中國大陸《個人信息保護法》（以下簡稱《個保法》）於2021年11月施行，企業應認知「個人信息保護」必須落實到合規經營的地步，才不致有違法之虞。

《個保法》重要內容

一、個人信息

個人信息是以電子或其他方式記錄，與已識別或可識別的自然人有關的各種信息，不包括匿名化處理後的信息。（第4條）進一步參考《民法典》第1034條，所謂個人信息則是以電子或其他方式記錄，能單獨或與其他信息結合，識別特定自然人的各種信息，包括自然人的姓名、出生日期、住址、電話號碼、電子郵箱、身份證件號碼、生物識別信息、健康信息、行蹤信息等。

二、敏感信息

一旦洩露或非法使用，容易導致自然人的人格尊嚴受到侵害或人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等。只有在具特定目的和充分的必要性，採取嚴格保護措施情形下，個人信息處理者方可處理敏感個人信息。（第28條）

三、告知與同意

《個保法》是以「告知＋同意」模式確立個人信息處理程序。

企業在取得個人信息之前，口頭或書面的告知程序是必要的前置動作，且該同意應當由個人在充分知情的前提下自願、明確作出，這是處理個人信息最基本的原則。（第13條第1款第1項、第14條）

四、告知與不需同意

企業為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人資管理所必需，以及為履行法定職責或法定義務所必需時，不需取得個人同意。（第13條第1款第2項、第3項）

換言之，企業以「實施人資管理所必需」的日常管理作業時，只需在充分知情的前提下作出告知，不需取得個人同意。例如企業依法建立的規章制度（員工手冊）、與員工簽訂的勞動合同、與工會簽訂的集體合同、各種協議書（競業限制協議、勞務派遣協議等）。

五、單獨同意或書面同意

企業如果涉及到第23條（提供給第三方個人信息）、第25條（公開員工的信息）、第26條（監控攝影以收集或利用個人信息）、第29條（敏感個人信息），以及第38、39、40條（個人信息跨境傳輸處理）等人資作業時，必須取得個人的單獨同意或者書面同意，否則就是違法。

企業適當處理個資　避免違法

一、招聘面試

企業一般會收集應聘者簡歷、職位申請表等材料，例如應聘者姓名、性別、年齡、聯繫方式、教育經歷、實習經歷以及工作經歷等基本信息是企業執行人資管理作業必須，依法可不需個人同意，員工必須提供。但在各類應聘材料及與應聘者的面試過程中，可能涉及對應聘者敏感個人信息的訊問收集和使用，則要經由個人單獨同意或書面同意。基於「最小範圍」的處理規則，企業僅能收集必要的信息種類，且要充分告知應聘者有關個人信息的處理情況，同時遵守目的限制原則，在需要單獨同意或一般同意的授權範圍內收集及使用個人信息。

二、背景調查

在招聘階段，如因職位需要，企業委託第三方背景調查機構對應聘者進行背景調查時，應充分告知應聘者有關個人信息的處理情況並取得該員工的單獨同意或書面同意；同時企業與被委託的第三方背景調查機構應簽署《委託背景調查協議》，於協議書內增設個人信息處理條款，明確雙方個人信息處理目的、期限、方式、種類、保護措施等權利義務，同時委託企業要對受託方的個人信息處理進行監督。

三、入職體檢

入職體檢可能涉及應徵者的敏感個人信息，企業應當取得應徵者的單獨同意或書面同意，企業與被委託的第三方的醫療機構應簽署《委託體檢協議》，並於協議書內增設個人信息處理條款，明確雙方個人信息處理目的、期限、方式、種類、保護措施等權利義務。

四、入職時建立個人人事檔案

員工入職時要建立人事檔案，填寫《個人人事信息表》。由於個人敏感信息必須經由個人單獨同意，但敏感信息是否涵蓋在不需個人同意的範圍之中，目前法律法規尚不明確，仍需該員工對敏感信息簽署單獨同意或書面同意，以避法律風險。所以從風險防範的角度出發，不論一般或敏感信息，建議經由個人同意以及單獨同意或書面同意之程序，對企業較有保障。

規章與合同加入個人信息保護規定

一、規章制度

企業應於規章制度內建立個人信息保護章節。

企業實施考勤管理作業，要求員工提供定位打卡、人臉或指紋識別等個人信息；員工差旅報銷、審批休假等需要，要求員工提供行蹤軌跡、醫療記錄等個人信息；基於網路安全、監督員工工作、保護商業秘密等目的，對辦公網路、辦公設備的使用情況進行監控等。

以上考勤管理作業，在規章制度內應建立個人信息保護章節，以及個人信息的保護隱私政策（保密制度、分類制度、調用制度、投訴及舉報制度）等章節的建立。

規章制度中還需規範用人單位的個人信息保護職責，設置個人信息保護負責人，以及員工可以行使知情、查閱、複製、更正、刪除個人信息的權利等具體內容。

二、勞動合同

在勞動合同或協議書內建立個人信息條款。

企業需收集與了解應聘者的個人信息，例如年齡、學歷履歷、知識技能以及就業現狀等情況，這些信息是企業建立《勞動合同》必須，且按《個保法》第17條的規定，企業要告知員工收集與利用個人信息的目的、期限、方式、種類，基於實施人資管理的需要，程序上「不需個人同意」，員工在被充分告知的情況下要如實說明。

員工離職時個人信息的處理

員工離職並不表示企業不必再處理員工個人信息。例如勞資雙方簽有《競業限制協議》，當出現離職員工不履行競業限制協議的情形，或者離職員工有工資、加班費等勞動爭議案件，企業仍需使用個人信息。

依據合同文件保存期限確定個人信息保存期限。例如勞動合同文本是保存2年備查，則個人信息保存期限至多也是2年，競業限制的有效期限也是2年。臺商應於2年後再依「保存最短時間」的個人信息處理規則，刪除個人信息。

企業可與員工簽訂《個人信息處理同意書》，設置授權期限，需要涵蓋離職後的一定期限，並且在規章制度中明確離職後個人信息的處理或個人信息刪除的相關規則等。另外，企業如與離職員工簽訂協議書，例如《競業限制協議》，則可在《競業限制協議書》內明確離職員工於競業限制協議期間內提供履約相關個人信息的義務。

跨境傳輸對臺灣母公司的影響與對策

依據《個保法》第38、39條規定，臺商基於「業務等需要」向境外母公司或相關企業傳輸個人信息，按規定應向個人告知境外接收方名稱或姓名、聯繫方式、處理目的、處理方式、個人信息的種類，以及個人向境外接收方行使本法規定權利的方式和程序等事項，應取得個人的單獨同意。同時，應參考中國大陸網信部門制定的標準合同，與境外的母公司或相關企業訂立合同，約定雙方的權利義務。

臺灣母公司或境外接收方作為境外個人信息處理者，要獨立承擔個人信息保護義務，也可能作為處理個人信息的受託人，需採取必要措施保障個人信息安全，並協助委託方（臺商投資的大陸公司）履行個人信息保護義務。

另外，個人信息的跨境傳輸是否涵蓋「不需個人同意」的範圍尚不明確，臺商應與相關員工簽訂《跨境個人信息處理同意書》，以獲得個人信息跨境傳輸的授權。

企業人資管理領域涉及到的程序與內容相當複雜，個人信息處理的細節端賴每個程序進行動態掌握。人資管理各個環節的不同情況，落實《個保法》的規定，以盡保護與利用的義務及責任，確保各個環節的員工個人信息處理合法合規。