自《數(shù)據(jù)安全法》和《個人信息保護法》正式出臺，越來越多企業(yè)在數(shù)據(jù)收集、數(shù)據(jù)傳輸?shù)拳h(huán)節(jié)產生法律合規(guī)需求。其中人力資源部門往往需要處理大量的個人信息（含敏感個人信息）。尤其在近年來數(shù)字化招聘已經成為企業(yè)招聘的主流場景，雇主企業(yè)、招聘平臺、獵頭以及第三方供應商要如何迎接《個人信息保護法》以及配套法律法規(guī)帶來的全新挑戰(zhàn)成為實踐中廣泛關注的問題。對此，大成北京辦公室高級合伙人鄧志松律師在日前的直播活動中，針對在華跨國企業(yè)的數(shù)字化招聘環(huán)節(jié)，分析了相關法律監(jiān)管風險，并給出了相應實務建議。以下為鄧律師直播內容的分享整理。

人力資源管理不僅是企業(yè)管理體系的核心功能，也是獲得持續(xù)競爭力的關鍵所在。在數(shù)字技術高速發(fā)展和個人信息保護體系不斷完善的背景下，很多企業(yè)都將人力資源管理數(shù)字化轉型提升到新的高度，但伴隨而來的還有諸多亟待解決的挑戰(zhàn)和困境。

第一，數(shù)據(jù)安全保護體系日趨完善給數(shù)字化招聘奠定合規(guī)標準。隨著大數(shù)據(jù)、人工智能、物聯(lián)網等新興技術的快速發(fā)展，數(shù)據(jù)已經成為重要的生產要素，在經濟社會各領域發(fā)揮著越來越重要的作用。數(shù)據(jù)流通目前已經從最初的數(shù)據(jù)包為主的1.0時代，跨過以API接口方式交互數(shù)據(jù)的2.0時代，進入基于安全合規(guī)和隱私計算基礎之上的3.0時代。數(shù)據(jù)安全治理也逐漸被提升到國家安全治理的戰(zhàn)略高度，國家、地方省市、各行業(yè)監(jiān)管部門不斷出臺相關法律法規(guī)。目前，我國已經形成《網絡安全法》《個人信息保護法》《數(shù)據(jù)安全法》等法律構建的個人信息保護和數(shù)據(jù)安全基本法律框架，其他配套的法律法規(guī)也在陸續(xù)出臺中。

第二，《個人信息保護法》給數(shù)字化招聘的復雜應用場景帶來合規(guī)風險。《個人信息保護法》的頒布實施為人力資源管理過程中個人信息收集、處理等活動提供了實踐規(guī)范和法律依據(jù)，但同時也帶來了企業(yè)合規(guī)風險。其中在疫情期間迅速發(fā)展的數(shù)字化招聘便涉及從職位發(fā)布、簡歷收集到面試甄選、入職管理等多重個人信息應用場景，鄧律師將復雜的場景整理為收集、使用、存儲、出境四個環(huán)節(jié)，并指出了其中的合規(guī)風險：

第三，跨境管理中的多法域沖突給數(shù)字化招聘提出調和性合規(guī)要求。企業(yè)跨境管理涉及國家之間、國家與地區(qū)之間、國際組織之間、個人之間等相互合作，共同處理跨境事務，其中不同法律法規(guī)體系間的沖突難以避免。鄧律師以歐盟為例，講解了跨國企業(yè)的人力資源管理部門或平臺，不論是在境內收集信息往境外傳輸，還是從境外向境內輸送信息，都必須滿足各法域所要求的《個人信息保護法》、《通用數(shù)據(jù)保護條例》等數(shù)據(jù)跨境傳輸協(xié)議及隱私政策。因此，鄧律師強調如何調和不同法律體系之間的關系，使之能夠順利運作并達到共同利益最大化，是企業(yè)處理跨境事務需要重視的問題。

在環(huán)顧人力資源管理面臨的新挑戰(zhàn)后，鄧律師基于法律專業(yè)知識和實務經驗，特別聚焦于企業(yè)數(shù)字化招聘中的法律監(jiān)管風險給出了提示。

第一，企業(yè)進行合規(guī)操作應分清規(guī)定的法律主體。《個人信息保護法》中包含個人信息主體、個人信息處理者、個人信息受托方三類法律主體，正確區(qū)分法律主體對于企業(yè)合規(guī)操作，有重大的意義和影響。個人信息主體，是行使一系列權利的主體，角色較為明確。至于如何判斷一個主體屬于處理者還是受托方，鄧律師表示主要依據(jù)其能否自主決定收集信息的目的范圍和存儲期限。具體到招聘環(huán)節(jié)，提供獨立求職招聘平臺服務的APP通常屬于數(shù)據(jù)的處理者，而軟件和系統(tǒng)服務的供應商通常屬于受托方。而不同法律主體決定了其負有個人信息保護法律責任的不同。

第二，企業(yè)處理個人信息應滿足合法性基礎要求，并具備數(shù)據(jù)安全能力。在招聘場景中處理個人信息，主要涉及兩項合法性基礎：

• 基于個人同意處理個人信息：這是招聘場景下最常見的合法性基礎。該同意應當由個人在充分知情的前提下自愿、明確作出。
• 依照個保法規(guī)定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息：此種情形對應自動爬取應聘者在網站上發(fā)布的簡歷信息場景。但是，該項合法性基礎存在例外，當個人明確拒絕企業(yè)對其公開信息進行處理時，此類合法性基礎不復存在。此外，處理已公開的個人信息，對個人權益有重大影響的，應當取得個人同意。

《個保法》還對雇主、招聘平臺、獵頭以及第三方供應商數(shù)據(jù)安全能力提出了要求：企業(yè)應在內部制定管理制度和操作規(guī)程，對個人信息實行分類管理；在信息處理環(huán)節(jié)采取加密、去標識化等安全技術措施，合理確定處理的操作權限；并提前制定、組織個人信息安全事件應急預案，定期開展安全教育和培訓。

第三，當企業(yè)或個人觸犯法律法規(guī)時應承擔相應的法律責任。在這個部分，鄧律師詳細解讀了觸犯相關法律將會面臨的刑事、行政以及民事方面法律責任。如侵犯公民個人信息，情節(jié)嚴重者，最高會被判處七年有期徒刑；行政處罰包含暫停營業(yè)或吊銷營業(yè)執(zhí)照等，如果個人負有責任也會在一定期限內被禁止擔任企業(yè)管理層職位；民事責任方面除面對個人信息主體索賠外，可能還會面臨人民檢察院、相關組織提起的公益訴訟。

第四，企業(yè)應注意數(shù)據(jù)存儲地選擇帶來的數(shù)據(jù)出境合規(guī)問題。鄧律師指出不同的數(shù)據(jù)存儲地也會有不同的法律監(jiān)管政策，不同數(shù)據(jù)存儲地選擇也會影響企業(yè)數(shù)據(jù)出境合規(guī)義務。如果數(shù)據(jù)存儲地為母國，合規(guī)重點則會聚焦于本地法律法規(guī)，在需要出境的場景下才會涉及出境合規(guī)；如果數(shù)據(jù)存儲地為東道國，由于數(shù)據(jù)出境活動的頻繁，企業(yè)需要同時重視本地合規(guī)和出境合規(guī)。并且，關鍵信息基礎設施運營者或處理個人信息達到國家網信部門規(guī)定數(shù)量的個人信息處理者在《個保法》下面臨數(shù)據(jù)本地化的要求，不可選擇東道國為數(shù)據(jù)存儲地。

隨著《數(shù)據(jù)出境安全評估辦法》《個人信息保護認證實施規(guī)則》《個人信息出境標準合同辦法》相繼發(fā)布實施，《個保法》中所述的個人信息跨境傳輸合規(guī)的三條主要路徑規(guī)則已大致清晰。

路徑一，通過國家網信部門組織的安全評估。《數(shù)據(jù)出境安全評估辦法》正式稿的出臺，標志著歷經三次征求意見后，數(shù)據(jù)出境安全評估的要求終于得以明確。同時，該辦法將個人信息與重要數(shù)據(jù)的出境規(guī)則合并規(guī)定，也標志著2017年以來一度分立的個人信息和重要數(shù)據(jù)出境規(guī)則回歸統(tǒng)一監(jiān)管。根據(jù)該辦法第四條，下述特定數(shù)據(jù)出境主體或活動，應當采用向企業(yè)所在地省級網信部門申報安全評估：

• 關鍵信息基礎設施運營者（“CIIOs”）
• 處理100萬人以上個人信息的數(shù)據(jù)處理者
• 自上年1月1日起累計向境外提供10萬人個人信息或1萬人敏感個人信息的數(shù)據(jù)處理者
• 國家網信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形

路徑二，按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證。認證認可制度是一種國內外通用的第三方評價制度，一般情況下，是由具有專業(yè)能力的第三方機構，以一定的標準和技術規(guī)范為依據(jù)，對產品、服務或者企業(yè)的管理體系、人員能力進行評價，社會可根據(jù)評價結果對企業(yè)進行評判。根據(jù)最新指南，認證的適用不再限于關聯(lián)公司之間的個人信息跨境處理活動，而是與標準合同的適用范圍保持了一致。

路徑三，按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。簽訂標準合同這一路徑與數(shù)據(jù)出境安全評估互為補集，前者的條件上限與后者的條件下限能夠完整對應。新出臺的《個人信息出境標準合同辦法》將于2023年6月1日生效，標準合同預期會成為實踐中最受歡迎、應用最廣的個人信息出境路徑。

《個保法》與《數(shù)據(jù)安全法》《網絡安全法》一起，共同構成我國企業(yè)應遵循的個人信息保護和數(shù)據(jù)安全合規(guī)義務基礎體系，相關嚴密的監(jiān)督監(jiān)管流程也已形成?？鐕\營企業(yè)應盡快針對最新的法律法規(guī)調整自身業(yè)務、產品，并將視野放遠至整個合規(guī)體系層面。對此，鄧律師也給出以下實務建議：

第一，平衡監(jiān)管風險與商業(yè)運營需求。在對多司法轄區(qū)個人信息保護合規(guī)要求進行分析、理解的基礎上，結合自身行業(yè)數(shù)據(jù)類型、商業(yè)運營需求與相應人才招聘需求，合理評估合規(guī)成本與公司收益，并設計相應的合規(guī)架構。

第二，有效、系統(tǒng)管控國內外法律風險。針對特定人才招聘需求，尋求專業(yè)法律咨詢，分析企業(yè)目前面臨的法律風險敞口，并通過合規(guī)工作最小化相關個人信息保護法律風險。

第三，完善委托協(xié)議與企業(yè)合規(guī)體系。審查企業(yè)與第三方合作協(xié)議中關于應聘者個人信息保護的條款，根據(jù)《個保法》要求進行完善。同時從制度和日常運營層面健全企業(yè)個人信息保護合規(guī)體系。

Moka作為HR SaaS 服務供應商始終堅持以國家信息安全法律、法規(guī)、標準、規(guī)范為根本依據(jù)開展公司信息安全合規(guī)工作，并定期對Moka信息安全管理制度的全面性、適用性和有效性進行論證和審定，不斷更進和修訂相關細則。Moka 的產品安全團隊和數(shù)據(jù)安全團隊也將持續(xù)為企業(yè)客戶打造穩(wěn)定、安全、高效的人力資源管理系統(tǒng)云服務，為客戶提供全方位的數(shù)據(jù)安全和用戶隱私防護。