2月24日，網(wǎng)信辦公布的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》規(guī)定：個(gè)人信息如果要出境，個(gè)人信息處理者需要與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同。同時(shí)在合同中需要對涉及傳輸個(gè)人信息的目的、數(shù)量、類型、范圍及敏感程度、傳輸方式及境外接收方保存的期限、出境后存儲(chǔ)時(shí)間地點(diǎn)等進(jìn)行約定。

此外，企業(yè)需要在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級網(wǎng)信部門備案。備案時(shí)，除了提交標(biāo)準(zhǔn)合同外，還需提交個(gè)人信息保護(hù)影響評估報(bào)告。該辦法自2023年6月1日起施行，在辦法施行前已經(jīng)開展的個(gè)人信息出境活動(dòng)，不符合辦法規(guī)定的，應(yīng)當(dāng)自辦法施行之日起6個(gè)月內(nèi)完成整改。

此前，《個(gè)人信息保護(hù)法》（簡稱“PIPL”）于2021年11月1日正式施行，也對合理處理個(gè)人信息作出了明確規(guī)定，這也意味著企業(yè)需要規(guī)范數(shù)據(jù)處理活動(dòng)，加強(qiáng)數(shù)據(jù)安全管理，保護(hù)個(gè)人和組織的權(quán)益。

作為企業(yè)內(nèi)部負(fù)責(zé)招聘業(yè)務(wù)、管理員工關(guān)系的“第一責(zé)任人”，HR在日常工作中少不了與“個(gè)人信息”打交道。如此說來，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》的相繼出臺，進(jìn)一步完善了規(guī)定的數(shù)據(jù)出境安全評估制度，尤其從個(gè)人信息方面對數(shù)據(jù)出境監(jiān)管進(jìn)行了細(xì)化和加強(qiáng)，這對有出境業(yè)務(wù)的企業(yè)HR而言是一個(gè)不小的挑戰(zhàn)。

如何厘清個(gè)人信息資產(chǎn)，明確自己個(gè)人信息資產(chǎn)的屬性、量級？如何明細(xì)個(gè)人信息流向？如何對網(wǎng)絡(luò)上流動(dòng)的個(gè)人信息進(jìn)行持續(xù)監(jiān)測，避免個(gè)人信息被動(dòng)出境？均成為面臨個(gè)人信息出境的企業(yè)關(guān)注的焦點(diǎn)。而企業(yè)中的HR是涉及個(gè)人信息數(shù)據(jù)最多的角色，他們在日常工作中需要關(guān)注什么呢？

明確“哪些屬于員工和候選人的個(gè)人信息”是HR需要了解的首要問題。對此，《個(gè)人信息保護(hù)法》第四條也對“個(gè)人信息”有著清晰的界定。

《個(gè)人信息保護(hù)法》第四條 個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。

以上條文不難看出，HR日常工作與“個(gè)人信息”息息相關(guān)，從招聘過程中篩選并留存候選人簡歷、搭建結(jié)構(gòu)化人才庫，到員工入職后簽訂勞動(dòng)合同、登記入職信息、發(fā)放薪酬福利等管理工作，處理個(gè)人信息貫穿了HR工作的全流程。

在人力資源管理過程中，HR還經(jīng)常會(huì)與第三方進(jìn)行合作，如招聘過程中，委托背調(diào)公司調(diào)查候選人、委托獵頭公司招募高端人才；簽署電子勞動(dòng)合同時(shí)，與電子合同服務(wù)商合作；以及代發(fā)工資、代繳社保、購買商業(yè)保險(xiǎn)等委托事項(xiàng)，都會(huì)涉及到員工個(gè)人信息的處理。特別是有出入境業(yè)務(wù)的企業(yè)，員工信息的流存?zhèn)鬏攩栴}更是需要被關(guān)注的重點(diǎn)。

HR工作中涉及個(gè)人信息的主要環(huán)節(jié)

工作難度升級，那么HR該如何在維護(hù)個(gè)人信息安全的前提下，高效開展工作呢？

首先，HR的工作是具備合法性基礎(chǔ)的。眾所周知，在勞動(dòng)關(guān)系中，用人單位與勞動(dòng)者存在管理與被管理的關(guān)系，為此，《個(gè)人信息保護(hù)法》第十三條第二項(xiàng)中明確規(guī)定“實(shí)施人力資源管理所必需而處理個(gè)人信息的，不需要取得勞動(dòng)者同意”，為企業(yè)與HR自主決定處理員工個(gè)人信息提供了合法性與便捷性。

《個(gè)人信息保護(hù)法》第十三條 符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：

（一）取得個(gè)人的同意；

（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

……

依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。

同時(shí)，用工的各個(gè)環(huán)節(jié)都可能涉及員工或候選人的個(gè)人信息，為降低個(gè)人信息處理的風(fēng)險(xiǎn)，HR應(yīng)以全流程視角展開分析，對于涉及個(gè)人信息的具體事項(xiàng)、所隱藏的風(fēng)險(xiǎn)，HR應(yīng)當(dāng)充分告知員工和候選人，為其設(shè)計(jì)相應(yīng)的“授權(quán)書”，并在勞動(dòng)合同中增加個(gè)人信息的相關(guān)條款。

此外，對于涉及到個(gè)人信息的委托事項(xiàng)，《個(gè)人信息保護(hù)法》第二十一條也有相應(yīng)的規(guī)范，雙方的商務(wù)合同中也應(yīng)注意按照PIPL的規(guī)定，增加相關(guān)個(gè)人信息處理的條款，維護(hù)員工的信息安全。

《個(gè)人信息保護(hù)法》第二十一條 個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。

受托人應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。

未經(jīng)個(gè)人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個(gè)人信息。

近期出臺的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》也給了明示，HR從6月1日施行開始有6個(gè)月的整改時(shí)間，企業(yè)需要在2023年12月1日之前完成整改。

對于涉及到個(gè)人信息出境的HR部門就需要在9個(gè)月內(nèi)采取相應(yīng)的行動(dòng)措施。完成個(gè)人信息出境評估，簽訂標(biāo)準(zhǔn)合同并備案外，企業(yè)還可以考慮要求供應(yīng)商將個(gè)人信息存儲(chǔ)數(shù)據(jù)服務(wù)器轉(zhuǎn)移至國內(nèi)或者直接切換軟件為本土軟件，這樣便最大程度規(guī)避了數(shù)據(jù)出境的風(fēng)險(xiǎn)點(diǎn)。

數(shù)據(jù)安全是企業(yè)的立命之本，也是企業(yè)的底線和紅線，招聘管理系統(tǒng)則關(guān)系到企業(yè)各項(xiàng)招聘數(shù)據(jù)及人才信息，手握企業(yè)“命脈”，因此企業(yè)在選型時(shí)需要嚴(yán)格考察招聘系統(tǒng)的安全性，防止個(gè)人信息權(quán)益受損。

Moka始終將“安全”作為第一優(yōu)先級，系統(tǒng)擁有先進(jìn)的基礎(chǔ)安全架構(gòu)及完善的數(shù)據(jù)安全保護(hù)體系，獲得了CSA云安全聯(lián)盟認(rèn)證、ISO 認(rèn)證、國家信息安全等級保護(hù)三級認(rèn)證。在用戶隱私數(shù)據(jù)保護(hù)層面，Moka設(shè)計(jì)并實(shí)施了一系列技術(shù)管控措施和管理流程，采用租戶數(shù)據(jù)隔離保證企業(yè)、員工及候選人信息安全。除此之外，用戶所有的訪問請求都會(huì)經(jīng)過權(quán)限管理服務(wù)檢查，角色權(quán)限中細(xì)粒度劃分也更為細(xì)致。

Moka系統(tǒng)安全性

Moka始終以最高標(biāo)準(zhǔn)踐行安全技術(shù)保障工作，每一家選擇Moka的客戶都相信Moka能夠保護(hù)好企業(yè)最核心的數(shù)據(jù)。截至目前，Moka已累計(jì)服務(wù)福特、松下等超過百家外資企業(yè)客戶，為其提供最安全的企業(yè)級技術(shù)保障設(shè)施以及專業(yè)的數(shù)據(jù)安全合規(guī)解決方案。

*以上部分內(nèi)容整理自《個(gè)人信息保護(hù)實(shí)務(wù)大全》——石先廣。