員工個人信息保護(hù)合規(guī)要點清單

1、員工個人信息保護(hù)合規(guī)要點清單員工個人信息保護(hù)制度構(gòu)建1是否建立員工個人信息保護(hù)制度？是否2是否通過適當(dāng)?shù)姆绞剑▌趧邮謨?、員工手冊、公司規(guī)章等）向員工明確告知員工個人信息保護(hù)制度（范圍、目的、處理方式等），并讓員工閱讀知悉并簽字同意？是否3是否將非法處理員工個人信息的行為列舉為重大違紀(jì)行為，以降低以非法處理員工個人信息為由解除勞動關(guān)系的法律風(fēng)險？是否4是否明確員工個人信息保護(hù)責(zé)任人？是否5是否建立員工個人信息分級分類保護(hù)機(jī)制，根據(jù)部門及崗位職責(zé)設(shè)計不同的員工個人信息訪問權(quán)限？是否6是否與可接觸、處理員工個人信息的崗位人員（比如財務(wù)人員、檔案管理人員、人事部員工等）簽署保密協(xié)議？是否7是否將員工個

2、人信息的處理范圍限制在必要范圍之內(nèi)？（比如在辦理入職手續(xù)時僅處理姓名、年齡、學(xué)歷、工作經(jīng)歷等“與勞動合同直接相關(guān)”的個人信息，而不得收集婚育情況、宗教信仰等與勞動合同并不直接相關(guān)的個人信息）是否8當(dāng)存儲的員工個人信息存在錯誤或超出同意范圍時，是否給予員工必要有效的救濟(jì)渠道？是否9是否定期開展員工個人信息保護(hù)培訓(xùn)，并做好留痕工作？是否10是否建立員工個人信息安全事件應(yīng)急機(jī)制？是否日常管理中的員工個人信息保護(hù)11是否引入基于指紋、聲紋、面部數(shù)據(jù)等生物識別信息或地理位置、行蹤軌跡等信息的考勤系統(tǒng)？是否12是否提供其他可替代的考勤方式供員工選擇？是否13在辦公區(qū)域安裝監(jiān)控設(shè)備時，是否事先對員工進(jìn)行明確

3、告知，并在視頻采集區(qū)域設(shè)置明顯的標(biāo)識？是否14是否存在在非公開辦公區(qū)域（比如個人辦公室、更衣室）安裝監(jiān)控設(shè)備的情況？是否15是否會對員工的工作郵箱、電話、其他信息系統(tǒng)進(jìn)行監(jiān)控？在采取前述監(jiān)控措施前，是否向員工明確告知用人單位對公司設(shè)備、郵箱、系統(tǒng)等采取的監(jiān)控措施和形式，并明確告知用人單位可監(jiān)控的信息范圍？是否16企業(yè)在引入前述可能采集員工個人敏感信息的考勤系統(tǒng)或監(jiān)控設(shè)備前，是否對設(shè)備安裝的必要性與風(fēng)險進(jìn)行評估，是否征求員工意見？是否17企業(yè)在收集前述面部數(shù)據(jù)等個人敏感信息時，是否在實現(xiàn)相應(yīng)目的后及時刪除原始數(shù)據(jù)，僅存儲摘要信息或盡可能本地化部署系統(tǒng)服務(wù)器或識別算法？是否對外提供或委托處理中的員

4、工個人信息保護(hù)18對外提供或委托處理員工個人信息是否出于合法、必要的目的（比如代繳社保、績效分析、業(yè)務(wù)外包、背景調(diào)查等），并將員工個人信息的類型、數(shù)量、顆粒度控制在必要范圍之內(nèi)？是否19在對外提供或委托處理員工個人信息前是否明確向員工告知，并獲取員工的明示同意？是否20是否對接收方的個人信息保護(hù)能力和相關(guān)業(yè)務(wù)資質(zhì)進(jìn)行評估？是否21是否與接收方簽訂協(xié)議以明確個人信息保護(hù)義務(wù)？是否22需向境外提供員工個人信息時，是否就該事項獲取員工的單獨同意？是否23是否對員工個人信息的跨境流動活動進(jìn)行事先風(fēng)險評估并采取相應(yīng)的安全保障措施？是否24是否與境外員工個人信息接收者簽訂個人信息保護(hù)協(xié)議？是否招聘過程中的

5、個人信息保護(hù)25通過自運(yùn)營的APP、公眾號、小程序、網(wǎng)站等平臺收集應(yīng)聘者簡歷時，是否制定符合相關(guān)法律規(guī)定的隱私政策或個人信息保護(hù)政策？是否26通過第三方招聘平臺、獵頭公司、勞務(wù)派遣公司等外部機(jī)構(gòu)獲取應(yīng)聘者或勞務(wù)派遣人員個人信息時，是否與外部機(jī)構(gòu)核實該個人信息來源的合法性及個人信息主體的同意范圍？是否27通過外部機(jī)構(gòu)獲取的個人信息超出個人信息主體的同意范圍的，是否要求外部機(jī)構(gòu)或自行向該個人信息主體重新告知并獲取同意？是否28與關(guān)聯(lián)公司共享應(yīng)聘者個人信息的，是否進(jìn)行事前告知并獲取同意？是否29自行或委托第三方調(diào)查機(jī)構(gòu)對應(yīng)聘者進(jìn)行背景調(diào)查時，是否以書面形式告知背景調(diào)查涉及的個人信息范圍、目的、使用方

6、式以及第三方調(diào)查機(jī)構(gòu)的名稱等相關(guān)信息，并請應(yīng)聘者簽字同意，且將個人信息處理活動限制在必要范圍內(nèi)？是否30引入具備自動決策機(jī)制的信息系統(tǒng)對應(yīng)聘者進(jìn)行篩選的，在規(guī)劃設(shè)計階段或首次使用前是否開展個人信息安全影響評估，并依評估結(jié)果采取有效的保護(hù)個人信息主體的措施？是否31是否在使用過程中定期（至少每年一次）對上述信息系統(tǒng)開展個人信息安全影響評估，并依評估結(jié)果改進(jìn)個人信息保護(hù)措施？是否32采用自動決策機(jī)制對應(yīng)聘者進(jìn)行篩選的，是否對應(yīng)聘者提供針對自動決策結(jié)果的投訴渠道，并支持對自動決策結(jié)果的人工復(fù)核？是否33招聘環(huán)節(jié)結(jié)束后，是否及時對未錄用者的個人信息進(jìn)行刪除、銷毀或匿名化處理？是否離職員工的個人信息保護(hù)34是否對離職員工的個人信息進(jìn)行分級分類，并根據(jù)法律的不同要求進(jìn)行存儲？是否35在法定的存儲期限結(jié)束或已無必要存儲時，是否及時對離職員工的個人信息進(jìn)行刪除、銷毀或匿名化處理？是否36需繼續(xù)處理離職員工個人信息的，是否重