虽然对于员工隐私权和个人信息保护的讨论由来已久，但是在《民法典》颁布之前我国法律并未对于此类人格权的概念和保护范围作出明确具体的详细规定，随着《民法典》时代的到来，员工针对自身人格权的维权将“有据可依”。由此，员工针对隐私权及个人信息的维权欲望、维权意识也将会有一定幅度的上涨。而对于企业而言意味着需要更加注意员工信息收集与员工人格权之间的边界，避免因侵犯员工人格权引发纠纷。本文对《民法典》中隐私权及个人信息权作出分析，进而对企业在收集、处理员工入职信息资料方面需要注意哪些要点作出讨论。

　　一、《民法典》针对隐私权及个人信息权的相应规定

　　《民法典》第6编第6章隐私权和个人信息保护列明了隐私权和个人信息的定义，以及禁止侵害他人隐私权的行为，明确了处理个人信息应遵循的原则和条件，构建了自然人与信息处理者之间的基本权利义务框架，明确处理个人信息不承担责任的情形。

　　1.隐私权及个人信息权的定义。《民法典》第1032条规定“隐私”是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息，1034条规定“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。实践中，隐私与个人信息的内容有重叠也存在差异：内容重叠表现为有些个人信息属于隐私，很多隐私也通过个人信息的形式表现出来。而差异是指一些合法公开的个人信息不是隐私，但却属于个人信息。因此，存在个人信息中涉及隐私的情况，此时个人信息处理人违法处理个人信息同时会侵犯了隐私权和个人信息权，此时根据《民法典》第1034第2款规定，个人信息中的私密信息，适用有关隐私权的规定；没有规定的,适用有关个人信息保护的规定。

　　2.隐私权及个人信息权侵权的认定。侵犯隐私权和个人信息权的认定都必须遵守一般侵权行为的构成要件，即行为人过错、侵权行为、损害结果、侵权行为和损害结果之间的因果关系。区别在于侵犯隐私权及个人信息权的行为表现形式存在不同，根据《民法典》第1033条、第1035条及第1038条规定具体有：侵犯隐私权的行为主要表现在以电话、短信等各种方式侵扰他人的私人生活安宁；对住宅、宾馆房间等私密空间的侵犯；对他人的私密活动的侵害；对他人身体的私密部位的侵害以及处理他人的私密信息和其他侵害他人隐私的行为。侵犯个人信息的行为主要表现在未依法收集和处理个人信息，以及信息处理者违反安全保障义务，导致个人信息被泄露、篡改、丢失等。

　　3.侵犯隐私权和个人信息权的民事责任。隐私权和个人信息权属于人格权范畴，因此侵犯隐私权和个人信息权的民事责任应当按照侵害人格权的一般规定进行处理，即侵权行为人需承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任，对权利人造成精神损害的，还需要承担精神损害赔偿金，造成损失的，还应赔偿经济损失。根据《民法典》第997条规定权利人还可依法向人民法院申请责令行为人停止侵害人格权禁令。还需要注意根据《民法典》第995条规定，受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效的规定，也就是说企业作为员工个人信息处理者的身份并不随着员工的离职而消失，企业侵权的风险随时有可能转化为实际的诉讼成本以及损失。

　　二、员工个人信息资料中的员工隐私权和个人信息权保护

　　根据《劳动合同法》第八条规定，企业招聘用工、新人入职往往需要劳动者提供，或由企业主动获取员工信息资料。在实践中，大多数企业会采取信息表格填写的方式进行入职信息收集，此类表格信息资料中往往既有与劳动者本人与劳动合同直接相关的基本情况，如其个人身份信息、职业技术水平、教育背景、过往工作经验等；同时也会有与劳动者本人之外的人相关的或与劳动合同并不直接相关的信息，如劳动者婚姻状况、家庭成员信息、政治面貌等，即便企业事后会向员工解释婚姻状况等与劳动合同并不直接相关的信息“并非必填项目”，但其实也已经违反了《民法典》相关规定。

　　企业在管理员工过程中，从入职信息表开始会主动、被动的收集和处理各类企业员工信息，《民法典》对企业收集、处理员工个人信息提出了更高的要求。因此，在员工入职信息资料的收集和处理方面，为了避免企业陷入侵害员工个人信息权及隐私权，建议做好以下几点：

　　1.员工个人信息的收集

　　首先，建立关于员工个人信息处理的相关规章制度。《民法典》要求个人信息处理者应当公开处理信息的规则，并明示处理信息的目的、方式和范围，在劳动用工领域，这一义务可以理解为企业应建立员工个人信息管理制度。通过管理制度明确规定对员工个人信息收集、存储、使用、传输、公开、删除等处理行为的原则、方式和范围，同时明确不同职能部门（如信息安全部门、人力资源部门、法务部门、审计部门等）的管理职责和权限。管理制度的制定和发布应履行必要的民主程序，并及时做好培训宣传工作。

　　其次，收集信息应当征得相关个人的同意。“知情同意”是企业收集员工个人信息时应遵循的基本准则，企业可以与员工签署个人信息收集及使用的确认书，由员工确认本人提交企业或者企业通过合法渠道获取的个人信息中隐私信息的范围，以及授权企业使用个人信息及隐私信息的目的、方式、范围等。为确保员工信息更新导致的超范围收集，建议该确认书每年或者每一事项单独分别签署。

　　2.员工个人信息的保存

　　首先，企业应当建立员工个人信息台账。企业应当对收集、使用、提供、公开员工信息的具体场景进行梳理并建立台账。对企业收录的员工入职信息资料进行整理筛查，着重核查是否存在信息的缺失、外流。

　　其次，企业必须加强信息安全保密工作。通过去标识化处理、加密存储、权限设置等技术手段，提高企业数据信息安全管理水平。就个人信息存储安全、个人信息泄露应急处理的相关管理工作应单独管理，确保个人信息受到严格保护。

　　3.员工个人信息的使用

　　首先，个人信息应按与员工约定的使用用途使用。企业收集的个人信息应只用于企业管理所需，不得违反有关规定委托他人处理、共享、提供或公开员工个人信息。

　　其次，加强相关岗位人员在员工个人信息处理原则方面的培训。相关岗位的管理和技术人员应严格遵守对员工入职信息的正确、合规使用，确保其对隐私的内容以及个人信息处理的操作标准流程有相当的理解。企业在使用员工个人信息时还需认真分辨是否涉及隐私信息，个人信息使用目的、方式和范围是否违反法律禁止性规定或者超越员工授权范围，避免因此引发争议。

　　最后，对员工个人信息的脱敏处理。如果企业确因业务需要须对外提供员工个人信息的，为防止不必要的纠纷，应尽量采取一些技术措施（如删除关键信息、对重要信息进行马赛克处理等）对相关信息进行脱敏处理。

　　4.离职员工信息管理

　　根据《劳动合同法》第五十条规定，企业对已经解除或者终止的劳动合同的文本，至少保存二年备查。引申到员工个人信息，两年之后除非法律规定另有保管期限的要求，企业需要对离职员工的个人信息进行规范，包括是否单独存储、去标识化或依法予以删除。

　　随着我国经济社会的发展和数字时代的到来，个人信息保护不力屡遭垢病，加强对个人信息违法行为的监管已成为全民的呼声，劳动者求职简历的明码标价、人脸数据滥用在今年的央视3·15晚会上曝光，这些现象让个人信息保护再一次成为热点，用人单位作为其中一个节点，应该立刻行动起来，提前审查自身在个人信息保护方面的合规性，并进行整改完善，以使自己在保护个人信息的同时，避免遭受侵权追诉。