《海外数字化招聘数据合规白皮书 2024.docx》由会员分享,可在线阅读,更多相关《海外数字化招聘数据合规白皮书 2024.docx(38页珍藏版)》请在优知文库上搜索。
1、Contents目录Part 1.企业走出去面临的数字化招聘数据合规挑战6-.中国企业出海现状7二,全球数据隐私立法概况三,海外数字化招聘中的数据合规挑战概览Part 2.海外数字化招聘全流程数据合规风险及应对12一.应聘者数据收集合规13二,应聘者数据使用合规18三.企业的其他数据合规义务21Part 3.海外数字化招聘中的数据跨境传输挑23一,数据跨境传输的主要情形及必要性24-.全球主要司法辖区数据篇境传输限制24三 .全球主要数据跨境自由流动区域规则30四 .出海企业数据跨境传输合规建议32Part 4.大成个人信息与数据保护法律服务33一 -大成个人信息与数据保护团队简介34二 .大
2、成全球个人信息与数据保护法律实践35三 .国内+海外的数字化招聘合规方案36Part 5.Moka数据隐私合规解决方案39一 Moka数据隐私保护体系及合规实践40二 .Moka海外招聘数据隐私合规解决方案三 .MokaReCrUiting常见数据隐私合规问题42Part1企业走出去面临的数字化招聘数据合规挑战心E随着中国经济步入高质量发展的新时代,立足于经济转型升级需求,中国企业“走出去”已成为时代趋势,在欧洲、南美、中东、北美、东南亚布局最广。在全球80$以上的国家及地区均已进行数据隐私立法的背景下,出海企业在数字化招聘过程中,面临的应聘者数据收集、使用、跨境传输等诸多合规挑战。一.中国企
3、业出海现状历年对外直接投资公报数据显示,近年来,我国对外直接投资流量持续加码,2020年位居全球第一。与此同时,“一带一路”沿线国家投资合作稳步推进,2022年非金融类直接投资达到209.7亿美元。在我国政策的指导和鼓励,以及海外广阔的市场空间、廉价劳动力、原材料资源等因素的驱使下,越来越多的中国企业开始积极“走出去”,开拓海外市场。据不完全统计,截至2022年,已有超过70万的中国企业尝试或计划出海。2008年-2021年中国对外直按投资流一单位:亿美元201阵-2022中Hihik“带路”从行业分布来看,信息技术、先进制造、医疗健康行业的中国企业出海积极性最高。从出海影响力来看,核心赛道主
4、要有:跨境电商、泛娱乐消费电子和电子制造。2023体出海企殳行业分布单位:%医疗健康信息技术先进制造汽车交通斯消费文化娱乐金融科技数据来海中国出海企业现状洞察报告(2023)亿欧,HHBraanS2022Q1出海品I*杜泰彩力单T(Ploo行堡分布单位:%消费电子游戏电子商务工业制造泛娱乐旅游牌务-Kfe从全球布局来看,中国出海企业在欧洲、南美,中东、北美、东南亚布局最广。数据来源:亿欧智库;2Q23年中国企业出海白皮1分从布局最广的五大地区的地域特征来看: 欧洲地区经济增长回暖,政府打造全新基建计划,东欧市场受到追捧,但政府法规众多,数据合规为重中之重; 南美地区金融科技市场潜力巨大,通讯行
5、业发展不均衡,南共体对外关税降低,中国与其贸易增长空间较大; 中东地区油气产业左右经济增速,互联网渗透率高,与中国经贸合作不断迈上新台阶,实现互利共赢; 北美地区基建指数高,经济实力强,互联网渗透率全球第一,但受地缘政治影响深,与中国的合作致力于双方利益最大化; 东南亚地区劳动市场人口庞大,GDP增速高于全球平均水平,东盟国家与中国贸易往来密切,RCEP签订后贸易关税进一步降低。二.全球数据隐私立法概况根据全球最大数据隐私组织IPP(InternationalAssociationofPrivacyProfessionals)的定义,数据隐私主要关注个人数据的使用和规制,例如制定政策,以确保用
6、户个人信息被通过适当的方式收集分享和使用。个人信息是数据隐私保护的主要对象。根据我国个人信息保护法中的定义,“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化(经过处理无法识别特定自然人且不能复原)处理后的信息。与中国类似,世界各国大多都将“可识别性作为个人信息最为重要的特征,只是对“个人信息”的称谓有所不同。例如,中国、日本、韩国等将其称为“个人信息”,欧盟、德国、巴西、美国加州等将其称为“个人数据”,台湾将其称为“个人资料”。随着越来越多的社会和经济活动通过线上进行,数据隐私保护的重要性日益得到全球各国的认可。如何规制个人信息的收集、使用、跨境传
7、输等活动,保护个人信息主体权利,成为全球关注的话题。据联合国贸易和发展会议(UnitedNationsConferenceonTradeandDevelopment)的统计数据,截至2021年12月14日,全球194个国家中,已有137个国家进行了数据隐私立法,约占总数的71、。此外,9%的国家已有立法草案,15%的国家没有相关立法,5%的国家没有数据。DataProtectionandPrivacy1.egislationWorldwide71%COUNTRIESWITH1.egislation9%COUWTRiesWrTHDraft1.egislation15%COUNTRIESWrrHN
8、o1.egislation5%COUNTRIESW11lNoData*DataProtectiandPrivacy1.egiSIaUonWorlctwicie,httpsbnctad.orgpage,data-proecti-arxJ-privacy4gislation-WOrfcMide据更新统计,自2011年开始,全球数据隐私立法稳步增长。截至2023年初,联合国成员国中仅有18%未进行数据隐私立法(包括立法草案)。统计年份2011201320152017201920212023年初立法国家数量7699109120132145162尽管在立法背景和文本细节上存在些许差异,但是整体而言,全球
9、数据隐私立法在立法目的和基本原则上具有一定的相似性。在立法目的上,各国立法均旨在保护自然人的个人信息,并寻求促进创新和保护隐私权利两者间的平衡。在基本原则上,各国立法几乎均包括:- 告知同意:即企业在收集、存储、共享个人信息前,应告知个人信息主体,并取得主体的同意。- 目的限制:即企业仅能将个人信息用于合法、特定的目的。- 数据最小化:即企业仅能够在最小必要范围内收集、存储数据。- 主体权利:即企业应保障个人信息主体对其个人信息享有的访问、更正、删除等权利。三.海外数字化招聘中的数据合规挑战概览鉴于全球大多数国家都有数据隐私立法,因此中国企业在“走出去”的过程中基本都需要关注相关的合规要求。具
10、体到海外数字化招聘这一场景,企业可能面临的全生命周期数据合规挑战包括:1 .应聘看数据收集合规在数字化招聘中的简历收集、面试背调等环节,企业可能会收集应聘者的大量个人信息,甚至敏感个人信息,需要遵守适用数据隐私立法规定。2 .应聘者数据使用合规收集应聘者个人信息以后,企业可能会对应聘者个人信息进行存储、使用加工、共享等处理,这些活动同样需要遵守适用数据隐私立法的规定。3 .应聘者数据普境传输合规在海外招聘过程中,企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。当前,不少主要司法辖区都对个人信息出境设置了严格的限制条件,企业需要着重关注相关合规要求。4 .其他数据合规义务
11、应聘者个人信息收集、使用和跨境传输是企业海外数字化招聘过程中主要的数据隐私合规场景。除此之外,出海企业还可能需要关注诸如数据安全保障个人信息主体权利保障等合规义务。Part2海外数字化招聘全流程数据合规风险及应对针对中国企业“走出去”面临的数字化招聘数据合规挑战,本章选取了欧盟、北美、南美东南亚、中东这五个中国企业的主要出海地(下称“五地区”).基于应聘者数据处理的不同环节,简要介绍了各地区重点国家的数据隐私立法及主要合规要求,以期为出海企业提供合规参考。需要注意的是,当前各司法辖区的数据隐私立法大多具有域外效力。即便不在该司法辖区运营或处理个人信息,也可能因为收集该辖区内居民的个人信息,向辖
12、区内居民提供商品或服务,个人信息处理活动与辖区内所设机构活动相关等原因而受该司法辖区数据隐私立法的管辖。因此,出海企业应首先在专业律师的协助下,基于具体业务模式和个人信息处理情况,判断其个人信息处理活动的适用数据隐私立法。一.应聘者数据收集合规在数字化招聘中的简历收集、面试、背调等环节,企业可能会收集应聘者的大量个人信息,甚至敏感个人信息。与该环节相关的五地区重要立法概况如下:1 .欧盟2018年5月25日生效的欧盟通用数据保护条例(GeneralDataProtectionRegUIatiOn,下称GDPR)是全球影响最广的数据隐私立法,在欧盟运营或收集欧盟内居民的个人数据均受其管辖。如违反
13、GDPR,企业可能面临最高不超过2千万欧元或企业上一财年全球年营业额4%的罚款,以两者中较高者为准。在GDPR项下,提供个人数据的应聘者是“数据主体(datasubject);决定应聘者数据收集目的的招聘企业是“数据控制者(datacontroller);为招聘企业提供招聘所需的技术、软件支持的机构是“数据处理者(dataprocessor)o遵循GDPR处理应聘者数据,需要具备合法性基础。在招聘场景下最有可能适用的三项合法性基础是:1)取得应聘者的同意。有效同意是数据主体通过明确肯定的方式自愿作出的具体、知情及明确的意思表示。在雇佣场景下,招聘企业与应聘者之间可能存在权力失衡,应聘者的自愿可
14、能受限。但是,如招聘企业能够证明,即便应聘者不同意也不会产生任何不利后果,则可将同意作为合法性基础。2)应数据主体的请求为订立合同而处理。这一合法性基础要求仅收集对招聘必要的个人数据。一些欧盟国家的就业或劳动立法明确规定了可以出于招聘目的收集哪些类型的个人数据。超出该范畴,需要取得应聘者的自愿同意。3)合法利益(Iegitimateinterest)。合法利益(也即处理数据,帮助候选人找到工作)是最灵活的一项合法性基础。其适用前提是:企业以应聘者能够合理预期的方式使用其个人数据,且不会对数据主体的权益造成较大影响。除需满足合法性基础外,企业在应聘者数据收集环节主要还需要履行如下义务:1)为合法
15、利益处理应聘者数据:仅基于“特定、明确且合法的目的”收集个人数据,仅收集招聘必要的个人信息,且应在一个月内联系应聘者。仅为搭建人才库,以备未来之需等目的收集应聘者个人数据,包括社交平台公开数据,是非法的。2)就处理敏感个人数据取得同意:如需收集应聘者的敏感个人数据(例如种族宗教信仰、生物识别、性取向、健康等相关数据)或为平等就业机会调查或背调目的收集个人数据,应仅限于最小必要范围,且需要以清晰易懂的方式取得应聘者的自愿同意,并提供撤回同意的明确指引。海外数字化招聘数据合规白皮书3)确保数据处理的透明度:通过隐私政策向应聘者明确告知招聘企业的身份联系方式、处理其个人数据的目的法律基础、数据类型、存储期限、数据主体权利、行权方式等。2 .北美与欧盟GDPR相比,北美的数据隐私立法更加多样且不尽相同。本报告仅选取美国和加拿大这两大主要出海国作简要介绍。(1)美国在美国,目前并没有影响数据保护的一般联邦立法,对于招聘企业来说,需要关注其具体所在州的法案情况。截至2024年2月,已有超过十四个州颁布了全
免费区 