摘要：用人单位获取员工个人就医信息是否属于个人隐私，需结合法律规定、信息性质及获取合法性综合分析。根据《民法典》《个人信息保护法》《劳动合同法》等规定，员工就医信息属于敏感个人信息，其隐私属性受法律严格保护，用人单位获取此类信息需严格遵循法定边界。以下从法律定性、合

用人单位获取员工个人就医信息是否属于个人隐私，需结合法律规定、信息性质及获取合法性综合分析。根据《民法典》《个人信息保护法》《劳动合同法》等规定，员工就医信息属于敏感个人信息，其隐私属性受法律严格保护，用人单位获取此类信息需严格遵循法定边界。以下从法律定性、合法获取条件、侵权责任三方面展开分析：

根据《民法典》第一千零三十二条，个人隐私是“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。员工就医信息（如病历、诊断结果、检查报告、用药记录等）属于“私密信息”，直接反映员工的健康状况、疾病史等私人生活领域，员工通常不愿向他人（包括用人单位）公开，因此具有隐私属性。

根据《个人信息保护法》第二十八条，敏感个人信息是指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。员工就医信息属于“医疗健康”类敏感个人信息，其处理需受到更严格的限制（如需取得“单独同意”、进行专项风险评估等）。

用人单位获取员工就医信息需有明确、合法的用途，且与劳动关系直接相关。常见合法场景包括：

根据《个人信息保护法》第十三条，处理敏感个人信息需取得个人的“单独同意”（即明确、具体的同意，而非概括性授权）。例外情形仅包括：

示例：

用人单位需遵循“最小必要”原则，仅获取与劳动关系直接相关的就医信息，不得过度收集。例如：

用人单位获取员工就医信息后，需采取技术措施（如加密存储）和管理措施（如限制访问权限），防止信息泄露、篡改或滥用。若因用人单位过错导致信息泄露（如员工病历被黑客窃取），可能构成《民法典》第一千零三十二条的“隐私权侵害”或《个人信息保护法》第六十九条的“个人信息侵权责任”，需承担赔礼道歉、赔偿损失（包括精神损害赔偿）等责任。

若用人单位超出法定边界获取或泄露员工就医信息，可能承担以下法律责任：

根据《个人信息保护法》第六十六条，用人单位违法处理敏感个人信息的，由监管部门责令改正、警告、没收违法所得；情节严重的，可处5000万元以下或上一年度营业额5%以下罚款，并可责令暂停业务或吊销相关许可。

若用人单位以非法目的（如出售、非法提供）获取员工就医信息，可能构成《刑法》第二百五十三条之一的“侵犯公民个人信息罪”，最高可处7年有期徒刑并处罚金。

需证明信息与劳动关系直接相关（如职业健康监护、工伤认定），且无其他替代方式可获取（如通过员工口头陈述即可核实的信息，无需强制要求提供病历）。

若用人单位以“入职体检”名义要求员工提交全面健康报告（含与工作无关的信息），员工虽签字但未明确同意“用于其他用途”，法院可能认定“同意”无效，用人单位构成侵权。

若用人单位能证明已采取合理保密措施（如加密存储、限制访问），因不可抗力（如服务器故障）导致信息泄露，可能减轻或免除责任；若因管理疏忽（如员工可随意查看）导致泄露，需承担全部责任。

用人单位获取员工个人就医信息原则上属于对个人隐私的侵犯，仅在法定正当目的、取得单独同意、必要且最小化收集、严格保密的边界内合法。实践中，用人单位需避免过度收集与工作无关的就医信息，并履行严格的保密义务，否则将面临民事、行政甚至刑事责任。员工若发现用人单位违法获取或泄露其就医信息，可通过向劳动监察部门投诉、提起民事诉讼或刑事报案等方式维权。

来源：左文说法一点号