上海市虹口区人民法院(2018)沪0109民初24914号判决书记载了这样一个案件：被告公司在招聘过程中过“威科先行法律信息库”进行检索，找到两篇与原告有关的裁判文书并发现裁判文书中载明的原告工作经历与原告向被告披露的不一致，故被告与原告解除劳动合同关系。原告认为被告未经原告授权许可，私下调查原告的过往工作经历侵犯其隐私权。法院认为被告通过网络检索公开的裁判文书，从中获得被告以往的工作经历并在法庭审理过程中作为证据提供，其获取、使用上述信息的行为并无不当，被告不存在违法获取或恶意披露原告个人信息的行为。

首先让我们忽略两个问题，一是背景调查是否经过被调查人同意，忽略的原因不是它不重要，它非常重要但也非常明显——必须经过被调查人同意，否则（拟）用人单位没有调查权，不得以任何公开或秘密手段刺探他人过往经历。而获取统一的方法也非常简单，在招聘过程中书面明确获取授权即可。二是侵犯公民个人信息罪的入罪有条数门槛。为数据合规和稳健经营计，我们此处仅讨论定性问题。

值得探讨的问题也是两个，一是过往工作经历是否属于“个人信息”。根据《个人信息保护法》第四条第一款 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人的过往工作经历当然是与已识别自然人有关的信息，属于“个人信息”没有疑问。我们这里要特别注意的是由于法律的快速发展带来的差别。2017年施行的两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条和2020年颁行的《民法典》第一千零三十四条对“个人信息”的定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。也就是说，早先《刑法》和《民法典》对“个人信息”注重的是“由信息到人”，强调从公民个人信息能够识别出特定自然人，从而可能对其合法权益造成风险，因此需要法律保护。而后进的《个人信息保护法》既注重“从信息到人”也注重“从人到信息”，（相对前两部法律）补充强调了公民具有个人信息权益，因此个人信息本身即受法律保护。

那么“已识别的特定自然人”的信息既然不在《刑法》司法解释的条文之内，是否还应受刑法保护呢？答案我们都知道，应该是肯定的。举轻以明重，既然可识别特定自然人的信息都受保护，已识别的却不受保护将导致明显的法律漏洞。当然解释对于民法而言是受允许的类推解释，因此对于《民法典》，上述表述上的不一致不会导致问题。但刑法禁止不利于行为人的类推，那么应如何解释和对待为宜？

过往工作经历（及工作评价）本身很难单独指向特定自然人。想象一下我们在人事部垃圾桶里捡到一页简历的残页，上面仅有“X年X月-Y年Y月，Z公司a岗；X2年X2月-Y2年Y2月，Z公司b岗……”，这是没法知道是哪一位特定人物的。但是两高的司法解释留有“与其他信息结合识别特定自然人”的口子，这就足以装下已识别自然人的工作经历。认定的要点在于这里的“结合其他信息”应当包括哪些范围内的信息？本文认为，应以“信息控制者”已经掌握的及通过一般方法（即除非法方法、需要专门机关许可或协助的方法及花费过巨的方法等外）能够获得的信息为限。那么，已识别自然人的身份既然是信息控制者已经掌握的信息，则符合司法解释其它要求的信息，也能够纳入刑法保护的范围。至于具体到背景调查中的过往工作经历属于哪类公民个人信息则比较复杂，如果单纯仅有工作的时间、单位、岗位、工作评价等，则可能只能算作司法解释第五条第三项、第四项规定以外的公民个人信息；但如果包含工资、待遇等内容，则可能导致敏感度急剧提升，这需要视具体情况，采取分级分类的风险管控措施。

第二个问题是对已公开的公民个人信息通过一般方法检索来获取是否存在被认定为“非法”的可能。答案是风险不能完全排除。

《个人信息保护法》第十三条第（六）项 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的（个人信息处理者可处理个人信息）。那么如何才能符合该项规定呢？“本法”第二十七条　个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意（这与《民法典》规定相同）。

那么何谓“合理范围”呢？我们再将目光扩大到最高人民检察院《检察机关办理侵犯公民个人信息案件指引》（高检发侦监字〔2018〕13号）二、（一）项 对于企业工商登记等信息中所包含的手机、电话号码等信息，应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息，不属于个人信息的范畴，从而严格区分“手机、电话号码等由公司购买，归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。《上海市数据条例（草案）》第十七条第二款 ……处理涉及自然人公开的个人信息数据的，应当符合该数据被公开时的用途，超出与该用途相关的合理范围的，应当取得自然人同意。但法律、行政法规另有规定的除外。由此，我们便可体味到：判断是否符合《个人信息保护法》第十三条第（六）项，其核心要旨可能是审查被公开的个人信息原本的使用方法及公开的目的，考察它们是否能够令收集该信息的处理者的处理“合理化”。

由此，我们可以发现在本节案例中被告公司的检索行为面临两重风险：第一，威科先行法律信息库所转载的裁判文书，其公开目的在于向社会公示法律争讼的处理结果，实现在具体案件中的定分止争并对社会大众进行教育指引。其“公开的目的”很难解释为包括向用人单位披露雇员的过往工作经历。第二，该过往工作经历信息作为决定信息主体是否被雇佣、是否被辞退的依据，显然对个人权益有重大影响。

综上所述，结论是获取已公开的过往职业经历需要取得个人同意，否则有非法获取公民个人信息之嫌疑。那么最后的问题是，难道（拟）雇员提供虚假的过往经历且招聘环节未能明确获得背景调查的同意的情况下，发现了简历造假还不能管了么？并非如此，只是现行法律法规之下，更宜依托《个人信息保护法》第十三条第（二）项 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需（个人信息处理者可处理个人信息），作为获取的正当理由，并事先设计和储备合规措施（包括证据材料支撑等），则较之2018年的裁判理由，其合法性的论证更具说服力。

北京市第三中级人民法院(2018)京03民终15148号裁定书记载了这样一起案件：原告2017年1月入职被告甲公司。2018年7月，甲公司要求单方面变更劳动合同。但原告发现，该通知不是甲公司而是由乙公司发出，通知中含有原告的公民身份证号码、家庭住址、电话号码等信息。原告认为，被告甲公司和乙公司系独立运行的法人，原告只是和甲公司签了劳动合同，但原告从未授权甲公司将其个人信息提供给任何第三方。北京市三中院认为自身没有管辖权，未受理本案。

如今企业运行的体制，一个（投资）集团之下分立多家独立运营的法人单位是极常见的。笔者曾经服务的华为、京东等大型企业无不如此。《个人信息保护法》第二十三条规定个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。案例中家公司当然通过隐私协议（可能包含在劳动合同等协议中）明示授权或员工主动提供的默示授权等方式合法地获得了雇员的涉案个人信息。但假设雇员所主张的，其授权范围仅限于甲公司（根据实际情况还可能限制于特定的使用目的、使用方法），那么甲公司将之提供给乙公司的行为，明显与《个人信息保护法》的要求相悖。再考虑该法第二十二条：个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。既然单位因合并、分立等导致个人信息转移都需要通知，那提供同一集团控制下的其它单位更需要通知。而从处理目的、处理方式的角度讲，（除非具有特别约定）很难想象雇员为甲公司提供个人信息的授权场景能够覆盖“与乙公司签订劳动合同”这种目的，因此即使甲、乙公司属同一集团控制之下，仍然应当单独告知雇员并取得其同意。

这种义务也不能根据《个人信息保护法》第十三条第（二）项而免除。因为雇员的这些个人信息固然可能属于与甲公司履行合同或依法依约实施人力资源管理所必需，但案例中并非被告甲公司所声称的“劳动合同变更”，真正实质是乙公司发出要约希望与原告缔结（新的）劳动合同。而原告不但没有承诺，甚至根本没有与乙公司进入合同磋商的状态。本来无一物，何处惹尘埃，连当事人作为一方的劳动合同都未未进入磋商的状态，自然不存在“履行合同所必须”之说。

另一项可能的疑问是甲公司提供这些信息并无恶意，难道也属于“非法提供”甚至可能受到刑法的评价？答案是肯定的。第二百五十三条之一的罪状内容是“违反国家有关规定，向他人出售或者提供公民个人信息”，其只要求提供行为违反国家有关规定，目的不论，是否有对价不论（出售或[无偿]提供）。那么，能否以司法解释第六条“为合法经营活动动而非法购买、收受”为理由进行抗辩呢？答案是乙公司可以这样做，且乙公司为此没有经济上的获利，除非曾因侵犯公民个人信息受过刑事处罚或两年内受过行政处罚，否则不构成犯罪。但是，对于提供这些信息的甲公司，司法解释并未提供“为合法经营”这一特殊的出罪事由。