8月20日，经全国人大常委会会议表决，《个人信息安全法》获得通过。

近年来，有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜，保护数据资产已引起各国高度重视。在我国数字经济进入快车道的时代背景下，如何开展数据安全治理，对员工个人信息提供保护，已成为普遍关注的问题。

个人信息权的具体内容

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息（最常见的人脸识别和指纹信息）、住址、电话号码、电子邮箱、健康信息、行踪信息等。

《民法典》第1034条规定，自然人的个人信息受法律保护。

1、同意权。除另有规定外，处理个人未公开的信息应征得该自然人或者其监护人同意。

2、公开权。个人有权公开其个人信息。

3、拒绝权。对已经公开的个人信息，有权明确拒绝他人处理个人信息。

4、知情权。自然人可以依法向信息处理者查阅或者复制其个人信息。

5、异议和更正权。个人发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。

6、删除权。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

大数据作为“人类一种新型的、功能强大的好工具”，使我们能够做出更加准确的预判、更加科学的决策、更加精准的行动。在人力资源中，HR和人力资源第三方服务机构通过员工个人信息进行员工个人画像，试图提供更好的人力资源服务。

人力资源员工个人信息的方式和范围

《劳动合同法》第八条规定，“用人单位招用劳动者时，有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。” 因此用人单位有权获取员工与工作相关的个人信息。获取员工个人信息的方式，包括面谈、员工主动提供或者通过背景调查。《网络安全法》第四十一条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。

在信息收集过程中，用人单位应注意，获取员工个人信息的范围以“必要性”为原则，即以与劳动合同直接相关的基本情况为限，非必要性个人信息应予以尊重，尽量不予获取。

《宪法》第四十条规定，“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密”；《刑法》第二百五十二条规定，“隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的，处一年以下有期徒刑或者拘役”。员工使用的工作设备（如办公电脑、商务电话、私人设备、公司安装的工作软件）中存储的个人信息，如涉及到与员工个人的通信记录、通话记录不得获取。

用人单位在使用第三方EHR、财务系统等第三方服务的时候，会出于合理的业务目的向相关第三方（如供应商、关联公司和客户）披露和提供员工个人信息。《民法典》第一百一十一条规定，“自然人的个人信息受法律保护。不得非法买卖、提供或者公开他人个人信息”；《刑法》第二百五十三条规定，“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”因此，用人单位基于商业需要向相关第三方（如供应商、关联公司和客户）披露和提供个人信息时，除取得员工同意外，无论是有偿还是无偿，不得以个人信息本身作为交易对象。

用人单位和第三方机构收集的员工个人信息，构成公司的商业数据。

商业数据利用中如何实现个人信息权的平衡

人力资源管理中绝大部分数据来自于员工“自愿”提供。单条的身份信息、轨迹信息、视频信息看起来都没有特别的价值，但是如果把这些信息拼接起来，再通过大数据分析，就可以得到很多重要的信息。根据最新研究显示，只要有一个人的年龄、性别和邮编，就能从公开的数据中搜索到这个人87%的个人信息。结合强大的数据分析能力，便让众多员工无形中成为“被监控”的对象。于是“天知地知、你知我知”的数据变得“人尽皆知”。数据使用便利的同时，让渡的是隐患重重的员工隐私安全。

随着定位技术的高速发展以及云计算、大数据和人工智能等技术的不断发展与应用，用人单位和第三方机构稍有不慎，就可能存在个人数据外泄的可能。

根据《数据安全法》（即将于9月1日起生效施行）和其他一些相关法规的要求，用人单位和第三方机构必须对所收集的数据负安全责任。掌握的数据越多，担负的责任就越大。

涉及到员工个人信息的商业数据安全是人力资源管理和服务健康发展的基础。根据《民法典》、《个人信息保护法》、《数据安全法》等法律规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等，处理个人信息时应遵循如下规则：

1、合法原则。不违反法律、行政法规的规定；不得违反法律、行政法规的规定收集、使用员工个人信息，并应当依照法律、行政法规的规定处理其保存的个人信息。

2、合理原则。为维护公共利益或者该自然人合法权益，可以合理实施信息处理行为。

3、遵循合法、正当、必要原则，不得过度处理；人力资源第三方服务机构不得收集与其提供的服务无关的个人信息。

4、尊重被收集人的自主权。任何个人和组织不得窃取或者以其他非法方式获取个人信息；向被收集人公开处理信息的规则，明示处理信息的目的、方式和范围，除另有规定外，处理个人未公开的信息应征得该自然人或者其监护人同意；对已经公开的个人信息，可以不再征求个人同意，但如果对收集人明确拒绝，则不得对其个人信息进行处理。网络产品、服务具有收集员工信息功能的，其提供者应当向员工明示并取得同意。根据被收集人的要求，更正、删除其个人信息。

5、遵守约定原则。双方有约定，应遵守双方约定。在该自然人或者其监护人同意的范围内合理实施的处理个人信息的行为，用人单位和第三方服务机构不承担民事责任。不得违反双方的约定收集、使用个人信息，并应当依照与用户的约定，处理其保存的个人信息。

6、用人单位和第三方服务机构不得泄露、篡改、毁损其收集、存储的个人信息；未经被收集者同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

用人单位和第三方服务机构应当对其收集的用户信息严格保密，并建立健全用户信息保护制度，采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

随着《个人信息保护法》的出台，确保个人信息在人力资源管理和服务的依法合规使用，接下来将成为HR的重要任务。

近年来，中国数字产业迅猛发展的同时，也为人力资源行业的转型升级提供了更为强大的引擎力。基于底层数据库的员工身份认证、工作记录、绩效评估、人岗匹配等丰富创新应用，让组织与个人的效能得到充分激活。未来的人力资源服务，将会趋向于以人为中心的数字化服务新生态。通过区块链、AI等前沿技术手段，在防篡改、防伪造、可追溯上大大提高数据的可信度与安全性，提升管理效率。

作为人力资源领域“数字化转型”的创新引领者，关爱通拥有一套完善的IT基础架构防护系统，并于2017年获得了挪威船级社和德国劳氏船级社颁发的“ISO/IEC 27001信息安全管理体系认证”证书,为用户信息安全及运营系统的高稳定性筑起安全防护墙。近年来，关爱通一直致力于搭建更为完整的业务与数据安全体系，今年4月，关爱通携手公安三所在数据中国大会上推出了“信名帖”产品，实现了包涵企业，员工和自然人身份的三级可信认证，涉及的员工数据存储在政企云上，兼顾数据和认证安全，最大限度保障了企业员工数据的安全。同时，关爱通还在数据合规和数据威胁防护引入了专业的法律和安防团队。

作为关爱通的核心产品，今年6月发布的“给到”APP 4.0所承载的已经远远超出了 员工福利的范畴，它将会是一个开放生态、协同共享、价值共创的数字化人力资源服务平台，目前已经在消费购物、节日福利、健康管理、教育培训、 员工激励、交通出行、文化建设、社会责任等多维度场景实现了落地探索。

作为业内“数字化转型”的创新引领者，关爱通充分尊重员工“企业人”与“社会人”的双重属性，紧紧围绕以人为本的核心，持续以技术解决方案赋能产业链，以B2B2C商业模式实现产业互联，构建社会、企业、员工相互支持、共同发展的“爱在其中”生态圈，实现资源的聚合与价值的倍增，推动社会的可持续发展。