隨著《數據安全法》、《個人信息保護法》等法規相繼實施，越來越多金融機構發現自己的人才招聘流程正發生著新變化。

“每個人才招聘流程都需經歷新的合規操作考驗?！币患夜煞葜沏y行HR人員告訴記者。以往，無論是官網/公眾號直接招聘，還是第三方招聘平臺或內推/獵頭渠道，他們都可以隨意使用海量應聘者個人信息或存儲很長時間（用于人才庫建設），但如今，上述做法不再被允許。

比如通過公司招聘官網或公眾號收集應聘者個人信息時，銀行需先征得每個應聘者的同意，才能收集與處理個人信息；且收集信息個人信息范圍與處理目的需嚴格遵循最小必要原則；

再如通過第三方招聘平臺收集應聘者個人信息時，銀行不能再隨意使用第三方平臺共享的個人信息，而是嚴格遵守后者的招聘用戶服務協議；

若通過獵頭或內推渠道收集應聘者個人信息，銀行還需先與獵頭/內推人簽訂數據共享協議。

在他看來，這很大程度影響金融機構的人才招聘效率——在通過第三方招聘平臺招募人才時，他們還需嚴格遵守后者的個人信息隱私保護協議，不得將個人信息使用范疇超過上述協議條款；若通過內推或獵頭招募高端金融科技人才或專業人才，鑒于內推人與獵頭未必與應聘者簽訂個人信息授權使用協議，他們不得不在必要時通過郵件等方式發送隱私政策，重新取得應聘者的告知同意。

一位外商獨資私募基金HR人士也向記者透露，目前他們也需要“犧牲”人才招聘效率，務必滿足個人信息保護等合規操作要求。目前令他們頗感頭疼的是，原先他們直接會將應聘者個人信息納入“人才庫”，等崗位需求出現時再聯系他；但現在按照《數據安全法》、《個人信息保護法》等法規規定，金融機構等企業若要將個人求職信息納入“人才庫”，需另外與應聘者簽訂相關個人信息使用授權，否則個人求職信息在金融機構保留一段時間后，需做“物理銷毀”處理。

“讓我們更傷腦筋的是，有些應聘者需經過海外總部遠程面試，由后者決定誰就任境內分支機構高層崗位，但這涉及個人信息出境的安全評估，令整個應聘流程變得漫長?！彼蛴浾咧毖?。

招聘合規流程大變革

記者多方了解到，上述應聘環節的個人信息合規操作問題，不僅困擾著金融機構，其他各行各業公司對此也相當“茫然”。

近日，由大成律師事務所與HR SaaS服務平臺Moka聯合發布的《在華企業招聘數據合規白皮書》（下稱《白皮書》）顯示，在參與調研的各行業企業里，僅15.91%已深入了解企業數字化招聘領域的“個保法”合規操作相關政策，22.73%正處于政策研究階段，40.91%僅限于初步了解，20.45%則不了解相關政策。由此可見，當前各行業企業在人才招聘環節的“個保法”合規意識仍有待加強。

與此對應的是，僅有38.64%受訪企業在《數據安全法》、《個人信息保護法》等政策實施后，開展相關的個人信息數據安全治理工作，其他企業既沒有采取相應的“個保法”合規措施，也沒有開展關于“個保法”合規知識的員工培訓，無形間給企業造成較大的不可控風險。

大成律所北京辦公室高級合伙人鄧志松告訴記者，在通過互聯網等渠道開展人才招聘環節，企業在簡歷獲取、簡歷篩選、筆試面試、人才歸檔等眾多復雜的環節與場景均涉及大量應聘者個人信息的處理與收集，需要制定合理方案以應對《個人信息保護法》項下的合規要求，否則可能面臨刑事、行政、民事等多重法律責任，甚至直接危及企業的生存。

記者了解到，相關刑事責任包括侵犯公民人格信息罪（最高刑期7年）、拒不履行信息網絡安全管理義務罪（最高刑期3年）、相關返款則包括按《個人信息保護法》，對某些個人信息違規處理行為向單位處以最高5000萬元或上一年度營業額5%的罰款；向個人處以最高100萬元罰款；按《數據安全法》，對某些個人信息違規處理行為，向單位處以最高200萬元罰款，向個人處以20萬元罰款等；其他行政處罰則包括責令暫?；蚪K止提供服務；責令暫停相關業務或者停業整頓；吊銷相關業務許可或吊銷營業執照等。

上述股份制銀行HR人員直言，目前他們已意識到要在人才招聘環節嚴格遵守《數據安全法》、《個人信息保護法》等法規，銀行需對相關個人信息處理制定新的“合規”操作準則，包括開展數據分類分級，識別敏感數據；制定完善的數據安全管理制度規范；選擇招聘敏感數據場景開展針對性的數據安全管控；對標相關法律法規進行風險評估，識別新的數據處理安全風險；統籌規劃數據安全治理工作，制定安全工作實施路徑等。

《白皮書》指出，目前逾1/3受訪企業決定由HR部門牽頭處理人才招聘相關的數據合規問題，其次是信息/數據部門（24.39%）和法務部門（21.95%），這意味著這三個部門都將面臨較大的招聘流程合規再造與個人信息保護職責。

Moka首席執行官李國興告訴記者，這無形間也給HR SaaS服務商提出更大的考驗。在《數據安全法》、《個人信息保護法》等法規發布后，Moka針對相關法規要求，對相關數字化招聘管理系統進行調整，包括在應聘者個人信息收集、委托處理、存儲等方面做好告知同意、遵循個人信息存儲最小必要時間等；針對應聘者個人信息出境要求，則根據企業相關數據出境量，提供數據出境安全評估、個人信息保護認證(CCRC)、個人信息出境標準合同(SCC)操作等服務，力爭協助金融等各行業企業做到應聘者數據獲取合規、個人信息數據應用與存儲合規、應聘者個人數據出境傳輸合規等。

在他看來，在招聘環節增強數據安全責任意識，完善個人信息數據安全管理體系，正成為企業夯實人才基礎的必要措施。HR SaaS服務商要做的，就是在貼合客戶對個人信息合規處理要求的場景下，令相關HR SaaS產品做到“開箱即用”，不增加額外負擔和培訓成本，進而提供好用、易用、實用的數字化招聘個人信息數據合規解決方案。

記者多方了解到，為了簡化應聘者個人信息收集使用流程，當前部分銀行、私募基金、金融科技平臺打算將個人招聘用途與建立人才庫需求“合并”，向求職者征求個人信息授權使用許可。

鄧志松向記者指出，此舉未必合適。究其原因，一是兩者涉及的個人信息使用目的明顯不同，二是個人數據存儲時間也明顯不同，比如人才招聘需保留的個人信息通常不超過半年，但建立人才庫則可能需保留個人數據數年時間。

“因此，若企業想將應聘者個人信息用于建立人才庫，最合適的辦法是另外與應聘者簽訂新的個人信息使用授權協議，明確個人信息用途是用于建立人才庫?！彼麖娬{說。

個人信息出境安全評估“新挑戰”

記者多方了解到，目前令不少金融機構相當傷腦筋的，還有個人數據出境安全評估，它不僅僅發生在外資金融機構在華業務機構高層人員的招聘場景，還涉及更多跨境金融服務場景。

上述外商獨資私募基金HR人士向記者透露，此前他們計劃在境內招募一位運營總監，但相關應聘者需通過海外總部遠程面試，由后者確定最終人選。但這涉及個人信息出境安全評估。

“此前，我們也不知道如何合規操作。所幸《個人信息出境標準合同辦法》及標準合同文本在6月1日正式實施，我們打算通過這個方式申報個人信息出境，等待相關部門通過安全評估后，盡早完成相關崗位的面試招聘工作?！彼嬖V記者。

在多位金融業內人士看來，相比人才招聘場景，個人信息出境安全評估的更大挑戰，將出現在更多跨境金融服務場景。比如在私人銀行領域，隨著高凈值客戶熱衷資產全球化配置、搭建財富傳承架構或尋求海外高端醫療，銀行機構需申報大量敏感個人信息出境，并交給海外資管機構或醫療機構以提供更具針對性的服務。但這涉及大量敏感個人信息出境，包括個人以往病史、個人財富信息、個人家庭成員個人信息等，都銀行先向相關部門進行申報，再由后者對出境的個人信息開展安全評估。

“此外，若私人銀行要將通過安全評估的出境個人信息交給第三方金融機構或醫療機構，以便他們向境內高凈值客戶提供專業資產配置/診療服務時，還需先與境內高凈值客戶另外簽訂一份個人信息授權使用協議，以便相關個人信息使用合規，避免出現私人銀行違規對外傳送個人敏感信息的狀況?！币晃皇煜は嚓P業務流程的外資銀行合規部人士向記者指出。隨著《數據安全法》、《個人信息保護法》相繼實施，銀行眾多金融服務流程難免會變得更加繁瑣，但基于個人信息使用合規要求，這都是必須做出的“犧牲”。

鄧志松認為，若需要申報個人信息出境的人數較少，通過標準合同文本申請個人數據出境或許是一個合適方法，但需注意對某些敏感個人信息（比如以往病史、個人電子郵件地址等）做好去標識化處理；此外，標準合同文本方式還需企業境外總部盡早簽訂相關協議以遵守國內個人信息保護相關要求。

責任編輯：韓希宇