人员开展培训，是落实上述员工个人信息保护各个环节和生命周期的关键。企业开展培训、定期考试，将培训考试纳入员工KPI考核中，对于提高企业的整体个人信息安全至关重要。

建议企业人力资源部门做好培训规划和考核的频率、做好考题设置，针对每次培训、考试都要做好留痕、记录，以满足《个人信息保护法》的相关要求。

答：此问题不能一概而论，总体上来讲，如果在公共场所拍摄到员工进出竞争公司的视频、图片，应不会排除出合法证据的范畴。但如涉及到员工特定时间段的完整行动轨迹（例如从家到单位的完整轨迹），此属于敏感个人信息范畴，没有员工的同意而进行举证使用的，可能因涉嫌违法而认定无效。此外，如果所拍摄视频和照片场所属于私密空间（如员工的住宅），此也涉嫌侵犯员工隐私而可能不被采信。

答：对于在企业以外的范围披露的，可能会被认定为超出必要的合理范围，从而被认定为侵犯员工隐私或名誉权，建议避免；对于在企业范围内披露的，应注意披露的内容，是否涉及员工个人隐私或者涉及员工个人敏感信息，必要时采取匿名化处理。否则，企业将面临侵犯员工隐私、个人信息权益的风险。应注意提前做好PIA。

答：企业将员工个人信息向公安、行业监管、社保局提供，很大概率是基于其履行法定职责或者法定义务所必需，或者基于应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。实务中，需要企业判断第三方的法定职责是什么，其获取员工个人信息的必要性是否存在；以及判断是否为公共卫生事件，是否属于紧急情况下为保护自然人的生命健康、财产安全所必需。

企业将员工个人信息提供给投资机构，可能是基于企业融资的需要，需要与投资机构签署保密协议，并做好员工个人信息的脱敏，在满足尽调基础上开展，主要是委托处理的关系。如融资成功，未来投资方可以以股东身份定期通过股东会、董事会了解员工个人信息的情况（限于知情权的必要范围）；如融资不成功，投资方应删除企业提供的员工个人信息。

企业将员工个人信息提供给媒体，一般需要获得员工单独同意。否则，可能超出了人力资源管理所必需的限度。

答：招聘环节中，通过网络爬虫或第三方间接获得候选人简历；在职期间，对员工实施监控；开展反腐败等调查活动时，对员工开展搜查的行为；将员工个人信息对外提供，如旅行社、第三方服务商等。离职后，将员工违纪行为披露给外界或民间信用机构。

答：对于在企业以外的范围披露的，可能会被认定为超出必要的合理范围，从而被认定为侵犯员工隐私或名誉权，建议避免；对于在企业范围内披露的，应注意披露的内容，是否涉及员工个人隐私或者涉及员工个人敏感信息，必要时采取匿名化处理。否则，企业将面临侵犯员工隐私、个人信息权益的风险。应注意提前做好PIA。

答：企业将员工个人信息向公安、行业监管、社保局提供，很大概率是基于其履行法定职责或者法定义务所必需，或者基于应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需。实务中，需要企业判断第三方的法定职责是什么，其获取员工个人信息的必要性是否存在；以及判断是否为公共卫生事件，是否属于紧急情况下为保护自然人的生命健康、财产安全所必需。

企业将员工个人信息提供给投资机构，可能是基于企业融资的需要，需要与投资机构签署保密协议，并做好员工个人信息的脱敏，在满足尽调基础上开展，主要是委托处理的关系。如融资成功，未来投资方可以以股东身份定期通过股东会、董事会了解员工个人信息的情况（限于知情权的必要范围）；如融资不成功，投资方应删除企业提供的员工个人信息。

企业将员工个人信息提供给媒体，一般需要获得员工单独同意。否则，可能超出了人力资源管理所必需的限度。

答：招聘环节中，通过网络爬虫或第三方间接获得候选人简历；在职期间，对员工实施监控；开展反腐败等调查活动时，对员工开展搜查的行为；将员工个人信息对外提供，如旅行社、第三方服务商等。离职后，将员工违纪行为披露给外界或民间信用机构。