数字化信息化趋势下,企业掌握一位候选人或员工的相关信息变得尤为简单,因个人信息安全问题对企业上诉的案件正逐年增多,企业应该如何规避招聘个人信息泄露风险呢?
招聘个人信息场景盘点
首先我们来梳理下,招聘中都有哪些场景涉及到应聘者的个人信息。
获取简历:无论是被动的接收简历还是主动到招聘网站获取简历,或者是通过内推等方式获取简历,都是对个人信息的收集
人员筛选:涉及招聘人员对应聘者的评价和评估,可能由人工完成,也可能是系统打分项筛选或者AI评估,属于个人信息的使用
笔试面试:在提问应聘者工作经历,教育经历,个人爱好,健康状况时,都属于个人信息收集,部分涉及到敏感个人信息收集
结果评定:综合所有信息对应聘者进行打分,属于个人信息使用
背景调查:个人信息收集,需要经过应聘者同意。HR可以主动收集公开渠道信息,属于公开数据二次利用;或者通过第三方机构向应聘者前雇主了解情况,属于间接收集个人信息
入职体检:应聘者需要向公司提交体检报告,包含健康医疗信息,属于敏感个人信息收集
由此可以看出,招聘环节属于个人信息收集和使用的高度密集场景,HR需要重点关注个人信息的合规处理。
招聘个人信息类型盘点
梳理完招聘中涉及个人信息的场景后,我们来看看招聘中手机的个人信息都有哪些类型呢?
依据《个人信息保护法》第二章的规定,个人信息细分为一般个人信息和敏感个人信息。
一般个人信息通常包括个人的姓名、手机号码、邮箱、个人图片、个人社会经历等,这些个人信息在社会中较为常见,流通度也较高,为人们进行社会活动所必须。通常情况下,为特定社会活动所正常披露,不会对人格尊严和财产权益造成直接威胁。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
我国法律对敏感个人信息收集、管理、存储和传输都有明确的规定,企业在招聘时要重点关注相关安全规范,否则可能会涉及侵犯个人信息和隐私。
在跨国招聘场景下,政治面貌、婚姻状况、生育信息、过往病史都可能属于敏感信息,企业需要注意不同文化背景的招聘个人信息保护。
收集个人信息的合法事由
企业收集应聘者的个人信息需要有合法事由作为依据,否则可能涉及法律风险,在招聘过程中涉及的合法事由主要有以下四类:
合法事由一:取得个人同意
这是企业收集个人信息时最常用的合法事由。
合法事由二:为订立、履行个人作为一方当事人的合同所必需
在招聘场景中,一般是为签订劳动合同所必需。
企业需要注意的是,面对众多的潜在应聘者时,是进入招聘流程就可将签订劳动合同作为合法事由收集个人信息,还是只能到发放Offer时才依此为合法事由方可收集信息,在法律上是存在一定争议的。
合法事由三:为履行法定职责或法定义务所必需
企业以此作为合法事由收集应聘者信息时,无需经过应聘者同意可以直接收集,以下法律条款可以作为依据,但是企业收集这些个人信息时仍需注意信息安全保护。
合法事由四:法律、行政法规规定的其他情形
实践中,用人企业处理应聘者个人信息的场景众多,包括集团化管理需要、背景调查等,用人企业需要慎重选择合法事由。为降低合规风险,建议以“告知-同意”作为手机应聘者主要信息的主要依据。
招聘中如何落实个人信息保护
企业在实际招聘场景中可以通过以下方式加强应聘者个人信息保护:
线上场景:企业应在自有招聘渠道上设置隐私政策说明个人信息处理的目的、方式、存储期限、权利行使途径等内容,经用户勾选或点击同意后再进行收集
线下场景:收集应聘登记表时建议一式两份,并在表中补充个人信息使用条款,提供企业信息管理人员的联系方式、信息更新路径,并由应聘者签字确认
敏感个人信息:企业应当取得应聘者的单独同意,例如:企业可以在隐私政策、应聘信息登记表中单独列出各类敏感个人信息,由应聘者逐个确认、勾选同意;对于身份证复印件、体检结果材料等,可由应聘者在文件上手写“同意某某企业对该文件所含信息的合法、正当、必要处理”并签名确认
简化个人信息收集:企业在招聘时可以减少部分信息的收集步骤,例如在员工入职时,不收集员工入职体检详细报告,只收集入职体检总结性信息,以此从根源上规避风险。
用友大易招聘个人信息保护解决方案
作为众多企业信赖的招聘管理系统,用友大易也承担着保障信息安全的的重要责任,为企业招聘过程中的候选人个人信息安全保驾护航,帮助企业在补齐存量系统数据安全短板时尽量减少对前端业务的影响,降低改造成本和复杂度。
在系统的招聘业务操作层面,用友大易招聘系统通过《用户隐私协议》、《授权声明》确认等步骤,帮助企业合法合规的收集候选人信息,用户在勾选隐私协议和确认使用授权后,才可投递或推荐简历。HR在系统中进行简历转发和分享时,系统会自动提醒注意候选人的个人信息保护,避免违规操作。
同时,系统默认候选人简历在系统中存储6个月时间,并自动提醒用户及时处理即将到期的简历。系统日志中可自动记录各项操作,保存痕迹(比如通过系统对外发送的邮件内容及附件等),随时对可疑操作进行追溯。
在数据存储层面,所有招聘数据都将加密存储在客户单独的数据库中,鉴于是否得到授权将直接影响企业处理候选人的个人信息所面临的合规风险,用友大易按照授权的状态对候选人信息进行归类的功能,针对授权有效期到期提醒针对业务负责任不同给予相应的站内提醒。候选人对招聘官网已经投递的内容注销或删除时,后台也会相应清除,只保留相关日志供后续追溯。
此外,在数据安全保障层面,用友大易招聘系统获得由公安机关核准颁发的“国家信息安全等级保护三级认证”,通过国际信息安全管理体系ISO/IEC 27001:2013标准认证,ISO27001是目前国际上最权威、最严格、也是全球应用最广泛与典型的信息安全管理体系标准。用友大易系统安全得到权威专业机构的认可,能够有效保障用户信息安全,提供安全、放心的招聘管理服务。
