海外数字化招聘数据合规白皮书
AI智能总结
Data Ccmplianceand Privacy Protectionin Global Recruitrment mokahr.com 言前Forewor cl 随着中国经济步入高质量发展的新时代,立足于经济转型升级需求,中国企业“走出去”已成为时代趋势。在全球80%以上的国家及地区均已进行数据隐私立法的背景下,出海企业在全球用工过程中面临着诺多合规挑战。在此背景下,大成和Moka联合发布了《海外数字化招聘数据合规白皮书》,以期为出海企业提供全球数字化招聘数据合规指引,更好地应对国际市场的复杂挑战。 大成是一家全国领先的律师事务所,与全球最大律师事务所Dentons拥有优先合作关系,能够为中国企业全球化用工提供全方位的个人信息和数据保护专业合规服务。Moka是中国领先的一体化人力资源服务商,能够帮助中国企业实现智能自动、落实数据安全与合规政策要求的国际化招聘流程管理。 本白皮书分析了出海企业在海外数字化招聘中遇到的数据合规挑战和应对策路。该册基于欧盟、北美、南美、东南亚、中东这五个中国企业主要出海目的地的重要数据隐私立法,全面介绍了应聘者数据使用、收集、跨境传输等处理过程中需要遵守的具体合规要求,并从实务角度为企业提出了切实可行的合规建议。此外,该册还简要介绍了大成提供的“国内+海外数字化招聘合规方案”,以及Moka Recruiting(Moka招聘国际版)产品,以期为国际化企业的海外数字化招聘提供数据合规帮助。 Part 1. 企业走出去面临的数字化招聘数据合规挑战6 一,中国企业出海现状7二,全球数据隐私立法概况6三,海外数字化招聘中的数据合规挑战概览11 Part 2. 海外数字化招聘全流程数据合规风险及应对12 ,应聘者数据收集合规13 二。应聘者数据使用合规18三,企业的其他数据合规义务21 Part 3. 海外数字化招聘中的数据跨境传输挑战23 一.数据跨境传输的主要情形及必要性24 24二.全球主要司法辖区数据跨境传输限制 三,全球主要数据跨境自由流动区域规则OE 四。出海企业数据跨境传输合规建议32 Part4. 大成个人信息与数据保护法律服务EE 一.大成个人信息与数据保护团队简介34二.大成全球个人信息与数据保护法律实践35三.国内+海外的数字化招聘合规方案9 Part 5. Moka数据隐私合规解决方案 一.Moka数据隐私保护体系及合规实践40 二,Moka海外招聘数据隐私合规解决方案41三.MokaRecruiting常见数据隐私合规问题42 Part 1 企业走出去面临的数字化招聘数据合规挑战 随着中国经济步入高质量发展的新时代,立定于经济转型升级需求,中国企业“走出去”已成为时代超势,在欧洲、南美、中东、北美、东南亚布局最广。在全球80%以上的国家及地区均已进行数据隐私立法的背景下,出海企业在数字化招聘过程中,面临的应聘者数据收集、使用、跨境传输等诸多合规挑战。 ,中国企业出海现状 历年对外直接投资公报数据显示,近年来,我国对外直接投资流量持续加码,2020年位居全球第一。与此同时,“一带一路”沿线国家投资合作稳步推进,2022年非金购类直接投资达到209.7亿美元。 在我国政策的指导和鼓励,以及海外广阔的市场空间、廉价劳动力、原材料资源等因素的驱使下,越来越多的中国企业开始积极“走出去”,开拓海外市场。据不完全统计,截至2022年,已有超过70万的中国企业尝试或计划出海。 从行业分布来看,信息技术、先进制造、医疗健康行业的中国企业出海积极性最高。从出海影响力来看,核心赛道主要有:跨境电商、泛娱乐、消费电子和电子制造。 从全球布局来看,中国出海企业在欧洲、南美、中东、北美、东南亚布局最广 从布局最广的五大地区的地域特征来看 ,欧洲地区经济增长回暖,政府打造全新基建计划,东欧市场受到追摔,但政府法规众多,数据合规为重中之重; ,南美地区金融科技市场潜力巨大,通讯行业发展不均衡,南共体对外关税降低,中国与其贸易增长空间较大; ,中东地区油气产业左右经济增速,互联网渗透率高,与中国经贸合作不断迈上新台阶,实现互利共赢; ,北美地区基建指数高,经济实力强,互联网渗透率全球第一,但受地缘政治影响深,与中国的合作致力于双方利益最大化; ·东南亚地区劳动市场人口庞大,GDP增速高于全球平均水平,东盟国家与中国贸易往来密切,RCEP签订后贸易关税进一步降低。 二,全球数据隐私立法概况 根据全球最大数据隐私组织—IAPP(International Association ofPrivacyProfessionals)的定义,数据隐私主要关注个人数据的使用和规制,例如制定政策,以确保用户个人信息被通过适当的方式收集、分享和使用。 个人信息是数据隐私保护的主要对象。根据我国《个人信息保护法》中的定义,有关的各种信息,不包括医名化(经过处理无法识别特定自然人且不能复原)处理后的信息。 只是对“个人信息”的称谓有所不同。例如,中国、日本、韩国等将其称为“个人信息”,欧盟、德国、巴西、美国加州等将其称为“个人数据”,台湾将其称为“个人资料” 随着越来越多的社会和经济活动通过域上进行,数据隐私保护的重要性日益得到全球各国的认可。如何规制个人信息的收集、使用、跨境传输等活动,保护个人信息主体权利,成为全球关注的话题。 据联合国贸易和发展会议(United Nations Conference on Trade andDevelopment)的统计数据,就至2021年12月14日,全球194个国家中,已有137个国家进行了数据隐私立法,约占总数的71%。!此外,9%的国家已有立法草案,15%的国家没有相关立法,5%的国家没有数据。 据更新统计,自2011年开始,全球数据隐私立法稳步增长。截至2023年初,联合国成员国中仅有18%未进行数据隐私立法(包括立法草案)。 尽管在立法背景和文本细节上存在些许差异,但是整体而言,全球数据隐私立法在立法目的和基本原则上具有一定的相似性。 ,在立法目的上,各国立法均旨在保护自然人的个人信息,并寻求促进创新和保护隐私权利两者间的平衡。 在基本原则上,客国立法几乎均包括: ·告知同意:即企业在收集、存储、共享个人信息前,应告知个人信息主体,并取得主体的同意。 -目的限制:即企业仅能将个人信息用于合法、特定的目的。 ·数据量小化:即企业仅能够在最小必要范围内收集、存储数据。 ·主体权利:即企业应保障个人信息主体对其个人信息享有的访问、更正、删除等权利。 三,海外数字化招聘中的数据合规挑战概览 鉴于全球大多数国家都有数据隐私立法,因此中国企业在“走出去”的过程中基本都需要关注相关的合规要求。具体到海外数字化招聘这一场景,企业可能面临的全生命周期数据合规挑战包括: 1.应聘者数据收集合规 在数字化招聘中的简历收集、面试、背调等环节,企业可能会收集应聘者的大量个人信息,甚至敏感个人信息,需要遵守适用数据隐私立法规定。 2.应聘者数据使用合规 收集应聘者个人信息以后,企业可能会对应聘者个人信息进行存储、使用、加工、共享等处理,这些活动同样需要遵守适用数据隐私立法的规定。 3.应聘者数据跨境传输合规 在海外招聘过程中,企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。当前,不少主要司法辖区都对个人信息出境设置了严格的限制条件,企业需要着重关注相关合规要求。 4.其他数据合规义务 应聘者个人信息收集、使用和跨境传输是企业海外数字化招聘过程中主要的数据隐私合规场景。除此之外,出海企业还可能需要关注诺如数据安全保障、个人信息主体权利保障等合规义务。 Part 2 海外数字化招聘全流程数据合规风险及应对 针对中国企业“走出去”面临的数字化招聘数据合规挑战,本章选取了欧盟北美、南美、东南亚、中东这五个中国企业的主要出海地(下称“五地区”),基于应聘者数据处理的不同环节,简要介绍了各地区重点国家的数据隐私立法及主要合规要求,以期为出海企业提供合规参考。 需要注意的是,当前各司法辖区的数据隐私立法大多具有域外效力。即便不在该司法辖区运营或处理个人信息,也可能因为收集该辖区内居民的个人信息,向辖区内居民提供商品或服务,个人信息处理活动与辖区内所设机构活动相关等原因而受该司法辖区数据隐私立法的管辖。因此,出海企业应首先在专业律师的协助下,基于具体业务模式和个人信息处理情况,判断其个人信息处理活动的适用数据隐私立法。 一,应聘者数据收集合规 在数字化招聘中的简历收集、面试、背调等环节,企业可能会收集应聘者的大量个人信息,基至敏感个人信息。与该环节相关的五地区重要立法概况如下: 1.欧盟 2018年5月25日生效的欧盟通用数据保护条例》(GeneralDataProtectionRegulation,下称“GDPR”)是全球影响最广的数据隐私立法,在欧盟运营或收集欧盟内居民的个人数据均受其管辖。如违反GDPR,企业可能面临最高不超过2千万欧元或企业上一财年全球年营业额4%的罚款,以两者中较高者为准。 在GDPR项下,提供个人数据的应聘者是“数据主体”(data5ubject);决定应聘者数据收集目的的招聘企业定“数据控制者”(datacontroller);为招聘企业提供招聘所需的技术、软件支持的机构是“数据处理者”(dataprocessor) 遵循GDPR处理应聘者数据,需要具备合法性基础。在招聘场景下最有可能适用的三项合法性基础是: 1)取得应聘者的同意。有效同意是数据主体通过明确肯定的方式自愿作出的具体、知情及明确的意思表示。在罹佣场景下,招聘企业与应聘者之间可能存在权力失衡,应聘者的自愿可能受限。但是,如招聘企业能够证明,即使应聘者不同慧也不会产生任何不利后果,则可将同意作为合法性基础。 2)应数据主体的请求为订立合同而处理。这一合法性基础要求仅收集对招聘目的收集哪些类型的个人数据。超出该范畴,需垂取得应聘者的自虑同意。 3)合法利益(legitimateinterest)。合法利益(也即处理数据,帮助候选人找到工作)是最灵活的一项合法性基码。其适用前提是:企业以应聘者能够合理预期的方式使用其个人数抵,且不会对数抵主体的权益造成较大影响。 除需满足合法性基础外,企业在应聘者数据收集环节主要还需要履行如下义务: 1)为合法利益处理应聘者数据:仅基于“特定、明确且合法的目的”收集个人数据,仅收集招聘必要的个人信息,且应在一个月内联系应聘者。仅为搭建人才库,以备未来之需等目的收集应聘者个人数据,包括社交平台公开数据,是非法的。 2)就处理敏感个人数据取得同意:如需收集应聘者的敏感个人数据(例如种族、宗教信仰、生物识别、性取向、健康等相关数据)或为平等就业机会调查或背调目的收集个人数据,应仅限于最小必要范国,且需要以清断易懂的方式取得应聘者的自愿同意,并提供激回同意的明确指引。 3)确保数据处理的透明度:通过《隐私政策》向应聘者明确告知招聘企业的身份、联系方式、处理其个人数据的目的、法律基础、数据类型、存储期限、数据主体权利、行权方式等。 2.北美 与欧盟GDPR相比,北美的数据隐私立法更加多样且不尽相同。本报告仅选取美国和加拿大这两大主要出海国作简要介绍。 (1) 美国 在美国,目前并没有影响数据保护的一般联邦立法,对于招聘企业来说,需要关注其具体所在州的法案情况。截至2024年2月,已有超过十四个州频布了全面的数据保护法,但除加州外,大多数州数据保护法中的“个人信息”或“个环境中行事的居民,面不包括那些在职场环境中,作为求职者,或作为某个座员的受益人行事的个人。例如:《科罗拉多州隐秘法》认为,只有在个人或家庭环境中活动的科罗拉多居民才是消费者,而求职者或就业环境下的受益人则不在此列。《特控华州个人数据隐私法》和《印第安纳州消费者数据保护法》也明确,与就业相关的数据(如求职、在职、作为代理或独立承包商的情况,以及紧
