文：陳植 來源：21世紀經(jīng)濟報道(dào)

随著(zhe)《數據安全法》、《個人信息保護法》等法規相繼實施，越來越多金融機構發(fā)現自己的人才招聘流程正發(fā)生著(zhe)新變化。

“每個人才招聘流程都(dōu)需經(jīng)曆新的合規操作考驗。”一家股份制銀行HR人員告訴記者。以往，無論是官網/公衆号直接招聘，還(hái)是第三方招聘平台或内推/獵頭渠道(dào)，他們都(dōu)可以随意使用海量應聘者個人信息或存儲很長(cháng)時間（用于人才庫建設），但如今，上述做法不再被(bèi)允許。

比如通過(guò)公司招聘官網或公衆号收集應聘者個人信息時，銀行需先征得每個應聘者的同意，才能(néng)收集與處理個人信息；且收集信息個人信息範圍與處理目的需嚴格遵循最小必要原則；

再如通過(guò)第三方招聘平台收集應聘者個人信息時，銀行不能(néng)再随意使用第三方平台共享的個人信息，而是嚴格遵守後(hòu)者的招聘用戶服務協議；

若通過(guò)獵頭或内推渠道(dào)收集應聘者個人信息，銀行還(hái)需先與獵頭/内推人簽訂數據共享協議。

在他看來，這(zhè)很大程度影響金融機構的人才招聘效率——在通過(guò)第三方招聘平台招募人才時，他們還(hái)需嚴格遵守後(hòu)者的個人信息隐私保護協議，不得將(jiāng)個人信息使用範疇超過(guò)上述協議條款；若通過(guò)内推或獵頭招募高端金融科技人才或專業人才，鑒于内推人與獵頭未必與應聘者簽訂個人信息授權使用協議，他們不得不在必要時通過(guò)郵件等方式發(fā)送隐私政策，重新取得應聘者的告知同意。

一位外商獨資私募基金HR人士也向(xiàng)記者透露，目前他們也需要“犧牲”人才招聘效率，務必滿足個人信息保護等合規操作要求。目前令他們頗感頭疼的是，原先他們直接會(huì)將(jiāng)應聘者個人信息納入“人才庫”，等崗位需求出現時再聯系他；但現在按照《數據安全法》、《個人信息保護法》等法規規定，金融機構等企業若要將(jiāng)個人求職信息納入“人才庫”，需另外與應聘者簽訂相關個人信息使用授權，否則個人求職信息在金融機構保留一段時間後(hòu)，需做“物理銷毀”處理。

“讓我們更傷腦筋的是，有些應聘者需經(jīng)過(guò)海外總部遠程面(miàn)試，由後(hòu)者決定誰就任境内分支機構高層崗位，但這(zhè)涉及個人信息出境的安全評估，令整個應聘流程變得漫長(cháng)。”她向(xiàng)記者直言。

招聘合規流程大變革

記者多方了解到，上述應聘環節的個人信息合規操作問題，不僅困擾著(zhe)金融機構，其他各行各業公司對(duì)此也相當“茫然”。

近日，由大成(chéng)律師事(shì)務所與HR SaaS服務平台Moka聯合發(fā)布的《在華企業招聘數據合規白皮書》（下稱《白皮書》）顯示，在參與調研的各行業企業裡(lǐ)，僅15.91%已深入了解企業數字化招聘領域的“個保法”合規操作相關政策，22.73%正處于政策研究階段，40.91%僅限于初步了解，20.45%則不了解相關政策。由此可見，當前各行業企業在人才招聘環節的“個保法”合規意識仍有待加強。

與此對(duì)應的是，僅有38.64%受訪企業在《數據安全法》、《個人信息保護法》等政策實施後(hòu)，開(kāi)展相關的個人信息數據安全治理工作，其他企業既沒(méi)有采取相應的“個保法”合規措施，也沒(méi)有開(kāi)展關于“個保法”合規知識的員工培訓，無形間給企業造成(chéng)較大的不可控風險。

大成(chéng)律所北京辦公室高級合夥人鄧志松告訴記者，在通過(guò)互聯網等渠道(dào)開(kāi)展人才招聘環節，企業在簡曆獲取、簡曆篩選、筆試面(miàn)試、人才歸檔等衆多複雜的環節與場景均涉及大量應聘者個人信息的處理與收集，需要制定合理方案以應對(duì)《個人信息保護法》項下的合規要求，否則可能(néng)面(miàn)臨刑事(shì)、行政、民事(shì)等多重法律責任，甚至直接危及企業的生存。

記者了解到，相關刑事(shì)責任包括侵犯公民人格信息罪（最高刑期7年）、拒不履行信息網絡安全管理義務罪（最高刑期3年）、相關返款則包括按《個人信息保護法》，對(duì)某些個人信息違規處理行爲向(xiàng)單位處以最高5000萬元或上一年度營業額5%的罰款；向(xiàng)個人處以最高100萬元罰款；按《數據安全法》，對(duì)某些個人信息違規處理行爲，向(xiàng)單位處以最高200萬元罰款，向(xiàng)個人處以20萬元罰款等；其他行政處罰則包括責令暫停或終止提供服務；責令暫停相關業務或者停業整頓；吊銷相關業務許可或吊銷營業執照等。

上述股份制銀行HR人員直言，目前他們已意識到要在人才招聘環節嚴格遵守《數據安全法》、《個人信息保護法》等法規，銀行需對(duì)相關個人信息處理制定新的“合規”操作準則，包括開(kāi)展數據分類分級，識别敏感數據；制定完善的數據安全管理制度規範；選擇招聘敏感數據場景開(kāi)展針對(duì)性的數據安全管控；對(duì)标相關法律法規進(jìn)行風險評估，識别新的數據處理安全風險；統籌規劃數據安全治理工作，制定安全工作實施路徑等。

《白皮書》指出，目前逾1/3受訪企業決定由HR部門牽頭處理人才招聘相關的數據合規問題，其次是信息/數據部門（24.39%）和法務部門（21.95%），這(zhè)意味著(zhe)這(zhè)三個部門都(dōu)將(jiāng)面(miàn)臨較大的招聘流程合規再造與個人信息保護職責。

Moka首席執行官李國(guó)興告訴記者，這(zhè)無形間也給HR SaaS服務商提出更大的考驗。在《數據安全法》、《個人信息保護法》等法規發(fā)布後(hòu)，Moka針對(duì)相關法規要求，對(duì)相關數字化招聘管理系統進(jìn)行調整，包括在應聘者個人信息收集、委托處理、存儲等方面(miàn)做好(hǎo)告知同意、遵循個人信息存儲最小必要時間等；針對(duì)應聘者個人信息出境要求，則根據企業相關數據出境量，提供數據出境安全評估、個人信息保護認證(CCRC)、個人信息出境标準合同(SCC)操作等服務，力争協助金融等各行業企業做到應聘者數據獲取合規、個人信息數據應用與存儲合規、應聘者個人數據出境傳輸合規等。

在他看來，在招聘環節增強數據安全責任意識，完善個人信息數據安全管理體系，正成(chéng)爲企業夯實人才基礎的必要措施。HR SaaS服務商要做的，就是在貼合客戶對(duì)個人信息合規處理要求的場景下，令相關HR SaaS産品做到“開(kāi)箱即用”，不增加額外負擔和培訓成(chéng)本，進(jìn)而提供好(hǎo)用、易用、實用的數字化招聘個人信息數據合規解決方案。

記者多方了解到，爲了簡化應聘者個人信息收集使用流程，當前部分銀行、私募基金、金融科技平台打算將(jiāng)個人招聘用途與建立人才庫需求“合并”，向(xiàng)求職者征求個人信息授權使用許可。

鄧志松向(xiàng)記者指出，此舉未必合适。究其原因，一是兩(liǎng)者涉及的個人信息使用目的明顯不同，二是個人數據存儲時間也明顯不同，比如人才招聘需保留的個人信息通常不超過(guò)半年，但建立人才庫則可能(néng)需保留個人數據數年時間。

“因此，若企業想將(jiāng)應聘者個人信息用于建立人才庫，最合适的辦法是另外與應聘者簽訂新的個人信息使用授權協議，明确個人信息用途是用于建立人才庫。”他強調說。

個人信息出境安全評估“新挑戰”

記者多方了解到，目前令不少金融機構相當傷腦筋的，還(hái)有個人數據出境安全評估，它不僅僅發(fā)生在外資金融機構在華業務機構高層人員的招聘場景，還(hái)涉及更多跨境金融服務場景。

上述外商獨資私募基金HR人士向(xiàng)記者透露，此前他們計劃在境内招募一位運營總監，但相關應聘者需通過(guò)海外總部遠程面(miàn)試，由後(hòu)者确定最終人選。但這(zhè)涉及個人信息出境安全評估。

“此前，我們也不知道(dào)如何合規操作。所幸《個人信息出境标準合同辦法》及标準合同文本在6月1日正式實施，我們打算通過(guò)這(zhè)個方式申報個人信息出境，等待相關部門通過(guò)安全評估後(hòu)，盡早完成(chéng)相關崗位的面(miàn)試招聘工作。”她告訴記者。

在多位金融業内人士看來，相比人才招聘場景，個人信息出境安全評估的更大挑戰，將(jiāng)出現在更多跨境金融服務場景。比如在私人銀行領域，随著(zhe)高淨值客戶熱衷資産全球化配置、搭建财富傳承架構或尋求海外高端醫療，銀行機構需申報大量敏感個人信息出境，并交給海外資管機構或醫療機構以提供更具針對(duì)性的服務。但這(zhè)涉及大量敏感個人信息出境，包括個人以往病史、個人财富信息、個人家庭成(chéng)員個人信息等，都(dōu)銀行先向(xiàng)相關部門進(jìn)行申報，再由後(hòu)者對(duì)出境的個人信息開(kāi)展安全評估。

“此外，若私人銀行要將(jiāng)通過(guò)安全評估的出境個人信息交給第三方金融機構或醫療機構，以便他們向(xiàng)境内高淨值客戶提供專業資産配置/診療服務時，還(hái)需先與境内高淨值客戶另外簽訂一份個人信息授權使用協議，以便相關個人信息使用合規，避免出現私人銀行違規對(duì)外傳送個人敏感信息的狀況。”一位熟悉相關業務流程的外資銀行合規部人士向(xiàng)記者指出。随著(zhe)《數據安全法》、《個人信息保護法》相繼實施，銀行衆多金融服務流程難免會(huì)變得更加繁瑣，但基于個人信息使用合規要求，這(zhè)都(dōu)是必須做出的“犧牲”。

鄧志松認爲，若需要申報個人信息出境的人數較少，通過(guò)标準合同文本申請個人數據出境或許是一個合适方法，但需注意對(duì)某些敏感個人信息（比如以往病史、個人電子郵件地址等）做好(hǎo)去标識化處理；此外，标準合同文本方式還(hái)需企業境外總部盡早簽訂相關協議以遵守國(guó)内個人信息保護相關要求。