中企出海:人力资源管理数据合规白皮书(2024版)
AI智能总结
目 录 趋势引领未来:中企出海的新挑战与新机遇 探索未知,拥抱未来:全球化浪潮下的中企出海局势 随着全球百年未有大变局的加速演进,时代的风口之下,越来越多的企业以前所未有的决心扬帆出海,在全球探索新的机遇。回顾过去一年,在中国技术革新、能源转型和产业升级的新趋势下,一批批出海的先行者以创新的生命力,开拓出一片全球化的广阔天地。 据商务 部、外汇 局统计,2024 年 1~8 月,我国全行业 对外直 接 投 资 7894.5 亿元 人民币,同比 增长12.5%。其中,非金融类直接投资累计 6692.4 亿元人民币,增长 14.3%。 2024 年上半年,上市公司实现海外业务收入 3.83 万亿元,同比增长 12.84%,增长率提升 9.93 个百分点。电气、电子及通讯、木材、家具、科学研究和技术服务业等行业海外业务收入份额较高,达 25% 以上。这些均显示出中国企业出海取得了显著成效。 这一次中国企业走向国际市场,也表现出了时代的特点。首先,这些企业在选择海外市场时更加注重市场潜力和行业发展趋势,不再仅仅局限于传统的贸易伙伴。其次,他们在进入新市场时,更加注重本土化策略及产业链的构建,以更好地适应当地文化和市场需求。此外,中国企业在本次全球化过程中,更加注重品牌建设和知识产权保护,努力提升自身在国际市场上的竞争力和影响力。最后,他们表现出了更强的灵活性和应变能力以应对国际贸易环境变化。 跨越国界的人力资源数据合规挑战:中企出海的新课题 当下的中企出海不仅是全球化,更要尊重各地本土化。然而一些企业往往容易陷入误区,带着固有的认知去海外经营。这种思维方式导致他们在海外运营常常会面临一些棘手的问题。 而在这其中,人力资源数据合规挑战已成为出海企业不可回避的关键命题。它不仅关乎企业的法律风险防控,更是企业稳健前行、赢得国际市场竞争力的核心要素。以下是出海企业会高频遇到的一些数据合规挑战: 法规遵循的挑战: 随着欧盟的《通用数据保护条例》(GDPR)、中国《个人信息保护法》及《数据安全法》等相关法律法规的出台,出海企业在数据处理方面需遵循更为严格的法律要求,涉及数据的收集、存储、使用、共享和销毁等各个环节。同时,不同市场间的合规差异也增加了企业的适应难度,如欧盟、美国、新加坡等地均有各自的数据保护法规,出海企业需要在全球范围内确保合规。 人力资源管理的数据合规挑战: 在招聘、入职、绩效管理等环节,企业需收集大量员工个人信息,这些信息的处理必须合法合规,尤其是敏感信息如生物识别、医疗健康等,一旦泄露将对个人权益产生重大影响。此外,内部数据管理流程也是关键,员工数据保护意识不足、系统漏洞、恶意攻击等都可能导致数据泄露。 技术发展的挑战: 随着云计算、大数据、人工智能等技术的快速发展,使得企业在处理人力资源数据时面临更多的技术难题。如何在合规的前提下高效应用新技术,以及不断更新和迭代的数据隐私保护技术,如加密、访问控制、匿名化处理等,都给企业带来了额外的技术挑战和成本投入。 出海启航:解锁中国企业人力资源数据合规密码 即便当前中企出海的热潮正以前所未有的势头席卷全球,众多企业在涉足陌生的海外市场时,面对纷繁复杂的政策体系与法律环境,依然会感到困惑与迷茫。 尤其在如何妥善处理各类合规问题上,这些企业往往缺乏足够的经验与策略,导致在国际化进程中步履维艰。更令人担忧的是,一些企业将合规管理简化为在本地部署一套软件,认为这样就能轻松满足所有合规要求。这种简单的做法,显然未能触及合规管理的本质与核心,更无法真正解决企业在出海过程中可能遭遇的各种合规挑战,反而将公司置于更大的合规风险中。 为了帮助中国企业更好地应对这一困境,我们策划并发布这份白皮书。这份白皮书旨在为中国企业提供指导与帮助,使其能够迅速识别并有效应对在出海过程中可能遇到的合规挑战。通过深入了解海外市场的政策与法律环境,企业将能够更快地适应新的市场环境,在全球化发展的道路上稳健前行。 出海企业人力资源管理数据合规场景及挑战 出海企业人力资源管理数据合规场景及挑战 欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)于 2018 年 5 月生效,其后,巴西、中国、泰国、越南等多国均加快了本国数据安全方面法律的立法节奏,中国企业当下的出海浪潮恰好在这样的背景下出现。这就对出海企业的人力资源管理提出了一个挑战:在全球化人力资源管理的同时,能够符合不同国家的个人数据安全法规和政策。 人力资源管理,管理的对象是人,而与人相关的个人信息及其他信息(统称“数据”)是人力资源管理过程中必然涉及的要素,例如招聘时收取应聘者简历,即是数据“收集”;向员工支付工资时,产生对员工银行账户信息的“使用”;发生劳动纠纷向仲裁机构或法院递交的证据材料,构成对员工相关信息的“向第三方提供”。企业进行人力资源管理的动作,无不交织着数据处理动作,因此除需遵守劳动用工相关法规外,还需遵守数据合规的相关法规。 中国企业出海成为跨国型集团公司后,增加了集团总部与分子公司之间,为了实现管理目的而不可避免的数据流动场景,例如海外招聘场景下,在总部参与人事聘用决策时,海外分子公司需将相应应聘者数据提供给位于中国的总部进行处理;集团对员工薪酬统一管控场景下,位于中国之外的分子公司自行招聘、管理的员工信息也需提供给中国总部进行薪酬管理;跨国公司通常使用一套人力资源管理软件,该软件的服务器可能在总部或者分子公司所在的国家 / 地区,则整个集团的人力资源管理数据均存在跨境传输及存储的问题。 实际上,除了人力资源管理软件外,出海企业办公中使用电子邮件、即时通讯 IM、公司通讯录等工具也有可能带来个人信息的跨境传递,同样构成个人数据跨法域流动问题。以上数据跨法域流动,使得出海企业除了遵守目的地国家 / 地区数据合规相关法规外,还需考虑遵守数据入境国家 / 地区数据合规相关法规。 因此,出海企业把人力资源管理动作拆解并抽象为对应的数据处理行为,有助于更好的识别本企业人力资源管理场景下具体产生了哪些数据处理行为,涉及哪些数据,从而明确企业应该匹配哪些数据合规动作。目前越来越多的中国出海企业选择扩大目的地国家 / 地区本土化团队规模来代替大量人员外派,因此,本白皮书重点以“员工当地化”的出海模式为模型,讨论出海企业在人力资源管理中将面临的数据合规问题。 以下列举部分人力资源管理场景中的数据处理行为,以便于基于场景理解数据合规面临的问题和挑战: (1) 人员招聘过程中,涉及个人信息收集使用、存储删除、跨境传输等数据合规问题 人员招聘过程中企业收取应聘者简历是人力资源管理场景中,收集个人信息的主要入口;企业自行对应聘者进行背景调查时,从公开渠道或应聘者自行提供的渠道获取的应聘者简历以外的个人信息,也是企业收集应聘者数据的又一入口,依法收集是后续数据合规处理的源头。人员招聘过程中面试官阅读应聘者简历、面试时与应聘者讨论其简历等,是招聘场景下对数据使用的主要方式。企业需关注不同国家 / 地区对何为依法收集使用的限定。 如招聘失败,企业涉及是否可继续留存、使用应聘者简历,或需要何时删除应聘者简历问题。 如企业用于存储应聘者简历等个人信息的服务器位于应聘者所在国家 / 地区之外,或集团中 A 公司评估该应聘者更适合 B 公司招聘的岗位因而将应聘者简历推荐给位于与 A 公司不在同一个国家 / 地区的 B 公司时,或集团中 A 公司通过邮件形式将应聘者简历发送给总部评估时,都会导致应聘者个人信息跨境流动,则应满足数据跨境传输的合规要求。 (2)用工管理过程中,涉及个人信息收集使用、跨境传输等数据合规问题 招聘成功后,企业可依法向员工进一步收集除简历信息之外的个人信息,用于人力资源管理所必需的目的,以中国法为例,如用于签署劳动合同的身份证信息、用于支付工资的银行账户信息、用于为员工缴纳社保的社保账户信息等;企业对员工进行假勤管理过程中,可收集员工的打卡信息,员工请休病假、婚假等假期时,企业可向员工收集医院病假证明、结婚证明等必要的证明材料信息;企业对员工进行绩效、薪酬管理过程中,可收集员工的绩效信息及薪酬、社保、个税等信息; 企业用于存储员工个人信息的服务器或为企业提供人力资源服务的供应商的服务器位于员工所在国家 / 地区之外这样大的管理框架下,或企业集团总部统一向各分子公司员工配发期权等激励这样具体的管理场景下,均会产生员工个人信息跨境存储或流动,应满足数据跨境传输的合规要求。 (3)员工离职后,涉及个人信息使用、存储删除等数据合规问题 员工离职后,企业需依员工所在国家 / 地区法律规定,及时删除员工数据,或依法继续保存员工部分数据,并仅限于法律规定的范围内使用,如以中国法为例,企业与离职员工签署了竞业限制协议时,在该协议履行期限内,企业可不删除履行该协议所必需的信息,但也仅可为履行该协议而使用,不得转作他用,例如向该离职员工发送广告信息等。 (4)员工作为个人信息主体的权利响应合规问题 员工在发现企业违法收集、使用其个人信息,或企业应当依法删除其个人信息而没有删除等情形时,有权向企业提出停止、拒绝相应行为或删除其个人信息等要求,企业需依法予以及时响应。 (5)人力资源管理各阶段均涉及数据安全保障合规问题 企业在员工入、转、调、离整个人力资源管理场景下,均需采取必要的组织、制度、技术措施,保障应聘者及员工的个人信息安全。例如:任命数据隐私官或数据保护官,建立相关流程、以及对员工的权利做出响应,开展个人数据保护影响评估、报告数据泄漏等。 可见,中国企业出海,在人力资源管理数据合规方面,应重点了解目的地国家 / 地区在个人信息收集使用、存储删除、数据跨境、个人权利响应、安全保障义务等方面的法律法规,以防范可能产生的管理风险,建立一套支持企业多国家、跨区域运营的人力资源管理数据合规体系,提升企业的运营效率,为企业向其他国家或地区拓展业务提供良好的底层基础和支撑。 人力资源管理数据合规的五大关键 个人信息收集、使用的合规处理 个人信息及敏感个人信息的定义 不同法域对个人信息的定义相近,多数都强调个人信息的可识别性特征,即能识别特定个人的信息是个人信息,很多国家在可识别性特征之外,又对个人信息进行了部分列举。 不同法域对敏感个人信息的定义不同,但多数法域的敏感个人信息(在部分法域称为“特殊种类的个人数据”等,以下统称敏感个人信息)包括为揭示种族或民族出身、政治观点、宗教或哲学信仰以及工会成员的个人数据,以及以唯一识别自然人为目的的基因数据、生物特征数据,自然人的健康、性生活或性取向数据等。下表为部分国家对个人信息和敏感个人信息的界定: 人力资源管理中个人信息收集、使用的基本原则 大多数国家或地区的法律要求仅当满足特定法律规定的条件时才可以收集和使用个人信息,这些条件通常以获得个人信息主体的同意为主,同时规定了不需要获得同意即可收集、使用个人信息的例外情形,常见的例外包括为订立或履行合同所必需、法律授权或为履行法定义务所必需、收集和处理已公开的个人信息、为追求合法利益所必需等。 对于敏感个人信息的收集和使用,除需要满足法律针对个人信息所规定的条件外,部分法域规定了更为严格的处理条件,通常体现为更严格的同意条件、限缩不需要获得同意即可收集及使用的例外情形、需要履行额外的合法义务等。 在人力资源管理场景下,招聘过程中收集的应聘者简历通常为一般个人信息,而招聘成功后,用工管理过程中,难以避免会收集到员工敏感个人信息,因此需要分别考虑其合规路径。以下为部分国家 / 地区关于收集、使用应聘者、员工个人信息合规路径的对比: 从上表可以看出,多数法域下,对于收集、使用应聘者个人信息通常以取得应聘者的同意为合规路径;而对于收集、使用员工个人信息,在大多数法域内可依据人力资源管理所必需对员工信息进行处理,或取得员工同意收集使用个人信息两个主要的合规路径,因此建议出海企业: 对于应聘者,可通过取得其同意的方式收集使用其个人信息;
