2月24日,网信办公布的《个人信息出境标准合同办法》规定:个人信息如果要出境,个人信息处理者需要与境外接收方订立个人信息出境标准合同。同时在合同中需要对涉及传输个人信息的目的、数量、类型、范围及敏感程度、传输方式及境外接收方保存的期限、出境后存储时间地点等进行约定。
此外,企业需要在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案时,除了提交标准合同外,还需提交个人信息保护影响评估报告。该办法自2023年6月1日起施行,在办法施行前已经开展的个人信息出境活动,不符合办法规定的,应当自办法施行之日起6个月内完成整改。
此前,《个人信息保护法》(简称“PIPL”)于2021年11月1日正式施行,也对合理处理个人信息作出了明确规定,这也意味着企业需要规范数据处理活动,加强数据安全管理,保护个人和组织的权益。
作为企业内部负责招聘业务、管理员工关系的“第一责任人”,HR在日常工作中少不了与“个人信息”打交道。如此说来,《网络安全法》《数据安全法》《个人信息保护法》《个人信息出境标准合同办法》的相继出台,进一步完善了规定的数据出境安全评估制度,尤其从个人信息方面对数据出境监管进行了细化和加强,这对有出境业务的企业HR而言是一个不小的挑战。
如何厘清个人信息资产,明确自己个人信息资产的属性、量级?如何明细个人信息流向?如何对网络上流动的个人信息进行持续监测,避免个人信息被动出境?均成为面临个人信息出境的企业关注的焦点。而企业中的HR是涉及个人信息数据最多的角色,他们在日常工作中需要关注什么呢?
明确“哪些属于员工和候选人的个人信息”是HR需要了解的首要问题。对此,《个人信息保护法》第四条也对“个人信息”有着清晰的界定。
《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
以上条文不难看出,HR日常工作与“个人信息”息息相关,从招聘过程中筛选并留存候选人简历、搭建结构化人才库,到员工入职后签订劳动合同、登记入职信息、发放薪酬福利等管理工作,处理个人信息贯穿了HR工作的全流程。
在人力资源管理过程中,HR还经常会与第三方进行合作,如招聘过程中,委托背调公司调查候选人、委托猎头公司招募高端人才;签署电子劳动合同时,与电子合同服务商合作;以及代发工资、代缴社保、购买商业保险等委托事项,都会涉及到员工个人信息的处理。特别是有出入境业务的企业,员工信息的流存传输问题更是需要被关注的重点。
HR工作中涉及个人信息的主要环节
工作难度升级,那么HR该如何在维护个人信息安全的前提下,高效开展工作呢?
首先,HR的工作是具备合法性基础的。众所周知,在劳动关系中,用人单位与劳动者存在管理与被管理的关系,为此,《个人信息保护法》第十三条第二项中明确规定“实施人力资源管理所必需而处理个人信息的,不需要取得劳动者同意”,为企业与HR自主决定处理员工个人信息提供了合法性与便捷性。
《个人信息保护法》第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
……
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
同时,用工的各个环节都可能涉及员工或候选人的个人信息,为降低个人信息处理的风险,HR应以全流程视角展开分析,对于涉及个人信息的具体事项、所隐藏的风险,HR应当充分告知员工和候选人,为其设计相应的“授权书”,并在劳动合同中增加个人信息的相关条款。
此外,对于涉及到个人信息的委托事项,《个人信息保护法》第二十一条也有相应的规范,双方的商务合同中也应注意按照PIPL的规定,增加相关个人信息处理的条款,维护员工的信息安全。
《个人信息保护法》第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
近期出台的《个人信息出境标准合同办法》也给了明示,HR从6月1日施行开始有6个月的整改时间,企业需要在2023年12月1日之前完成整改。
对于涉及到个人信息出境的HR部门就需要在9个月内采取相应的行动措施。完成个人信息出境评估,签订标准合同并备案外,企业还可以考虑要求供应商将个人信息存储数据服务器转移至国内或者直接切换软件为本土软件,这样便最大程度规避了数据出境的风险点。
数据安全是企业的立命之本,也是企业的底线和红线,招聘管理系统则关系到企业各项招聘数据及人才信息,手握企业“命脉”,因此企业在选型时需要严格考察招聘系统的安全性,防止个人信息权益受损。
Moka始终将“安全”作为第一优先级,系统拥有先进的基础安全架构及完善的数据安全保护体系,获得了CSA云安全联盟认证、ISO 认证、国家信息安全等级保护三级认证。在用户隐私数据保护层面,Moka设计并实施了一系列技术管控措施和管理流程,采用租户数据隔离保证企业、员工及候选人信息安全。除此之外,用户所有的访问请求都会经过权限管理服务检查,角色权限中细粒度划分也更为细致。
Moka系统安全性
Moka始终以最高标准践行安全技术保障工作,每一家选择Moka的客户都相信Moka能够保护好企业最核心的数据。截至目前,Moka已累计服务福特、松下等超过百家外资企业客户,为其提供最安全的企业级技术保障设施以及专业的数据安全合规解决方案。
*以上部分内容整理自《个人信息保护实务大全》——石先广。