2月24日，網(wǎng)信辦公布的《個人信息出境標(biāo)準(zhǔn)合同辦法》規(guī)定：個人信息如果要出境，個人信息處理者需要與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同。同時在合同中需要對涉及傳輸個人信息的目的、數(shù)量、類型、范圍及敏感程度、傳輸方式及境外接收方保存的期限、出境后存儲時間地點等進(jìn)行約定。

此外，企業(yè)需要在標(biāo)準(zhǔn)合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。備案時，除了提交標(biāo)準(zhǔn)合同外，還需提交個人信息保護影響評估報告。該辦法自2023年6月1日起施行，在辦法施行前已經(jīng)開展的個人信息出境活動，不符合辦法規(guī)定的，應(yīng)當(dāng)自辦法施行之日起6個月內(nèi)完成整改。

此前，《個人信息保護法》（簡稱“PIPL”）于2021年11月1日正式施行，也對合理處理個人信息作出了明確規(guī)定，這也意味著企業(yè)需要規(guī)范數(shù)據(jù)處理活動，加強數(shù)據(jù)安全管理，保護個人和組織的權(quán)益。

作為企業(yè)內(nèi)部負(fù)責(zé)招聘業(yè)務(wù)、管理員工關(guān)系的“第一責(zé)任人”，HR在日常工作中少不了與“個人信息”打交道。如此說來，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《個人信息出境標(biāo)準(zhǔn)合同辦法》的相繼出臺，進(jìn)一步完善了規(guī)定的數(shù)據(jù)出境安全評估制度，尤其從個人信息方面對數(shù)據(jù)出境監(jiān)管進(jìn)行了細(xì)化和加強，這對有出境業(yè)務(wù)的企業(yè)HR而言是一個不小的挑戰(zhàn)。

如何厘清個人信息資產(chǎn)，明確自己個人信息資產(chǎn)的屬性、量級？如何明細(xì)個人信息流向？如何對網(wǎng)絡(luò)上流動的個人信息進(jìn)行持續(xù)監(jiān)測，避免個人信息被動出境？均成為面臨個人信息出境的企業(yè)關(guān)注的焦點。而企業(yè)中的HR是涉及個人信息數(shù)據(jù)最多的角色，他們在日常工作中需要關(guān)注什么呢？

明確“哪些屬于員工和候選人的個人信息”是HR需要了解的首要問題。對此，《個人信息保護法》第四條也對“個人信息”有著清晰的界定。

《個人信息保護法》第四條 個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

以上條文不難看出，HR日常工作與“個人信息”息息相關(guān)，從招聘過程中篩選并留存候選人簡歷、搭建結(jié)構(gòu)化人才庫，到員工入職后簽訂勞動合同、登記入職信息、發(fā)放薪酬福利等管理工作，處理個人信息貫穿了HR工作的全流程。

在人力資源管理過程中，HR還經(jīng)常會與第三方進(jìn)行合作，如招聘過程中，委托背調(diào)公司調(diào)查候選人、委托獵頭公司招募高端人才；簽署電子勞動合同時，與電子合同服務(wù)商合作；以及代發(fā)工資、代繳社保、購買商業(yè)保險等委托事項，都會涉及到員工個人信息的處理。特別是有出入境業(yè)務(wù)的企業(yè)，員工信息的流存?zhèn)鬏攩栴}更是需要被關(guān)注的重點。

HR工作中涉及個人信息的主要環(huán)節(jié)

工作難度升級，那么HR該如何在維護個人信息安全的前提下，高效開展工作呢？

首先，HR的工作是具備合法性基礎(chǔ)的。眾所周知，在勞動關(guān)系中，用人單位與勞動者存在管理與被管理的關(guān)系，為此，《個人信息保護法》第十三條第二項中明確規(guī)定“實施人力資源管理所必需而處理個人信息的，不需要取得勞動者同意”，為企業(yè)與HR自主決定處理員工個人信息提供了合法性與便捷性。

《個人信息保護法》第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；

……

依照本法其他有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意。

同時，用工的各個環(huán)節(jié)都可能涉及員工或候選人的個人信息，為降低個人信息處理的風(fēng)險，HR應(yīng)以全流程視角展開分析，對于涉及個人信息的具體事項、所隱藏的風(fēng)險，HR應(yīng)當(dāng)充分告知員工和候選人，為其設(shè)計相應(yīng)的“授權(quán)書”，并在勞動合同中增加個人信息的相關(guān)條款。

此外，對于涉及到個人信息的委托事項，《個人信息保護法》第二十一條也有相應(yīng)的規(guī)范，雙方的商務(wù)合同中也應(yīng)注意按照PIPL的規(guī)定，增加相關(guān)個人信息處理的條款，維護員工的信息安全。

《個人信息保護法》第二十一條 個人信息處理者委托處理個人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務(wù)等，并對受托人的個人信息處理活動進(jìn)行監(jiān)督。

受托人應(yīng)當(dāng)按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個人信息返還個人信息處理者或者予以刪除，不得保留。

未經(jīng)個人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個人信息。

近期出臺的《個人信息出境標(biāo)準(zhǔn)合同辦法》也給了明示，HR從6月1日施行開始有6個月的整改時間，企業(yè)需要在2023年12月1日之前完成整改。

對于涉及到個人信息出境的HR部門就需要在9個月內(nèi)采取相應(yīng)的行動措施。完成個人信息出境評估，簽訂標(biāo)準(zhǔn)合同并備案外，企業(yè)還可以考慮要求供應(yīng)商將個人信息存儲數(shù)據(jù)服務(wù)器轉(zhuǎn)移至國內(nèi)或者直接切換軟件為本土軟件，這樣便最大程度規(guī)避了數(shù)據(jù)出境的風(fēng)險點。

數(shù)據(jù)安全是企業(yè)的立命之本，也是企業(yè)的底線和紅線，招聘管理系統(tǒng)則關(guān)系到企業(yè)各項招聘數(shù)據(jù)及人才信息，手握企業(yè)“命脈”，因此企業(yè)在選型時需要嚴(yán)格考察招聘系統(tǒng)的安全性，防止個人信息權(quán)益受損。

Moka始終將“安全”作為第一優(yōu)先級，系統(tǒng)擁有先進(jìn)的基礎(chǔ)安全架構(gòu)及完善的數(shù)據(jù)安全保護體系，獲得了CSA云安全聯(lián)盟認(rèn)證、ISO 認(rèn)證、國家信息安全等級保護三級認(rèn)證。在用戶隱私數(shù)據(jù)保護層面，Moka設(shè)計并實施了一系列技術(shù)管控措施和管理流程，采用租戶數(shù)據(jù)隔離保證企業(yè)、員工及候選人信息安全。除此之外，用戶所有的訪問請求都會經(jīng)過權(quán)限管理服務(wù)檢查，角色權(quán)限中細(xì)粒度劃分也更為細(xì)致。

Moka系統(tǒng)安全性

Moka始終以最高標(biāo)準(zhǔn)踐行安全技術(shù)保障工作，每一家選擇Moka的客戶都相信Moka能夠保護好企業(yè)最核心的數(shù)據(jù)。截至目前，Moka已累計服務(wù)福特、松下等超過百家外資企業(yè)客戶，為其提供最安全的企業(yè)級技術(shù)保障設(shè)施以及專業(yè)的數(shù)據(jù)安全合規(guī)解決方案。

*以上部分內(nèi)容整理自《個人信息保護實務(wù)大全》——石先廣。