· 在A情境下，用人单位应当与受委托人就个人信息处理活动进行明确约定，并对受委托人的个人信息处理活动进行监督。

· 在B情境下，用人单位在提供个人信息给其他处理者之前需履行告知义务并取得单独同意。

如果是委托处理的话，委托存储以及审批的第三方只是一个受托人，其利益相关是不一样的；如果是转移给第三方的话，因为没有办法限制其主体行为，对告知同意这些可能有更强的要求。

在a情形下，用人单位与受托人明确处理活动的约定，对其进行监督，那么在这种情况下，它也是属于为了履行公司的规章制度，或者是与公司签订劳动合同的一个必要，它只是一个存储的问题。

在b情形下，用人单位提供个人信息，实际上可能存在有转移的目的。

难点：在人力资源管理实践中，前述两种情形的界限较为模糊。因此，用人单位需要综合评估第三方在个人信息处理过程中的决定权、个人信息处理活动的性质以确定第三方属于何种地位，在此基础上履行相应的义务。

02、需要取得员工“单独同意”的场景及实践操作

五个场景：

建议：在目前具体细则尚不明朗的情况下，建议企业就需要获取单独同意的个人信息处理事项（特别是处理敏感个人信息和跨境传输），依然通过单独的同意书（避免“捆绑授权”）取得员工的单独同意。

观点A：单独同意可以适用豁免事由。

从文义解释的角度，“单独同意”属于“同意”的一种形式，而第十三条第二款规定“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意”，可见豁免情形应适用于《个保法》规定的全部“同意”要求，是一种整体性豁免，自然也应适用于“单独同意”的要求。

从体系解释和法益保护的角度，以第十三条第一款第四项中涉及的“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”这一情形为例，该事由下要求取得个人单独同意的可能性和合理性极低，如果认为第四项下的豁免事由可以适用于上述单独同意的情形，同理第二至七项的其他情形也应适用。

观点B：单独同意不可以适用豁免事由。

从文义解释角度，“单独同意”并不单纯是“同意”的子集，而是一种更高标准的“同意”。当“同意”因具备其他合法性基础被豁免时，并不意味着“单独同意”也被一并豁免。

从《个保法》的体系编排角度，第十三条规定在“第二章 个人信息处理规则”“第一节 一般规定”之下，而该章其他节以及其他章为针对特定情形的特别规定。按照特别规定优于一般规定的规则，第十三条第一款第二至七项的豁免情形只能适用于该章节中规定的个人同意相关情形，而不能直接适用于该章节以外的其他要求取得个人同意的情形（也即至少不能直接适用于第二十九条规定的处理个人敏感信息情形和第三十九条规定的跨境处理个人信息情形）。

划重点：值得注意的是，即使认为“单独同意”可以基于第13条取得豁免，企业仍需进一步判断数据处理行为是否符合“实施人力资源管理所必需”这一要件。同时，在涉及个人敏感信息、公开处理、跨境传输、提供给第三方等影响个人利益的重大事项的情况下，有可能会对“必要性”的判断采用更为严格的标准。因此，从结果而言，适用豁免事由的实践难度也并不低。

一般而言，企业收集员工的照片是用于人力资源管理和存证功能，在公共区域安装摄像头则是为了安保目的。

如果是基于以上目的，而不通过照片或摄像头来提取员工个人的生物识别特征用于面部识别的话，则我们认为并不构成收集个人图像、身份识别信息。

如果企业想要在办公楼安装图像采集、个人身份识别设备（比如人脸识别设备），则必须是为维护公共安全所必需且收集的个人图像、身份识别信息只能用于维护公共安全的目的，否则应当取得员工的单独同意。

一般而言，企业基于合法事由以及必要性原则收集的员工个人信息，在职员工不应当有权要求企业删除，否则会造成企业人力资源管理以及履行其他法定义务的障碍。就该种情况，建议企业在规章制度中进行规定或者与员工进行明确约定。

但区别于在职员工，候选人和离职员工应当在合法合理的情况下有权要求企业删除其个人信息。

候选人如果未能入职企业，则候选人有权要求企业在确定不录用后的合理期限经过后（如：一定期限内不能再次应聘该企业）删除其个人信息。

离职员工也有权要求企业在其离职后的合理期限（可能需要考虑竞业期）经过后删除其个人信息。建议企业与离职员工就其离职后的个人信息处理事先进行协商和约定。