随着《个人信息保护法》《数据安全法》陆续生效,我国个人信息保护迎来“强监管”时代。作为人力资源管理链的起点,涉及海量个人信息收集和处理的招聘环节成为关注焦点之一。数字化创新赋能企业招聘流程的同时,也为在华企业带来了全新的《个保法》合规与风险管控问题。
《个保法》及配套法规对应聘者个人信息的收集、委托处理、向第三方提供、存储、出境等环节提出了何种要求?在日趋完善的个人信息保护法律体系下,企业将面临合规运营与风险管控的哪些痛点与难点?Moka联合大成律所、SAP举办了《数据合规要求背景下中大型企业的应对之策》直播活动。其中,SAP大中华区人力资源解决方案专家龚诚老师,发表了主题为《以“人”为本,跨国公司合规运营策略与数字化实践》的演讲,以下为演讲核心内容的梳理:
随着中国政府“引进来”“走出去”政策的深入实施,一方面能看到跨国企业在中国市场的投资热情不减,同时也能看到越来越多的中国企业开始跨越全球。企业在落地和出海的发展过程中,人力资源数字化需要面对来自合规和本土化两大挑战。
这是一个全球性的趋势,未来跨国运营、投资、并购的挑战会受到当地市场的保护,受政策的影响会逐步加大。无论是本土企业还是跨国企业,合规是企业长期发展的生命线,当企业进入新市场时,应该深入理解当地政策,如税收、法律法规及市场前景等。这些对于企业而言至关重要,它可以节省企业的时间成本以及规避高额的罚金。
业务合规性问题,也是本地化问题。当跨国企业进入一个新市场时,从人力资源部角度看,首先考虑合规性问题——怎么持续的保持企业合规以及减轻企业风险?
为了响应持续变更的法律法规,跨国企业为合规性问题付出了很多努力。我们曾做过一个统计,全球每年变更的政策法规超过2000多项,特别在疫情时期,相关的政策法规更新就超过了200多项。在紧跟立法变化和应对监管压力的挑战下,企业如果不遵守相关法律法规,可能面临处罚和罚款的风险,造成企业的声誉受损以及资源的浪费,甚至会出现法律诉讼等情况。
因此,如果遵守人力资源合规要求,企业不仅可以直接避免处罚,从长远来看,还能提升雇主品牌、员工留存率以及敬业度。
事实上,本地化能力不仅仅是指支持多语言、货币、时区的能力,而是深度本地化,企业能清晰的看到自己应该做些什么。本地化能力是指符合当地的商业规则、法律要求和法定合规性报告,即本地功能不断更新迭代。
从人力资源角度来说,关注合规性问题能帮助企业进行全球扩张战略。这里的合规性问题有助于企业在新的市场上站稳脚跟,包括履行薪酬、税务等领域的法律义务以及本地人才的招聘等。
另外,拥有适合的系统确保合规性对于企业人才管理也至关重要。全球复杂性指数中,薪资是许多国家的一个痛点,由于它立法频繁变更、又具有追诉效力,导致了企业遵守当地规则变得非常棘手。对于出海企业来说,企业需要关注不同国家最低工资、社保规定,以及外派人员薪资结构的调整。当员工在全球范围内流动时,不同国家的税赋也可能对企业以及员工产生困扰,比如,原先外派至新加坡的员工调到欧洲工作,会出现税收标准不同导致的税后工资降低的情况,因此企业需要掌握相应的税务政策。这些方面都是企业在业务上需要注意的合规性问题。
近两年,全球越来越关注数据安全问题,各个国家、地区纷纷出台了各自的数据安全保护法规。据联合国贸易发展组织统计,截至2022年,全球194个国家中约有80%的国家已完成了数据安全和隐私立法。
中国数据本地化监管趋势可参考下面的这张时间表,它能直观看到立法进程的加快是非常明确的,这也反映了我国在快速增长的数字经济中,坚决维护数据主权的决心。
目前我国对个人信息保护的布局力度是空前的,个人信息保护在跨境领域受到了极高的关注。
- 《中华人民共和国网络安全法》 2017年6月1日起施行
- 《中华人民共和国数据安全法》 2021年9月1日起施行
- 《中华人民共和国个人信息保护法》我国第一部个人信息保护方面的专门法律
- 《网络数据安全管理条例(征求意见稿)》 为我国数据保护相关的法律实施提供了更具体的操作指南
- 《民法典》关于数据保护的相关内容
- 《网络安全标准实践指南 – 个人信息跨境处理活动认证技术规范》2022年6月24日发布
- 《个人信息出境标准合同(征求意见稿)》2022年6月30日发布
- 《数据出境安全评估办法》 2022年7月7日发布,9月1日起施行
- 《数据出境安全评估申报指南(第一版)》2022年8月31日发布
此外,从行业层面看,像金融、汽车、工业等领域纷纷出台了各自的标准,行业对重要数据标准的制定和梳理也正在进行中。
- 金融领域
《个人金融信息保护技术规范》《金融数据安全-数据分类分级指南》等金融业法规则在顶层框架下,对金融行业数据提出“本地储存、出境评估”制度。
- 汽车领域
国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输发布了《汽车数据安全管理若干规定(试行)》对汽车领域重要数据的范围进行了界定
- 工业领域
工信部发布的相关规则则界定了工业领域重要数据的识别规则。目前工业领域数据安全管理、防护和评估的试点工作,试点企业按照《工业数据分类分级指南(试行)》《工业领域重要数据和核心数据识别规则(草案)》开展数据分类分级,制定重要数据清单,并向主管部门报备可见,企业对数据出境加强管控的迫切性。特别是随着国家、各行业数据安全相关法规的密集颁布,企业加强对数据出境的管控已迫在眉睫。
数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照《数据出境安全评估办法》规定进行安全评估。
从数据出境途径来看,不同的路径它适用的对象和场景有所不同。比如,处理重要数据和个人信息达量的企业,只能选择安全评估这条路径,那就需要进行数据出境的安全评估。
具体情形:
- 数据处理者向境外提供重要数据
- 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息
- 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息
- 国家网信部门规定的其他需要申报数据出境安全评估的情形
从标准合同路径来看,适用于大多数个人信息处理数量较少的企业,可以选择跟海外的实体去签订个人信息出境的标准合同。按照国家网信部门制定的标准合同与境外的接收方去制定合同,约定双方的权利和义务。
- 优点:只需要企业自行进行个人信息保护的影响评估,签署标准合同,不需要外部机构的介入,也不需要前置性的审批或者认证操作,这是比较灵活的。
- 缺点:标准合同对境外接收方约定了比较严苛的条款,不允许企业自行调整。
具体情形:
- 非关键信息基础设施运营者;
- 处理个人信息不满100万人的;
- 自上年1月1日起累计向境外提供夫达到10万人个人信息的;
- 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。可提出标准合同备案管理要求
第三条是说安全认证的路径,由于目前缺少明晰的实施方式,尝试企业数量也比较少,企业对于认证的难度以及时间都没有办法准确把握。
具体情形:
- 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动
- 《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,在境外处理境内自然人个人信息的活动
对于涉及到个人信息出境的HR部门就需要在这段时间内采取相应的行动措施,完成个人信息的出境评估、签订标准合同、备案以外,企业还可以考虑将个人信息存储转移至国内的数据中心,这样可以最大程度上规避数据出境的风险点。从具体场景来看,建议构建 Two tiers 全球化系统部署架构,降低数据出境合规风险。
数据本地化将成为数据合规的新趋势,数据出境监管路径逐渐清晰。对于掌握大量个人信息的跨国企业,其运营模式会面临较大的数据合规挑战。面对更高的合规要求,越来越多的跨国企业正在计划实施数据驻留,通过系统本地化的方案逐步实现境内数据境内存储,建立本地数据的安全能力,满足企业自身复杂业务的需求以及合规要求。
此外,对于企业来说,确保个人信息能否满足数据安全法、个人信息保护法等法规的合规要求,就需要清晰掌握个人信息等敏感数据的跨境流动情况。在看清数据流向的同时,也能直观的看到带有个人信息的敏感的数据是通过什么人在什么时间、地点,通过什么方式发送到哪里的,因此面临个人信息出境的企业通常需要解决三个难题。
第一个难题:如何去厘清你企业的个人信息资产,明确个人信息资产的属性以及量级。
第二个难题:如何明细个人信息的流向。
第三个难题:从网络上流动的个人信息如何持续监测,避免个人信息的被动出境,确保企业的合规无论从风险自评估阶段还是持续监督阶段,都需要有技术的手段进行支撑,否则企业就无法在事前了解现状。
最后,建议企业管理者在今年上半年需要着手决策个人信息保护的合规性的问题,根据企业的情况,对信息跨境问题做好相应的准备。
“合规早一点,你就不会手忙脚乱了。”