【干货】《个人信息保护法》下，HR关心的答疑都在这里

上周我们发布了【十问十答】《个人信息保护法》与电子签约，该文更多侧重对政策本身的解读。本周我们再一次将话题延伸到了更细分的场景——人力资源场景。

 

前不久，我们应邀参加了HRise的“超级访谈”栏目，与 《人力资源数字化转型行动指南》作者&深蓝信息公众号分享人徐刚 、北京大成（上海）律师事务所合伙人杨傲霜一起接受了HRise创始人程海涛的专访。

 

 

大家从各自视角出发，围绕“《数据安全法》和《个人信息保护法》对HR数字化有何影响”进行了深度探讨。

 

1、从指纹、人脸识别到虹膜，法律的出台对个人信息与数据采集有何影响？

2、数据放在云端是否安全，将数据攥在手里就一定安全吗？

3、在不同场景，HR该如何处理应用员工相关信息？

4、包括九型人格测试在内的职业测评，是否该征得员工同意？

5、招聘对星座有要求，是否违反《个人信息保护法》？

6、选型供应商时，HR应重点考察哪些维度？

7、HR与IT、法务部门如何配合，来保证业务合规经营？

8、在数字化转型中，HR如何建立长期有效的数据安全防范意识？

 

1、程海涛：《个人信息保护法》和《数据安全法》出台，对正在进行的人力资源数字化转型有哪些影响？我们先从HR视角开始，请徐老师做一些阐述

 

徐刚：《个人信息保护法》出台后，对HR而言是一个不小的挑战。首先，HR不是技术出身，对于如何更好地存储信息，没有特别强的意识。之前HR在一些日常工作中可能会将员工信息，包括电话号码、身份证比较随意地存在自己的网盘上。可能有时会出现一些信息泄露的情况。

 

现在基于数字化时代，很多公司都开始运用云的系统。不管是国家的个税APP，还是现在的电子签约系统。其实我们都已经离不开云的系统，企业很难离开互联网的环境单独存在。所以在这个情况下，我们又不得不去应对，将一些个人员工的信息数据放在云上。

 

这时大家就会有很多疑问：

 

第一，能不能把员工信息放在一些云的系统上？担心员工数据万一出问题谁负责？

 

第二，现在从数字化转型的角度看，一方面HR要为业务赋能，另一方面最近非常火的词是员工体验，我们还要保证员工的体验。

 

这时HR会有一些想法：

 

比如，我们在为员工甚至是为其家人过生日的时候，可能会给他们送去祝福。但这就会牵涉一些个人隐私。另外还有一些个人的人生事件，像结婚生小孩。在这种情况下，我们是否可以利用这些数据，在不征求员工同意的权利下给他们惊喜？HR的日常工作离不开个人信息、数据，《个人信息保护法》出台后，我们到底用到什么程度，什么场景才能用，会有很大的困惑。

 

程海涛：对HR来说，如果数据处理或者使用得不恰当，真有可能把惊喜变成惊吓。范老师你怎么看？

 

范征韬：现在企业跟上云已经分不开了，以前可能很多企业单位的HR会觉得信息掌握在HR部门手里是最安全的。担心一旦上云出事，如何来处理。

 

所谓的安全，如果是将其锁在一个保险箱里无法流动，也不能称之为安全。所以我们要在合规使用信息的基础上让其发挥效用。

 

现在两部法律出台以后，特别是《个人信息保护法》，个人认为“反而是企业如果保有和处理这些个人信息，意味着巨大的风险和投入。如果企业的HR将自己作为个人信息的处理者，法律要求其承担相应的责任，需要有相应的数字化投入以及确保安全性。”

 

这对企业而言可能是比较大的负担，且投入以后是否能做好，毕竟企业在这方面不是专业组织，还有自己的业务范围，选择一些专业的云服务厂商可能会做得更好。

 

专业的人做专业的事情，国家跟国际的标准化组织有相应的体系来保证。让不懂技术的人也可以通过一些标准体系的认证放心地选择相应的供应商，这是比较重要的点。

 

另外，刚才也提到“信息是否可以采集，何时采集，放在哪，怎么用的问题”，上上签电子签约作为一家电子签约厂商，人力资源是非常重要的场景，其中会面临入职合同的签署，以及相关入职信息的收取，包括整个员工生命周期的信息处理。

 

最近我们就发现了一个很有趣的现象，在这两部法律出台之前，很多客户关心其用户体验和通过效率。特别是一些劳动密集型企业，会提出“我的用工人员可能文化程度不高，手机也未必是智能的，年龄偏大，能不能采用一些生物识别的方法，例如刚才说的人脸识别、指纹、虹膜。”

 

但是最近几个月发生了明显的变化，很多客户非常敏感。人力资源总监非常主动地强调“我最好不要有刷脸，我们要避免任何强制地采集用户个人的任何身份信息。”

 

当然上上签电子签约的系统有这个功能，可以避免这些的使用。从客户的需求来看，可以看到市场发生了很明显的变化，而这是两部法律所带来的。

 

2、程海涛：杨律师，刚才范老师提到的跟个人身份信息相关的数字化信息，是否能采集？另外徐老师提到要做员工关怀，HR在不经过当事人同意的情况下，是否可以利用这些数据？

 

杨傲霜律师：这些问题在两部法律出台之前就已经存在。人力资源部如果招录员工，势必需采集其个人信息，比如员工入职时，要求其提供身份证、银行卡、社保信息等。

 

大家注意到在《个人信息保护法》中有一个规定，即个人信息的采集分为两大主题：

 

（1）针对员工个人，需征得本人同意；

 

（2）签订劳动合同的必要相关信息，哪怕员工不同意，如果企业要建立劳动关系，则属于签订劳动合同所需的必要信息。对方必须要提供给HR，否则无法建立劳动合同关系。

 

很多HR问我们，“如果员工不愿意提供其身份证、银行卡信息，是否可以？”

 

这要分两方面，一方面如果是签订劳动合同所需的必要信息，比如HR要为其缴纳社保，此时就必须提供，如果拒绝提供或者提供一些假信息，企业当然不予以录用。

 

另一方面，像徐老师所说的给员工或其家人送祝福、惊喜，这肯定涉及一些非必要的信息。从律师角度看，员工入职是比较长的过程，当中分两部分信息：

 

一部分是员工入职后主动提供了个人身份证、学历证明，上家公司的退工单等，还有一些信息是在入职当中逐渐提供给公司的，比如员工买房、买车，要求公司出相关证明以证明收入情况。甚至有时要报销医药费，会将医药费相关的单据提供给公司。有的公司还会为员工购买商业保险，有的高管给孩子报销学费等。

 

这一系列信息，该如何处理？

 

根据法律规定，非必要的信息企业不主动收集。

 

现在我们发现很多公司为360度地了解员工，会问其血型、星座是什么，然后给员工做九型人格测试。根据这些法律规定，非必要的，企业能不收集就尽量不收集。如果收集，首先要征得员工本人的同意，因为这是和签订劳动合同并不直接相关。

 

另外收集信息后如何处理，我们建议应该和有资质的第三方公司合作。

 

3、程海涛：我了解到有些企业确实看员工的星座，比如处女座适合某岗位。之后随着这两部法律的出台，你有什么建议？或者这种做法是否妥当？是否涉及侵犯个人隐私或者违法。

 

另外，如果企业做人格测试，应该怎样妥善处理？

 

杨傲霜律师：如何有效地处理这个问题，可能没有一个标准答案。

 

分开来看，比如有些员工很乐意提供一些信息，希望企业为其做职业方面的专业性测试，来了解以后的职业发展规划，当然没有问题。

 

此时，建议HR在员工入职时，让员工签署一个授权的《知情承诺同意书》。

 

另外如果员工一开始就比较抗拒，有的甚至让员工提供自己的配偶或者家庭情况，这些信息与签订劳动合同必要的行为无关，员工有权拒绝。

 

4、程海涛：关于上述问题，徐老师在书中也有提及，在您看来人力资源数字化基于整个企业的人力资源管理，到底起到什么作用？

 

徐刚：我将人力资源数字化转型的终极目标，分为了三部分：

 

（1）、我们需要通过数字化的人力资源管理赋能业务，让业务获得更多业绩；

 

（2）、刚才提及员工体验，我们HR大多数时间会跟一线员工打交道，所以员工的体验也会影响客户的体验，所以优化员工体验对业务也有帮助；

 

（3）、第3点对今天的话题很关键，希望通过对人力数据的分析来驱动业务。

 

管理上很早便说过，没有衡量就无法做管理。所以在人力资源数字化过程中，“如何运用数据收集或分析，最终做一些决策”是比较关键的。

 

刚才听大家的反馈，关于数据分析，我留意到在《个人信息保护法》中，有提到并非不允许我们做大数据分析，我认为企业完全可以把所有人力相关数据，如果是员工愿意提供，且是公司必要的，进行数据分析。

 

但其中提到一点，该数据分析包括相应的建议，不能针对某一个人的个人特征进行建议。比如公司想做弹性福利，HR可以基于大数据角度分析得出，我们公司40岁到50岁的员工更喜欢买重疾险。

 

这是大数据，后续HR在进入弹性福利系统时，可以面向40~50的员工推荐适合的产品。但是其推荐的原因是通过大数据知道这类人群普遍拥有这些特征，即平均数据或者普遍数据是这样。

 

但是不能针对某一个人，比如刚才提到的，如果我知道他是某个星座，然后在系统中设置成不能担当某些岗位，以后在人才盘点或者继任者计划将其排除。

 

我认为《个人信息保护法》其实强调了以下内容：

 

如果是针对某个个人的特点做一些推荐分析，必须要给其明确拒绝的权利。如果员工本人觉得可以，对方同意后继续下一步动作。若员工不希望HR采取这样的分析方式，提供任何推荐，则员工可以明确拒绝。

 

5、程海涛：随着这两部法律出台，也不是只针对这两部法律，我们的数据运用愈发走向规范化。相应的，是否会增加企业数字化管理的边际成本？

 

徐刚：我觉得在大环境下其实是好事。我们知道在中国出台《个人信息保护法》之前，欧洲早就有GDPR这样的个人信息保护法规。

 

对于中国的一些企业和员工而言，在这样一个互联网或者人工智能飞速发展的时代，其实大家都会有很多担心，反而会让员工不舒服。

 

如果员工不舒服，对于企业的忠诚度也会降低，潜在的也会影响企业的发展。

 

从员工体验角度看，我们也会借鉴一些互联网厂商对客户的管理。像客户满意度，了解客户是否愿意把公司的产品推荐给其他人。

 

我们也可以用一些方式衡量员工的体验，只要有衡量就可以了解在这个过程当中有哪些是我们要去关注的。我们可以关注在《数据安全法》或者《个人信息保护法》出台后，哪些动作对员工的体验可能更友好。

 

因为是刚开始，对HR来说没有一个标准答案，我觉得任何一个事情取决于使用者如何去解读以及在企业当中如何落地。这些工作到位之后，我们就可以持续跟踪这件事情在企业当中到底能够起到多大的效益。

 

6、程海涛：在我接触的很多企业中，大家在数字化转型中会先上一套电子签约系统。以上上签为例，你们是怎样系统化地提升数据安全的？

 

范征韬：因为从事电子签约行业，一路走来，上上签电子签约积累了相当多安全技术方面的经验。

 

我们依照信息安全等级保护和ISO国际安全标准等构建了自身的安全体系。我们始终保有这样的认证和相应的专业化团队，同时也拥有自己的一些核心专利技术。用国际通用并且国家推荐认可的加密算法，对收集到的用户信息不仅仅是个人信息，包括企业的重要信息进行相对应的加密，这些加密内部员工非授权无法访问。这对我们客户而言是非常重要的保护。

 

仅有这些还不够，我们很多时候还充当顾问或咨询的角色。

 

业务上我们向客户的人力资源团队学习，改进产品。而在电子签约和相关的信息安全保护方面，我们是专家。

 

在两部法律出台之前，我们就经常跟客户讨论。当客户需要提供一些信息，或者需要我们替客户向员工收集一些信息时，上上签电子签约一直都非常坚持让客户理解“为什么我们一定要告知员工、用户这些签约的相对方，他在使用一个怎样的平台，在提交何种信息，用于哪些用途”，我们会给客户提供相关的帮助，比如帮助其完善隐私政策和告知文书，通过这些业务流程梳理和文书的告知完成相应的签署。

 

《个人信息保护法》实际上是把这些场景变成一个必须要告知和签署的场景，对企业和个人而言是双重的保护。避免了企业的很多侥幸心理，减少了未来法律纠纷的可能性。

 

上上签电子签约可以在这方面提供更好的基础设施，给企业提供技术保障。用我们专业的咨询服务帮助确保企业在该获得授权的地方获得授权，且该授权本身是不可篡改的电子签约文件，从这样的角度帮助企业真正把《个人信息保护法》落到实处。

 

7、程海涛：企业在人力资源数字化转型过程中会接触很多的系统供应商，HR不是技术专家，在选择供应商时，尤其注意哪些方面？

 

徐刚：现在大企业的HR部门在人力资源数字化转型中会跟其他部门打配合战。一个是IT部门，另外一个为法务部门。

 

通常，我们会充分征求法务部门的意见。向其咨询：“现在类似像这样一些情况，我们如何确保在法律条款允许的前提下进行一些个人信息的应用。”

 

另外，从供应商角度上来讲，我们可能也会跟IT的某些团队合作，希望他们能够给出评估。

 

我觉得一方面提醒HR能够充分地利用公司现有的资源，跟IT部门、法务部门深入交流，不要自作主张。

 

同时，对于一些供应商，要看他们的各种认证资质。相信随着法律出台，认证的各方面要求也会跟法律要求条款相符合。所以只要供应商通过了这些认证，基本上可以少做很多不必要的评估。

 

杨傲霜律师：法务部门会对供应商的相关资质进行鉴别，双方会签署服务的合作协议从法律条款上面进行认定。

 

从律师的角度看，关于供应商的选择很多时候是看其实际履行情况，因为履行往往是一个长过程。在履行过程当中，供应商是否做到了当时承诺的标准，此时可能很多问题又回到HR那边了。

 

我觉得在履行过程中，还是要进行实时的监管。

 

8、程海涛：人力资源数字化转型是一个长期过程，在这条漫长的转型过程中会遇到一系列挑战。HR该如何建立一个长期的数据安全风控意识？

 

徐刚：新的数字化时代，对我们HR提出了一些新的要求。我觉得HR的作用一定要在整个数字化转型过程当中提升。

 

现在很多的企业可能过分依赖供应商或者咨询公司，这就容易在实际运营，长期的落地过程中出现问题。因为HR只是在当中起了辅助的角色。

 

所以HR在数字化转型当中，也应当发挥一些咨询作用，统筹各个部门跟供应商一起出方案。这样在整个项目管理的过程中能够很好地把控跟法务部门、IT部门、采购部门以及供应商的合作节奏。

 

此外，我们在运营过程中要敏捷地持续改进。

 

我们可以看到不断会有新的法律出台，员工的需求也会不断变化。我们如果能够敏捷地应变，在运营过程中持续梳理一些改进点，这样就可以不断发现问题，持续改进。

 

在我看来，系统并不会完美，所以我们必须要通过HR能力的提升来总控人力资源数字化的实施和运营。

 

HRise创始人程海涛：徐刚老师刚才谈到的，为HR在数字化转型过程中的角色挑明了方向。如徐刚老师所言：

 

首先，在数字化转型过程中，尤其是基于数据安全，建议HR先把双手弄脏，什么意思？就是要跟采购、技术、供应商三方一起针对项目管理进行完整复盘，并且全程参与。

 

其次，HR最好要知道盐从哪儿咸，醋从哪儿酸。虽然不一定是数字化的专家，但是要知道它是如何在我们企业决策或者组织变革中发挥作用的。

 

以上这些是对我们DHR(Digital HR）画像的初步描述。

 

北京大成（上海）律师事务所合伙人杨傲霜：其实《个人信息保护法》和《数据安全法》更多的是对整个社会和个人信息的保护，员工信息保护是当中很小的一部分。

 

数字化转型过程中带来的数据安全问题是一个必然会发生的事情，这件事情基于整个人力资源部，是一件难而正确的事。基于这样一个方向，未来HR要做一个前瞻者，而不是等问题出现才去应对。

 

我觉得法务部门肯定也会研究这一问题，HR更多的需要去配合法务部门。而不是因为法律出台，反而束缚了手脚。恰恰相反，是让各个部门更有保障。很多时候专业的事情让专业的人做。

 

上上签解决方案总监范征韬：一次性部署信息系统并非数字化转型，它并非一锤子买卖，而是一个持之以恒的过程。

 

我们在项目中会有很清晰的感受：做得好的项目，一定是业务方、HR总监、法务总监以及相关部门一起参与的。我们各自提供各自的专业能力，大家作为一个合作伙伴走过这个旅程，并且长期地不断改进，才是真正让项目成功。