員工個(gè)人信息保護(hù)合規(guī)要點(diǎn)清單

1、員工個(gè)人信息保護(hù)合規(guī)要點(diǎn)清單員工個(gè)人信息保護(hù)制度構(gòu)建1是否建立員工個(gè)人信息保護(hù)制度？是否2是否通過(guò)適當(dāng)?shù)姆绞剑▌趧?dòng)手冊(cè)、員工手冊(cè)、公司規(guī)章等）向員工明確告知員工個(gè)人信息保護(hù)制度（范圍、目的、處理方式等），并讓員工閱讀知悉并簽字同意？是否3是否將非法處理員工個(gè)人信息的行為列舉為重大違紀(jì)行為，以降低以非法處理員工個(gè)人信息為由解除勞動(dòng)關(guān)系的法律風(fēng)險(xiǎn)？是否4是否明確員工個(gè)人信息保護(hù)責(zé)任人？是否5是否建立員工個(gè)人信息分級(jí)分類保護(hù)機(jī)制，根據(jù)部門及崗位職責(zé)設(shè)計(jì)不同的員工個(gè)人信息訪問權(quán)限？是否6是否與可接觸、處理員工個(gè)人信息的崗位人員（比如財(cái)務(wù)人員、檔案管理人員、人事部員工等）簽署保密協(xié)議？是否7是否將員工個(gè)

2、人信息的處理范圍限制在必要范圍之內(nèi)？（比如在辦理入職手續(xù)時(shí)僅處理姓名、年齡、學(xué)歷、工作經(jīng)歷等“與勞動(dòng)合同直接相關(guān)”的個(gè)人信息，而不得收集婚育情況、宗教信仰等與勞動(dòng)合同并不直接相關(guān)的個(gè)人信息）是否8當(dāng)存儲(chǔ)的員工個(gè)人信息存在錯(cuò)誤或超出同意范圍時(shí)，是否給予員工必要有效的救濟(jì)渠道？是否9是否定期開展員工個(gè)人信息保護(hù)培訓(xùn)，并做好留痕工作？是否10是否建立員工個(gè)人信息安全事件應(yīng)急機(jī)制？是否日常管理中的員工個(gè)人信息保護(hù)11是否引入基于指紋、聲紋、面部數(shù)據(jù)等生物識(shí)別信息或地理位置、行蹤軌跡等信息的考勤系統(tǒng)？是否12是否提供其他可替代的考勤方式供員工選擇？是否13在辦公區(qū)域安裝監(jiān)控設(shè)備時(shí)，是否事先對(duì)員工進(jìn)行明確

3、告知，并在視頻采集區(qū)域設(shè)置明顯的標(biāo)識(shí)？是否14是否存在在非公開辦公區(qū)域（比如個(gè)人辦公室、更衣室）安裝監(jiān)控設(shè)備的情況？是否15是否會(huì)對(duì)員工的工作郵箱、電話、其他信息系統(tǒng)進(jìn)行監(jiān)控？在采取前述監(jiān)控措施前，是否向員工明確告知用人單位對(duì)公司設(shè)備、郵箱、系統(tǒng)等采取的監(jiān)控措施和形式，并明確告知用人單位可監(jiān)控的信息范圍？是否16企業(yè)在引入前述可能采集員工個(gè)人敏感信息的考勤系統(tǒng)或監(jiān)控設(shè)備前，是否對(duì)設(shè)備安裝的必要性與風(fēng)險(xiǎn)進(jìn)行評(píng)估，是否征求員工意見？是否17企業(yè)在收集前述面部數(shù)據(jù)等個(gè)人敏感信息時(shí)，是否在實(shí)現(xiàn)相應(yīng)目的后及時(shí)刪除原始數(shù)據(jù)，僅存儲(chǔ)摘要信息或盡可能本地化部署系統(tǒng)服務(wù)器或識(shí)別算法？是否對(duì)外提供或委托處理中的員

4、工個(gè)人信息保護(hù)18對(duì)外提供或委托處理員工個(gè)人信息是否出于合法、必要的目的（比如代繳社保、績(jī)效分析、業(yè)務(wù)外包、背景調(diào)查等），并將員工個(gè)人信息的類型、數(shù)量、顆粒度控制在必要范圍之內(nèi)？是否19在對(duì)外提供或委托處理員工個(gè)人信息前是否明確向員工告知，并獲取員工的明示同意？是否20是否對(duì)接收方的個(gè)人信息保護(hù)能力和相關(guān)業(yè)務(wù)資質(zhì)進(jìn)行評(píng)估？是否21是否與接收方簽訂協(xié)議以明確個(gè)人信息保護(hù)義務(wù)？是否22需向境外提供員工個(gè)人信息時(shí)，是否就該事項(xiàng)獲取員工的單獨(dú)同意？是否23是否對(duì)員工個(gè)人信息的跨境流動(dòng)活動(dòng)進(jìn)行事先風(fēng)險(xiǎn)評(píng)估并采取相應(yīng)的安全保障措施？是否24是否與境外員工個(gè)人信息接收者簽訂個(gè)人信息保護(hù)協(xié)議？是否招聘過(guò)程中的

5、個(gè)人信息保護(hù)25通過(guò)自運(yùn)營(yíng)的APP、公眾號(hào)、小程序、網(wǎng)站等平臺(tái)收集應(yīng)聘者簡(jiǎn)歷時(shí)，是否制定符合相關(guān)法律規(guī)定的隱私政策或個(gè)人信息保護(hù)政策？是否26通過(guò)第三方招聘平臺(tái)、獵頭公司、勞務(wù)派遣公司等外部機(jī)構(gòu)獲取應(yīng)聘者或勞務(wù)派遣人員個(gè)人信息時(shí)，是否與外部機(jī)構(gòu)核實(shí)該個(gè)人信息來(lái)源的合法性及個(gè)人信息主體的同意范圍？是否27通過(guò)外部機(jī)構(gòu)獲取的個(gè)人信息超出個(gè)人信息主體的同意范圍的，是否要求外部機(jī)構(gòu)或自行向該個(gè)人信息主體重新告知并獲取同意？是否28與關(guān)聯(lián)公司共享應(yīng)聘者個(gè)人信息的，是否進(jìn)行事前告知并獲取同意？是否29自行或委托第三方調(diào)查機(jī)構(gòu)對(duì)應(yīng)聘者進(jìn)行背景調(diào)查時(shí)，是否以書面形式告知背景調(diào)查涉及的個(gè)人信息范圍、目的、使用方

6、式以及第三方調(diào)查機(jī)構(gòu)的名稱等相關(guān)信息，并請(qǐng)應(yīng)聘者簽字同意，且將個(gè)人信息處理活動(dòng)限制在必要范圍內(nèi)？是否30引入具備自動(dòng)決策機(jī)制的信息系統(tǒng)對(duì)應(yīng)聘者進(jìn)行篩選的，在規(guī)劃設(shè)計(jì)階段或首次使用前是否開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施？是否31是否在使用過(guò)程中定期（至少每年一次）對(duì)上述信息系統(tǒng)開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果改進(jìn)個(gè)人信息保護(hù)措施？是否32采用自動(dòng)決策機(jī)制對(duì)應(yīng)聘者進(jìn)行篩選的，是否對(duì)應(yīng)聘者提供針對(duì)自動(dòng)決策結(jié)果的投訴渠道，并支持對(duì)自動(dòng)決策結(jié)果的人工復(fù)核？是否33招聘環(huán)節(jié)結(jié)束后，是否及時(shí)對(duì)未錄用者的個(gè)人信息進(jìn)行刪除、銷毀或匿名化處理？是否離職員工的個(gè)人信息保護(hù)34是否對(duì)離職員工的個(gè)人信息進(jìn)行分級(jí)分類，并根據(jù)法律的不同要求進(jìn)行存儲(chǔ)？是否35在法定的存儲(chǔ)期限結(jié)束或已無(wú)必要存儲(chǔ)時(shí)，是否及時(shí)對(duì)離職員工的個(gè)人信息進(jìn)行刪除、銷毀或匿名化處理？是否36需繼續(xù)處理離職員工個(gè)人信息的，是否重