导语:
随着《个人信息保护法》于11月1日起的正式实施,最近一段时间以来,基于个人信息保护所引出的话题层出不穷。与此同时,由于数字经济时代的到来,个人信息的重要性和其意义在不同的场景下越发得到了充分完整的体现,从整个社会层面而言,对于个人信息的保护也就愈发迫在眉睫。如何做好个人信息保护工作。似乎成了一个看似新鲜但其实值得永远探讨的话题。
编者按:
应该有读者还记得今年315晚会上曝光招聘平台的报道,笔者特意关注了一下,从人脸识别、医疗广告、老年人手机等问题,到晚会所提及的招聘平台违规收集、存储、加工甚至出售带有个人信息的简历的现象,这些问题与现象体现出了我们对于数据安全和个人信息保护的重视有一定程度的提高。
此外,今年《数据安全法》和《个人信息保护法》两部有关数据和个人信息方面的法律同年出台,加之之前已经开始实施的《网络安全法》,标志的大数据环境下的网络数据安全和个人信息保护的相关法律的立法基础开始趋于成熟。而相较于早前生效的《网络安全法》《数据安全法》而言,此次《个人信息保护法》的出台,对于个人信息安全保护提出了更高的要求。
笔者结合自身的从业经历,从人力资源服务业的视角出发,结合一些人力资源服务通常可能牵涉到个人信息保护的问题,与各位读者进行探讨。
正文:
就以往而言,对于求职人员、培训人员等一些在业务开展过程中获取的个人信息进行反复利用和相互交易是业内的一个灰色地带,而这次个人信息保护法的出台对于人力资源服务业而言,无疑是上了一个紧箍咒,过去那种可以随意买卖个人简历、不规范处理劳动者个人信息的时代不复返了,对于人力资源服务机构而言,如何做好数据合规的工作,应当是下一步工作当中值得认真仔细思考的问题。
笔者想先就这两年非常受企业追捧的hrsaas系统谈谈自己的看法。在国家大力倡导发展数字经济的背景下,类似平台的数据安全性是一个值得深思的问题,尤其是该数据涉及到员工的个人信息的数据,属于数据安全和个人信息保护交叉的领域。如何做到保护数据安全的同时,利用好数字化产业的效率优势,在提升服务效能的同时,确保涉及个人信息的各类数据无不当泄露的风险。而笔者还注意到,一部分此类系统还有诸如员工离职意向分析等必然不符合《个人信息保护法》立法宗旨和本意甚至还可能涉嫌侵犯到员工个人隐私的功能,笔者认为无论是企业还是人力资源公司,在《个人信息保护法》已经出台的背景下,使用此类功能时一定要慎之又慎。
一些传统的招聘渠道同样存在着一定的数据合规风险,比如在开展类似大型招聘会、校园宣讲会等活动的过程中,人力资源公司往往会联合参会企业通过各种渠道收集求职者的个人信。按照以往的经验来看,这些信息对于人力资源公司而言,会是一笔隐形的财富。也就是在后续对接有用工招聘需求企业的过程中,人力资源公司可以将这部分通过各种渠道收集来的简历注入到整个rpo招聘流程中去,但是在个人信息保护法生效后,这样的操作是否合法?是否符合必要性原则以及处理个人信息应当限于目的直接相关的范畴?如何做好知情且同意的授权工作?这些都是人力资源服务业的从业者需要认真思考的问题。
除了专门从事招聘和猎头业务的人才中介外,一些专门为企业提供代发薪资的劳务中介同样面临着不小的挑战,以往基于业务的特殊性及客户的信任,很多情况下出于效率上的考虑,对于员工个人信息的处理并没有一套比较完善的内控流程,甚至对一些个人敏感信息的处理也多采用一次获取、反复使用的方式,往往未经个人同意,为了自身业务上的便利会在不同种类的业务当中未经同意或授权而随意切换使用。
对于同属人力资源六大模块的培训而言,在具体实施的过程中,无论是企业自行组织实施的内部培训,抑或是通过第三方机构实施的外部培训,其培训过程中所采集到的信息同样需要加以衡量。如何判断其是否属于可以跨业务类别使用或重复使用的数据,以及是否完成了前置授权操作或是基于之前认可的一致性可以当然的认为个人具有同意的意思。这些也都是从业者们需要有所考虑的问题。
笔者观点:
笔者注意到,在《个人信息保护法》的第十五条第一款提到:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
该条款明确提到,个人应当是有权在处理信息的过程中撤回同意声明的。但是在具体日常的人力资源服务工作中,通常而言不会设置相应的模块或流程。是否需要设置相应的功能,定期采集个人的意向,或者不定期根据具体业务或工作的需要采集意向,这也是值得人力资源从业者去认真思考的。
结语:
基于此,笔者认为:如何较好的回应《个人信息保护法》的立法宗旨,做好对应的数据合规工作,成了摆在人力资源服务从业者面前的一个无法回避的新课题。
以上是笔者个人的一些愚见,多有不足之处,供读者朋友们参考。
