我国目前在个人信息保护领域尚无专门的立法。有关“个人信息”具体范围的规定散见于《网络安全法》、《刑法》及其司法解释、工业和信息化部发布的部门规章以及国家市场监督管理总局和中国国家标准化管理委员会联合发布的国家标准《信息安全技术-个人信息安全规范（征求意见稿）》。具体情况如下：

1、依据《网络安全法》（2016年11月7日发布、2017年6月1日生效）第七十六条第（五）款规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于：自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

2、依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年5月8日发布、2017年6月1日生效，以下简称“《司法解释》”）第一条规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括：姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。由此可见，相较于《网络安全法》，前述《司法解释》规定的“个人信息”范围扩大到了“能够反映特定自然人活动情况”的信息，例如：账号密码、财产状况、行踪轨迹。

3、依据《信息安全技术-个人信息安全规范（征求意见稿）》（2019年10月22日发布，以下简称“《安全规范（征求意见稿）》”）第3.1条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。具体包括：姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。同时，该征求意见稿进一步规定，判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。[1]由此可见，《安全规范（征求意见稿）》规定的个人信息范围较为宽泛，不仅包括可以单独或与其他信息结合识别特定自然人身份的信息，也包括因特定自然人的活动而产生的信息。

根据《欧盟通用数据保护条例》（2018年5月25日起生效，General Data Protection Regulation，以下简称“GDPR”）第4条的规定，个人信息指与可识别的或者已经识别的自然人有关的任何信息。其中，可识别的自然人指可以直接或间接识别的自然人，特别是通过识别标志，比如姓名、识别号码、位置数据、在线身份识别，或者就该自然人的身体、生理、基因、精神、经济、文化或社会身份而言特定的一个或多个因素。[2]笔者认为，GDPR中有关个人信息范围的界定标准与上述我国的《安全规范（征求意见稿）》及《司法解释》的界定标准相对接近，几乎涵盖了“与特定自然人有关的全部信息”。

虽然我国现行劳动法律法规并未直接对“员工个人信息”的具体范围作出明确的规定，但是《劳动合同法》明确规定了“用人单位可收集的员工个人信息”的大致范围。依据该法第八条的规定，用人单位可收集的员工个人信息仅限于“与劳动合同直接相关的基本情况”。结合实践中多数用人单位的操作，前述信息主要包括：姓名、性别、民族、籍贯、身份证号码、住址、个人邮箱、健康状况、学历学位、工作经历、紧急联系人（或主要家庭成员）等。

此外，针对婚姻、生育状况等信息是否属于“与劳动合同直接相关的信息”的问题，司法实践中，裁判者一般认为前述信息与劳动合同的履行没有必然关联，属于个人隐私的范畴，不属于“与劳动合同直接相关”的信息。

如上所述，在我国现有法律框架下，用人单位可收集、使用的“员工个人信息”仅限于与劳动合同直接相关的信息，该等信息均属于《网络安全法》、《司法解释》及《安全规范（征求意见稿）》规定的“公民个人信息”的范畴。因此，用人单位收集、使用员工个人信息时，也应当遵循《网络安全法》[3]、《安全规范（征求意见稿）》[4]规定的“必要”或“最小必要”原则。

基于我国尚无个人信息保护专门立法的现状，对于用人单位侵犯员工个人信息的法律责任也同样散见于《网络安全法》、《民法总则》、《刑法》以及相关的司法解释中。具体情况如下：

依据《网络安全法》第七十四条规定，违反本法规定，给他人造成损害的，依法承担民事责任。同时，依据《民法总则》（2017年10月1日起生效）第一百一十条及第一百二十条的规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。如违反前述规定并导致自然人的民事权益受到侵害的，被侵权人有权请求侵权人承担侵权责任。[5]

据此，笔者认为，如用人单位在收集、保存、管理、使用、传输员工信息时未遵循相关法律的要求、存在“侵犯员工个人信息”行为的，可能面临的民事责任主要为侵权责任。在现行法下，承担民事责任的方式主要包括：停止侵害、恢复原状、赔偿损失、消除影响、恢复名誉等。[6]

根据《网络安全法》第四十条至四十四条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息；不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息（经过处理无法识别特定个人且不能复原的除外）；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息[7]。鉴于《网络安全法》定义的“网络运营者”包括“网络的所有者、管理者和网络服务提供者”，因此，我们认为，前述《网络安全法》的相关规定对于利用网络（包括内部网络）进行用工管理的用人单位也具有约束力。

如违反上述规定的，根据《网络安全法》的规定[8]，用人单位将面临承担行政责任的风险。相关行政责任具体表现为：

（1）由有关主管部门责令改正；

（2）根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款；

（3）对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；

（4）情节严重的，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

2009年出台的《刑法修正案（七）》[9]增设了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”等两个罪名，首次将非法获取、出售、向他人提供公民个人信息的行为纳入刑法规制的范畴。根据该规定，国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员，违反国家规定，非法获取、出售、向他人提供该单位在履行职责或者提供服务过程中获得的公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

2015年11月1日实施的《中华人民共和国刑法修正案(九)》将“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”进一步调整为“侵犯公民个人信息罪”[10]，并拓宽了相关犯罪的犯罪主体（从特殊主体变为一般主体），加重了相关犯罪的法定最高刑（从三年有期徒刑变为七年有期徒刑），犯罪对象也扩大到一般的个人信息，不再局限于“在履行职责或者提供服务过程中获得的公民个人信息”。可见，对于侵犯公民个人信息的犯罪，刑法的惩处力度趋于严格。

在现行刑法体系下，违反国家规定，实施了非法获取、出售或者提供公民信息，且情节严重或情节特别严重的行为构成侵犯公民个人信息罪。所谓“情节严重”是指：

（1）出售或者提供行踪轨迹信息，被他人用于犯罪的；

（2）知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；

（3）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（4）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（5）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

（6）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；

（7）违法所得五千元以上的；

（8）将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；

（9）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；

（10）其他情节严重的情形。

“情节特别严重”是指：

（1）造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；

（2）造成重大经济损失或者恶劣社会影响的；

（3）数量或者数额达到上述“情节严重”第（3）项至第（8）项规定标准十倍以上的；

（4）其他情节特别严重的情形。

需要注意的是，侵犯公民个人信息罪的犯罪主体为一般主体，且自然人和单位均能成为本罪主体。在单位犯罪的情况下，单位及直接负责的主管人员和其他直接责任人员均将承担相应的刑事责任，具体如下：

1）情节严重的，单位处罚金，直接负责的主管人员和其他直接责任人员处三年以下有期徒刑或者拘役，并处或者单处罚金；

2）情节特别严重的，单位处罚金，直接负责的主管人员和其他直接责任人员处三年以上七年以下有期徒刑，并处罚金。