自《數(shù)據(jù)安全法》和《個人信息保護法》正式出臺，越來越多企業(yè)在數(shù)據(jù)收集、數(shù)據(jù)傳輸?shù)拳h(huán)節(jié)產(chǎn)生法律合規(guī)需求。其中人力資源部門往往需要處理大量的個人信息（含敏感個人信息）。尤其在近年來數(shù)字化招聘已經(jīng)成為企業(yè)招聘的主流場景，雇主企業(yè)、招聘平臺、獵頭以及第三方供應(yīng)商要如何迎接《個人信息保護法》以及配套法律法規(guī)帶來的全新挑戰(zhàn)成為實踐中廣泛關(guān)注的問題。對此，大成北京辦公室高級合伙人鄧志松律師在日前的直播活動中，針對在華跨國企業(yè)的數(shù)字化招聘環(huán)節(jié)，分析了相關(guān)法律監(jiān)管風(fēng)險，并給出了相應(yīng)實務(wù)建議。以下為鄧律師直播內(nèi)容的分享整理。

人力資源管理不僅是企業(yè)管理體系的核心功能，也是獲得持續(xù)競爭力的關(guān)鍵所在。在數(shù)字技術(shù)高速發(fā)展和個人信息保護體系不斷完善的背景下，很多企業(yè)都將人力資源管理數(shù)字化轉(zhuǎn)型提升到新的高度，但伴隨而來的還有諸多亟待解決的挑戰(zhàn)和困境。

第一，數(shù)據(jù)安全保護體系日趨完善給數(shù)字化招聘奠定合規(guī)標準。隨著大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素，在經(jīng)濟社會各領(lǐng)域發(fā)揮著越來越重要的作用。數(shù)據(jù)流通目前已經(jīng)從最初的數(shù)據(jù)包為主的1.0時代，跨過以API接口方式交互數(shù)據(jù)的2.0時代，進入基于安全合規(guī)和隱私計算基礎(chǔ)之上的3.0時代。數(shù)據(jù)安全治理也逐漸被提升到國家安全治理的戰(zhàn)略高度，國家、地方省市、各行業(yè)監(jiān)管部門不斷出臺相關(guān)法律法規(guī)。目前，我國已經(jīng)形成《網(wǎng)絡(luò)安全法》《個人信息保護法》《數(shù)據(jù)安全法》等法律構(gòu)建的個人信息保護和數(shù)據(jù)安全基本法律框架，其他配套的法律法規(guī)也在陸續(xù)出臺中。

第二，《個人信息保護法》給數(shù)字化招聘的復(fù)雜應(yīng)用場景帶來合規(guī)風(fēng)險。《個人信息保護法》的頒布實施為人力資源管理過程中個人信息收集、處理等活動提供了實踐規(guī)范和法律依據(jù)，但同時也帶來了企業(yè)合規(guī)風(fēng)險。其中在疫情期間迅速發(fā)展的數(shù)字化招聘便涉及從職位發(fā)布、簡歷收集到面試甄選、入職管理等多重個人信息應(yīng)用場景，鄧律師將復(fù)雜的場景整理為收集、使用、存儲、出境四個環(huán)節(jié)，并指出了其中的合規(guī)風(fēng)險：

第三，跨境管理中的多法域沖突給數(shù)字化招聘提出調(diào)和性合規(guī)要求。企業(yè)跨境管理涉及國家之間、國家與地區(qū)之間、國際組織之間、個人之間等相互合作，共同處理跨境事務(wù)，其中不同法律法規(guī)體系間的沖突難以避免。鄧律師以歐盟為例，講解了跨國企業(yè)的人力資源管理部門或平臺，不論是在境內(nèi)收集信息往境外傳輸，還是從境外向境內(nèi)輸送信息，都必須滿足各法域所要求的《個人信息保護法》、《通用數(shù)據(jù)保護條例》等數(shù)據(jù)跨境傳輸協(xié)議及隱私政策。因此，鄧律師強調(diào)如何調(diào)和不同法律體系之間的關(guān)系，使之能夠順利運作并達到共同利益最大化，是企業(yè)處理跨境事務(wù)需要重視的問題。

在環(huán)顧人力資源管理面臨的新挑戰(zhàn)后，鄧律師基于法律專業(yè)知識和實務(wù)經(jīng)驗，特別聚焦于企業(yè)數(shù)字化招聘中的法律監(jiān)管風(fēng)險給出了提示。

第一，企業(yè)進行合規(guī)操作應(yīng)分清規(guī)定的法律主體。《個人信息保護法》中包含個人信息主體、個人信息處理者、個人信息受托方三類法律主體，正確區(qū)分法律主體對于企業(yè)合規(guī)操作，有重大的意義和影響。個人信息主體，是行使一系列權(quán)利的主體，角色較為明確。至于如何判斷一個主體屬于處理者還是受托方，鄧律師表示主要依據(jù)其能否自主決定收集信息的目的范圍和存儲期限。具體到招聘環(huán)節(jié)，提供獨立求職招聘平臺服務(wù)的APP通常屬于數(shù)據(jù)的處理者，而軟件和系統(tǒng)服務(wù)的供應(yīng)商通常屬于受托方。而不同法律主體決定了其負有個人信息保護法律責(zé)任的不同。

第二，企業(yè)處理個人信息應(yīng)滿足合法性基礎(chǔ)要求，并具備數(shù)據(jù)安全能力。在招聘場景中處理個人信息，主要涉及兩項合法性基礎(chǔ)：

• 基于個人同意處理個人信息：這是招聘場景下最常見的合法性基礎(chǔ)。該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。
• 依照個保法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息：此種情形對應(yīng)自動爬取應(yīng)聘者在網(wǎng)站上發(fā)布的簡歷信息場景。但是，該項合法性基礎(chǔ)存在例外，當(dāng)個人明確拒絕企業(yè)對其公開信息進行處理時，此類合法性基礎(chǔ)不復(fù)存在。此外，處理已公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)當(dāng)取得個人同意。

《個保法》還對雇主、招聘平臺、獵頭以及第三方供應(yīng)商數(shù)據(jù)安全能力提出了要求：企業(yè)應(yīng)在內(nèi)部制定管理制度和操作規(guī)程，對個人信息實行分類管理；在信息處理環(huán)節(jié)采取加密、去標識化等安全技術(shù)措施，合理確定處理的操作權(quán)限；并提前制定、組織個人信息安全事件應(yīng)急預(yù)案，定期開展安全教育和培訓(xùn)。

第三，當(dāng)企業(yè)或個人觸犯法律法規(guī)時應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。在這個部分，鄧律師詳細解讀了觸犯相關(guān)法律將會面臨的刑事、行政以及民事方面法律責(zé)任。如侵犯公民個人信息，情節(jié)嚴重者，最高會被判處七年有期徒刑；行政處罰包含暫停營業(yè)或吊銷營業(yè)執(zhí)照等，如果個人負有責(zé)任也會在一定期限內(nèi)被禁止擔(dān)任企業(yè)管理層職位；民事責(zé)任方面除面對個人信息主體索賠外，可能還會面臨人民檢察院、相關(guān)組織提起的公益訴訟。

第四，企業(yè)應(yīng)注意數(shù)據(jù)存儲地選擇帶來的數(shù)據(jù)出境合規(guī)問題。鄧律師指出不同的數(shù)據(jù)存儲地也會有不同的法律監(jiān)管政策，不同數(shù)據(jù)存儲地選擇也會影響企業(yè)數(shù)據(jù)出境合規(guī)義務(wù)。如果數(shù)據(jù)存儲地為母國，合規(guī)重點則會聚焦于本地法律法規(guī)，在需要出境的場景下才會涉及出境合規(guī)；如果數(shù)據(jù)存儲地為東道國，由于數(shù)據(jù)出境活動的頻繁，企業(yè)需要同時重視本地合規(guī)和出境合規(guī)。并且，關(guān)鍵信息基礎(chǔ)設(shè)施運營者或處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在《個保法》下面臨數(shù)據(jù)本地化的要求，不可選擇東道國為數(shù)據(jù)存儲地。

隨著《數(shù)據(jù)出境安全評估辦法》《個人信息保護認證實施規(guī)則》《個人信息出境標準合同辦法》相繼發(fā)布實施，《個保法》中所述的個人信息跨境傳輸合規(guī)的三條主要路徑規(guī)則已大致清晰。

路徑一，通過國家網(wǎng)信部門組織的安全評估。《數(shù)據(jù)出境安全評估辦法》正式稿的出臺，標志著歷經(jīng)三次征求意見后，數(shù)據(jù)出境安全評估的要求終于得以明確。同時，該辦法將個人信息與重要數(shù)據(jù)的出境規(guī)則合并規(guī)定，也標志著2017年以來一度分立的個人信息和重要數(shù)據(jù)出境規(guī)則回歸統(tǒng)一監(jiān)管。根據(jù)該辦法第四條，下述特定數(shù)據(jù)出境主體或活動，應(yīng)當(dāng)采用向企業(yè)所在地省級網(wǎng)信部門申報安全評估：

• 關(guān)鍵信息基礎(chǔ)設(shè)施運營者（“CIIOs”）
• 處理100萬人以上個人信息的數(shù)據(jù)處理者
• 自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數(shù)據(jù)處理者
• 國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形

路徑二，按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證。認證認可制度是一種國內(nèi)外通用的第三方評價制度，一般情況下，是由具有專業(yè)能力的第三方機構(gòu)，以一定的標準和技術(shù)規(guī)范為依據(jù)，對產(chǎn)品、服務(wù)或者企業(yè)的管理體系、人員能力進行評價，社會可根據(jù)評價結(jié)果對企業(yè)進行評判。根據(jù)最新指南，認證的適用不再限于關(guān)聯(lián)公司之間的個人信息跨境處理活動，而是與標準合同的適用范圍保持了一致。

路徑三，按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。簽訂標準合同這一路徑與數(shù)據(jù)出境安全評估互為補集，前者的條件上限與后者的條件下限能夠完整對應(yīng)。新出臺的《個人信息出境標準合同辦法》將于2023年6月1日生效，標準合同預(yù)期會成為實踐中最受歡迎、應(yīng)用最廣的個人信息出境路徑。

《個保法》與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》一起，共同構(gòu)成我國企業(yè)應(yīng)遵循的個人信息保護和數(shù)據(jù)安全合規(guī)義務(wù)基礎(chǔ)體系，相關(guān)嚴密的監(jiān)督監(jiān)管流程也已形成?？鐕\營企業(yè)應(yīng)盡快針對最新的法律法規(guī)調(diào)整自身業(yè)務(wù)、產(chǎn)品，并將視野放遠至整個合規(guī)體系層面。對此，鄧律師也給出以下實務(wù)建議：

第一，平衡監(jiān)管風(fēng)險與商業(yè)運營需求。在對多司法轄區(qū)個人信息保護合規(guī)要求進行分析、理解的基礎(chǔ)上，結(jié)合自身行業(yè)數(shù)據(jù)類型、商業(yè)運營需求與相應(yīng)人才招聘需求，合理評估合規(guī)成本與公司收益，并設(shè)計相應(yīng)的合規(guī)架構(gòu)。

第二，有效、系統(tǒng)管控國內(nèi)外法律風(fēng)險。針對特定人才招聘需求，尋求專業(yè)法律咨詢，分析企業(yè)目前面臨的法律風(fēng)險敞口，并通過合規(guī)工作最小化相關(guān)個人信息保護法律風(fēng)險。

第三，完善委托協(xié)議與企業(yè)合規(guī)體系。審查企業(yè)與第三方合作協(xié)議中關(guān)于應(yīng)聘者個人信息保護的條款，根據(jù)《個保法》要求進行完善。同時從制度和日常運營層面健全企業(yè)個人信息保護合規(guī)體系。

Moka作為HR SaaS 服務(wù)供應(yīng)商始終堅持以國家信息安全法律、法規(guī)、標準、規(guī)范為根本依據(jù)開展公司信息安全合規(guī)工作，并定期對Moka信息安全管理制度的全面性、適用性和有效性進行論證和審定，不斷更進和修訂相關(guān)細則。Moka 的產(chǎn)品安全團隊和數(shù)據(jù)安全團隊也將持續(xù)為企業(yè)客戶打造穩(wěn)定、安全、高效的人力資源管理系統(tǒng)云服務(wù)，為客戶提供全方位的數(shù)據(jù)安全和用戶隱私防護。