近日,Meta被歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)處以創(chuàng)紀(jì)錄的12億歐元(約91億人民幣)罰款,并被命令停止將歐盟公民的Facebook數(shù)據(jù)傳輸?shù)矫绹W盟法院認(rèn)為,此類數(shù)據(jù)傳輸使歐盟公民面臨隱私侵犯。這筆罰款是根據(jù)歐洲標(biāo)志性數(shù)據(jù)隱私法《通用數(shù)據(jù)保護(hù)條例》(GDPR)所征收的最高額罰款。
該事件反映出美歐之間在數(shù)據(jù)隱私和安全方面存在的分歧和博弈。美國政府和企業(yè)希望能夠自由地獲取和使用海量的用戶數(shù)據(jù),以支持其數(shù)字經(jīng)濟(jì)和國家安全;而歐洲則更加重視保護(hù)用戶數(shù)據(jù)不受濫用和侵犯,以維護(hù)其公民權(quán)利和社會價值。在這場博弈中,GDPR成為了歐洲方面強(qiáng)有力的武器和屏障。
數(shù)據(jù)安全問題在中國同樣開始受到重視。特別是大數(shù)據(jù)、云計算、人工智能等新興技術(shù)接連興起讓數(shù)據(jù)成為數(shù)字化時代的核心資源,然而數(shù)據(jù)的價值和敏感性使其面臨著各種風(fēng)險和挑戰(zhàn)。如何保護(hù)數(shù)據(jù)安全和個人隱私,如何做好數(shù)據(jù)合規(guī)工作不僅是企業(yè)遵守監(jiān)管要求的必要條件,也是企業(yè)提升信譽(yù)和競爭力的重要手段。
隨著PIPL(個人信息保護(hù)法)、《數(shù)據(jù)安全法》等相關(guān)法律法規(guī)的相繼出臺和不斷完善,數(shù)據(jù)合規(guī)給在華企業(yè)提出了更多要求和更嚴(yán)格的約束。作為企業(yè)中管理和使用數(shù)據(jù)的重要部門,人力部門會接觸到大量員工、求職者的敏感個人信息,這就讓人力資源從業(yè)者在數(shù)據(jù)合規(guī)方面面臨著新的需求和挑戰(zhàn)。
《個人信息保護(hù)法》和《數(shù)據(jù)安全法》都針對數(shù)據(jù)收集、存儲、使用、共享和銷毀等方面頒布了的相關(guān)規(guī)定。如:
- 在收集過程中,需要明確告知-同意原則,并且在同意之后才能進(jìn)行個人信息收集;
- 在存儲過程中,需要明確規(guī)定存儲時間和存儲方式等;
- 在使用過程中,需要明確規(guī)定使用范圍和使用目的等。
與法律法規(guī)相呼應(yīng),人力資源從業(yè)者應(yīng)在企業(yè)內(nèi)部建立和完善相應(yīng)數(shù)據(jù)管理制度。在數(shù)據(jù)收集、存儲、處理、使用和傳輸環(huán)節(jié)明確管理原則、范圍、目的、方式和權(quán)限等,以及制定數(shù)據(jù)泄露、侵權(quán)、糾紛等情況下的應(yīng)對措施和責(zé)任分擔(dān)等。這些制度需要符合國家和地區(qū)的法律法規(guī),以及行業(yè)和企業(yè)的標(biāo)準(zhǔn)規(guī)范,同時也需要考慮員工和客戶的意愿和利益,保障數(shù)據(jù)主體的知情權(quán)、選擇權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)等。
隨著最新數(shù)據(jù)合規(guī)等法律法規(guī)和標(biāo)準(zhǔn)要求出臺,企業(yè)數(shù)據(jù)處理主體在收集、存儲、處理、使用和傳輸數(shù)據(jù)之前,需明確告知數(shù)據(jù)主體數(shù)據(jù)的用途、期限、范圍等,以征得數(shù)據(jù)主體的同意或授權(quán),并采取有效的技術(shù)手段和管理措施,保護(hù)數(shù)據(jù)的安全性、完整性和可靠性,防止數(shù)據(jù)被泄露、篡改或濫用。在不再需要使用或保存數(shù)據(jù)時,需要及時刪除或銷毀數(shù)據(jù),避免造成不必要的風(fēng)險或損失。
這就需要人力資源從業(yè)者優(yōu)化和規(guī)范與數(shù)據(jù)合規(guī)相關(guān)的流程和操作。如日常工作中,人力資源從業(yè)者需注意不要將個人信息發(fā)送到不安全的網(wǎng)絡(luò)環(huán)境中,同時也要注意密碼設(shè)置、網(wǎng)絡(luò)防火墻等方面的安全問題。除此以外:
- 在收集過程中,可以采用去標(biāo)識化處理等方式來減少個人信息泄露風(fēng)險;
- 在存儲過程中,可以采用加密技術(shù)來保障個人信息安全;
- 在使用過程中,可以采用訪問控制等技術(shù)來限制非法訪問。
數(shù)據(jù)合規(guī)的實施環(huán)節(jié)包括數(shù)據(jù)來源的合法性、內(nèi)部數(shù)據(jù)安全管理、數(shù)據(jù)的使用與處理、數(shù)據(jù)安全事件應(yīng)急預(yù)案等。在這些環(huán)節(jié)的實踐中,可能會存在不同的問題或漏洞。如在從第三方獲取數(shù)據(jù)時,未能核實第三方是否合法收集和提供數(shù)據(jù);或在實際使用和處理數(shù)據(jù)時,超出原先告知并獲得同意或授權(quán)的目的范圍等。
面對這些情況,人力資源從業(yè)者需要監(jiān)督和評估數(shù)據(jù)合規(guī)制度與流程中的實施效果和執(zhí)行情況。一般會從內(nèi)外兩個角度出發(fā):
- 對內(nèi),定期檢查和審計數(shù)據(jù)的收集、存儲、處理、使用和傳輸是否符合制度和流程的要求,并及時發(fā)現(xiàn)并糾正可能存在的問題或漏洞。
- 對外,定期收集和分析員工和客戶對于數(shù)據(jù)合規(guī)的反饋和意見,并根據(jù)實際情況進(jìn)行改進(jìn)或調(diào)整;持續(xù)更新和完善與數(shù)據(jù)合規(guī)相關(guān)的制度、流程和操作,并及時通知并培訓(xùn)相關(guān)人員。
數(shù)據(jù)合規(guī)不僅給人力資源從業(yè)者帶來新的需求和挑戰(zhàn),也使人力資源從業(yè)者擁有新的機(jī)遇和優(yōu)勢。在數(shù)據(jù)合規(guī)的背景下,人力資源從業(yè)者可以通過利用數(shù)據(jù)分析優(yōu)化人力資源管理、參與企業(yè)數(shù)據(jù)合規(guī)業(yè)務(wù)的外部支持、提高人力資源從業(yè)者的核心競爭力等方面實現(xiàn)自身的發(fā)展和提升。
當(dāng)然,對人力資源從業(yè)者來說數(shù)據(jù)合規(guī)同樣存在風(fēng)險。如何平衡數(shù)據(jù)利用與數(shù)據(jù)保護(hù)之間的關(guān)系,如何處理好與其他部門或外部機(jī)構(gòu)在數(shù)據(jù)合規(guī)方面的協(xié)作與溝通,如何應(yīng)對不斷變化與更新的數(shù)據(jù)合規(guī)環(huán)境等,這些問題都需要人力資源從業(yè)者保持警惕和敏感,積極尋求解決方案和應(yīng)對策略,不斷提升自身的數(shù)據(jù)素養(yǎng)和能力,為企業(yè)發(fā)展和社會進(jìn)步做出貢獻(xiàn)。
為此,5月31日Moka將聯(lián)合大成律師事務(wù)所在上海舉辦“數(shù)字經(jīng)濟(jì)時代下,企業(yè)數(shù)據(jù)安全合規(guī)閉門研討會暨《在華企業(yè)招聘數(shù)據(jù)合規(guī)白皮書》發(fā)布會”,會上邀請了不同企業(yè)高層探討企業(yè)的數(shù)據(jù)合規(guī)安全的應(yīng)對之策。
誠邀您的參與,席位有限,先到先得。