随着《个人信息保护法》《数据安全法》陆续生效,我国个人信息保护迎来”强监管”时代。企业人力资源管理的各环节都与员工的个人信息处理息息相关,作为人力资源管理链的起点,涉及海量个人信息收集和处理的招聘环节更是关注焦点之一。
数字化创新赋能企业招聘流程的同时,也为在华企业带来了全新的《个保法》合规与风险管控问题。《个保法》及配套法规对应聘者个人信息的收集、委托处理、向第三方提供、存储、出境等环节提出了何种要求?在日趋完善的个人信息保护法律体系下,企业将面临合规运营与风险管控的哪些痛点与难点?
为了进一步助力企业应对挑战,在招聘环节增强数据安全责任意识,完善数据安全管理体系,3月30日,Moka与大成律师事务所、SAP思爱普联合举办了《数据合规要求背景下中大型企业的应对之策》直播活动。本次直播由Moka解决方案专家雷明主持,邀请了大成北京办公室高级合伙人邓志松律师和SAP大中华区人力资源解决方案专家龚诚老师作为分享嘉宾,从实务律师与企业法务的双重视角提供为企业提供最新观察与全面解答。
邓志松律师在《数字化招聘的法律监管与实务处置:在华企业跨国运营的个保法合规》的主题分享中,基于自身丰富的实务经验,针对在华企业跨国运营中面临的《个保法》合规挑战进行概述。不仅聚焦企业数字化招聘中的法律监管风险进行提示,还对对企业个人信息保护跨境管理中多法域冲突与协调、民刑责任界限、数据出境要求和路径选择等重点问题进行分析,最后还给出了企业如何平衡监管风险与商业运营需求,有效而系统地管控个人信息保护相关法律风险提出相应的合规建议。
近年来,随着中国政府“引进来、走出去”政策的深入实施,跨国企业在中国市场的投资热情不减,与此同时,越来越多的中国企业开始跨域全球,企业在“落地”和“出海”发展中,人力资源数字化需要面对来自合规和本土化两大挑战。龚诚老师提到以“人”为本的管理理念,强调企业的核心资源是人力资源。并进一步分析了跨国公司在经济全球化的背景下,如何利用数字化技术应对不同国家和地区的法律、政策和文化差异,以支持跨国公司的合规运营和数字化实践,提升员工的工作效率和企业的生产力。
数据合规要求背景下,中大型企业在招聘环节开展数据合规工作,提升数据安全水平,可以从以下方面入手:
1.收集个人信息坚持告知-同意原则在企业获取及处理个人信息前,应以显著、清晰易懂的语言,真实准确完整地向个人告知信息收集和处理的相关事项。此外,企业提供的集体隐私政策不代表用户的单独同意。因此,企业在针对用户的具体数据处理动作中,仍需单独告知并申请用户的同意,确保个人信息的合法、规范处理。
2.处理个人信息应分级分类企业应对标相关法律法规,将人力资源管理全流程所涉及的个人信息逐一进行梳理和分类,以确保个人隐私和权益得到有效保障。企业应遵循必要原则和最小范围原则将个人信息分为三类:
- 敏感个人信息;
- 人力资源管理必需的个人信息;
- 难以明确性质需要具体问题具体分析的个人信息。
3.开展个人信息跨境传输评估
由于经济全球化热潮,企业出于人力资源管理之需,将国内人员个人信息提供给境外子公司或总部,或对国内人员进行合规性调查已经成为经济运行中一种常态化生存状态。对企业来说,进行个人信息跨境活动应参照下列合规流程:
- 企业应核实有无业务、个人信息出境,如储存个人信息数据库、系统等是否建立在国外,国外的单位或个人能否访问国内储存的个人信息,以及能否将个人信息以邮件、传真乃至硬件设备形式传送到国外等等。如有涉及上述情景,应认定有个人信息出境行为。
- 如果有个人信息出境行为,还需进一步认定,应走何种出境路径,并考虑公司是否符合强制安全评估标准,如果符合,须申报安全评估。
- 选择适当出境路径并根据监管要求落实有关数据安全保障和其他义务,如完成评估,向境外接收方开展调查和签订相关合同等。
- 持续追踪上述合规义务并注意是否出现应当进行再评估或者再申报的情况,同时还应继续对境外接收方个人信息处理活动进行监管,及关注监管部门对个人信息出境是否提出补充要求等。
Moka作为HR SaaS服务提供商,一直把用户业务和数据安全保护列为最高优先级工作。为服务的企业客户打造稳定、安全、高效的人力资源管理系统云服务,提升企业客户的数据安全和用户隐私保护等级是Moka生存和发展的生命线。Moka现已搭建了包含租户数据隔离、银行级网络加密通信、阿里云全方位安全服务、数据灾备处理等部分的基础安全架构以及用户业务、数据安全保护体系,获得了CSA云安全联盟认证、ISO 认证、国家信息安全等级保护三级认证,可以为用户提供全方位防护。
- 隐私保护。Moka基于隐私保护相关法律法规的要求制定了产品的隐私政策,同时将隐私保护的部分要求在产品功能中实现。Moka设计并实施了一系列技术管控措施和管理流程,保证用户数据的安全,为企业提供从物理到应用层面的全方位安全护航。另外,授权管理服务还会对用户的一切接入请求进行审核,对角色的授权也更加精细。
- 信息分级。Moka智能化招聘管理系统可以提供“分权、分类”管理功能。分权功能可以实现对某些职位的特殊权限设置,只对拥有权限的人员开放,避免核心人才信息流失。此外,还可以对重要或私密的人才简历进行加密,保障人才资产的安全。分类功能则可以将人才信息按姓名、职位、归档原因、归档前状态、面试状态等不同标准进行分类,方便用户进行针对性的搜索和管理。这样的管理方式不仅提高了效率,也保障了人才信息的安全性和隐私性,是企业招聘管理的好帮手。
- 安全审核。Moka 有规范的程序上线流程,建立了人工和自动审查工具双重审核机制,确保应用数据本身以及第三方库不存在已知的安全漏洞。对已上线的程序,Moka会定期开展应用层安全外围扫描,并及时处理系统可能存在的漏洞与安全隐患。除此以外,Moka还会对数据中的敏感信息(如用户密码等)进行进一步加密,以确保客户数据的安全性和隐私性。
Moka始终以最高标准践行安全技术保障工作,为每一家选择Moka的客户提供体验更好的企业数据保护。Moka也会优化升级,打造领先的数据安全合规解决方案、专业的服务和产品,为客户提供最安全的企业级技术保障设施以及专业的数据安全合规解决方案。