个人信息保护法下，用人单位应了

东莞麻涌律师获悉

在之前的研究简报（《个人信息保护法》时代员工个人信息保护问题评析（三））中，我们介绍了个人信息的基本概念、处理个人信息的基本原则和核心规则。信息，并提供敏感个人信息的重要概念。 《个人信息保护法》（以下简称《个人信息保护法》）首次从法律层面对敏感个人信息进行了界定。敏感个人信息的基本概念和处理规则是个人信息保护相关问题中不可忽视的重要问题。本文将介绍和讨论雇主应了解的敏感个人信息保护相关的常见问题，包括什么是敏感个人信息、处理敏感个人信息的特殊要求以及“中国首例人脸识别案”意味着什么对于雇主？灵感等等。

什么是敏感个人信息

正如之前的研究简报所述，根据处理不当对个人造成严重伤害的可能性，个人信息可以分为敏感个人信息和一般个人信息。根据《个人保护法》第二十八条第一款的规定，个人敏感信息是指一旦泄露或者被非法使用，容易导致自然人人格尊严受到侵犯、人身、财产安全受到侵害的个人信息。包括生物识别、宗教信仰等具体身份、医疗健康、财务账户、行踪等信息，以及十四周岁以下未成年人的个人信息。此外，《信息安全技术-个人信息安全规范（2020年版）》（以下简称《个人信息安全规范》）中还列出了常见的敏感个人信息（请参见文末附件） ）。从敏感个人信息的基本概念来看，敏感个人信息具有两个基本特征，即（一）它是敏感的，因为一旦泄露或非法使用，更可能对个人造成严重伤害； （二）可能对个人造成严重损害，包括侵犯人格尊严、危及人身、财产安全的。

如果我们稍加留意，不难发现个人信息中的敏感个人信息和隐私信息的范围有重叠（例如医疗健康、财务账户、工作时间以外的位置信息、性取向、未公开的犯罪行为等）。记录等）。用人单位可能会问，这两者有什么关系呢？两者均属于个人信息，收录与收录之间不存在任何关系。它们既有重叠又有显着差异。敏感个人信息重点关注如果处理不当可能对个人造成严重伤害的可能性；个人信息中的隐私信息侧重于不想被人知道的隐私。例如，个人爱好属于个人信息中的隐私信息，但个人爱好在处理不当时通常不会对个人造成严重损害，因此不属于敏感个人信息。身份证信息、民族、种族、宗教信仰等属于敏感个人信息，但这些信息在一定范围内为特定或不特定的人所知，因此不属于个人信息中的隐私信息。

处理敏感个人信息有哪些特殊要求？

由于敏感个人信息处理不当极易对个人造成严重伤害，因此《个人保护法》对敏感个人信息的处理规定了更为严格的特殊要求。这些特殊要求体现在处理目的、同意方式、告知义务和安全保护措施四个方面。

要求一：严格限制处理目的

根据《个人保护法》第二十八条规定，个人信息处理者只有在有特定目的、充分必要，并采取严格保护措施的情况下，方可处理敏感个人信息。因此，敏感个人信息的处理比一般个人信息的处理受到更严格的限制。这种限制突出体现在处理目的应当充分且必要。例如，在“国内首例人脸识别案”（案件简介见下文）中，法院认为，被告某野生动物园采用指纹识别作为进入方式，但采集了其照片。原告郭某等人的面部信息，这种行为违反了必要性原则。

要求2：应获得个人同意

根据《个人保护法》第二十九条的规定，处理个人敏感信息必须单独取得个人同意。一般个人信息的处理仅需要个人的同意，而敏感个人信息的处理则需要个人的单独同意。这一要求也是《个人保护法》对个人敏感信息处理严格限制的体现之一。 《人身保护法》没有规定单独同意的基本概念。目前实践中的主流观点认为，个人同意可以理解为单一同意，与普遍同意或一揽子同意有着不同的含义。例如，当个人信息处理者有一批需要个人同意的事项时，应当将敏感个人信息处理等特殊事项一一列出，并一一征求个人同意。

正如之前的研究简报所指出的，雇主在处理员工的敏感个人信息时，只要符合法律许可的适用条件（如实施人力资源管理所必需的），无需征得员工的同意。 。尽管如此，用人单位仍需注意以下几点：一是在收集、处理实施人力资源管理所必需的员工敏感个人信息时，应谨慎行事，并以充分必要性作为划定处理范围的首要因素。 。 。其次，为加强对敏感个人信息的保护，行政机关、司法机关可以在实施层面对个人保护法前述规定进行不同解释，将敏感个人信息处理的法律依据限定为个人同意。

要求3：应履行更充分的通知义务

根据《个人保护法》第三十条规定，个人信息处理者处理个人敏感信息时，除本法第十七条第一款规定的事项外，还应当告知个人处理个人敏感信息的必要性以及对个人权益的影响；但依照本法规定不需要通知个人的除外。根据该规定，用人单位在处理个人敏感个人信息时，无论是基于法律许可还是个人同意，都应当履行更加充分的告知义务，包括告知员工拟处理的个人信息属于敏感个人信息以及敏感个人信息的处理是敏感的。个人信息的必要性以及处理个人敏感信息可能对个人权益造成的影响。

要求四：应采取更严格的安全防护措施

《个人保护法》要求个人信息处理者在处理敏感个人信息时采取更加严格的安全保护措施。结合《个人信息安全规范》的相关规定，更加严格的安全保护措施包括：一是对存储和传输的敏感个人信息应当采取加密等安全措施；其次，个人生物识别信息应与个人身份信息分开保存；三是原则上不存储原始个人生物识别信息（即在存储前采取技术措施进行处理，例如仅存储个人生物识别信息的摘要信息）；第四，事先对个人信息进行保护影响评估并保存处理记录。

“中国首例人脸识别案”对用人单位有何影响？

说到敏感个人信息的保护，有一个标志性案例绕不开，那就是“中国人脸识别第一案”。下面我们简单介绍一下这个案例，并讨论一下它对雇主的影响。

案件简介：2019年4月，郭某购买某野生动物园双年卡，保留相关个人身份信息，并录入指纹、拍照。随后，某野生动物园将年卡持有者的入园方式从指纹识别调整为人脸识别，并给郭先生发短信告知相关事项，要求他进行面部激活，否则将无法进入动物园。正常停车。郭认为，人脸信息属于高度敏感的个人隐私，不同意接受人脸识别方式入园，并要求园区退卡。双方谈判未果，发生纠纷。

判决：法院认为刷脸店通知不属于双方合同条款，对郭某没有影响。野生动物园单方面改变入园方式的行为构成违约，应当承担违约责任。某野生动物园想要将采集到的照片激活处理成人脸识别信息，超出了事先采集的目的，违反了合法性原则。因此，郭某在办卡时提交的包括照片在内的面部特征信息应予以删除。由于某野生动物园停止使用指纹识别闸机，导致原本约定的入园服务无法进行，郭某的指纹识别信息也应该被删除。据此，法院还责令野生动物园删除郭某在申请指纹年卡时提交的指纹识别信息。

启示一：人脸信息是典型的生物识别信息，生物识别信息是典型的敏感个人信息。因此，人脸信息是典型的敏感个人信息。同时，正如著名学者王黎明教授指出的那样，面部信息仍然是个人的核心隐私，面部信息广泛涉及个人的其他隐私信息（例如：一些银行账户与面部信息绑定）。 1 人脸信息除了上述双重属性外，还具有非接触即可获取、不可更改的特点。这些因素使得面部信息高度敏感，从而受到高度的法律保护。个人信息处理者在处理人脸信息前，必须履行充分告知义务并征得个人同意。

启示二：某野生动物园在采用指纹识别作为入园方式的同时，还收集游客的面部信息。这种行为违反了必要性原则。因此，除非有足够的必要性麻涌镇律师 ，雇主不应收集员工的面部信息。可见，雇主在决定是否使用面部识别作为考勤或门禁管理方式时，需要仔细考虑必要性问题。

启示三：某野生动物园拟将采集的郭某照片激活为人脸识别信息，超出事先采集目的，违反合法性原则。可见，用人单位收集员工面部信息后，应将处理目的严格限制在事先告知的收集目的内，不得超出收集目的使用。确需超出事先告知的收集目的使用面部信息的，用人单位应当履行充分告知劳动者并另行征得劳动者同意的义务。

合规建议

基于以上介绍和讨论，我们建议用人单位在处理员工敏感个人信息时应注意以下主要问题，以避免法律风险，实现合规。

建议一：全面梳理员工个人信息，识别个人敏感信息

用人单位应当全面梳理整个用工管理流程中需要处理的员工个人信息，识别涉及的敏感个人信息，以满足此类信息处理的特殊要求。

建议二：严格限制员工敏感个人信息处理的合理范围

尽管在满足法律允许的适用条件（例如实施人力资源管理所必需）的情况下，雇主可以在未征得雇员同意的情况下处理敏感个人信息，但雇主应谨慎行事并考虑足够的必要性。作为划定治疗范围的首要因素。特别需要指出的是，由于人脸信息属于个人的核心隐私，用人单位在处理人脸信息之前必须履行充分的告知义务并获得个人同意，不得基于法律许可进行处理。

建议3：履行更充分的通知义务

用人单位在处理个人敏感个人信息时，无论是基于法律许可还是个人同意，都应履行更加充分的告知义务，包括告知员工拟处理的个人信息属于个人敏感信息以及处理个人敏感信息的必要性。信息。以及处理敏感个人信息可能对个人权益造成的影响。

建议四：采取更严格的安全防护措施

用人单位在处理员工敏感个人信息时，应当按照《个人防护法》和《个人信息安全规范》的相关规定，采取更加严格的安全保护措施。

附录：敏感个人信息示例

个人财产信息

银行账户、身份信息（密码）、存款信息（包括资金金额、收付记录等）、房产信息、征信记录、征信信息、交易消费记录、流水记录等，以及虚拟资产货币、虚拟交易、游戏 兑换码等虚拟财产信息

个人健康和生理信息

与个人疾病和治疗相关的记录，如症状、住院记录、医嘱、检测报告、手术和麻醉记录、护理记录、用药记录、药物和食物过敏信息、生育信息、既往病史、诊断和治疗、家庭病史、现病史、传染病史等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人身份信息

身份证、军人证、护照、驾照、工作证、社保卡、居住证等

其他信息

性取向、婚姻史、宗教信仰、未公开的犯罪记录、通讯记录及内容、通讯录、好友列表、群组列表、行踪、网页浏览记录、住宿信息、精确位置信息等。

1. 请参阅《王利明：人脸信息属于敏感信息，核心隐私应受到保护》，page.htm

麻涌镇律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。