中国大陆《个人信息保护法》（以下简称《个保法》）于2021年11月施行，企业应认知「个人信息保护」必须落实到合规经营的地步，才不致有违法之虞。

《个保法》重要内容

一、个人信息

个人信息是以电子或其他方式记录，与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（第4条）进一步参考《民法典》第1034条，所谓个人信息则是以电子或其他方式记录，能单独或与其他信息结合，识别特定自然人的各种信息，包括自然人的姓名、出生日期、住址、电话号码、电子邮箱、身份证件号码、生物识别信息、健康信息、行踪信息等。

二、敏感信息

一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融帐户、行踪轨迹等。只有在具特定目的和充分的必要性，采取严格保护措施情形下，个人信息处理者方可处理敏感个人信息。（第28条）

三、告知与同意

《个保法》是以「告知＋同意」模式确立个人信息处理程序。

企业在取得个人信息之前，口头或书面的告知程序是必要的前置动作，且该同意应当由个人在充分知情的前提下自愿、明确作出，这是处理个人信息最基本的原则。（第13条第1款第1项、第14条）

四、告知与不需同意

企业为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人资管理所必需，以及为履行法定职责或法定义务所必需时，不需取得个人同意。（第13条第1款第2项、第3项）

换言之，企业以「实施人资管理所必需」的日常管理作业时，只需在充分知情的前提下作出告知，不需取得个人同意。例如企业依法建立的规章制度（员工手册）、与员工签订的劳动合同、与工会签订的集体合同、各种协议书（竞业限制协议、劳务派遣协议等）。

五、单独同意或书面同意

企业如果涉及到第23条（提供给第三方个人信息）、第25条（公开员工的信息）、第26条（监控摄影以收集或利用个人信息）、第29条（敏感个人信息），以及第38、39、40条（个人信息跨境传输处理）等人资作业时，必须取得个人的单独同意或者书面同意，否则就是违法。

企业适当处理个资　避免违法

一、招聘面试

企业一般会收集应聘者简历、职位申请表等材料，例如应聘者姓名、性别、年龄、联系方式、教育经历、实习经历以及工作经历等基本信息是企业执行人资管理作业必须，依法可不需个人同意，员工必须提供。但在各类应聘材料及与应聘者的面试过程中，可能涉及对应聘者敏感个人信息的讯问收集和使用，则要经由个人单独同意或书面同意。基于「最小范围」的处理规则，企业仅能收集必要的信息种类，且要充分告知应聘者有关个人信息的处理情况，同时遵守目的限制原则，在需要单独同意或一般同意的授权范围内收集及使用个人信息。

二、背景调查

在招聘阶段，如因职位需要，企业委托第三方背景调查机构对应聘者进行背景调查时，应充分告知应聘者有关个人信息的处理情况并取得该员工的单独同意或书面同意；同时企业与被委托的第三方背景调查机构应签署《委托背景调查协议》，于协议书内增设个人信息处理条款，明确双方个人信息处理目的、期限、方式、种类、保护措施等权利义务，同时委托企业要对受托方的个人信息处理进行监督。

三、入职体检

入职体检可能涉及应征者的敏感个人信息，企业应当取得应征者的单独同意或书面同意，企业与被委托的第三方的医疗机构应签署《委托体检协议》，并于协议书内增设个人信息处理条款，明确双方个人信息处理目的、期限、方式、种类、保护措施等权利义务。

四、入职时建立个人人事档案

员工入职时要建立人事档案，填写《个人人事信息表》。由于个人敏感信息必须经由个人单独同意，但敏感信息是否涵盖在不需个人同意的范围之中，目前法律法规尚不明确，仍需该员工对敏感信息签署单独同意或书面同意，以避法律风险。所以从风险防范的角度出发，不论一般或敏感信息，建议经由个人同意以及单独同意或书面同意之程序，对企业较有保障。

规章与合同加入个人信息保护规定

一、规章制度

企业应于规章制度内建立个人信息保护章节。

企业实施考勤管理作业，要求员工提供定位打卡、人脸或指纹识别等个人信息；员工差旅报销、审批休假等需要，要求员工提供行踪轨迹、医疗记录等个人信息；基于网路安全、监督员工工作、保护商业秘密等目的，对办公网路、办公设备的使用情况进行监控等。

以上考勤管理作业，在规章制度内应建立个人信息保护章节，以及个人信息的保护隐私政策（保密制度、分类制度、调用制度、投诉及举报制度）等章节的建立。

规章制度中还需规范用人单位的个人信息保护职责，设置个人信息保护负责人，以及员工可以行使知情、查阅、复制、更正、删除个人信息的权利等具体内容。

二、劳动合同

在劳动合同或协议书内建立个人信息条款。

企业需收集与了解应聘者的个人信息，例如年龄、学历履历、知识技能以及就业现状等情况，这些信息是企业建立《劳动合同》必须，且按《个保法》第17条的规定，企业要告知员工收集与利用个人信息的目的、期限、方式、种类，基于实施人资管理的需要，程序上「不需个人同意」，员工在被充分告知的情况下要如实说明。

员工离职时个人信息的处理

员工离职并不表示企业不必再处理员工个人信息。例如劳资双方签有《竞业限制协议》，当出现离职员工不履行竞业限制协议的情形，或者离职员工有工资、加班费等劳动争议案件，企业仍需使用个人信息。

依据合同文件保存期限确定个人信息保存期限。例如劳动合同文本是保存2年备查，则个人信息保存期限至多也是2年，竞业限制的有效期限也是2年。台商应于2年后再依「保存最短时间」的个人信息处理规则，删除个人信息。

企业可与员工签订《个人信息处理同意书》，设置授权期限，需要涵盖离职后的一定期限，并且在规章制度中明确离职后个人信息的处理或个人信息删除的相关规则等。另外，企业如与离职员工签订协议书，例如《竞业限制协议》，则可在《竞业限制协议书》内明确离职员工于竞业限制协议期间内提供履约相关个人信息的义务。

跨境传输对台湾母公司的影响与对策

依据《个保法》第38、39条规定，台商基于「业务等需要」向境外母公司或相关企业传输个人信息，按规定应向个人告知境外接收方名称或姓名、联系方式、处理目的、处理方式、个人信息的种类，以及个人向境外接收方行使本法规定权利的方式和程序等事项，应取得个人的单独同意。同时，应参考中国大陆网信部门制定的标准合同，与境外的母公司或相关企业订立合同，约定双方的权利义务。

台湾母公司或境外接收方作为境外个人信息处理者，要独立承担个人信息保护义务，也可能作为处理个人信息的受托人，需采取必要措施保障个人信息安全，并协助委托方（台商投资的大陆公司）履行个人信息保护义务。

另外，个人信息的跨境传输是否涵盖「不需个人同意」的范围尚不明确，台商应与相关员工签订《跨境个人信息处理同意书》，以获得个人信息跨境传输的授权。

企业人资管理领域涉及到的程序与内容相当复杂，个人信息处理的细节端赖每个程序进行动态掌握。人资管理各个环节的不同情况，落实《个保法》的规定，以尽保护与利用的义务及责任，确保各个环节的员工个人信息处理合法合规。