文 | 北京策略（南京）律师事务所 张婧律师

一般而言，用人单位在办公场所安装摄像头，会采集到人脸信息等员工个人信息，涉及个人信息处理行为。《个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；……（七）法律、行政法规规定的其他情形。”据此，用人单位需满足第十三条所述七种情形之一方能在办公场所安装摄像头并处理员工个人信息。

业内通常将上述七种情形称为“个人信息处理的合法性基础”，主要包括第（一）项“取得个人的同意”，以及第（二）至第（七）项规定的其他法定情形，即免于取得个人同意的情形。本文旨在讨论一般情况下用人单位安装监控摄像头处理个人信息可普遍适用的合规路径。

《个人信息保护法》第十三条第（一）项规定“取得个人的同意”，用人单位可通过取得员工有效同意的方式，在办公场所安装摄像头并处理个人信息。

（一）如何取得个人同意

《个人信息保护法》第十四条规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”

根据该规定：其一，用人单位应确保员工是在充分知情的前提下作出同意，“充分知情”则要求用人单位就监控相关事宜向员工履行告知义务；其二，员工的同意应该是自愿作出、明确作出；其三，在特殊情况下，还需要员工单独同意；其四，用人单位应在员工同意的范围内处理个人信息，如处理目的、方式、个人信息种类发生变更，需要重新取得同意。

1．向员工告知监控事宜，确保员工充分知情

告知不应仅限于让员工知道工作场所存在摄像头。《个人信息保护法》第十七条第一款规定：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。” 

在2023年《天津高院与市文明办联合发布弘扬社会主义核心价值观典型案例》的案例10中，法院认为：“本案中，用人单位为加强管理，在工作场所安装摄像头具有一定合理性，但其在未通知原告情况下，在较为封闭的办公区域安装摄像头，单独对原告一人进行监控，且未告知监控目的及监控范围，超出了正常人事管理的必要限度，损害了韩某某的隐私权。”此案是少有的适用《个人信息保护法》来评价用人单位监控行为的案例，也是法院认定企业处理个人信息未履行告知义务且监控行为违法的案例。

2．由员工自愿、明确作出同意

(1) 关于自愿同意

欧洲数据保护委员会在《对第2016/679号条例下同意的解释指南》（《Guidelines 05/2020 on consent under Regulation 2016/679》）中指出，由于雇佣关系的特点，职场大部分数据处理的合法性基础不应该是雇员的同意；雇员若拒绝同意数据处理，很可能因担忧或实际面临不利后果而无法自由行使拒绝权；例如当雇主提出激活监控系统（如工作场所摄像头）或填写评估表格等要求时，雇员几乎不可能在毫无压力的情况下自由作出同意决定。

杨合庆主编的《中华人民共和国个人信息保护法释义》一书亦指出：“个人同意通常不能作为人力资源管理情形下处理个人信息的充分合法依据”，不过从法规层面而言，并未排除“个人同意”在劳动关系场景下的运用。

在国内涉职场监控的纠纷中，目前裁判中适用《个人信息保护法》的案例极少，且尚无案例认定职场监控行为需取得员工的同意；在一般劳动争议案件中，法院对于自愿性的认定较为宽松，原则上员工签名，例如在员工手册上签名，则签署的文件对员工有效。

(2) 关于明确同意

《中华人民共和国个人信息保护法释义》一书认为：“本法规定的明确作出同意，要求个人在特定场景中通过积极清楚的行为来表示对个人信息处理的接受，可以通过书面形式（或电子形式）、口头方式或者明确的肯定因为作出。因此，沉默、不作为或选出同意都不构成明确同意。”

针对需要员工同意的重要事项，传统做法是将文件打印纸质版并由员工亲笔签名，现在部分企业也会通过在线信息系统向员工发送通知或公告、由员工在线点击确认以示同意。但不论是纸质还是电子方式，都需要事先拟定文件，将个人信息处理的相关内容明确清楚。相比需要面对员工沟通并线下收集其签署的纸质文件，线上点击确认的方式显然更便捷，但线上方式相较而言存在更多证据效力风险需要关注和规避。

3．可能涉及需要单独同意

《个人信息保护法》第二十九条规定：“处理敏感个人信息应当取得个人的单独同意……”。

(1) 监控场景是否涉及敏感个人信息

《个人信息保护法》第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。” 

《网络安全标准实践指南—敏感个人信息识别指南》之《附录A常见敏感个人信息类别示例》中包含“人脸”等生物识别信息。

从司法实践来看，在一起检察机关针对换脸软件涉及的个人信息处理的（2023）浙0192民初4563号公益诉讼案件中，法院认为：“从虞**侵害行为所涉及的个人信息类型考虑。人脸信息属于敏感个人信息中至为重要的生物识别信息，是与特定自然人唯一对应的、难以改变的个人生物特征，人脸信息的滥用关涉到每个个人的人格尊严、人身安全和财产安全，不仅关乎个人私益，更涉及不特定社会群体的公共利益。”在（2021）湘0111民初7055号案件中，法院认为：“人脸信息属于敏感个人信息，保存和使用不当，可能对个人的人身和财产安全造成严重危害，不能苛求平台、出租方强制要求所有电单车用户同意处理其人脸信息并以此来保证实际使用人与账号注册人相符。”在其他如物业管理、房地产营销场景的案例中，法院亦认为人脸信息属于敏感个人信息。

据此，当下对人脸信息属敏感个人信息存在规范层面以及裁判层面的支撑，且从学界及实务界文章来看，亦普遍直接视人脸信息为敏感个人信息。从合规角度，需要按照敏感个人信息对待，以避免风险。

人脸信息的内涵实际非常丰富，不仅是肖像，也可能是涉及人脸识别技术的人脸特征信息、人脸验证信息等。值得注意的是，“人脸”是否属于敏感个人信息并非只能依据指南的示例判断，仍可依据敏感个人信息的含义具体判断。在监控场景下，基于同意处理个人信息的，因可能涉及敏感个人信息而需要单独同意。

(2) 如何取得单独同意

《网络数据安全管理条例》将“单独同意”定义为：“是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。”与“单独同意”相对的是“概括同意”，“概括同意”可以简单理解为一次性对多项个人信息、多个信息处理行为取得同意，例如通过用户点击勾选隐私政策取得同意。

在需要单独同意的情况下，意味着就监控事宜所涉信息处理行为不能与其他信息处理行为以“一揽子”或捆绑等方式取得同意，可以采取起草专门的监控告知同意文件等方式进行处理。

4．仅能在授权范围内处理个人信息

用人单位不能超出员工同意范围处理个人信息，双方事先明确同意的具体内容非常重要。

在（2020）京0108民初14100号案件中，用人单位在内部调查时，为了取证超出被调查员工同意范围处理个人信息，既违反了法律规定，也导致在诉讼中相应证据不具备合法性未被采纳，该案法院认为：“刘X当时虽同意公司工作人员查看其手机，但并未同意查看全部内容，更未同意导出其手机中信息。XX公司未经刘X允许获取其私人微信对话记录，侵犯了刘X的隐私权。XX公司虽主张信息并未泄露，不属于严重侵害他人合法权益的行为，但本院认为，对此行为性质的判断，必须考虑双方当事人之间的关系及所要保护的法益。当时刘X是在XX公司的办公场所接受公司内审部门的调查，双方的地位不是完全对等的，XX公司利用用人单位的管理权，在特定场合向劳动者施加压力获取对方手机信息，侵害了劳动者的隐私权，属于严重侵害劳动者合法权益的行为，其因此取得的微信对话记录不得作为认定案件事实的依据。”

（二）基于同意处理个人信息的弊端

1．可靠性风险：个人有权撤回其同意，且无法通过事先约定排除

《个人信息保护法》第十五条规定：“ 基于个人同意处理个人信息的，个人有权撤回其同意……”，据此，即便员工已同意用人单位安装监控摄像头并处理其个人信息，但该同意随时可撤回，其后果是用人单位无法继续处理其个人信息，故取得同意并非稳定可靠的合规方式。

另，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十一条规定：“信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。” 由此看来，用人单位如事先通过约定排除员工个人撤回其同意的权利，存在被认定无效的风险。

2．可行性风险：企业可能不会取得所有员工的同意

从员工同意的可能性来看，实践表明监控行为可能不会取得所有员工的同意。其中：

既有在企业公共办公区监控的一般场景，例如（2022）浙02民终87号案件中“双方纠纷的起因在于XXX公司决定在公司办公场所安装摄像头而引起包括牛XX在内的部分员工不满”；在（2020）粤民申8843号案件中，摄像头“安装的区域是多人工作的公共场所”，涉案员工仍通过打伞方式抗议监控。也有涉及特殊场景，例如（2019）鄂0112民初3653号中，某公司“长沙办事处设在居民小区，为一室一厅及厨卫仓库，摄像头安装在客厅”，员工因不满该监控行为而离职；在（2022）京02民终4152号案件中，教练员在车辆驾驶教学过程中“用擦车布遮挡车载摄像头”；还可能涉及独立办公室的监控，例如前述天津高院的案例。

且从技术操作上来讲，无论员工后续撤回同意或自始不同意，摄像头不可能避开收集这些特定个人的信息，由此产生的合规问题是要么继续监控但不合规，要么员工离职，而如果企业以员工不同意个人信息处理作为解雇的依据，这又违背了同意的自愿性要求。

因此，以员工同意作为用人单位监控行为的合法性基础存在可行性风险。

3．执行成本和风险相对较高

在执行成本上，基于同意处理个人信息，意味着企业要与现有员工进行沟通，并保存其签署的文件，且企业人员处于流动状态，每有新员工入职，用人单位就需要单独取得新员工的同意，成本相对较高。

在执行风险上，工作人员还可能因疏忽而遗漏取得员工的个人同意，或是遗失未妥善保管的同意文件。

综上，虽然用人单位可以基于个人同意而安装摄像头处理个人信息，但该路径在可操作性、可靠性等方面存在很多弊端。

《个人信息保护法》第十三条第（二）项是“（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。该款项包含了两种路径：一是基于合同，二是基于人力资源管理。

（一）能否基于订立、履行劳动合同处理个人信息

基于订立、履行合同处理个人信息要求该信息是订立、履行合同所“必需”的。在劳动关系中，用人单位对于劳动者个人信息的知情权也限于“与劳动合同直接相关”。

《中华人民共和国劳动合同法》第八条规定：“用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明。”人民法院案例库入库编号为2023-07-2-186-008的裁判认为：“通常而言，‘与劳动合同直接相关’的信息应当是指与工作岗位相匹配的信息，比如教育经历、工作经验、技术技能、研究成果等，而婚姻状况、生育情况与意愿、家庭条件、个人爱好等通常与岗位、工作能力不直接相关的信息，则不属于劳动者应当如实说明的范围。” 

一般用人单位安装摄像头并非与劳动合同订立、履行直接相关的事项，所涉个人信息也非实现劳动合同目的所必需，此处不再赘述。

（二）如何基于人力资源管理处理个人信息

基于人力资源管理处理个人信息可以是依据集体合同也可以是劳动规章制度，鉴于集体合同在实践中相对少见，本文从常见的劳动规章制度进行分析。

1．据以处理个人信息的劳动规章制度必须是“依法制定的”

法律特别强调基于人力资源管理所必须处理个人信息的“劳动规章制度”必须是“依法制定的”，体现了对程序合法性的重视。

《中华人民共和国劳动合同法》第四条第二款规定：“用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时，应当经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定。”第四款规定：“用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示，或者告知劳动者。”

在（2024）京04民终1658号案件中，法院认为：“将海外人力资源管理政策引入中国，应当遵循中国法律的规定，按照个人信息保护法、劳动法等相关法律，进行充分告知，征求意见……”

摄像头监控涉及劳动者的个人信息，与劳动者的切身利益相关，亦与劳动安全等问题相关，故企业在将摄像头监控事宜纳入企业劳动规章制度规定时，应重视制度制定的程序合法性，以避免效力争议。

2．将摄像头有关个人信息处理事宜纳入劳动规章制度的形式

劳动规章制度中有相关规定，体现在形式上可能仅仅是制度中的几个条款，也可能是一份有关监控的独立制度文件，还可能是员工个人信息保护政策的一个组成部分，选择何种形式取决于企业所处发展阶段的需求、能力和文化。

从实践来看，极大部分企业尚未关注个人信息保护，更谈不上有相应制度。根据本人此前的研究，已有不少上市公司在ESG报告或者可持续发展报告中将员工个人信息保护的情况进行披露，员工个人信息保护已逐渐为企业重视。

在制度建设方面，实践中部分上市公司建立了专门的员工个人信息保护制度，例如长安汽车（000625）在2025年4月11日公告的《2024年度环境、社会及治理（ESG）报告》中提到：“我们重视保护员工个人隐私及合法权益，建立了《员工个人信息保护管理办法》，规范员工个人信息的使用和管理，防止员工个人信息丢失、非法获取、非法披露及滥用”；有企业与员工签署《个人信息授权管理确认书》《员工个人信息保护政策确认书》《个人隐私政策》等专门文件，例如：中集集团、贝特瑞、长城汽车；也有企业制定公司单方承诺书或与员工签署保密协议。

用人单位监控摄像头所涉及的个人信息处理行为仅仅是企业员工个人信息处理行为的一个部分，几个条款显然无法描述清楚用人单位的全部个人信息处理场景。《个人信息保护法》第十七条第三款规定：“个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存”，企业可以就员工个人信息处理事宜制定并公开相应的规则，并将摄像头监控事宜纳入该规则之中，此种方式亦便于查阅。

从经济和效率上考虑，企业不可能针对每一种场景下的个人信息处理行为专门制定一个个独立的政策，在合规层面也并非总是必须。在法定要求必须制定专门规则或单独告知之外，企业可视自身的管理需要，决定是否就特定的个人信息处理行为制定专门政策。

（三）基于人力资源管理处理个人信息的弊端——兼谈制度内容合法性

1．基于劳动规章制度实施人力资源管理行为并非当然合法

企业出于自身利益最大化考虑，可能通过规章制度尽可能多的取得劳动者个人信息的控制权，如更多的个人信息、宽泛的监控目的和用途等，这是以规章制度作为处理个人信息合法性基础的弊端之一，也是合规风险所在：基于劳动规章制度实施人力资源管理行为并非当然合法。

例如（2021）沪01民终13138号案件中的用人单位在规章制度中要求员工申报与履行劳动合同无关的非必要信息。公司二审上诉认为：“根据公司规章制度，员工应当如实主动申报新进、岗位异动、婚姻关系变动等导致亲属关系变更，而未及时主动申报或虚报亲属关系者视为严重违反公司规章或纪律。杜X并未主动申报其已经离婚的事实，属于严重违反公司规章制度的行为。XX公司与其解除劳动关系并无不当”，二审法院认定：“XX公司虽要求杜X立即主动报备亲属关系、投资关系的变化，但杜X系离婚，客观上并未增加杜强履行劳动合同义务时的法律风险和道德风险。XX公司也未提供证据证明，杜X的上述情况变化，加重了XX公司的经营风险或劳动合同义务。故XX公司该解除行为违法，应当支付杜X违法解除劳动合同的赔偿金”。

因此，在制定规章制度时，除了依照法定程序，还需要关注制度内容的合法合规。

2．制度内容的合法性

处理个人信息除应具备合法性基础外，还应当遵守《个人信息保护法》中的其他原则和要求，以及其他法规规定。

(1) 制度应符合《个人信息保护法》的其他处理规则

《个人信息保护法》对于个人信息处理的约束有很多。以目的限制原则为例，《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”，第二十六条规定：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需……所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外”。

企业安装摄像头的目的可能并不单一，譬如：

在2023年天津高院发布的韩某某诉某化学有限公司隐私权纠纷案中，公司“表示安装摄像头目的是为了拍摄原告工位区域，从而发现其是否存在违反工作纪律的行为”；在（2020）粤民申8843号案件中，“公司安装监控摄像头的目的是为保证工作场所人、财、物的安全”；在（2020）粤04民终850号案件中，员工认为监控是公司“为了解雇邝XX而想出的对策”；在（2022）京02民终4152号案件中，法院认为公司“在教练车上加装车载监控的主要目的是监督教练员是否规范教学，并且在发生纠纷时能够进行核实取证”；在（2022）浙02民终87号案件中，法院认为“公司在公司办公区域安装监控摄像头，一方面为监管公司财物安全，另一方面为了解公司员工工作状态”。

由此可知，企业监控目的既可能是合理的，例如为保障安全，或监督劳动者的工作；也可能是非法的，例如针对个别员工实施监控、基于解雇目的的监控。

在（2022）沪0117民初10875号案件中，法院认为：“原告安装的摄像头位于被告座位的正上方，且该监控设备无法监控完整的办公区域，仅能监控被告所在工位。原告安装的监控设备明显系针对被告一人，超出了用工安全、管理监督的合理限度。”

在（2020）京0101民初15819号案件中，法院认为：“被告公司在机上服务手册中规定了在飞行期间乘务人员除紧急情况外不允许使用互联网连接服务，但是被告在发现原告存在利用乘客信息使用网络连接服务时，并未给予事先的纠正和处理，被告称是通过乘客举报发现原告有上述违纪行为才决定监控原告的工作，但是被告提供的举报邮件是欧洲航班，并非原告所在的亚洲航班的乘客举报，因此无法排除被告在2019年4月份开始监控原告的工作行为的正当性，也就是不排除被告是为了解除原告而事先安排其安全部门作了监控。”

因此，企业在制定劳动规章制度时则需要考虑目的合理性、必要性。

(2) 制度应符合其他法律法规规定

规章制度也应符合《中华人民共和国民法典》《公共安全视频图像信息系统管理条例》及其他法律规定，例如摄像头安装区域不得侵犯个人的隐私，不得在法律禁止监控的部位安装摄像头，且实践中也确实存在个别企业在试衣间或卫生间安装摄像头的情况。

在涉监控问题的劳动纠纷中，较为常见的是员工主张监控行为侵犯其隐私权，但一般企业摄像头系安装在公共办公区，通常不涉及隐私，故此类主张抗辩难以获得支持。但随着《个人信息保护法》出台，个人信息的概念范围大于隐私权，从而使得员工在个人信息处理中的权益保护具备了法律依据，可以预见未来在涉用人单位监控案件中，法院及当事人（律师）将会越来越多关注到《个人信息保护法》的适用，用人单位的合规风险在增加。

综上，虽然基于人力资源管理处理个人信息存在一些弊端，主要是对劳动者权益可能存在不利影响以及制度的效力风险，但从其效力范围及操作便利性上，相对于取得个人同意显然更具有优势。

《个人信息保护法》第十三条第（三）项是“（三）为履行法定职责或者法定义务所必需”。

（一）履行法定职责不适用于一般用人单位

法定职责是指“公权力机关依据法律法规的规定而享有的职权以及必须履行的义务”（程啸老师《个人信息保护法理解与适用》P131），在法定职责限于“公权力机关”主体的情况下，一般用人单位不能适用该情形。

（二）部分企业可基于法定义务安装视频监控

所谓法定义务，是指“信息处理者依据法律法规的规定而负有的义务”。对于一般企业单位而言，法律并未授权用人单位在办公场所安装监控摄像头，也未规定相应法律义务。部分规定仅针对一些特殊机构、行业基于特定目的要求实施监控，例如：

《公共安全视频图像信息系统管理条例》这一行政法规第七条表明在某些公共场所需由相应单位按标准建设视频监控系统；《儿童福利机构管理办法》这一部门规章第三十三条规定：“儿童福利机构应当落实岗位安全责任，在各出入口、接待大厅、楼道、食堂、观察室以及儿童康复、教育等区域安装具有存储功能的视频监控系统。监控录像资料保存期不少于3个月，载有特殊、重要资料的存储介质应当归档保存”；《危险化学品重大危险源监督管理暂行规定（2015修正）》这一部门规章第十三条规定：“危险化学品单位应当根据构成重大危险源的危险化学品种类、数量、生产、使用工艺（方式）或者相关设备、设施等实际情况，按照下列要求建立健全安全监测监控体系，完善控制措施：（四）重大危险源中储存剧毒物质的场所或者设施，设置视频监控系统”；《中华人民共和国海关监管区管理暂行办法》这一部门规章第二十一条规定：“经营企业应当在海关监管作业场所建立与海关联网的信息化管理系统、视频监控系统，并且根据海关监管需要建立全覆盖无线网络。”　

除特殊情形外，对于一般企业单位而言，无法基于法定职责或者法定义务这一理由安装摄像头及处理个人信息。

《个人信息保护法》第十三条的其他几种情形是：“（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。”

用人单位摄像头监控是一种常态化管理，并不符合前述第（四）项所述突发或紧急情况，且从监控目的上看也不符合第（五）项所述新闻报道、舆论监督等目的；摄像头监控采集和处理新的信息，而非处理第（六）项所述已公开信息，故前述情形难以作为企业一般监控行为的合法性基础。

根据上述分析，对于企业办公场所常态化的监控而言，仅有路径一（基于同意）和路径二（基于人力资源管理）具有普遍适用性，路径三仅适用于特殊企业，其他几种合法性基础则不适用。

那么针对用人单位摄像头监控这种场景，是选择路径一还是路径二更优？又或者同时选择路径一和二？

（一）能否同时选择多种路径

用人单位能否在具备其他合法性基础的情况下，同时选择取得个人同意这一路径，从而为个人信息处理行为加上多重保险呢？

根据域外规则和国内学说，由于同意本身是可撤回的，用人单位选择了同意这一合法性基础，也应尊重员工的撤回权；如果以取得个人同意为依据处理个人信息，却在员工撤回同意时又以其他理由处理个人信息，此种做法反而存在风险，因而建议一开始就要确定好选择哪一路径作为处理个人信息的依据。

（二）路径一还是路径二更优

告知同意规则是《个人信息保护法》的核心规则，仅具备其他法定情形才能豁免同意。从合规程度来看，取得个人同意代表高标准地履行合规义务，是实践中企业比较畏难的选项，但在企业安装监控摄像头处理个人信息的场景下，基于劳动关系的从属性，同意的价值也会打折扣，且其可行性和可靠性等弊端凸显，同意并非最优选择。

基于人力资源管理处理个人信息尚存在一些弊端，如企业可能为了获取更多个人信息控制权而制定不利于劳动者权益的制度，从而导致侵害劳动者权益行为发生、企业制定的规章制度存在效力风险，进而企业可能基于违规的制度内容处理劳动关系从而引发违法解除等赔偿责任。相比取得个人同意，依据劳动规章制度处理个人信息在操作便利性和适用范围上显然更具有优势，同时企业亦可在法律框架内制定规章制度以避免和降低相应合规风险。

/ 张婧 /

北京策略（南京）律师事务所

EXIN数据保护官（DPO双认证）、证券及基金从业资格

曾任职于头部房企和投资咨询机构，具有律师、法务、咨询（企业上市规范辅导）复合经验背景。

主要执业领域：民商事争议解决及非诉法律服务，包括合同法律服务、房地产法律服务、劳动用工、IPO规范与企业合规、数据与隐私保护、股权与投融资等。