×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友

EN

MHP君悦评论|浅析新数据保护立法对企业招聘的影响

2018-09-178073

originoo_149925762.jpg


作为政府大力建设现代化数据保护立法制度的一部分,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术-个人信息安全规范》(以下简称“《个人信息安全规范》”或“规范”)于2018年5月1日正式实行。


个人信息安全是《网络安全法》下网络运营者的一项重要网络信息安全保护义务,也是当前监管部门的执法重点。《个人信息安全规范》作为《网络安全法》的重要配套措施之一,有利于指导各企业进行《网络安全法》下的个人信息保护工作,但同时也为企业招聘带来不少压力。


根据《个人信息安全规范》第3.1条规定,个人信息(personal information)是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证号码、生物识别信息,例如指纹和虹膜、地址和电话号码等。考虑到这一定义,在招聘阶段,企业往往会要求应聘者提供其个人简历,同时在面试、谈话等招聘环节中,企业也会咨询应聘者的有关个人信息。现在,这些常规操作,例如收集应聘者个人信息,包括使用、存储和传输,特别是跨境传输,都将受到《个人信息安全规范》的监管。


在下文中,我们将通过对法律规定的解读,结合实践,剖析企业在招聘过程中应当注意到的个人信息保护问题,助力企业合规经营,有效防范风险。



一、招聘阶段的信息收集


originoo_19415223.jpg


虽然雇主有权了解自己雇员的基本信息,但毫无疑问,信息收集的第一条原则是必须经由双方同意。在实践中,企业往往会自行或委托第三方机构对应聘者进行背景调查。


无论是企业自身进行背景调查还是委托第三方进行背景调查,都必须事先取得应聘者的同意(同意最好以书面的形式获得,例如在offer中向应聘者征得同意并要求其签名,或者通过书面形式告知并请应聘者签字确认),且明确告知背景调查收集个人信息的目的、收集的范围,以及个人信息的存储、使用方式等。另一方面,信息的收集范围应根据合理及必要性原则确定,也就是说,雇主只应收集与雇佣合同直接相关的信息,例如应聘者的年龄,性别,资格,经验和一些必要的信息,员工或任何潜在的候选人应有权拒绝提供与工作无直接关系的个人信息。



二、工作场所监控


originoo_180459650.jpg


在日常运营管理中,出于监督管理的需求,企业可能会对员工的工作邮件、工作笔记本电脑、局域网和工作场所进行监控。根据《劳动法》的基本原则,雇主有权监督雇员,工作场所监控可以被视为监督的一部分。然而,考虑到此类信息往往涉及到员工的敏感信息(行踪轨迹、生物识别信息等)。


为合规之目的,企业首先应当保证上述监控措施,以及其所采集的员工信息具有正当目的,且为企业经营所必须(例如,对于非外勤人员,应无采集位置信息的必要),杜绝在非工作时间、非工作场所收集、监控任何员工信息(例如,不应在更衣间、休息室等场所安装监控,也不应在工作时间后继续监控收集相关员工的位置信息)。其次,对于采集的信息的种类、目的、收集方式及保护措施等必须以书面形式事先告知员工,并且取得员工的书面同意。



三、存储和跨境传输


originoo_133953580.jpg


对于外资企业而言,会将员工信息储存于母公司的全球人事管理系统中,例如EHR,而该类系统的服务器通常位于境外。此外,也有外资企业将部分员工信息传输到境外服务商进行数据处理。上述情形均涉及到员工个人信息的跨境传输问题。


按照《个人信息和重要数据出境安全评估办法(征求意见稿)》规定,“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。”因此,企业如涉及员工信息出境的情况,宜在劳动合同、公司制度等文件中予以明确并取得员工的同意。对于共享给第三方的信息,企业必须准确记录和保存员工信息转让和共享的情况(包括共享/转让日企、规模、目的以数据接收方的基本情况等)”


此外,作为合规要求的一部分,雇主还应对与跨境传输和海外存储相关的风险进行内部安全评估,以确保这些个人信息的安全。 然而,遗憾的是,仍有许多外资企业未将操作标准升级到《个人信息安全规范》的标准要求,其中一些企业甚至不知道存在这样的要求,这将对企业产生巨大的合规风险。

联系我们

中国上海市南京西路1717号会德丰国际广场7楼
邮编:200040
电话:(总机)61132988
传真:61132913
Email:hr@mhplawyer.com