自今年6月1日起,《個人資訊出境标準合同辦法》(下稱:《辦法》)正式開始施行。此《辦法》旨在落實《個人資訊保護法》的規定,保護個人資訊權益,規範個人資訊出境活動。
《辦法》中提到,個人資訊處理者向境外提供個人資訊前,應當開展個人資訊保護影響評估;個人資訊處理者應當在标準合同生效之日起10個工作日内向所在地省級網信部門備案;違反規定的,依據《個人資訊保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。
這一辦法開始施行後,跨國企業在華的數字化招聘将無可避免受到影響。畢竟,在數字化招聘過程中,跨國企業在履歷擷取、履歷篩選、筆試和面試、人才歸檔等衆多複雜的環節與場景中,涉及大量應聘者個人資訊的處理與收集。這些資訊如何合規出境成為跨國企業必須考慮的問題。
國家網際網路資訊辦公室令
放在以往,跨國企業招聘負責人可能會直接把候選人履歷以郵件的方式轉給海外面試官,但現在這種做法就有可能違規。前述《辦法》要求,個人資訊處理者要重點評估個人資訊出境後遭到篡改、破壞、洩露、丢失、非法利用等的風險,個人資訊權益維護的管道是否通暢等
“經曆了使用者個人資訊被無條件攫取的‘野蠻期’、多部委聯合開展專項治理行動的‘強監管期’,持續對公民個人資訊進行保護已經成為大勢所趨。而涉及海量應聘者個人資訊收集與處理的企業招聘工作也将面臨更大的個人資訊保護風險。”大成律所北京辦公室進階合夥人鄧志松律師日前在接受觀察者網采訪時指出。
他認為,招聘服務或産品天然就跟資訊保護是相結合的,一旦招聘過程中的個人資訊洩露就會影響到企業信譽和形象。跨國公司中常見的就是資訊出境,隻要是在中國境内收集的資料,都不能随意給到境外機構,除非經過主管機關的準許。
然而,盡管随着以《資料安全法》《個人資訊保護法》為代表的相關法律出台,大陸已經逐漸形成個人資訊保護的完整法律架構,但在華跨國企業的個人資訊保護合規意識似乎仍有待加強。
根據HR SaaS解決方案提供商Moka聯合大成律師事務所共同釋出的《在華企業招聘資料合規白皮書》,在參與調研的企業中,僅15.91%已深入了解相關政策,其餘企業中,22.73%尚處于研究階段,40.91%僅限于初步了解,20.45%并不了解相關政策。由此可見,在華營運企業個保法合規意識有待加強,數字化資訊安全和隐私保護技術也仍有較大發展空間。
聚焦招聘環節,也僅有38.64%的在華企業在《資料安全法》《個人資訊保護法》頒布實施後已開展相關的資料安全治理工作,許多企業并沒有采取相應的個保法合規措施,也沒有開展關于個保法合規知識的員工教育訓練,這無疑會給企業帶來很大的不可控風險。
觀察者網了解到,這份白皮書調研了百餘家在華企業的招聘資料合規現狀,是HR SaaS行業首部針對企業數字化招聘中的個保法合規風險進行洞見并給出具體解決方案的白皮書。
“關于《個保法》,我們調研下來,落實比較靠前的還是一些跨國企業、MNC企業、外資企業,然後是國内一些行業頭部,他們可能也會涉及到一些出境的業務,像甯德時代、安踏、中信等,因為他們每年處理的資料量會非常大。”鄧志松律師表示。
根據《在華企業招聘資料合規白皮書》資料,超過三分之一有跨國營運業務的在華企業選擇由HR部門負責牽頭涉及招聘相關的資料合規問題,跟随其後的是資訊/資料部門和法務部門,分别占24.39%和21.95%。
對跨國企業HR部門來說,應該如何確定招聘流程合規?針對在華企業跨國營運中涉及的數字化招聘問題,找到适合的HR SaaS服務供應商,無疑能讓招聘相關的資料合規工作事半功倍。
Moka大客戶解決方案負責人張俊傑向觀察者網介紹稱,為落實資料安全與合規政策要求,賦能企業提升招聘數智能力,Moka現已搭建起完善的基礎安全架構以及使用者業務、資料安全保護體系,獲得了CSA雲安全聯盟認證、ISO認證、國家資訊安全等級保護三級認證,可以為使用者提供包括隐私保護、資訊分級、安全稽核在内的全方位企業資料防護。除技術保障外,Moka還組建了以CIS+CSM+CTS為中心的客戶保障團隊,以“受托方”身份提供相應配合、通知、響應等服務。
據官網披露,Moka成立于2015年,作為國内發展最快的HR SaaS廠商之一,成立以來先後獲得GGV紀源資本、金沙江創投、高瓴創投、襄禾資本、藍湖資本、老虎環球基金等多個資本青睐,并于2021年11月獲C輪1億美元融資,小米、滴滴、麥當勞等都是其客戶。
“資料安全合規對我們來說是非常大的責任,因為客戶相信我們能夠幫助他們去管理所有的資料和資訊,如果真的出了問題就相當于觸及整個公司的生命線,是以我們從比較早就開始關注。”Moka CEO李國興向觀察者網表示,除了合規的資料管理,Moka還關注資料加密存儲、内部員通路權限、保密協定、離職處理等。
當被問及數字化招聘解決方案涉及到營運成本的增加,會不會導緻Moka HR SaaS售價擡高時,李國興表示,“SaaS這種模式本質上還是很有規模效應的,我們每年還會有産品的疊代和更新,是以在隐私保護方面的投入是持續性的。”他認為,《辦法》的實施多少會影響到一些企業招聘業務的順暢度,但“這也是整體行業在越來越健康的環境下,必然要發生的事情”。