隨著我國社會和經(jīng)濟(jì)的高速發(fā)展�,數(shù)字中國建設(shè)取得了巨大的成就��,然而諸如“大數(shù)據(jù)殺熟”���、“個人信息被濫用”等問題也悄然滋生����。對此����,我國一直在凝聚各方合力加強(qiáng)公民信息安全的保護(hù)�,特別是2021年11月1日實施的《個人信息保護(hù)法》,既加強(qiáng)了個人信息的保護(hù)力度����,也提高了違反個人信息保護(hù)行為的處罰力度��。企業(yè)作為典型的個人信息處理者更應(yīng)時刻自律��,在人力資源管理等各項企業(yè)經(jīng)營管理中守住合規(guī)紅線�。滴滴因其違法違規(guī)���、跨越法律紅線被國家互聯(lián)網(wǎng)信息辦公室懲處這件事也警示著我們���,企業(yè)人力資源管理中合規(guī)操作不僅是企業(yè)應(yīng)盡的責(zé)任,也是必須履行的義務(wù)�����。
7月21日��,國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《行政處罰法》等法律法規(guī)��,對滴滴全球股份有限公司處人民幣80.26億元罰款�,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款�����。
經(jīng)查明,滴滴公司共存在16項違法事實����,歸納起來主要是8個方面:(一) 違法收集用戶手機(jī)相冊中的截圖信息1196.39萬條;(二) 過度收集用戶剪切板信息�、應(yīng)用列表信息83.23億條;(三) 過度收集乘客人臉識別信息1.07億條���、年齡段信息5350.92萬條����、職業(yè)信息 1633.56萬條��、親情關(guān)系信息138.29萬條�、“家”和“公司”打車地址信息1.53億條;(四) 過度收集乘客評價代駕服務(wù)時�����、app后臺運行時�����、手機(jī)連接桔視記錄儀設(shè)備時的精準(zhǔn)位置(經(jīng)緯度)信息1.67億條����;(五) 過度收集司機(jī)學(xué)歷信息14.29萬條,以明文形式存儲司機(jī)身份證號信息5780.26萬條�����;(六) 在未明確告知乘客情況下分析乘客出行意圖信息539.76億條���、常駐城市信息15.38億條��、異地商務(wù)/異地旅游信息3.04億條����;(七) 在乘客使用順風(fēng)車服務(wù)時頻繁索取無關(guān)的“電話權(quán)限”(八) 未準(zhǔn)確����、清晰說明用戶設(shè)備信息等19項個人信息處理目的。
此前��,網(wǎng)絡(luò)安全審查還發(fā)現(xiàn)��,滴滴公司存在嚴(yán)重影響國家安全的數(shù)據(jù)處理活動��,以及拒不履行監(jiān)管部門的明確要求�����,陽奉陰違、惡意逃避監(jiān)管等其他違法違規(guī)問題����。滴滴公司違法違規(guī)運營給國家關(guān)鍵信息基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全帶來嚴(yán)重安全風(fēng)險隱患。因涉及國家安全�,依法不公開。
《個人信息保護(hù)法》下�����,人力資源管理如何應(yīng)對�����?
《個人信息保護(hù)法》的施行��,給企業(yè)的人力資源管理提出了新的要求和挑戰(zhàn)����,企業(yè)的用工管理與員工的個人信息密不可分,無論是員工入職前的簡歷篩選��、招聘錄用、背景調(diào)查���,還是入職后的員工日常管理、員工關(guān)系��、薪酬福利�����、勞動合同����、人事外包等等,個人信息的收集和處理幾乎貫穿了人力資源管理的所有環(huán)節(jié)���。
值得注意的是�,不合規(guī)行為可能給企業(yè)帶來高昂的后果�,《個人信息保護(hù)法》規(guī)定,如果企業(yè)存在嚴(yán)重違法行為����,將被處五千萬元以下或者上一年度營業(yè)額百分之五以下的罰款,并可能面臨停業(yè)整頓�、吊銷營業(yè)執(zhí)照的懲罰。如果企業(yè)人力資源管理的個人信息處理不當(dāng),可能會給企業(yè)招致勞動爭議����、聲譽受損,甚至更加嚴(yán)重的后果����。
因此在《個人信息保護(hù)法》施行環(huán)境下,企業(yè)如何防范個人信息管理方面的風(fēng)險����,將成為企業(yè)人力資源管理的重中之重,每個企業(yè)都應(yīng)該去學(xué)習(xí)和完善��。對此�,我們給出了一些建議:
首先 企業(yè)人力資源管理部門應(yīng)該透徹分析法案的各項要求,以確定其對公司業(yè)務(wù)的影響�����,并對可能存在風(fēng)險的操作和業(yè)務(wù)做出調(diào)整����。同時,關(guān)注監(jiān)管部門的監(jiān)管動態(tài)����,根據(jù)法律法規(guī)及監(jiān)管機(jī)構(gòu)的要求對相關(guān)業(yè)務(wù)進(jìn)行合規(guī)運營��。
其次 企業(yè)人力資源管理部門可以建立合規(guī)中心�����,由合規(guī)中心制定內(nèi)部管理制度、操作規(guī)則以及相關(guān)應(yīng)急方案�����,還可以定期進(jìn)行相關(guān)培訓(xùn)以確保相關(guān)人員熟練掌握個人信息保護(hù)政策和企業(yè)最新管理制度�。同時合規(guī)中心還可以組織定期合規(guī)審計,及時發(fā)現(xiàn)并規(guī)避風(fēng)險�����,保障企業(yè)的合規(guī)運營��。
在具體人力資源管理工作中����,企業(yè)可以優(yōu)先從以下工作著手:①完善招聘環(huán)節(jié)中背景調(diào)查流程,務(wù)必要滿足告知-同意原則�;②修訂并完善公司現(xiàn)有的勞動合同,將勞動合同模板中存在與《個人信息保護(hù)法》相悖的部分修改或者刪除,并增加部分新條款�,以保證未來各項員工管理工作的合規(guī);③規(guī)范對離職員工的個人信息處理方法��;④對合作伙伴數(shù)據(jù)保護(hù)是否合規(guī)進(jìn)行考察���,特別是與第三方機(jī)構(gòu)合作并涉及到員工個人信息時���,一定要保證合作伙伴的規(guī)范性,以規(guī)避企業(yè)的相關(guān)風(fēng)險���;⑤對跨國合作伙伴或者跨國分部提供員工信息時�,除了滿足告知-同意原則外���,還需要查看信息是否需要國家網(wǎng)信部門的安全評估�����,如需要則應(yīng)該以正確的態(tài)度對待并配合執(zhí)行�����。
最后 個人信息保護(hù)的合規(guī)不是一蹴而就的�,而是一項長效的工作,因此企業(yè)應(yīng)時刻自省�,結(jié)合企業(yè)的實際情況,不斷完善和優(yōu)化管理制度和流程��,以確保在未來的運營中保持長期合規(guī)�����。
大瀚對個人信息保護(hù)做了哪些努力��?
作為一家有著23年人力資源服務(wù)經(jīng)驗的企業(yè)�,大瀚一直以來都非常重視人力資源管理的合規(guī)操作���,特別是對客戶���、候選人及內(nèi)部員工的個人信息保護(hù)上,我們有著完善的操作體系���。同時��,為了給客戶�、候選人和員工更佳的服務(wù)體驗���、更完備的個人信息安全保障�����,我們也在持續(xù)不斷地完善這個體系中�,希望對大家有一定參考意義:
我們在公司的管理系統(tǒng)和業(yè)務(wù)系統(tǒng)中,對包括但不限于個人姓名��、手機(jī)號碼����、畢業(yè)院校、薪資水平等各類信息都設(shè)置了嚴(yán)格的查看權(quán)限并對相關(guān)信息進(jìn)行脫敏處理����,且禁用了批量下載、導(dǎo)出等具有潛在數(shù)據(jù)泄露風(fēng)險的功能����。
我們定期對信息系統(tǒng)的各項功能,尤其是涉及到個人信息及客戶信息的模塊進(jìn)行全面的安全性測試與優(yōu)化��。多年來�����,我們一直都以滿分水準(zhǔn)保障信息安全,這是大瀚對候選人負(fù)責(zé)�、對員工負(fù)責(zé),更是對客戶的負(fù)責(zé)�。
我們時刻關(guān)注法律法規(guī),根據(jù)《個人信息保護(hù)法》的具體要求��,積極開展業(yè)務(wù)流程和IT建設(shè)���,利用創(chuàng)新技術(shù)與管理方式����,持續(xù)優(yōu)化平臺和流程權(quán)限與功能�,以保證客戶和員工的個人信息的合規(guī)。我們?yōu)榇俗龊昧顺浞譁?zhǔn)備�����,持續(xù)不斷的為客戶提供最優(yōu)質(zhì)的服務(wù)��,并確保合規(guī)�����。
總 結(jié)
隨著法律法規(guī)對個人信息保護(hù)的重視��,公民的保護(hù)意識也逐步增強(qiáng)�,對企業(yè)人力資源管理各個階段來說,確保合規(guī)操作��,保障客戶�、候選人和員工的信息安全。不僅能有效避免相關(guān)風(fēng)險�,還能建立良好的企業(yè)形象,與客戶建立穩(wěn)固的合作關(guān)系�,同時也能吸引更多優(yōu)秀人才加入為企業(yè)賦能,進(jìn)一步提高企業(yè)的市場競爭力和社會聲譽�。
人力資管理中個人信息保護(hù)的小建議
一、候選人簡歷收集和使用
獵頭和HR通過招聘網(wǎng)站搜尋和第三方提供簡歷時�����,應(yīng)當(dāng)核實個人信息是否取得了當(dāng)事人的單獨授權(quán)同意���。為了進(jìn)一步減少風(fēng)險�����,可要求候選人另行發(fā)送一份簡歷或在招聘系統(tǒng)中填寫個人信息���。
二�����、未成功入職候選人簡歷
根據(jù)最小必要原則�����,應(yīng)該將未成功入職者的個人信息應(yīng)及時刪除�。如果需要暫時保存簡歷�����,需明確告知候選人并取得候選人明確的同意���。為了防止由于遺忘而導(dǎo)致未取得同意的情況����,可在簡歷收集階段就告知簡歷的處理方式并取得求職者同意��。
三��、背景調(diào)查
進(jìn)行背景調(diào)查前可要求候選人簽署同意書或授權(quán)書��。配合背調(diào)時可以幫助第三方核實當(dāng)初員工離職證明上的信息����,比如員工的姓名、身份證號碼����、職位、勞動合同期限等��。但除此以外的信息�,比如對員工的一些主觀評價,績效這些不建議向第三方提及����,因為這些信息違反了必要性原則,當(dāng)然對方可出示相應(yīng)的授權(quán)書除外����。
四、入職信息收集
根據(jù)《個人信息保護(hù)法》第十三條規(guī)定�,“為訂立、履行個人作為一方當(dāng)事人的合同所必需�����,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”的信息不需要取得當(dāng)事人同意也可收集。然而���,對于敏感個人信息還是需要取得同意才能搜集哦�,而且搜集信息也不宜過度�。
五、還應(yīng)注意的其他情況
1. 應(yīng)嚴(yán)格控制員工的權(quán)限���,對各級員工能接觸的信息分級
2. 在內(nèi)部規(guī)章制度中明確需要搜集的員工個人信息具體內(nèi)容以及使用范圍3. 員工離職后可在一定時間內(nèi)保存必要信息如姓名�、住址�����、戶籍��、聯(lián)系方式����、績效表現(xiàn)、獎懲記錄��、休假記錄等����,但應(yīng)馬上刪除為了考勤而設(shè)置的一些人臉、指紋識別等非必要信息���。
