企业个人信息保护边界

企业数据处理中的个人信息保护——员工信息、客户信息、合作伙伴信息的管理边界

数据安全法和个人信息保护法实施已经一段时间了，但很多企业在处理个人信息时仍然存在合规盲区。哪些个人信息能收集、收集了怎么存、存了怎么用、用完了怎么删——这些环节每一步都有法律规定。这篇围绕企业日常数据处理中的个人信息保护，重点说几个容易出问题的地方。

员工信息的收集边界。企业在管理员工时，通常会收集大量的个人信息：身份证号、家庭住址、联系方式、学历信息、工作经历、银行账号、紧急联系人信息、健康信息。这些信息的收集有一个基本原则——收集范围应当与人力资源管理直接相关。不能收集与工作无关的个人信息，比如员工配偶的职业信息、员工的社交账号密码、员工的定位信息等。如果需要收集超出基本管理需求的信息，需要有员工个人的明确授权。

员工信息的存储和访问。员工信息存储在企业的HR系统中，这个系统的安全等级往往被低估。HR系统中的员工信息包括了所有员工的敏感个人信息，一旦泄露，对企业的声誉和法律风险都是巨大的。建议HR系统设置独立的访问权限，只有HR部门和直接管理者能访问相关人员的信息。HR系统与其他系统之间做网络隔离，减少数据暴露面。

客户信息的保护。客户信息是企业的重要资产，也是个人信息保护的重点。收集客户信息时需要告知客户收集的目的和方式，并获得客户的同意。客户信息的使用范围不能超出收集时告知的范围——不能把客户的联系方式用于其他目的。客户信息的存储应该有加密保护，访问应该有限制。如果客户的个人信息需要传输给第三方，必须事先获得客户授权。

客户信息的数据出境。如果企业的客户在境外，或者企业使用境外的服务商处理客户信息，就涉及数据出境的问题。根据数据安全法的要求，个人信息出境需要满足合规条件：向客户告知出境的目的和方式、获得客户的单独同意、通过数据出境安全评估或备案。建议企业在收集境外客户信息之前，提前规划好数据存储和传输方案。

合作伙伴信息的保护。合作过程中获取的合作伙伴的员工信息（如对接人联系方式、项目组成员信息），也需要按照个人信息保护的要求管理。这些信息只能在合作范围内使用，不能用于其他目的。合作终止后，应当删除或销毁合作伙伴的个人信息，或者获得合作伙伴的继续存储授权。

个人信息的删除和销毁。根据个人信息保护法的要求，处理目的已实现、无法实现或者为实现处理目的不再必要时，应当主动删除个人信息。企业在员工离职后，应当在一定期限内删除不需要继续保留的员工个人信息。客户终止合作关系后，也应当删除或匿名化处理客户的个人信息。建议企业建立个人信息清理的定期制度，每半年或一年对不需要保留的个人信息进行一次清理。

个人信息保护的培训。企业信息系统的用户每天在操作各种数据，但大部分人并不清楚哪些属于个人信息、处理个人信息时的法律要求是什么。建议在企业保密培训中加入个人信息保护专项内容，帮助员工识别日常工作中哪些操作可能涉及个人信息违规。

最后说一个容易忽视的细节：员工离职后的个人信息处理。员工离职后，公司可以保留哪些个人信息？法律规定，为履行法定职责或法定义务所必需的个人信息（如工资记录、社保缴纳记录）需要按规定期限保留。超出法定保留期限的，应当主动删除。建议企业HR部门在员工离职后对个人信息做分类处理，该保留的保留、该删除的删除、该归档的归档。

北京企密安信息安全技术有限公司 企业数据合规咨询：010-63711822 / jess@baomiwang.com