《个人信息保护法》下员工个人信息保护合规清单

《个人信息保护法》下员工个人信息保护合规清单员工个人信息保护制度构建是否建立员工个人信息保护制度？□是□否是否建立员工个人信息分类分级保护机制，根据员工个人信息性质，选择适用不同的合法性基础，比如事先区分哪些个人信息为实施人力资源管理所必须，哪些信息需事先获取员工同意？□是□否是否通过显著方式（劳动规章制度、（集体）劳动合同等）向员工以清晰易懂的语言真实、准确、完整地明确告知员工个人信息保护制度（范围、目的、处理方式、救济等），并让员工阅读知悉并签字？□是□否在处理员工敏感个人信息时，是否事先获取员工的单独同意，即在处理员工敏感个人信息前就该事项进行单独告知并获取同意？□是□否是否将员工个人信息的处理范围限制在实施人力资源管理的必要范围之内？（比如在办理入职手续时仅处理姓名、年龄、学历、工作经历等“与劳动合同直接相关”的个人信息，而不得收集婚育情况、宗教信仰等与劳动合同并不直接相关的个人信息）□是□否当员工个人信息保护制度变更或超出员工同意处理个人信息时，是否重新告知员工，并在必要情况下获取其同意？

□是□否是否建立便捷的员工行使权利的申请受理和处理机制，当存储的员工个人信息存在错误或超出同意/人力资源管理必要范围时，给予员工必要有效的救济？□是□否是否采取相应的加密、去标识化等安全技术措施保障员工个人信息安全？□是□否是否建立员工个人信息安全事件应急机制？□是□否是否将非法处理员工个人信息的行为列举为重大违纪行为，以降低以非法处理员工个人信息为由解除劳动关系的法律风险？□是□否是否明确员工个人信息保护责任人或负责机构？□是□否是否根据部门及岗位职责设计不同的员工个人信息访问权限？□是□否是否与可接触、处理员工个人信息的岗位人员（比如财务人员、档案管理人员、人事部员工等）签署保密协议？□是□否是否定期开展员工个人信息保护安全教育与培训，并做好留痕工作？□是□否日常管理中的员工个人信息保护是否引入基于指纹、声纹、人脸信息等生物识别信息或地理位置、行踪轨迹等信息的考勤系统？□是□否是否提供其他可替代的考勤方式供员工选择？□是□否在办公区域安装监控设备时，是否事先对员工进行明确告知，并在视频采集区域设置显著的提示标识？□是□否是否仅在公开办公区域安装监控设备的情况？□是□否是否会对员工的工作邮箱、电话、其他信息系统进行监控？在采取前述监控措施前，是否向员工明确告知用人单位对公司设备、邮箱、系统等采取的监控措施和形式，并明确告知用人单位可监控的信息范围？□是□否企业在引入前述可能采集员工个人敏感信息的考勤系统或监控设备前，是否对设备安装的必要性与风险进行评估，是否征求员工意见？□是□否企业在收集前述人脸信息等个人敏感信息时，是否在实现相应目的后及时删除原始数据，仅存储摘要信息或尽可能本地化部署系统服务器或识别算法？□是□否涉及利用员工个人信息进行自动化决策的，是否采取措施避免出现算法歧视或不合理差别待遇等情况？□是□否是否对利用员工个人信息进行自动化决策活动事前进行个人信息保护影响评估并采取相应的安全保障措施？□是□否是否定期对其处理员工个人信息遵守法律、行政法规的情况进行合规审计？□是□否对外提供或委托处理中的员工个人信息保护对外提供或委托处理员工个人信息是否出于合法、必要的目的（比如代缴社保、绩效分析、业务外包、背景调查等），并将员工个人信息的类型、数量、颗粒度控制在实施人力资源管理的必要范围之内？□是□否在委托处理员工个人信息、向其他个人信息处理者提供员工个人信息、公开员工个人信息时，是否事前进行个人信息保护影响评估，并对处理情况进行记录？□是□否在对外提供或委托处理员工个人信息前是否事先向员工告知，并获取员工的单独同意？□是□否是否对接收方的个人信息保护能力和相关业务资质进行评估？□是□否是否与接收方签订协议以明确个人信息保护义务？□是□否需向境外提供员工个人信息的，是否就该事项获取员工的单独同意？□是□否是否与境外员工个人信息接收者签订个人信息保护协议？□是□否在向境外提供员工个人信息前，是否具备下列条件之一：（1）通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（4）法律、行政法规或者国家网信部门规定的其他条件□是□否是否对员工个人信息的跨境流动活动事前进行个人信息保护影响评估并采取相应的安全保障措施？□是□否应外国司法或执法机构要求提供存储于中国境内员工个人信息的，是否获得主管机关的批准？□是□否招聘过程中的个人信息保护通过自运营的APP、公众号、小程序、网站等平台收集应聘者简历时，是否制定符合相关法律规定的隐私政策或个人信息保护政策？□是□否通过第三方招聘平台、猎头公司、劳务派遣公司等外部机构获取应聘者或劳务派遣人员个人信息时，是否与外部机构核实该个人信息来源的合法性及个人信息主体的同意范围？□是□否通过外部机构获取的个人信息超出个人信息主体的同意范围的，是否要求外部机构或自行向该个人信息主体重新告知并获取同意？□是□否与关联公司共享应聘者个人信息的，是否进行事前告知并获取同意？□是□否自行或委托第三方调查机构对应聘者进行背景调查时，是否以书面形式告知背景调查涉及的个人信息范围、目的、使用方式以及第三方调查机构的名称等相关信息，并请应聘者签字同意，且将个人信息处理活动限制在必要范围内？□是□否引入具备自动决策机制的信息系统对应聘者进行筛选的，在规划设计阶段或首次使用前是否开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施？□是□否是否在使用过程中定期（至少每年一次）对上述信息系统开展个人信息安全影响评估，并依评估结果改进个人信息保护措施？□是□否采用自动决策机制对应聘者进行筛选的，是否对应聘者提供针对自动决策结果的投诉渠道，并支持对自动决策结果的人工复核？□是□否招聘环节结束后，是否及时对未录用者的个人信息进行删除、销毁或匿名化处理？□是□否离职员工的个人信息保护是否对离职员工的个人信息进行分类分级，并根据法律的不同要求进行存储？□是□否法律、行政法规规定的保存期限未届满，或删除个人信息从技术上难以实现的，是否及时停止除存储和采取必要的安全保护措施之外的处理？□是□否在法定的存储期限结束或已无必要存储时，是否及时对离职员工的个人信