随着我国社会和经济的高速发展,数字中国建设取得了巨大的成就,然而诸如“大数据杀熟”、“个人信息被滥用”等问题也悄然滋生。对此,我国一直在凝聚各方合力加强公民信息安全的保护,特别是2021年11月1日实施的《个人信息保护法》,既加强了个人信息的保护力度,也提高了违反个人信息保护行为的处罚力度。企业作为典型的个人信息处理者更应时刻自律,在人力资源管理等各项企业经营管理中守住合规红线。滴滴因其违法违规、跨越法律红线被国家互联网信息办公室惩处这件事也警示着我们,企业人力资源管理中合规操作不仅是企业应尽的责任,也是必须履行的义务。
7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:(一) 违法收集用户手机相册中的截图信息1196.39万条;(二) 过度收集用户剪切板信息、应用列表信息83.23亿条;(三) 过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息 1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;(四) 过度收集乘客评价代驾服务时、app后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;(五) 过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;(六) 在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;(七) 在乘客使用顺风车服务时频繁索取无关的“电话权限”(八) 未准确、清晰说明用户设备信息等19项个人信息处理目的。
此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。
《个人信息保护法》下,人力资源管理如何应对?
《个人信息保护法》的施行,给企业的人力资源管理提出了新的要求和挑战,企业的用工管理与员工的个人信息密不可分,无论是员工入职前的简历筛选、招聘录用、背景调查,还是入职后的员工日常管理、员工关系、薪酬福利、劳动合同、人事外包等等,个人信息的收集和处理几乎贯穿了人力资源管理的所有环节。
值得注意的是,不合规行为可能给企业带来高昂的后果,《个人信息保护法》规定,如果企业存在严重违法行为,将被处五千万元以下或者上一年度营业额百分之五以下的罚款,并可能面临停业整顿、吊销营业执照的惩罚。如果企业人力资源管理的个人信息处理不当,可能会给企业招致劳动争议、声誉受损,甚至更加严重的后果。
因此在《个人信息保护法》施行环境下,企业如何防范个人信息管理方面的风险,将成为企业人力资源管理的重中之重,每个企业都应该去学习和完善。对此,我们给出了一些建议:
首先 企业人力资源管理部门应该透彻分析法案的各项要求,以确定其对公司业务的影响,并对可能存在风险的操作和业务做出调整。同时,关注监管部门的监管动态,根据法律法规及监管机构的要求对相关业务进行合规运营。
其次 企业人力资源管理部门可以建立合规中心,由合规中心制定内部管理制度、操作规则以及相关应急方案,还可以定期进行相关培训以确保相关人员熟练掌握个人信息保护政策和企业最新管理制度。同时合规中心还可以组织定期合规审计,及时发现并规避风险,保障企业的合规运营。
在具体人力资源管理工作中,企业可以优先从以下工作着手:①完善招聘环节中背景调查流程,务必要满足告知-同意原则;②修订并完善公司现有的劳动合同,将劳动合同模板中存在与《个人信息保护法》相悖的部分修改或者删除,并增加部分新条款,以保证未来各项员工管理工作的合规;③规范对离职员工的个人信息处理方法;④对合作伙伴数据保护是否合规进行考察,特别是与第三方机构合作并涉及到员工个人信息时,一定要保证合作伙伴的规范性,以规避企业的相关风险;⑤对跨国合作伙伴或者跨国分部提供员工信息时,除了满足告知-同意原则外,还需要查看信息是否需要国家网信部门的安全评估,如需要则应该以正确的态度对待并配合执行。
最后 个人信息保护的合规不是一蹴而就的,而是一项长效的工作,因此企业应时刻自省,结合企业的实际情况,不断完善和优化管理制度和流程,以确保在未来的运营中保持长期合规。
大瀚对个人信息保护做了哪些努力?
作为一家有着23年人力资源服务经验的企业,大瀚一直以来都非常重视人力资源管理的合规操作,特别是对客户、候选人及内部员工的个人信息保护上,我们有着完善的操作体系。同时,为了给客户、候选人和员工更佳的服务体验、更完备的个人信息安全保障,我们也在持续不断地完善这个体系中,希望对大家有一定参考意义:
我们在公司的管理系统和业务系统中,对包括但不限于个人姓名、手机号码、毕业院校、薪资水平等各类信息都设置了严格的查看权限并对相关信息进行脱敏处理,且禁用了批量下载、导出等具有潜在数据泄露风险的功能。
我们定期对信息系统的各项功能,尤其是涉及到个人信息及客户信息的模块进行全面的安全性测试与优化。多年来,我们一直都以满分水准保障信息安全,这是大瀚对候选人负责、对员工负责,更是对客户的负责。
我们时刻关注法律法规,根据《个人信息保护法》的具体要求,积极开展业务流程和IT建设,利用创新技术与管理方式,持续优化平台和流程权限与功能,以保证客户和员工的个人信息的合规。我们为此做好了充分准备,持续不断的为客户提供最优质的服务,并确保合规。
总 结
随着法律法规对个人信息保护的重视,公民的保护意识也逐步增强,对企业人力资源管理各个阶段来说,确保合规操作,保障客户、候选人和员工的信息安全。不仅能有效避免相关风险,还能建立良好的企业形象,与客户建立稳固的合作关系,同时也能吸引更多优秀人才加入为企业赋能,进一步提高企业的市场竞争力和社会声誉。
人力资管理中个人信息保护的小建议
一、候选人简历收集和使用
猎头和HR通过招聘网站搜寻和第三方提供简历时,应当核实个人信息是否取得了当事人的单独授权同意。为了进一步减少风险,可要求候选人另行发送一份简历或在招聘系统中填写个人信息。
二、未成功入职候选人简历
根据最小必要原则,应该将未成功入职者的个人信息应及时删除。如果需要暂时保存简历,需明确告知候选人并取得候选人明确的同意。为了防止由于遗忘而导致未取得同意的情况,可在简历收集阶段就告知简历的处理方式并取得求职者同意。
三、背景调查
进行背景调查前可要求候选人签署同意书或授权书。配合背调时可以帮助第三方核实当初员工离职证明上的信息,比如员工的姓名、身份证号码、职位、劳动合同期限等。但除此以外的信息,比如对员工的一些主观评价,绩效这些不建议向第三方提及,因为这些信息违反了必要性原则,当然对方可出示相应的授权书除外。
四、入职信息收集
根据《个人信息保护法》第十三条规定,“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的信息不需要取得当事人同意也可收集。然而,对于敏感个人信息还是需要取得同意才能搜集哦,而且搜集信息也不宜过度。
五、还应注意的其他情况
1. 应严格控制员工的权限,对各级员工能接触的信息分级
2. 在内部规章制度中明确需要搜集的员工个人信息具体内容以及使用范围3. 员工离职后可在一定时间内保存必要信息如姓名、住址、户籍、联系方式、绩效表现、奖惩记录、休假记录等,但应马上删除为了考勤而设置的一些人脸、指纹识别等非必要信息。
