人力资源隐私管理约定.docxVIP

人力资源隐私管理约定

本约定旨在明确雇主（以下简称“公司”）与员工（以下简称“个人”）之间在处理个人人力资源信息（PHRI）时的权利、义务和责任，确保个人信息的合法、正当、必要、安全处理，并保护个人的隐私权。

第一条定义与范畴

1.1本约定所指“个人人力资源信息”（PersonalHRInformation,PHRI）是指能够识别或可识别特定自然人的各种信息，包括但不限于：基本信息（如姓名、性别、出生日期、身份证号码、护照号码、联系方式、家庭住址、紧急联系人信息等）、教育背景、工作经历、婚姻状况、健康状况、残疾状况、宗教信仰、薪酬福利信息、绩效评估记录、培训记录、奖惩记录、考勤记录、背景调查信息、员工档案编号、照片、指纹、虹膜等生物识别信息、离职信息等。其中，身份证号码、护照号码、社会保障号码、银行账号、健康信息、残疾状况信息、生物识别信息等属于敏感个人信息，公司将采取更严格的保护措施。

1.2敏感个人信息的处理，除遵守本约定外，还应当符合法律法规及公司另行制定的更严格的内部管理规定。

1.3本约定适用于公司所有员工（包括全职、兼职、临时工等）在入职、在职及离职期间，以及前员工、应聘者等与公司处理PHRI相关的所有活动。

第二条信息收集与告知

2.1公司仅在为实现特定的、与个人履行工作职责或劳动合同直接相关的合法业务目的，且具有明确、合理依据的情况下收集PHRI。

2.2公司通过招聘广告、录用通知、员工手册、内部规章制度、信息系统条款、入职登记表、背景调查授权书、签署确认函等方式，向个人告知本约定内容以及其PHRI的处理规则。

2.3公司告知的内容包括但不限于：收集PHRI的具体目的、具体的PHRI类型、信息的使用和共享方式（包括内部共享和外部披露的对象、条件和范围）、个人依法享有的权利及行使方式、相关的法律依据、公司采取的安全保护措施、以及个人投诉或寻求帮助的途径。

第三条信息使用与处理

3.1公司处理PHRI必须有合法依据，通常包括：为履行劳动合同或签订/续订劳动合同所必需；履行法律法规规定的义务；为管理、监督或评价员工的绩效、能力、行为所必需；为提供薪酬福利、社会保险、职业发展、培训等人力资源管理服务所必需；为维护公司资产安全、防范风险所必需；个人同意；法律法规规定的其他合法基础。

3.2公司处理PHRI应当遵循目的限制原则，即不得超出告知或在合理预期范围内与处理目的相关联的其他合法目的，除非获得个人的额外同意或基于更合法的基础。

3.3未经授权，公司任何人员不得将PHRI用于与工作职责无关的目的，不得利用PHRI对个人进行歧视或骚扰，不得将PHRI用于任何非法活动。

第四条信息共享与披露

4.1公司仅在实现收集PHRI时所声明的目的，或为履行法律法规义务、维护公司重大利益所必需，且已尽到合理通知或说明义务（除非法律法规另有规定或通知个人将损害合法利益且个人明确反对）的情况下，才能向第三方披露个人的PHRI。

4.2公司在以下情形可能需要向第三方披露PHRI：

(a)经个人书面同意；

(b)为履行法律法规、监管机构或司法机关的要求；

(c)为应对法律诉讼或仲裁、履行合同义务；

(d)为维护公司安全、防范或调查欺诈、安全事件等；

(e)与提供业务服务的外部服务商（如HR系统服务商、薪酬外包商、背景调查机构、法律顾问等）共享信息，前提是必须对这些服务商进行严格审查，并要求其承担保密义务，仅用于履行特定服务，不得用于其他目的；公司对外部披露将采取必要措施控制风险。

4.3公司在法律法规要求或为保护公司重大利益而需要披露PHRI，且无法避免时，将事先尽可能通知个人（除非通知个人将直接危害公司的合法利益或安全）。

第五条信息安全与保密

5.1公司承诺采取与其PHRI价值、风险程度相适应的、合理的组织技术措施，保障PHRI的机密性、完整性和可用性，防止未经授权的访问、使用、披露、丢失、篡改、破坏或损坏。这些措施可能包括但不限于：访问控制（身份认证、权限管理）、数据加密（传输和存储）、网络安全防护、物理安全措施、安全审计、数据备份与恢复、员工信息安全培训与意识提升等。

5.2个人有义务妥善保护其能够接触到的PHRI，遵守公司的信息安全规章制度，不得泄露、篡改、毁损或用于约定之外的目的。个人离职时，应按照公司规定及时归还包含PHRI的文件、资料、设备，并销毁其个人存储在个人设备中的公司PHRI。

5.3公司及接触PHRI的员工应对包含PHRI的文件、数据、系统等进行保密，未经授权不得向任何第三方披露。对于因工作需要需要复制的PHRI，应采取同等安全保护措施。

第六条个人权利行使

6.1个人有权访问其被公司处理的PHRI，了解其PHRI的存