在Moka和大成律师事务所联合举办的“数字经济时代下,企业数据安全合规闭门研讨会暨《在华企业招聘数据合规白皮书》发布会”上,大成北京办公室高级合伙人邓志松律师正式发布了《在华企业招聘数据合规白皮书》。本次邓律师也是参与了白皮书的内容撰写,提供了最新观察与全面解答。
当今,我国数字经济迎来蓬勃发展,产业数字化转型提档加速,加强网络、数据安全和个人信息保护在为数字经济发展保驾护航方面发挥着至关重要的作用。在发布会伊始,邓志松律师便为大家介绍了中国个人信息保护法律体系发展历程与现状概览。
中国个人信息保护领域的专门立法肇始于2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》的出台开启了个人信息保护立法的1.0时代。数十年来,随着法律体系不断完善、“数据二十条”顶层设计优化、国家数据局组建,我国个人信息保护迎来“强监管”时代。制度上,我国已在纵横两个维度上初步构建起比较完善的规范性文件体系;监管机构上,中国目前并无统一的数据保护执法机构,数据保护相关执法部门和行业主管部门“九龙治水”的情况可能长期存在。
再聚焦市场与企业,大数据时代各行业市场竞争不断激化,企业亟需提升招聘工作效率。数字化招聘能够支持快速通过简历筛选、匹配合适岗位人才,满足企业升级的招聘需求。但在逐步深入数字化创新赋能企业招聘流程的同时,《个保法》合规问题也不容忽视,为在华企业带来了全新的挑战。在这样的大背景下,Moka联合大成律师事务所共同撰写并发布了《在华企业招聘数据合规白皮书》。
白皮书结合了对百余家在华企业的调研,邓律师表示在调研及分析的过程中发现了诸多企业数字化招聘个保法合规建设现状与问题。截至2021年,全球超过70%的国家已经制定个人信息保护相关法律法规,可以说《个保法》合规是在华企业跨国运营的刚需。但调研显示,仅15.91%的企业已深入了解《个保法》相关政策;在开始了解《个保法》相关政策的企业中,只有不到一半的企业已经开展招聘有关的数据安全治理工作。
招聘是个人信息密集的环节,HR和用人单位会接收到大量的敏感信息,如人脸识别信息、健康信息、金融信息等。许多企业在数字化招聘中并没有制定相应个保法合规政策的措施,也没有培训员工关于个保法合规方面的知识,这无疑给企业带来很大的不可控风险。在调研样本中,超过 50% 的企业认为缺乏统一的数据安全管理制度是当前招聘业务上最大的数据安全挑战,同时,风险识别与措施落地成为企业亟待解决的合规痛点。
接下来,针对前述在华企业数字化招聘个保法合规建设中存在的主要问题,邓律师从实务律师的角度解读了招聘过程中应聘者个人信息处理全周期面临的多重法律风险及应对之策,为在华企业的数字化招聘提供合规参考。
在个人信息收集环节,应分场景确认个人信息收集的合法性基础,并识别个人信息和敏感个人信息。
- 企业直接收集这个人信息,要在收集和处理个人信息之前取得应聘者的同意,且要遵循最小必要原则。
- 通过第三方招聘平台间接收集应聘者个人信息,企业需要遵守第三方招聘平台向求职用户公示的隐私政策中披露的个人信息处理方式。如处理目的超出了招聘(如建立人才库),或处理方式超出了隐私政策披露的范围以及应聘者通常的合理预期(如出境),则需要重新取得应聘者的同意(含单独同意)。
- 通过猎头、内推等其它渠道间接收集应聘者个人信息,企业与猎头和内推人签订数据共享协议,明确双方权利义务,保障应聘者个人信息收集的合法性。内推场景下,保险起见,建议企业在实际使用相关信息之前,通过邮件等方式发送隐私政策,重新取得应聘者的告知同意。
在个人信息使用环节,企业要做到处理个人信息应与隐私政策所披露处理目的相符,采取安全保护措施管理个人信息。一般来说,存储期限应为实现处理目的所必要的最短时间(一般招聘工作周期),到期后,企业应对存储信息进行物理上的彻底删除。同时,在向第三方提供个人信息应告知应聘者并取得单独同意,并在委托处理协议中明确约定个人信息保护条款。
在个人信息跨境传输环节,则有三重路径,一是向国家网信办申报数据出境安全评估,二是通过中国网络安全审查技术与认证中心的个人信息保护认证,三是2023年6月1日开始生效的《个人信息出境标准合同》。
最后,关于企业如何在满足招聘业务需求的同时平衡相应的合规风险,结合过往在个人信息保护和数据安全方面的经验,邓律师和大家分享了三点体会:
- 平衡监管风险与商业运营需求。了解多司法辖区个人信息保护合规要求,结合自身商业运营需求与相应人才招聘需求,合理评估合规成本与公司收益。
- 有效、系统管控国内外法律风险。针对特定人才招聘需求,寻求专业法律咨询,分析企业目前面临的法律风险敞口,并通过合规工作最小化相关个人信息保护法律风险。
- 完善委托协议与企业合规体系。审查企业与第三方合作协议中关于应聘者个人信息保护的条款,根据《个保法》要求进行完善。同时从制度和日常运营层面健全企业个人信息保护合规体系。