01案件背景

我国《个人信息保护法》自2021年11月1日起施行后，对日常生活的诸多方面产生了影响，本案是一起2025年北京某中院审理生效的、关于“个人信息保护与员工手机数据安全”的典型案例。

本案原告闵某在提出离职后起诉原公司，认为原公司通过远程操作清除了其手机上的全部数据，包括其存储了十多年的个人数据，如已故祖父的视频和聊天记录等。闵某认为原公司的行为侵害了其个人信息 权益，起诉要求赔偿精神损害抚慰金 500 万元，并在国家级媒体登报赔礼道歉。

一审法院驳回了闵某的全部诉讼请求，认为原公司的行为符合《个人信息保护法》第十三条第一款第二项规定的情形，无需取得闵某的同意。

然而，北京市第四中级人民法院在二审中撤销了一审判决，认为原公司的行为违反了个人信息保护法的基本原则，判决公司向闵某书面赔礼道歉并赔偿合理开支 8000 元。

02争议焦点

1、若手机属于公司购买，其保存的信息就不受《个人信息保护法》限制吗?

二审判决指出，员工个人信息的认定，不受信息存储介质权属的影响，员工即便在公司所有的工作设备上处理工作，公司处理专属员工的个人信息也应遵守个人信息保护法的要求。

2、清除案涉手机的行为是否导致闵某的个人信息灭失?

闵某在一审提交了若干用以证明其主张的具体个人信息，如与相关工作人员的邮件沟通记录以及手机设置录屏、涉案手机iCloud服务购买情况等。法庭也核实了，其中个人信息指的是微信聊天记录、视频、照片、通讯记录、短信、通讯录信息。

闵某认为，对于已彻底删除且无法复原的数据，任何主体都无法提供直接证明数据存在的材料。如果能用直接证据证明"何种数据被删除"，那就意味着该数据其实没有被删除。对于该事实，任何人都只能提供间接证据，以满足"高度盖然性"的标准。

一审法院认为，这些证据均无法直接证明涉案手机中确实存有闵某的个人信息，因此认为闵某未能证明其被侵害的具体内容，使得一审法院缺乏据以评价、论述的权利客体，更无从谈及侵权行为的发生、侵权损害的产生。未支持闵某的请求。

二审法院则认为：考虑个人信息权益损害案件，受害人一方举证困难的实际情况，其证明责任的标准应采用高度可能性的判断标准。二审法院认可闵某提交的专家法律意见书中的意见，即可以根据日常经验法则判断，案涉手机是由闵某持续占有、使用，并用于工作与社会交往的通讯设备，必然产生大量承载个人信息的数据。基于事发后闵某第一时间给原公司一方发送的“我的iPhone被清空”的投诉邮件，原公司政策中未禁止自有设备存储个人数据的事实，及原公司误删个人信息的免责声明，结合日常生活经验法则来判断，可以确信案涉手机上存储了闵某的手机号码、通讯记录等个人信息，这一待证事实具有高度的可能性。

且在原公司未禁止员工利用公司自有设备同时处理工作事务和私人事务的情况下，案涉手机中必然会存储与公司业务相关的数据，以及闵某的个人信息数据。其中，电话号码、影像资料、通讯记录等信息属于用电子方式记录的，可直接或间接识别特定自然人，或与其有关的各种信息。故在对承载上述信息的移动设备进行删除处理时，势必会导致闵某的个人信息丢失。

3、 原公司的行为是否合理，是否可以根据《个人信息保护法》第十三条第一款第(二)项免责?

《中华人民共和国个人信息保护法》第十三条规定，符合下列情形之一的，个人信息处理者方可处理个人信息：

(二)为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

原公司辩称，远程以恢复出厂设置的形式清除离职员工的手机数据是公司标准流程，是跨国公司和很多中国公司的通常做法。并提供了公司的诸多制度文件。

二审法院审理后认为： 原公司采取的措施缺乏合理性，亦不符合公司相关政策的规定，其行为并非个人信息保护法第十三条第一款第二项规定的实施人力资源管理所必需的免责情形。具体包括如下：

1) 原公司并未按照《移动设备安全政策》2.12条聘用/雇佣终止的规定收回公司自有设备。

2)从措施适当性评价，公司移动设备管控政策设立的目的是保护公司敏感信息，或是保护公司数据的安全，而非忽略或无视移动设备中存储的个人信息。

3)从政策体系上分析，如真如 原公司抗辩意见中所述， 原公司可以不区分情况随意采取《移动设备安全政策》2.6条规定的各项措施，删除闵某个人信息而不承担侵权责任的话，那就确实存在专家法律意见书中提出的公司政策违反个人信息保护法第六条规定的最小必要原则的问题了。

03其他法院分析与建议

二审法院在判决书中还提出了一些分析与建议，明确了企业在管理员工手机数据时必须遵守的法律边界，如明确指出：

将海外人力资源管理政策引入中国，应当遵循中国法律的规定，按照个人信息保护法、劳动法等相关法律，进行充分告知，征求意见，涉及个人信息的处理要遵循正当、合法、必要的基本原则。本案中， 原公司的政策，针对不同情况，制定了不同梯度的管控措施，相对较为完善，但仍存在着部分个人信息处理的方式和处理时间未明确告知的问题。

希望原公司以此为鉴，不断改进管理模式，在保护自身利益的同时，关注员工的合理需求，创造以人为本的工作环境，建立开放、包容的文化氛围，来提升员工的忠诚度与满意度，使员工与企业能够和谐共振，相互促进，共同发展。

04律师建议

律师建议企业在管理时应注意以下几点：

1、注意区分个人信息和公司信息

无论案涉手机是否用于工作，也不应影响被上诉人应遵循个人信息保护法的要求，员工在使用工作手机处理工作事务时，同时也可能会处理日常生活事务，因此往往会同时涉及个人信息。

应当主要针对所包含的公司信息内容，制定对应的、合理的数据管理政策，包括数据存储、使用和删除的规则。

2、充分告知、完善内部政策和培训

企业应当完善内部的个人信息及商业秘密保护政策，并定期对员工进行培训，确保员工了解相关政策和权利。同时，企业也应当保留员工确认接收和理解相关政策的证据，以避免在发生纠纷时无法证明已履行告知义务。

3、采取对个人权益影响最小的方式

企业在处理员工个人信息时，应当采取对个人权益影响最小的方式。例如，在清除员工手机数据时，建议只清除与工作相关的数据，而不是将手机恢复出厂设置，从而避免删除员工的个人信息。

结语： 平衡商业秘密保护与个人信息权益

随着技术高速发展以及员工法律意识的整体提升，一方面，企业需要保护商业秘密，防止技术信息、经营信息泄露，越来越多的企业在逐步建立与完善内部信息保密制度;另一方面，员工的个人信息权益也应当受到尊重和保护。

本案的判决为企业和员工提供了一个明确的法律指引，企业在管理员工手机数据时，必须遵循个人信息保护法的基本原则，采取对个人权益影响最小的方式，充分告知并取得员工同意。同时，员工也应当了解自己的个人信息权利，妥善保管个人信息，维护自己的合法权益。

只有在商业秘密保护与个人信息权益之间找到平衡点，企业才能在保护自身利益的同时，关注员工的合理需求，创造以人为本的工作环境，建立开放、包容的文化氛围，提升员工的忠诚度与满意度，使员工与企业能够和谐共振，相互促进，共同发展。

法律依据

《个人信息保护法》第十三条

符合下列情形之一的，个人信息处理者方可处理个人信息：

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

《个人信息保护法》第六十九条

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

《劳动合同法》第四条

用人单位应当依法建立和完善劳动规章制度，保障劳动者享有劳动权利、履行劳动义务。

用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时，应当经职工代表大会或者全体职工讨论，提出方案和意见，与工会或者职工代表平等协商确定。

在规章制度和重大事项决定实施过程中，工会或者职工认为不适当的，有权向用人单位提出，通过协商予以修改完善。

用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示，或者告知劳动者。