海外数字化招聘数据合规挑战与应对(欧盟、北美)-上期
来源:职行派公众号
随着中国经济步入高质量发展的新时代,立足于经济转型升级需求,中国企业“走出去”已成为时代趋势。在全球 80% 以上的国家及地区均已进行数据隐私立法的背景下,出海企业在全球用工过程中面临着诸多合规挑战。

在此背景下,大成和 Moka 联合发布了《海外数字化招聘数据合规白皮书》,以期为出海企业提供全球数字化招聘数据合规指引,更好地应对国际市场的复杂挑战。


一、企业走出去面临的数字化招聘数据合规挑战

随着越来越多的社会和经济活动通过线上进行,数据隐私保护的重要性日益得到全球各国的认可。如何规制个人信息的收集、使用、跨境传输等活动,保护个人信息主体权利,成为全球关注的话题。


鉴于全球大多数国家都有数据隐私立法,因此中国企业在“走出去”的过程中基本都需要关注相关的合规要求。具体到海外数字化招聘这一场景,企业可能面临的全生命周期数据合规挑战包括:


1、应聘者数据收集合规

在数字化招聘中的简历收集、面试、背调等环节,企业可能会收集应聘者的大量个人信息,甚至敏感个人信息,需要遵守适用数据隐私立法规定。


2、应聘者数据使用合规

收集应聘者个人信息以后,企业可能会对应聘者个人信息进行存储、使用、加工、共享等处理,这些活动同样需要遵守适用数据隐私立法的规定。


3、应聘者数据跨境传输合规

在海外招聘过程中,企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。当前,不少主要司法辖区都对个人信息出境设置了严格的限制条件,企业需要着重关注相关合规要求。


4、其他数据合规义务

应聘者个人信息收集、使用和跨境传输是企业海外数字化招聘过程中主要的数据隐私合规场景。除此之外,出海企业还可能需要关注诸如数据安全保障、个人信息主体权利保障等合规义务。


二、海外数字化招聘全流程数据合规风险及应对

出海企业应首先在专业律师的协助下,基于具体业务模式和个人信息处理情况,判断其个人信息处理活动的适用数据隐私立法。


1、 应聘者数据收集合规

1)欧 盟

2018年5月25日生效的欧盟《通用数据保护条例》(GeneralDataProtection Regulation,下称“GDPR”)是全球影响最广的数据隐私立法,在欧盟运营或收集欧盟内居民的个人数据均受其管辖。如违反 GDPR,企业可能面临最高不超过2千万欧元或企业上一财年全球年营业额4%的罚款,以两者中较高者为准。


在 GDPR 项下,提供个人数据的应聘者是“数据主体”决定应聘者数据收集目的的招聘企业是“数据控制者”;为招聘企业提供招聘所需的技术、软件支持的机构是“数据处理者”。


遵循 GDPR 处理应聘者数据,需要具备合法性基础。在招聘场景下最有可能适用的三项合法性基础是:取得应聘者的同意;应数据主体的请求为订立合同而处理;合法利益。


除需满足合法性基础外,企业在应聘者数据收集环节主要还需要履行如下义务: 为合法利益处理应聘者数据;就处理敏感个人数据取得同意;确保数据处理的透明度。


2)北 美

与欧盟 GDPR相比,北美的数据隐私立法更加多样且不尽相同。


2.1)美国

在美国,目前并没有影响数据保护的一般联邦立法,对于招聘企业来说,需要关注其具体所在州的法案情况。


截至 2024年2月,已有超过十四个州颁布了全面的数据保护法,但除加州外,大多数州数据保护法中的“个人信息”或“个人数据”的处理规定仅适用于居住在相应州的“消费者”,即那些在个人或家庭环境中行事的居民,而不包括那些在职场环境中,作为求职者,或作为某个雇员的受益人行事的个人。


2.2)加拿大

加拿大的数据保护则是通过全国性的立法进行的,如《个人信息保护和电子文件法》(Personal Information Protection and Electronic Documents Act,简称 “PIPEDA”),旨在保护加拿大公民在商业活动中的个人信息,适用于联邦监管的招聘企业,以及在尚未采用实质上类似隐私立法的省份运营的受省级监管的招聘企业。


PIPEDA 要求组织对其收集、使用和披露的个人信息负责,并采取适当措施保护这些信息。它还要求组织对其隐私政策和做法保持透明,并在收集、使用或披露个人信息之前获得个人的同意,且员工不能“一揽子放弃”其隐私权。


三、应聘者数据使用合规

收集应聘者个人信息以后,出海企业为评估应聘者专业能力、了解应聘者性格、建立人才库等目的,可能对应聘者个人信息进行存储、使用、加工、共享、加工等处理。


1、欧 盟

GDPR 中与应聘者数据使用相关的合规要求主要包括:

1)目的限制:仅能为招聘之目的使用应聘者个人数据。未经应聘者自愿同意,不得用于人才库搭建等目的。


2)处理原则:应以合法、合理、透明的方式进行处理,并采取措施,如及时更新等,确保应聘者个人数据的准确性。


3)存储期限:原则上招聘流程结束时即应删除未录用应聘者信息。一些司法辖区允许招聘企业为预防争议或未来工作机会,基于合法利益或应聘者自愿同意保留一段时间,但设置了最长期限。


4)委托处理:与提供技术支持的机构签订协议,约定其对招聘企业的责任、处理期限、处理性质与目的、个人数据类型、数据主体类型、招聘企业的责任与权利等。如受托人违反 GDPR 义务,招聘企业需为之担责。


5)安全措施及记录义务:采取与数据处理活动相适应的技术和组织措施,确保数据处理过程的安全性,并以书面形式(包括电子形式)全面留存数据处理活动记录。


2、北 美

1)美国

在美国,以最严格的加州 CPRA为例,在数据使用阶段:与 GDPR类似,企业必须与服务提供商签订书面合同,以明确数据处理的规则;招聘企业必须确保员工数据得到良好保护,最小化数据泄露的风险。


2)加拿大

在加拿大,PIPEDA建议企业将以下原则融入政策和程序中,以增强隐私保护:审查所有相关的法律要求和权利,包括集体协议、联邦与省级的隐私法侵权法、人权以及劳动法;明确正在收集、使用及披露的员工信息种类,并评估其敏感性;进行隐私影响评估,帮助建立隐私管理计划、政策和培训计划;检验拟定的员工信息管理实践;确保仅收集实现既定目标所必需的信息;通过制定公开可获取的政策,确保信息收集、使用和披露的过程透明;遵守核心隐私原则;警惕不当行为。


四、企业的其他数据合规义务

1、欧盟

除前述个人数据收集、使用相关要求外,GDPR还要求招聘企业履行如下义务:

1) 保障数据主体权利:保障数据主体的知情权、访问权、更正权、删除权被遗忘权、可携权、处理限制权、反对权以及限制自动决策权等。


2) 报告数据泄露:在发生数据泄露后 72 小时之内向数据监管机构报告。


3) 开展数据保护影响评估:在数据处理活动可能给数据主体的权利和自由带来高风险时,开展事前数据保护影响评估。


4) 任命数据保护官:存在法定情形,需任命数据保护官。


2、北美

在美国,尽管除加州的 CPRA 之外的数据保护法并不直接适用于雇佣场景但其也与雇佣场景下的数据合规义务息息相关。如其他数据保护立法中规定了对于那些作为“处理者”协助“控制者”处理个人信息的实体的要求。这包括必须帮助控制者遵守法律、维护数据安全、响应消费者权利的请求以及在合同中对处理者施加的义务。


五、出海企业数据跨境传输合规建议

目前来看,各国各地区的数据跨境传输法律法规虽然有一些相似性,但也存在显著差别,因此,出海企业面对的法律监管环境情况十分复杂多样,不同行业、不同国家的跨境数据传输面对的问题可能完全不同,值得出海企业密切关注。鉴于数据跨境传输的复杂性,我们提出如下合规建议供相关出海企业参考。


1、基于应聘者个人信息处理情况,识别适用法律法规。

出海企业应首先在境内外专业律师的协助下,判断应聘者个人信息处理活动的适用海外数据隐私立法,以及对应的数据跨境传输合规要求。


2、全面履行数据出境相关合规义务,必要时调整商业安排。

出海企业应在境内外专业律师的协助下,按照事实发现、数据映射、差距分析等合规工作流程,识别出海企业合规现状与适用数据隐私立法要求之间的差距,并通过采取技术措施、建立管理制度及政策等,落实整改,弥合差距。


3、建立系统数据合规体系,管控合规风险。

在海外数字化招聘场景中,出海企业不仅需要履行一系列与应聘者数据处理(包括收集、使用、跨境传输)直接相关的义务,还需要履行诸如数据安全保障、报告数据泄露、个人信息主体权利保障等义务。


4、关注数据合规政策趋势,与当地监管部门保持良好沟通。

建议出海企业密切关注与出海地或服务地相关的数据合规政策的发展动态,及时调整合规政策和措施,以满足最新的合规要求。


本文内容源自大成和 Moka 联合发布的《海外数字化招聘数据合规白皮书》,版权归原作者所有,内容仅供交流学习,不做任何商业用途,不代表任何投资建议。如有侵权请联系后台删除。