隨著(zhù)我國社會(huì )和經(jīng)濟的高速發(fā)展����,數字中國建設取得了巨大的成就�����,然而諸如“大數據殺熟”��、“個(gè)人信息被濫用”等問(wèn)題也悄然滋生�����。對此��,我國一直在凝聚各方合力加強公民信息安全的保護�,特別是2021年11月1日實(shí)施的《個(gè)人信息保護法》�,既加強了個(gè)人信息的保護力度��,也提高了違反個(gè)人信息保護行為的處罰力度�����。企業(yè)作為典型的個(gè)人信息處理者更應時(shí)刻自律���,在人力資源管理等各項企業(yè)經(jīng)營(yíng)管理中守住合規紅線(xiàn)�����。滴滴因其違法違規�����、跨越法律紅線(xiàn)被國家互聯(lián)網(wǎng)信息辦公室懲處這件事也警示著(zhù)我們��,企業(yè)人力資源管理中合規操作不僅是企業(yè)應盡的責任���,也是必須履行的義務(wù)���。
7月21日�����,國家互聯(lián)網(wǎng)信息辦公室依據《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》《行政處罰法》等法律法規��,對滴滴全球股份有限公司處人民幣80.26億元罰款�����,對滴滴全球股份有限公司董事長(cháng)兼CEO程維�、總裁柳青各處人民幣100萬(wàn)元罰款����。
經(jīng)查明�,滴滴公司共存在16項違法事實(shí)��,歸納起來(lái)主要是8個(gè)方面:(一) 違法收集用戶(hù)手機相冊中的截圖信息1196.39萬(wàn)條����;(二) 過(guò)度收集用戶(hù)剪切板信息��、應用列表信息83.23億條�;(三) 過(guò)度收集乘客人臉識別信息1.07億條���、年齡段信息5350.92萬(wàn)條���、職業(yè)信息 1633.56萬(wàn)條�����、親情關(guān)系信息138.29萬(wàn)條�、“家”和“公司”打車(chē)地址信息1.53億條�;(四) 過(guò)度收集乘客評價(jià)代駕服務(wù)時(shí)���、app后臺運行時(shí)�、手機連接桔視記錄儀設備時(shí)的精準位置(經(jīng)緯度)信息1.67億條����;(五) 過(guò)度收集司機學(xué)歷信息14.29萬(wàn)條��,以明文形式存儲司機身份證號信息5780.26萬(wàn)條��;(六) 在未明確告知乘客情況下分析乘客出行意圖信息539.76億條�、常駐城市信息15.38億條����、異地商務(wù)/異地旅游信息3.04億條����;(七) 在乘客使用順風(fēng)車(chē)服務(wù)時(shí)頻繁索取無(wú)關(guān)的“電話(huà)權限”(八) 未準確���、清晰說(shuō)明用戶(hù)設備信息等19項個(gè)人信息處理目的����。
此前�����,網(wǎng)絡(luò )安全審查還發(fā)現��,滴滴公司存在嚴重影響國家安全的數據處理活動(dòng)�����,以及拒不履行監管部門(mén)的明確要求����,陽(yáng)奉陰違���、惡意逃避監管等其他違法違規問(wèn)題����。滴滴公司違法違規運營(yíng)給國家關(guān)鍵信息基礎設施安全和數據安全帶來(lái)嚴重安全風(fēng)險隱患�。因涉及國家安全�,依法不公開(kāi)�。
《個(gè)人信息保護法》下����,人力資源管理如何應對�����?
《個(gè)人信息保護法》的施行�����,給企業(yè)的人力資源管理提出了新的要求和挑戰��,企業(yè)的用工管理與員工的個(gè)人信息密不可分����,無(wú)論是員工入職前的簡(jiǎn)歷篩選����、招聘錄用��、背景調查�,還是入職后的員工日常管理��、員工關(guān)系���、薪酬福利�、勞動(dòng)合同���、人事外包等等�����,個(gè)人信息的收集和處理幾乎貫穿了人力資源管理的所有環(huán)節��。
值得注意的是����,不合規行為可能給企業(yè)帶來(lái)高昂的后果�,《個(gè)人信息保護法》規定�,如果企業(yè)存在嚴重違法行為�,將被處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下的罰款���,并可能面臨停業(yè)整頓���、吊銷(xiāo)營(yíng)業(yè)執照的懲罰�����。如果企業(yè)人力資源管理的個(gè)人信息處理不當�����,可能會(huì )給企業(yè)招致勞動(dòng)爭議�����、聲譽(yù)受損���,甚至更加嚴重的后果�����。
因此在《個(gè)人信息保護法》施行環(huán)境下��,企業(yè)如何防范個(gè)人信息管理方面的風(fēng)險����,將成為企業(yè)人力資源管理的重中之重�����,每個(gè)企業(yè)都應該去學(xué)習和完善���。對此���,我們給出了一些建議:
首先 企業(yè)人力資源管理部門(mén)應該透徹分析法案的各項要求�����,以確定其對公司業(yè)務(wù)的影響����,并對可能存在風(fēng)險的操作和業(yè)務(wù)做出調整����。同時(shí)�����,關(guān)注監管部門(mén)的監管動(dòng)態(tài)�,根據法律法規及監管機構的要求對相關(guān)業(yè)務(wù)進(jìn)行合規運營(yíng)����。
其次 企業(yè)人力資源管理部門(mén)可以建立合規中心�,由合規中心制定內部管理制度��、操作規則以及相關(guān)應急方案���,還可以定期進(jìn)行相關(guān)培訓以確保相關(guān)人員熟練掌握個(gè)人信息保護政策和企業(yè)最新管理制度�。同時(shí)合規中心還可以組織定期合規審計���,及時(shí)發(fā)現并規避風(fēng)險���,保障企業(yè)的合規運營(yíng)��。
在具體人力資源管理工作中�,企業(yè)可以?xún)?yōu)先從以下工作著(zhù)手:①完善招聘環(huán)節中背景調查流程�����,務(wù)必要滿(mǎn)足告知-同意原則�����;②修訂并完善公司現有的勞動(dòng)合同�,將勞動(dòng)合同模板中存在與《個(gè)人信息保護法》相悖的部分修改或者刪除�����,并增加部分新條款�����,以保證未來(lái)各項員工管理工作的合規���;③規范對離職員工的個(gè)人信息處理方法���;④對合作伙伴數據保護是否合規進(jìn)行考察��,特別是與第三方機構合作并涉及到員工個(gè)人信息時(shí)���,一定要保證合作伙伴的規范性�����,以規避企業(yè)的相關(guān)風(fēng)險�����;⑤對跨國合作伙伴或者跨國分部提供員工信息時(shí)�,除了滿(mǎn)足告知-同意原則外���,還需要查看信息是否需要國家網(wǎng)信部門(mén)的安全評估��,如需要則應該以正確的態(tài)度對待并配合執行����。
最后 個(gè)人信息保護的合規不是一蹴而就的��,而是一項長(cháng)效的工作��,因此企業(yè)應時(shí)刻自省�����,結合企業(yè)的實(shí)際情況��,不斷完善和優(yōu)化管理制度和流程����,以確保在未來(lái)的運營(yíng)中保持長(cháng)期合規���。
大瀚對個(gè)人信息保護做了哪些努力��?
作為一家有著(zhù)23年人力資源服務(wù)經(jīng)驗的企業(yè)���,大瀚一直以來(lái)都非常重視人力資源管理的合規操作���,特別是對客戶(hù)����、候選人及內部員工的個(gè)人信息保護上���,我們有著(zhù)完善的操作體系�。同時(shí)�,為了給客戶(hù)�、候選人和員工更佳的服務(wù)體驗���、更完備的個(gè)人信息安全保障�����,我們也在持續不斷地完善這個(gè)體系中��,希望對大家有一定參考意義:
我們在公司的管理系統和業(yè)務(wù)系統中����,對包括但不限于個(gè)人姓名�����、手機號碼�����、畢業(yè)院校���、薪資水平等各類(lèi)信息都設置了嚴格的查看權限并對相關(guān)信息進(jìn)行脫敏處理���,且禁用了批量下載��、導出等具有潛在數據泄露風(fēng)險的功能���。
我們定期對信息系統的各項功能��,尤其是涉及到個(gè)人信息及客戶(hù)信息的模塊進(jìn)行全面的安全性測試與優(yōu)化��。多年來(lái)�����,我們一直都以滿(mǎn)分水準保障信息安全���,這是大瀚對候選人負責�����、對員工負責����,更是對客戶(hù)的負責��。
我們時(shí)刻關(guān)注法律法規��,根據《個(gè)人信息保護法》的具體要求���,積極開(kāi)展業(yè)務(wù)流程和IT建設����,利用創(chuàng )新技術(shù)與管理方式�,持續優(yōu)化平臺和流程權限與功能��,以保證客戶(hù)和員工的個(gè)人信息的合規���。我們?yōu)榇俗龊昧顺浞譁蕚?���,持續不斷的為客戶(hù)提供最優(yōu)質(zhì)的服務(wù)���,并確保合規�����。
總 結
隨著(zhù)法律法規對個(gè)人信息保護的重視���,公民的保護意識也逐步增強����,對企業(yè)人力資源管理各個(gè)階段來(lái)說(shuō)���,確保合規操作����,保障客戶(hù)�����、候選人和員工的信息安全���。不僅能有效避免相關(guān)風(fēng)險�,還能建立良好的企業(yè)形象����,與客戶(hù)建立穩固的合作關(guān)系�����,同時(shí)也能吸引更多優(yōu)秀人才加入為企業(yè)賦能�,進(jìn)一步提高企業(yè)的市場(chǎng)競爭力和社會(huì )聲譽(yù)���。
人力資管理中個(gè)人信息保護的小建議
一����、候選人簡(jiǎn)歷收集和使用
獵頭和HR通過(guò)招聘網(wǎng)站搜尋和第三方提供簡(jiǎn)歷時(shí)�����,應當核實(shí)個(gè)人信息是否取得了當事人的單獨授權同意�。為了進(jìn)一步減少風(fēng)險�����,可要求候選人另行發(fā)送一份簡(jiǎn)歷或在招聘系統中填寫(xiě)個(gè)人信息�。
二�����、未成功入職候選人簡(jiǎn)歷
根據最小必要原則����,應該將未成功入職者的個(gè)人信息應及時(shí)刪除�����。如果需要暫時(shí)保存簡(jiǎn)歷��,需明確告知候選人并取得候選人明確的同意�。為了防止由于遺忘而導致未取得同意的情況���,可在簡(jiǎn)歷收集階段就告知簡(jiǎn)歷的處理方式并取得求職者同意����。
三���、背景調查
進(jìn)行背景調查前可要求候選人簽署同意書(shū)或授權書(shū)����。配合背調時(shí)可以幫助第三方核實(shí)當初員工離職證明上的信息��,比如員工的姓名���、身份證號碼�、職位�、勞動(dòng)合同期限等����。但除此以外的信息��,比如對員工的一些主觀(guān)評價(jià)���,績(jì)效這些不建議向第三方提及����,因為這些信息違反了必要性原則���,當然對方可出示相應的授權書(shū)除外�����。
四��、入職信息收集
根據《個(gè)人信息保護法》第十三條規定���,“為訂立����、履行個(gè)人作為一方當事人的合同所必需�����,或者按照依法制定的勞動(dòng)規章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”的信息不需要取得當事人同意也可收集�。然而���,對于敏感個(gè)人信息還是需要取得同意才能搜集哦�,而且搜集信息也不宜過(guò)度�����。
五����、還應注意的其他情況
1. 應嚴格控制員工的權限��,對各級員工能接觸的信息分級
2. 在內部規章制度中明確需要搜集的員工個(gè)人信息具體內容以及使用范圍3. 員工離職后可在一定時(shí)間內保存必要信息如姓名���、住址�、戶(hù)籍���、聯(lián)系方式���、績(jì)效表現�、獎懲記錄��、休假記錄等���,但應馬上刪除為了考勤而設置的一些人臉�、指紋識別等非必要信息���。
