隨著《個人信息保護法》《數(shù)據(jù)安全法》陸續(xù)生效，我國個人信息保護迎來“強監(jiān)管”時代。作為人力資源管理鏈的起點，涉及海量個人信息收集和處理的招聘環(huán)節(jié)成為關(guān)注焦點之一。數(shù)字化創(chuàng)新賦能企業(yè)招聘流程的同時，也為在華企業(yè)帶來了全新的《個保法》合規(guī)與風(fēng)險管控問題。

《個保法》及配套法規(guī)對應(yīng)聘者個人信息的收集、委托處理、向第三方提供、存儲、出境等環(huán)節(jié)提出了何種要求？在日趨完善的個人信息保護法律體系下，企業(yè)將面臨合規(guī)運營與風(fēng)險管控的哪些痛點與難點？Moka聯(lián)合大成律所、SAP舉辦了《數(shù)據(jù)合規(guī)要求背景下中大型企業(yè)的應(yīng)對之策》直播活動。其中，SAP大中華區(qū)人力資源解決方案專家龔誠老師，發(fā)表了主題為《以“人”為本，跨國公司合規(guī)運營策略與數(shù)字化實踐》的演講，以下為演講核心內(nèi)容的梳理：

隨著中國政府“引進來”“走出去”政策的深入實施，一方面能看到跨國企業(yè)在中國市場的投資熱情不減，同時也能看到越來越多的中國企業(yè)開始跨越全球。企業(yè)在落地和出海的發(fā)展過程中，人力資源數(shù)字化需要面對來自合規(guī)和本土化兩大挑戰(zhàn)。

這是一個全球性的趨勢，未來跨國運營、投資、并購的挑戰(zhàn)會受到當?shù)厥袌龅谋Ｗo，受政策的影響會逐步加大。無論是本土企業(yè)還是跨國企業(yè)，合規(guī)是企業(yè)長期發(fā)展的生命線，當企業(yè)進入新市場時，應(yīng)該深入理解當?shù)卣撸缍愂?、法律法?guī)及市場前景等。這些對于企業(yè)而言至關(guān)重要，它可以節(jié)省企業(yè)的時間成本以及規(guī)避高額的罰金。

業(yè)務(wù)合規(guī)性問題，也是本地化問題。當跨國企業(yè)進入一個新市場時，從人力資源部角度看，首先考慮合規(guī)性問題——怎么持續(xù)的保持企業(yè)合規(guī)以及減輕企業(yè)風(fēng)險？

為了響應(yīng)持續(xù)變更的法律法規(guī)，跨國企業(yè)為合規(guī)性問題付出了很多努力。我們曾做過一個統(tǒng)計，全球每年變更的政策法規(guī)超過2000多項，特別在疫情時期，相關(guān)的政策法規(guī)更新就超過了200多項。在緊跟立法變化和應(yīng)對監(jiān)管壓力的挑戰(zhàn)下，企業(yè)如果不遵守相關(guān)法律法規(guī)，可能面臨處罰和罰款的風(fēng)險，造成企業(yè)的聲譽受損以及資源的浪費，甚至?xí)霈F(xiàn)法律訴訟等情況。

因此，如果遵守人力資源合規(guī)要求，企業(yè)不僅可以直接避免處罰，從長遠來看，還能提升雇主品牌、員工留存率以及敬業(yè)度。

事實上，本地化能力不僅僅是指支持多語言、貨幣、時區(qū)的能力，而是深度本地化，企業(yè)能清晰的看到自己應(yīng)該做些什么。本地化能力是指符合當?shù)氐纳虡I(yè)規(guī)則、法律要求和法定合規(guī)性報告，即本地功能不斷更新迭代。

從人力資源角度來說，關(guān)注合規(guī)性問題能幫助企業(yè)進行全球擴張戰(zhàn)略。這里的合規(guī)性問題有助于企業(yè)在新的市場上站穩(wěn)腳跟，包括履行薪酬、稅務(wù)等領(lǐng)域的法律義務(wù)以及本地人才的招聘等。

另外，擁有適合的系統(tǒng)確保合規(guī)性對于企業(yè)人才管理也至關(guān)重要。全球復(fù)雜性指數(shù)中，薪資是許多國家的一個痛點，由于它立法頻繁變更、又具有追訴效力，導(dǎo)致了企業(yè)遵守當?shù)匾?guī)則變得非常棘手。對于出海企業(yè)來說，企業(yè)需要關(guān)注不同國家最低工資、社保規(guī)定，以及外派人員薪資結(jié)構(gòu)的調(diào)整。當員工在全球范圍內(nèi)流動時，不同國家的稅賦也可能對企業(yè)以及員工產(chǎn)生困擾，比如，原先外派至新加坡的員工調(diào)到歐洲工作，會出現(xiàn)稅收標準不同導(dǎo)致的稅后工資降低的情況，因此企業(yè)需要掌握相應(yīng)的稅務(wù)政策。這些方面都是企業(yè)在業(yè)務(wù)上需要注意的合規(guī)性問題。

近兩年，全球越來越關(guān)注數(shù)據(jù)安全問題，各個國家、地區(qū)紛紛出臺了各自的數(shù)據(jù)安全保護法規(guī)。據(jù)聯(lián)合國貿(mào)易發(fā)展組織統(tǒng)計，截至2022年，全球194個國家中約有80%的國家已完成了數(shù)據(jù)安全和隱私立法。

中國數(shù)據(jù)本地化監(jiān)管趨勢可參考下面的這張時間表，它能直觀看到立法進程的加快是非常明確的，這也反映了我國在快速增長的數(shù)字經(jīng)濟中，堅決維護數(shù)據(jù)主權(quán)的決心。

目前我國對個人信息保護的布局力度是空前的，個人信息保護在跨境領(lǐng)域受到了極高的關(guān)注。

• 《中華人民共和國網(wǎng)絡(luò)安全法》 2017年6月1日起施行
• 《中華人民共和國數(shù)據(jù)安全法》 2021年9月1日起施行
• 《中華人民共和國個人信息保護法》我國第一部個人信息保護方面的專門法律
• 《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》 為我國數(shù)據(jù)保護相關(guān)的法律實施提供了更具體的操作指南
• 《民法典》關(guān)于數(shù)據(jù)保護的相關(guān)內(nèi)容
• 《網(wǎng)絡(luò)安全標準實踐指南 – 個人信息跨境處理活動認證技術(shù)規(guī)范》2022年6月24日發(fā)布
• 《個人信息出境標準合同(征求意見稿)》2022年6月30日發(fā)布
• 《數(shù)據(jù)出境安全評估辦法》 2022年7月7日發(fā)布，9月1日起施行
• 《數(shù)據(jù)出境安全評估申報指南（第一版）》2022年8月31日發(fā)布

此外，從行業(yè)層面看，像金融、汽車、工業(yè)等領(lǐng)域紛紛出臺了各自的標準，行業(yè)對重要數(shù)據(jù)標準的制定和梳理也正在進行中。

• 金融領(lǐng)域

《個人金融信息保護技術(shù)規(guī)范》《金融數(shù)據(jù)安全-數(shù)據(jù)分類分級指南》等金融業(yè)法規(guī)則在頂層框架下，對金融行業(yè)數(shù)據(jù)提出“本地儲存、出境評估”制度。

• 汽車領(lǐng)域

國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》對汽車領(lǐng)域重要數(shù)據(jù)的范圍進行了界定

• 工業(yè)領(lǐng)域

工信部發(fā)布的相關(guān)規(guī)則則界定了工業(yè)領(lǐng)域重要數(shù)據(jù)的識別規(guī)則。目前工業(yè)領(lǐng)域數(shù)據(jù)安全管理、防護和評估的試點工作，試點企業(yè)按照《工業(yè)數(shù)據(jù)分類分級指南（試行）》《工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)則（草案）》開展數(shù)據(jù)分類分級，制定重要數(shù)據(jù)清單，并向主管部門報備可見，企業(yè)對數(shù)據(jù)出境加強管控的迫切性。特別是隨著國家、各行業(yè)數(shù)據(jù)安全相關(guān)法規(guī)的密集頒布，企業(yè)加強對數(shù)據(jù)出境的管控已迫在眉睫。

數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當進行安全評估的個人信息，應(yīng)當按照《數(shù)據(jù)出境安全評估辦法》規(guī)定進行安全評估。

從數(shù)據(jù)出境途徑來看，不同的路徑它適用的對象和場景有所不同。比如，處理重要數(shù)據(jù)和個人信息達量的企業(yè)，只能選擇安全評估這條路徑，那就需要進行數(shù)據(jù)出境的安全評估。

具體情形：

• 數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)
• 關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息
• 自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息
• 國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形

從標準合同路徑來看，適用于大多數(shù)個人信息處理數(shù)量較少的企業(yè)，可以選擇跟海外的實體去簽訂個人信息出境的標準合同。按照國家網(wǎng)信部門制定的標準合同與境外的接收方去制定合同，約定雙方的權(quán)利和義務(wù)。

• 優(yōu)點：只需要企業(yè)自行進行個人信息保護的影響評估，簽署標準合同，不需要外部機構(gòu)的介入，也不需要前置性的審批或者認證操作，這是比較靈活的。
• 缺點：標準合同對境外接收方約定了比較嚴苛的條款，不允許企業(yè)自行調(diào)整。

具體情形：

• 非關(guān)鍵信息基礎(chǔ)設(shè)施運營者;
• 處理個人信息不滿100萬人的;
• 自上年1月1日起累計向境外提供夫達到10萬人個人信息的;
• 自上年1月1日起累計向境外提供未達到1萬人敏感個人信息的?？商岢鰳藴屎贤瑐浒腹芾硪?/li>

第三條是說安全認證的路徑，由于目前缺少明晰的實施方式，嘗試企業(yè)數(shù)量也比較少，企業(yè)對于認證的難度以及時間都沒有辦法準確把握。

具體情形：

• 跨國公司或者同一經(jīng)濟、事業(yè)實體內(nèi)部的個人信息跨境處理活動
• 《中華人民共和國個人信息保護法》第三條第二款規(guī)定的境外個人信息處理者，在境外處理境內(nèi)自然人個人信息的活動

對于涉及到個人信息出境的HR部門就需要在這段時間內(nèi)采取相應(yīng)的行動措施，完成個人信息的出境評估、簽訂標準合同、備案以外，企業(yè)還可以考慮將個人信息存儲轉(zhuǎn)移至國內(nèi)的數(shù)據(jù)中心，這樣可以最大程度上規(guī)避數(shù)據(jù)出境的風(fēng)險點。從具體場景來看，建議構(gòu)建 Two tiers 全球化系統(tǒng)部署架構(gòu)，降低數(shù)據(jù)出境合規(guī)風(fēng)險。

數(shù)據(jù)本地化將成為數(shù)據(jù)合規(guī)的新趨勢，數(shù)據(jù)出境監(jiān)管路徑逐漸清晰。對于掌握大量個人信息的跨國企業(yè)，其運營模式會面臨較大的數(shù)據(jù)合規(guī)挑戰(zhàn)。面對更高的合規(guī)要求，越來越多的跨國企業(yè)正在計劃實施數(shù)據(jù)駐留，通過系統(tǒng)本地化的方案逐步實現(xiàn)境內(nèi)數(shù)據(jù)境內(nèi)存儲，建立本地數(shù)據(jù)的安全能力，滿足企業(yè)自身復(fù)雜業(yè)務(wù)的需求以及合規(guī)要求。

此外，對于企業(yè)來說，確保個人信息能否滿足數(shù)據(jù)安全法、個人信息保護法等法規(guī)的合規(guī)要求，就需要清晰掌握個人信息等敏感數(shù)據(jù)的跨境流動情況。在看清數(shù)據(jù)流向的同時，也能直觀的看到帶有個人信息的敏感的數(shù)據(jù)是通過什么人在什么時間、地點，通過什么方式發(fā)送到哪里的，因此面臨個人信息出境的企業(yè)通常需要解決三個難題。

第一個難題：如何去厘清你企業(yè)的個人信息資產(chǎn)，明確個人信息資產(chǎn)的屬性以及量級。

第二個難題：如何明細個人信息的流向。

第三個難題：從網(wǎng)絡(luò)上流動的個人信息如何持續(xù)監(jiān)測，避免個人信息的被動出境，確保企業(yè)的合規(guī)無論從風(fēng)險自評估階段還是持續(xù)監(jiān)督階段，都需要有技術(shù)的手段進行支撐，否則企業(yè)就無法在事前了解現(xiàn)狀。

最后，建議企業(yè)管理者在今年上半年需要著手決策個人信息保護的合規(guī)性的問題，根據(jù)企業(yè)的情況，對信息跨境問題做好相應(yīng)的準備。

“合規(guī)早一點，你就不會手忙腳亂了。”