《个人信息保护法》（以下简称《个保法》）第13条第1款第2项规定的“实施人力资源管理所必需”作为个人信息处理的法律根据，是《个保法》草案二审时经多方建议后增设，旨在解决用人单位人力资源管理中必需处理、但难以通过告知同意的方式获得劳动者同意的问题。该条目的在于促进个人信息合理利用、便于企业、单位的经营管理活动，而适当限制个人信息处理的自我决定权。同时，该项规定也有利于促进对外开放，便于我国企业“出海”和外国企业在我国的投资经营活动。

根据文义解释，该条仅限于与劳动关系有关、且按照依法制定的劳动规章制度和依法签订的集体合同实施的人力资源管理活动。由此产生两个问题：第一，法律为何作此限制？第二，其他类型人力资源管理活动处理个人信息的法律依据为何？

（一）为何仅限于与劳动关系相关的人力资源管理活动

从立法过程看，“劳动关系相关”的限制在草案第三次审议后加入，是考虑到非劳动关系的用人关系具有独特性，此类单位与个人之间的权利、义务、责任需由特别法调整。这种特殊关系指的就是国家机关与公务员（以及参公单位与参公人员）之间的关系。国家机关处理公务员信息依特别法及《个保法》“国家机关处理个人信息”的规定执行。这种区分不同于欧盟《通用数据保护条例》同等对待公共和私营部门雇员的规定。对于“事业单位”，从《个保法》层面区分劳动关系与聘用关系意义不大，故可适用本条的规定。

（二）与劳动关系相关的人力资源管理活动的界定

“劳动关系相关”是指《劳动法》等调整的劳动关系范畴，主体为用人单位与劳动者。劳动关系的认定以实际用工及从属性为核心，涵盖多种用工形态，无论是否签订书面合同，其本质特征在于劳动者对于用人单位具有人格、经济和组织上的从属性。我国与劳动关系相关的人力资源管理活动涵盖从劳动合同的磋商订立，到劳动合同的履行、再到劳动合同的终止消灭的全过程。涉及自动化决策、收集处理身份信息、监控工作数据、转移留存档案信息等多种个人信息处理行为。

（三）如何理解依法制定的劳动规章制度和依法签订的集体合同

劳动关系的本质是从属性，用人单位对劳动者行使控制力就包括了实施人力资源管理所需的个人信息处理活动，此类处理需以本身“合法”为前提。劳动规章制度和集体合同共同构成人力资源管理的合法性基础，二者需同时满足程序合法和内容合法，否则不得作为处理个人信息的法律依据。

1.劳动规章制度和集体合同的制定或签订的程序合法

根据《劳动法》《劳动合同法》的规定，用人单位制定、修改涉及劳动者切身利益的规章制度或重大事项时，应当经职工代表大会或全体职工讨论，并公示或告知劳动者；集体合同由工会或职工代表与企业签订。若不符合上述程序，则不属于依法制定的规章制度或集体合同，不得作为人力资源管理及个人信息处理的法律依据。

2.劳动规章制度或集体合同中关于个人信息处理的规定或约定合法

用人单位依合法的劳动规章制度和集体合同实施人力资源管理、处理劳动者个人信息，需满足两点要求：一是制度或合同中需明确约定个人信息处理事项，如未告知，则不得以此作为处理依据，因为第13条第1款第2项并未免除告知义务；二是相关规定或约定内容须合法，不得违反法律强制性规定、违背公序良俗或排除劳动者主要权利。

（一）个人信息处理活动旨在维护用人单位的合法利益并且与之直接相关

判断个人信息处理是否属实施人力资源管理所必需，需满足“维护用人单位合法利益且直接相关”。具体要求包括：第一，利益合法性：处理目的须合法，不得侵害个人或公共利益，如维护工作纪律、安全利益和预防犯罪等属合法利益，阻止员工行使权利则不合法。第二，利益明确性：合法利益须清晰、明确且真实的，非模糊或推测的，以便与劳动者权益进行权衡，判断处理必要性。第三，目的关联性：处理活动须围绕合法利益展开，与目的直接相关，不得超出该目的范围。

（二）个人信息处理活动对于维护用人单位的合法利益是必要的

实施人力资源管理所必需的个人信息处理需符合必要原则，即处理活动对维护用人单位合法利益是不可或缺的（如调查员工窃取数据的监控、在特定岗位招聘中收集健康信息），超出必要范围则违法。欧洲法院强调数据处理需“绝对必要”，德国法律草案提出了必要性审查的详细判断标准，并权衡雇主与员工的利益。我国司法实践中，法院以最小必要原则为标准审查。处理敏感个人信息时，需满足特定目的、充分必要性及严格保护措施，法院的审查标准更严格。

（三）个人信息处理活动采取的是对个人权益影响最小的方式

依据目的限制原则，个人信息处理需采取对个人权益影响最小的方式，“个人权益”涵盖人身、财产权益及宪法基本权利、特殊群体享有的个人权益。判断是否符合该要求需遵循比例原则，综合权衡多种因素。欧洲法院通过“三阶段测试”平衡权益，强调仅当保护用人单位合法利益需求超越劳动者权益时处理活动才合法。职场监控中，欧洲法院态度严格，要求实施监控之前通知被监控者并限定数据范围；我国司法实践相对宽松，在一定程度上认可公共区域及办公设备监控合理性，但应当平衡管理利益与隐私保护。

我国《个保法》将“实施人力资源管理所必需”作为独立法律根据，在实际劳动场景下，该制度与其他合法性基础存在重叠并存的现象。

（一）与为履行个人作为一方当事人的合同所必需的关系

《个保法》第13条第1款第2项也将“为订立、履行个人作为一方当事人的合同所必需”列为信息处理的法律依据，劳动合同属此类合同，故用人单位处理劳动者个人信息时可选择“实施人力资源管理所必需”或“为订立或履行劳动合同所必需”。二者最大差异在于依据不同：前者依据劳动规章制度和集体合同，需法定程序，对全体劳动者有约束力；后者仅依据劳动合同，由双方一对一协商成立，仅对特定劳动者有效。实践中用人单位更多采用前者作为处理依据。

（二）与为履行法定义务所必需的关系

《个保法》第13条第1款第3项规定的“为履行法定义务所必需”，指个人信息处理者需履行法律、法规和规章规定的公法义务，其与“实施人力资源管理所必需”的个人信息处理活动多数情形下区别明显，但也存在竞合的可能。例如，食品生产企业要求工人定期体检以排查传染病，既属人力资源管理范畴，也因《食品安全法》强制要求而构成履行法定义务。

（三）与为维护处理者的合法利益所必需的关系

在比较法上，处理者合法利益常作为独立个人信息处理法律根据。我国《个保法》未单独规定该依据，因合法利益解释适用具不确定性，且“实施人力资源管理所必需”已涵盖用人单位大部分合法利益——用人单位可通过劳动规章制度和集体合同约定相关处理活动维护自身权益。

在《个保法》第13条第1款第2项理解与适用需注意以下四点：第一，该条款以便于企业单位正常经营管理为目的，调整非公共部门的劳动关系。第二，依据此条进行的个人信息处理活动需要同时满足《劳动法》和《个保法》的相关规定，做到程序、内容均合法。第三，以必要、目的限制原则来约束个人信息处理活动。第四，该条款与“为履行个人作为一方当事人的合同所必需”“为履行法定义务所必需”在特定场景存在重叠或竞合关系，信息处理则可以择一适用。

参考文献：《论实施人力资源管理所必需的个人信息处理活动》

（本文文字实习编辑龚欣雨。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章，一律不得转载。）