华炬数小合 | 《个人信息保护法》最新案例解读:公司人力资源部门处理员工个人信息应严格遵循合法正当、最小影响等原则

2026-01-12


2025年11月,在《中华人民共和国个人信息保护法》正式实施四周年之际,某市中级人民法院向社会发布涉及个人信息权益保护的系列典型案例。近期本专栏对这些案例逐一进行分享,期望通过对这些案例的分析和分享,进一步提高普通大众对数据权益保护和个人信息保护的认识。本期分享的是文某与某咨询公司网络侵权责任纠纷案,这是一起公司远程清除离职员工手机数据引发的侵权案件,法院认为用人单位在实施人力资源管理时,处理员工个人信息要履行充分告知和征求意见等义务,遵循合法正当、最小影响等处理原则。该判决为同类案件中的“信息灭失”举证难题提供了裁判指引。



一、案件情况


文某曾系某咨询公司的员工,公司为其配发案涉手机用于日常办公。2023年3月13日,文某通过邮件向公司发送离职通知,但没有想到当日公司在未经文某许可,也未告知文某的情况下,由案外人某集团协助公司进行远程操作删除了文某储存在案涉手机中的全部信息。信息丢失后,文某以案涉手机存储个人信息丢失为由,向公司提起侵权之诉,要求其承担责任。某咨询公司在诉讼中辩称,案涉手机属于公司设备,文某获取手机时知情且同意公司对其设备的管理规定及政策,因此设备应当仅用于开展公司相关业务而不应存储个人信息,公司的行为并无过错,符合规定。



二、裁判结果


一审法院最初支持了公司的主张,认为文某无法提供直接证据证明手机内存储有个人信息,且咨询公司恢复出厂设置的操作属于通行做法且“未超过公司规定范畴”,符合《个人信息保护法》第十三条第一款第二项规定的“实施人力资源管理所必需”的免责情形,据此驳回了文某的全部诉求。


文某不服一审判决,提出上诉。二审法院主要围绕两个争议焦点进行审理,焦点1:没有直接证据,怎么认定手机有个人信息?本案中,涉案手机数据已被彻底删除,员工通常难以提供直接证据证明其中存储了个人信息。对此,二审法院明确:在个人信息权益受损类案件中,受害人对相关事实的证明可适用“高度可能性”标准。法院指出,综合以下因素——公司并未禁止员工在工作设备中存放个人数据、日常生活中手机普遍存有通讯录、聊天记录等个人信息、以及文某在数据被删后所表现出的反应具有合理性——足以认定该手机中存储其个人信息的事实具有高度可能性。焦点2:公司删信息,为何不满足“免责情形”?就远程清空手机的行为,法院审查了该公司内部政策文件,发现其中关于“设备数据清除”的措施仅适用于设备丢失、被盗或面临重大安全威胁等极端情形。而文某系正常提出离职,并未触发上述条件。法院认为,公司在未发生安全风险的情况下,径行采取最彻底的远程全盘删除手段,不仅违反了其自身制定的管理规定,也违背了《个人信息保护法》所要求的“最小影响”原则,缺乏行为的合理性与必要性,因此不属于为实施人力资源管理所必需的合法免责情形。据此,二审法院改判某咨询公司向文某书面致歉并赔偿合理开支。



三、案件示范意义


(一)示范意义

本案明确了用人单位在人力资源管理中处理员工个人信息的合理边界,具有重要的先例价值。法院指出,为保护技术秘密,企业有权制定数据安全管理制度,并可在员工离职时依照规范流程清除公司配发设备中的相关数据。即便企业引入了境外管理政策,仍须严格遵守中国法律法规,公司必须在履行充分告知等法定义务的基础上,确保其数据处理行为合法、正当,并遵循对个人权益影响最小的原则。此外,针对个人信息侵权案件中“信息已灭失”这一消极事实难以举证的问题,本案确立了相应的举证规则:法院可综合评估双方当事人的举证能力,兼顾公平与效率,通过间接证据并结合经验法则和逻辑推理,对相关事实作出合理认定。


(二)案件启示

此案折射出当前许多企业在数字化管理中的认识误区,虽然设备是公司的,但并不代表其中所有数据都属于公司;同时公司与员工之间虽然签订了相关协议,但格式条款不得排除用户核心权利,包括数据权利。


因此,对于企业来说,在合规管理方面不能“一刀切”,应该做好以下工作:一是制定清晰的《电子设备与数据管理政策》,区分工作数据与个人数据;二是离职流程中增设“数据清理告知环节”,给予员工一定时间的备份窗口;三是优先采用技术手段隔离工作/个人空间(如MDM移动设备管理+容器化应用);四是避免直接物理删除,可先冻结或远程擦除工作应用数据。而作为员工来讲,也应该提升自身的数据保护意识:一是尽量避免在工作设备中存储高度敏感的私人信息;二是定期备份重要个人数据至私人云盘或设备;三是如遇公司擅自删除数据,及时取证(如截图、邮件记录、设备日志)并依法主张《个人信息保护法》赋予的查阅、复制、删除、赔偿等权利。



四、结语


数字时代,最昂贵的不是手机,而是里面的记忆。法院的这份判决,给所有用人单位划了一条“带电”的高压线:管理权可以“格式化”设备,但绝不能“格式化”人格。用人单位的数据管理权,必须止步于个人信息权益的边界之前。若企业下次再想“一键清空”时,请先按下“确认备份”——那是法律要求的暂停键。



文 | 张帆




|  团队介绍 


华炬数小合数据合规与隐私保护法律(咨询)服务团队,聚焦数据要素市场,服务范围包括数据合规体系建设、数据资产入表、数据产品交易、IPO及上市公司数据合规、公共数据授权运营合规、数据出境合规、重点行业数据与隐私保护等。主要成员包括:邵华、张帆、赵文龙、郝亚菲等,团队成员通过国际认证EXIN DPO(数据保护官)&DPO-PIPL(中国个人信息保护官)认证、中国行为法学会数据资产管理师认证。团队致力于构建“一站式”数据服务模式,协同整合数商生态圈上下游资源,不断在数据要素各应用场景上突破创新,携手合作伙伴共创佳绩。


联系方式:15003511463;13834665942


左右滑动,查看华炬数小合服务目录



返回列表