您当前位置:首页兰台资讯专业文章
兰台商规丨考勤场景拆解员工生物识别信息的合规处理
发布日期:
2025-11-06

杨某自2020年12月起在西安A公司工作。2022年5月,A公司安排杨某到预设立的二级全资子公司B数据公司的筹备组工作,并安排B数据公司为杨某发放了两笔工资。此后,A公司又要对杨某办理劳动合同换签,社保也已实际调整到B数据公司为杨某缴纳。杨某不同意此安排,各方形成争议。杨某以个人信息保护纠纷为由,将A、B两公司诉至法院,要求恢复个人社会保险参保信息的真实性,要求赔礼道歉、消除影响1

2022年5月,李某到北京C公司工作,在签订劳动合同时为公司同步出具了《个人信息使用授权书》,授权C公司及其关联单位可以处理李某的个人信息。同年7月,C公司与李某解除劳动关系,双方产生争议并进行劳动仲裁。仲裁中,C公司提交用以证明李某履历不真实的资料,是通过第三方顾问机构对李某进行背景调查时取得的。同期,在李某与其前雇主D网络公司的劳动仲裁案件中,C公司又应D公司的要求,向其提供了李某在C公司的离职证明,作为D公司的证据。这些信息的处理均没有经过李某同意。李某遂起诉C公司,请求包括停止使用其个人信息、删除保存的个人信息、公开赔礼道歉、消除影响,以及详细说明获取未授权的个人信息的渠道2

这样的案例已经数见不鲜。通过这些案例,不难发现,当劳动者与用人单位产生争议时,劳动者解决争议的可选路径已经不再限于劳动仲裁和劳动纠纷诉讼了,个人信息保护纠纷也将成为劳动争议的一个出口,亦即用人单位的潜在风险点之一。

用人单位对员工个人信息合规处理的重要性呈现日益提升的态势。人脸、指纹等生物识别信息,在人力资源管理场景中具有较高的应用频率,却又属于敏感个人信息。按照敏感个人信息的处理规定,用人单位已经不能将员工敏感个人信息用于管理继续认为是理所应当,而是需要经过适当的流程,匹配恰当的书面文件,确保获取有效授权。笔者以人力资源管理场景中最常见的考勤打卡为例,拆解当前用人单位对员工个人信息合规处理的思路并提示主要的合规要求。

【1】 (2024)陕0116民初7748号民事判决,陕西省西安市长安区人民法院,裁判日期2024.06.11。

【2】 (2023)京0107民初2348号民事判决,北京市石景山区人民法院,裁判日期2023.10.13。

一、员工的人脸、指纹均属于生物识别信息、敏感个人信息

用人单位对员工实施打卡考勤时经常使用指纹、人脸等,无疑是员工的个人信息,根据《GB/T 35273-2020 信息安全技术 个人信息安全规范》(简称“《国标35273》”)附录B和《GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求》(2025.11.1实施,简称“《敏感信息处理国标》”)附录A,指纹信息、人脸信息均属于“生物识别信息”,属于“敏感个人信息”。

除考勤场景外,其他人力资源管理场景也是可能涉及到多项敏感个人信息处理的。

《GB/T 35273-2020 信息安全技术 个人信息安全规范》

《GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求》

《TC260-PG-20244A 网络安全标准实践指南——敏感个人信息识别指南》

建议关注的人力资源管理场景

【个人生物识别信息】

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征

【生物识别信息】

个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓和虹膜等

考勤打卡、门禁、工作账号的身份验证和权限验证

【个人健康生理信息】

个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等

【医疗健康信息】

——与个人的身体或心理的伤害、疾病、残疾和疾病风险或隐私有关的健康状况信息(个人的体重、身高、血型、血压和肺活量等基本体质信息,如与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴),如病症、既往病史、家族病史、传染病史、体检报告和生育信息等;

——在疾病预防、诊断、治疗、护理和康复等医疗服务过程中收集和产生的个人信息,如医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录和用药记录)、检验检查数据(如检验报告和检查报告)等

背景调查、入职材料、团体体检、病假申请与审批

【个人财产信息】

银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

【金融账户信息】

个人的银行、证券、基金、保险和公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)和基于账户信息产生的支付标记信息和个人收入明细等

【其他敏感个人信息】征信信息

工资发放、公积金申请、费用报销

【个人身份信息】身份证、军官证、护照、驾驶证、工作证、社保卡、居住证

【特定身份信息】残障人士身份信息、不适宜公开的职业身份信息等个人信息

【其他敏感个人信息】居民身份证照片

背景调查、入职材料

【其他信息】行踪轨迹……精准定位信息等

【行踪轨迹信息】连续精准定位轨迹信息、车辆行驶轨迹信息和人员连续的活动轨迹信息等个人信息

注:《TC260-PG-20244A 网络安全标准实践指南——敏感个人信息识别指南》设置了个人行踪轨迹信息的排除项“特定职业(外卖员、快递员等)用于实现服务履约场景下除外”。

【其他敏感个人信息】

精准定位信息:通过调用个人移动通信终端精准位置权限采集的位置信息是精准定位信息,通过网络地址等测算的粗略位置信息不是精准定位信息,连续采集的精准定位信息可用于生成行踪轨迹。

考勤打卡

【其他信息】宗教信仰

【宗教信仰信息】个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动和特殊宗教习俗等

背景调查、入职材料

【其他信息】性取向、婚史、……未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、网页浏览记录、住宿信息

【其他敏感个人信息】

性取向、性生活、……、犯罪记录信息(我国国家专门机关对犯罪人员的客观记载,如罪名和刑罚等记录)和显示个人身体私密部位的照片或视频信息等个人信息

背景调查、入职材料、劳动争议解决

/

【不满十四周岁未成年人的个人信息】

入职材料(如家庭成员)

注:上述颜色标注主要区分不同文件中敏感个人信息示例的差异。

二、考勤场景对员工的人脸、指纹信息的处理活动

根据《个人信息保护法》(简称“《个保法》”)第四条第二款,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等,参与其中任何一项或多项行为,即构成“处理”,需遵守关于“处理”的整体合规要求和针对具体分项处理活动的具体要求。 

用人单位为考勤所选产品的设备和技术或有不同,但一般均会涉及对指纹、人脸信息的收集、存储,即使用人单位将所有数据全部置于本地处理,且由本单位而非产品运营者处理,也至少涉及此二者。部分非本地部署的产品或是母子公司共用产品还可能涉及上传分析,需要进行信息的传输甚至是提供;对于员工离职等情况发生时,还可能涉及删除。

三、处理员工信息的合规层次及主要要求

以考勤场景为例,需要关注到的合规层次包括:(1)个人信息类别的维度,即符合一般个人信息处理要求、敏感个人信息处理要求、生物识别信息的处理要求,现行法规与标准就涉及人脸应用还有进一步细化;(2)处理活动的维度,即考勤打卡可能涉及对个人信息的收集、存储,那么在确认合规依据的适用性时,关于前述(1)中的要求中,关于收集、存储、处理的,则均应遵守。

(一)处理员工一般个人信息的通用要求

1. “告知-同意”和豁免同意

无论被处理信息的个人是否为处理者的员工,处对其信息的处理均以向个人依法进行充分告知并取得其同意后处理为原则(简称“告知-同意”)。《个保法》第十三条规定有免予个人信息主体同意的例外情形,即“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;……(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意”。

该依据可适用于用人单位处理员工个人信息的场景,但是结合目前实务界的倾向,对“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的适用相对非常严格。比如如果为审查病假申请,只能收取医院出具的记载员工疾病情况假条,可以解释到前述范围内;如果用人单位是出于考勤目的,收集员工的指纹、人脸信息,但该等信息在技术上又并非实现考勤的唯一方式,那么对指纹、人脸信息的应用可能难以论证到前述法定豁免同意的范畴。

同时,即使在个别场景论证出豁免“同意”,亦不会同时豁免“告知”的义务。无论是符合法定豁免“同意”条件的个人信息处理,还是取得了个人信息主体同意后的处理,处理者均有义务在处理前向个人信息主体告知法定事项。

《个保法》第十七条规定,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存”。若处理的信息是敏感个人信息,在告知时,处理者在一般信息告知项的基础上,还应根据《个保法》第三十条,一并向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

序号

告知内容

用人单位注意事项

1

个人信息处理者名称或者姓名、联系方式

个人信息处理者名称即本单位,弱化告知义务,但若涉及集团公司、母公司管理,实为非本单位,需要正常履行告知义务。

对公联系方式可弱化告知,但应告知员工在行使自己权利时的联系对象,可以合并在第4项处理。

2

个人信息的处理目的、处理方式

需要告知考勤目的,对具体处理的方式可以结合具体产品或服务的说明进行告知。

比如特定产品可能有用户服务协议和隐私政策,那么应当同步向具体员工披露这些内容并取得他们同意的记录。

部分隐私政策中可能记载有间接的信息提供者(用人单位)应当确保取得个人信息主体同意再提供,或者要求用人单位向具体员工披露平台规则并取得同意的内容,如果员工个人信息是用人单位批量提供给产品运营者,则用人单位应当遵守与平台的前述协议和平台规则,否则可能在发生侵权时向个人信息主体(员工)和产品运营者承担责任。如果产品可以实现员工自行注册账号,那么在自行注册过程中可以完成前述“告知—同意”的工作。

3

处理的个人信息种类、保存期限

需要告知,类别可以参考本文第一部分的表格。

4

个人行使本法规定权利的方式和程序

需要告知,可以参考平台隐私政策的结构,如果特定产品由人力部门操控,在告知个人权利的同时,还至少告知行使修改、删除等权利需要联系人力部门的哪个岗位及其联系方式

5

处理敏感个人信息的必要性、对个人权益的影响

需要告知,可以参考平台隐私政策的结构,内容主要来自产品、服务提供者

6

法律、行政法规规定应当告知的其他事项

一般考勤打卡场景不涉及。

对于合法处理的前提和获取同意的方式,根据《个保法》第二十八条第二款、第二十九条,对敏感个人信息处理,法定只有在具有特定的目的和充分的必要性,采取严格保护措施的情形下方可处理,处理者还应在处理前取得个人的单独同意。

(二)处理员工生物识别信息的主要合规要求

除上述通用要求外,因指纹、人脸属于生物识别信息,需遵守对该类信息处理的特别要求,以及针对特定处理活动(如收集、存储等)的特别要求。

《敏感信息处理国标》第6.1条a)-e)项和《GB/T 40660-2021信息安全技术生物特征识别信息保护基本要求》(简称“《生物识别信息国标》”)第5章、第6章相结合,提出了生物识别信息处理的多项合规要求。

【收集】基于生物识别信息进行身份识别时,应同时提供不基于生物识别信息的其他替代可选身份识别方式,并不应将基于生物识别信息的方式作为默认选项。也就是说,用人单位在考勤场景时,不应将指纹、人脸作为默认方式,或除此以外不提供其他方式。若通过人脸特征技术可识别,不应选择通过处理人脸全脸解决,通过对所收集的生物识别信息直接进行特征和摘要信息提取的方式即可实现。收集生物特征识别信息前,还应向生物特征识别信息主体履行告知义务,并征得生物特征识别信息主体的明示同意。

【公开】除非个人信息主体主动要求或书面同意,不应公开生物识别信息;通过无需个人信息主体配合的方式收集生物识别信息用于身份识别前,应取得个人书面同意。

【删除】实现处理目的后,应删除所收集的原始生物识别信息,如原始图像、图片和视频等。

【存储】主要是满足最小必要原则和隔离存储等存储安全要求。

(1)根据只存储满足生物特征识别信息主体授权同意的目的所需最少的生物特征识别信息,应只在生物特征识别信息主体授权的存储时间内存储生物特征识别信息,超出存储期限后,应及时对生物特征识别信息进行删除或匿名化处理。

(2)标准给出了相对细化的技术安排示例,简单归纳其思路,即为减少对原始信息和对比核验全部过程的存储,仅应用解决问题的最小、必要的范围,以及在存储策略方面尽量割断这类敏感信息与其他数据的关联,增加安全性。比如将生物特征识别信息与主体的身份相关信息采用技术隔离手段存储(隔离方式包括逻辑隔离、物理隔离等),确保不可逆;原则上不应直接存储生物特征识别原始信息,可采取其他措施,比如仅存储生物特征识别信息的摘要信息,在采集终端中直接使用生物特征识别信息实现身份识别、认证等功能,在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除生物特征识别原始信息等等。

(三)处理员工敏感个人信息的合规要求

人脸、指纹属于敏感个人信息,需要遵守《个保法》以及《敏感个人信息国标》第5章、第6章对于敏感个人信息处理的通用要求以及针对特定处理活动(如收集、存储等)的特别要求。要求相对较多,结合考勤场景,较为相关的主要要求包括:

【必要性前提】《个保法》第二十八条的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别信息在内。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。此处的“处理”,也是对应前述收集、存储等各项处理活动,各项活动均应当遵守这个要求。至于必要性的论证,除非用人单位能证明现有的签到表、打卡机应用非敏感个人信息(物理磁卡、账号密码等)、手机应用签到等手段都不足以实现考勤目的,必须指纹识别、面部识别才能实现考勤的目的,否则相对比较难以论证出人脸、指纹信息的处理必要性。当然,实践中用人单位也可以从另一个角度解释,即便利、员工同意,且其在有选择权的情况下主动选择了这些方式。

【单独同意】基于个人同意处理敏感个人信息的(也就是不符合法定豁免同意的情形),应取得个人信息主体的单独同意。单独同意是同意中较为特殊的一种,参考《GB/T 42574-2023信息安全技术 个人信息处理中告知和同意的实施指南》中的定义,要求个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。单独同意的实现方式,可由个人信息主体主动完成填写提交,也可通过设置独立页面、电话和短信等向个人信息主体进行告知并通过个人点击或分项勾选等肯定性动作作出同意表示。

【充分告知、单独提示】收集合法性方面,处理者不应通过欺诈、诱骗、误导和胁迫等方式收集敏感个人信息,不应基于任何违反法律法规规定的目的收集敏感个人信息;收集非敏感个人信息可实现处理目的的,不应收集敏感个人信息;在收集敏感个人信息前,应采用单独弹窗、短信、填写框、动画、转至单独提示界面和语音播报等方式向个人进行告知;在收集敏感个人信息前,不应隐瞒收集敏感个人信息的功能,应明确收集敏感个人信息的类型、范围、目的、收集敏感个人信息的必要性和对个人权益的影响;敏感个人信息的,个人信息处理者应为个人信息主体提供便捷的撤回同意的方式,同时宜向个人信息主体说明撤回同意可能对个人产生的影响。

【安全保护】对于敏感个人信息的安全保护要求,从制度、人员、管理留痕等角度均提出了具体要求,当然部分要求也区分了不同处理活动进行讨论。

序号

工作分项

合规响应要求

用人单位注意事项

1

管理制度

- 敏感个人信息处理相关方安全职责;

- 全流程数据处理安全要求;

 在设置制度、规程和审批流程时,不仅应考虑外部客户的个人信息处理如何管理,对内部员工信息的管理也应在制度中有同步安排。

2

操作规程

- 建立敏感个人信息删除机制并提供个人信息主体删除的便利机制;

<10W+>,指定个人信息保护负责人和管理机构。

3

授权审批流程

- 审批敏感个人信息的内部共享、对外提供、公开、批量查询、明文显示、下载和输出等重要操作;

- 按最少够用原则,严格限制敏感个人信息访问权限和有效期;

- 敏感个人信息权限申请和使用应基于业务需要,且仅授予访问其业务所必需的最少敏感个人信息类型和数量;

- 敏感个人信息字段级访问控制;

原则上结构化数据权限申请应能细化到表的字段,非结构化数据权限申请应能细化到文件。

4

人员权限与操作管理

- 具有敏感个人信息操作权限的人员,作为关键岗位人员进行安全管理;

- 定期梳理可访问敏感个人信息的应用和数据接口,采用安全措施;(身份鉴别、访问控制、最小授权、安全通道、加密传输和时间戳等)

- <10W+>个保负责人具备专业知识和相关管理工作经历,由管理层担任;

- <10W+>个保负责人和关键岗位人员通过安全背景审查;

敏感个人信息安全风险监测预警和响应机制,对超出业务正常需求的异常操作及时响应;(异常操作如频繁或大量敏感个人信息浏览查询、下载和打印,非工作时间操作等)。

思路同上,在授权审批流程、审批人员权限方面,对本单位员工的信息处理权限,可以与业务方面个人信息处理权限区分安排,如仅限人力部门员工参与处理、在人力部门内部亦设置有不同的操作权限等。

5

安全保护工作留痕

- 对敏感个人信息处理和操作情况进行记录,日志记录应保存三年;

涉及敏感个人信息处理的新应用使用前进行个人信息保护影响评估,评估报告应保存三年。

除了部分标注业务类应用的要求,用人单位对员工的处理,并未被排除在安全保护的留痕、评估、审计范围之外。

6

评估

涉及敏感个人信息处理的新应用使用前进行个人信息保护影响评估;

7

审计

- 至少每月对敏感个人信息处理日志和用户权限进行安全审计,及时处理不合理的授权和操作;

- 参考GB/T 39335开展个人信息保护合规审计。

其他要求与一般个人信息的处理合规要求、生物识别信息处理要求中有所重叠,此处不再赘述。

四、 处理人脸信息的特别规定

《人脸识别技术应用安全管理办法》第六条规定有“基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意”,其第二款还规定有“基于个人同意处理人脸信息的,个人有权撤回同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力”。该办法第十条第一款规定有“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式”。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条规定“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形”。

结合实务经验分析,在用人单位要求员工打卡考勤的场景,难以符合前述“为提供产品或服务所必需”的范围,处理者不得要求自然人同意处理其人脸信息,不得强迫或变相强迫自然人同意,不得以与其他授权捆绑的方式要求同意。如果用人单位要求员工必须同意人脸打卡,则可能违反前述规定,进而被认定为侵权行为。

五、 违规处理员工敏感个人信息的风险

员工个人信息也是个人信息,对个人信息的侵害后果也适用于用人单位侵害员工个人信息的情形。

行政责任方面,《个保法》第六十六条规定,“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

单位对员工信息保护不当,在实务中确有受到行政处罚的可能,多见以警告为主,如邳公(开)行罚决字〔2022〕1878号、邳公(开)行罚决字〔2022〕1872号行政处罚决定显示,执法机关依据《个保法》第51条第一项、第66条第一款对有关用人单位处以“警告”的行政处罚,违法表现形式描述为“当事人在电脑excel表格内储存员工(教职工)姓名、联系方式、身份证号码等个人信息时,未采取设置单独密码保护、个人专用账户、留存使用日志等安全技术保护措施,不能有效的防止该贮存信息泄露、丢失,不能确保其收集的个人信息安全” 。

论及民事责任,主要在用人单位与具体个人之间,如果违规进行个人信息处理,比如未经个人同意收集、在个人不同意情况下强制收集、收集后未保管好而泄露等情况发生,那么单位可能基于个人的维权请求,向个人承担侵权责任,个人信息涉及人格权范畴,责任形式可能包括停止侵权、赔礼道歉、赔偿损失等,还可能涉及精神损害赔偿。

六、降低员工个人信息合规风险的思路

劳动关系不是平等主体间的关系,其本质特征在于用人单位与劳动者之间存在管理与被管理的从属性法律关系,与一般的平等商事主体之间的关系明显不同,所以用人单位的通知对员工具有一定的“强制”属性,很多管理安排也难以援引一般平等商事主体间在合同关系中的默示同意的规则来解释同意问题,在个人信息“告知-同意”的问题上,对于“默示”的认定会较为困难,比如如单位通过会议通知等方式仅仅通知劳动者参与人脸、指纹的信息录入,而劳动者未提出异议的,并不必然能认定是合法的“单独同意”。

为此,如用人单位确定需要收集员工人脸信息或指纹信息用于记录考勤的,建议提前取得员工的单独同意(必要时在员工手册、劳动合同等人力资源管理文本中可以作同步安排,补强同意的证明材料)。此外,提示注意要事先进行个人信息保护影响评估,对处理情况进行记录和保存。考勤时,应提供生物识别信息的替代方案,对于不同意指纹打卡或人脸打卡的员工,建议询问和记录理由,采取其他的传统打卡方式供其选择,以实现考勤管理目的。若个人撤回同意的,需要及时删除相关个人信息。

现阶段,实务中对于用人单位使用员工个人信息可被解释到豁免同意的范围尚且缺乏充分的司法实例指向,现存实例往往是在劳动争议中引发的,故法院个人信息保护纠纷案由中对于用人单位处理员工个人信息的行为审查与一般平台处理用户信息的审查,有一定差异,部分案例的结果适度支持了用人单位,体现了司法的裁判对用人单位管理权的理解,但用人单位对员工个人信息处理合规化安排已经迫在眉睫,应予以及时处理。

作者:李佳慧

上一篇:下一篇:金融·看法丨《法治宣传教育法》要点解读及实践路径

相关推荐