1. <b id="zzmlf"></b>
        1. <cite id="zzmlf"></cite>
          1. 當前位置:首頁>行業資訊
            “個保法”來了,獵頭行業應如何自保?
            發布時間:2022-01-04 閱讀(1188)

            中華人民共和國個人信息保護法》(“《個人信息保護法》”)自2021年11月1日起施行,該法堪稱進入信息時代以來中國最重要的法律之一,其不僅對標歐美法律實踐,對個人信息保護也進行了全方位的定義,同時,最高可處罰上一年度企業營業額5%的罰款,更使其進一步受到廣泛關注。此前《網絡安全法》與《數據安全法》已經落地實施,加之《個人信息保護法》,共同構成了中國數據安全的三駕馬車,而后者與所有市場主體的經濟活動密切相關,這對于企業在規范經營與風險管控方面,提出了全新的挑戰,可以說,《個人信息保護法》正在對于每個主體都產生著全面而深遠的影響。尤其,《個人信息保護法》為加快構建中國特色人力資源產業服務發展,提供了有力的支撐。

            近日,人力資源社會保障部聯合國家發展改革委、財政部、商務部、市場監管總局發布了《關于推進新時代人力資源服務業高質量發展的意見》。意見中指出:重點發展獵頭服務,完善通過獵頭機構開展市場化引才機制。對于以“候選人個人信息數據”為核心競爭力的獵頭行業而言,個人信息的頻繁交互,使得獵頭行業成為個人信息安全風險的高發之地。為此,我們結合獵頭業務運營場景,為大家深入解讀《個人信息保護法》給獵頭行業帶來的變革——如果想要避開前方的“坑”,應該如何去做呢?

            01場景一

            獵頭公司如何獲取甲方客戶線索?

            對于獵頭公司而言,通常獲取甲方客戶線索的方式分為直接收集與間接收集,前者由甲方客戶主動發布在公開渠道中,例如招聘網站、社交平臺等,通過獵頭顧問主動溝通,完成合作的過程。后者主要是通過客戶介紹、市場活動等方式獲取。

            1. 在直接收集的情況下,《個人信息保護法》主要強調了從公開渠道獲取甲方客戶線索的合法性,通過獵頭顧問主動與之聯系從而建立起合作關系。

            2. 在間接收集的情況下,《個人信息保護法》主要強調了甲方客戶主動將信息提供給獵頭企業的合法性,現有甲方客戶通過“潛在客戶”同意而完成轉介紹,獵頭公司通過市場活動使得潛在客戶主動留下信息,從而建立起信息交互。

            需要注意的是,甲方客戶線索的獲取不可通過所謂“list互換群”、會展名單買賣、非公開信息“爬取”等違法方式,例如:在(2020)滬0114刑初1033號一案中,被告人張某犯侵公民個人信息罪,判處有期徒刑十個月,罰金人民幣二千元。

            02場景二

            獵頭公司如何獲取候選人簡歷信息?

            對于甲方客戶給到的職位需求,獵頭顧問通常會作專業的職位需求分析,從而生成人才畫像,鎖定內外部人才尋找方案,通常搜集信息的方式包括直接收集與間接收集。前者由個人信息主體主動提供、通過與個人信息主體交互或記錄主體行為等采集活動,通常是直接和候選人取得聯系,例如在招聘平臺(獵聘、智聯、Boss等)、社交平臺(微信朋友圈、微信群、領英、脈脈等)等發布招聘信息而引發候選人主動投遞,以及獵頭公司長年累月積攢的人才庫(走過基本流程);后者主要是通過候選人轉介紹、市場活動等方式合法獲取個人信息的行為。

            1. 在直接收集的情況下,《個人信息保護法》主要強調了從公開渠道獲取候選人信息的合法性,通過獵頭顧問主動與之聯系從而建立起推薦關系。

            2. 在間接收集的情況下,《個人信息保護法》主要強調了候選人主動將信息提供給獵頭企業的合法性,我們可以看到獵頭公司通過組建市場部門,逐漸擺脫了“野蠻”發展時期,使得候選人樂于主動進行信息交互,從而促進社會化就業、更好發揮我國人力資源優勢、服務經濟社會發展。

            需要注意的是,通過“內部通訊錄”互換、“共享信息”、爬取某些網站信息等方式獲取個人信息可能存在侵犯個人信息的風險,例如:在(2020)粵0103刑初707號一案中,“獵頭搜”被告人王某犯侵犯公民個人信息罪,判處有期徒刑十個月,緩刑一年,并處罰金人民幣一萬元。

            以上兩個場景極其相似都是在直接與間接收集的情況下,《個人信息保護法》擴大了個人信息處理的合法性基礎,即除“同意”外,個人信息處理者還可以基于“為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的規章制度和依法簽訂的合同實施人力資源管理所必需”等其他6項合法性基礎處理個人信息。比如企業可以基于勞動合同處理員工個人信息,而無需取得同意。但對于獵頭行業來說,要想取得“合法性基礎”,通常應在直接接觸候選人并搜集其個人信息時取得其同意或與之訂立協議,并遵守個人信息處理的基本原則:合法、正當、必要、誠信、目的明確、最小范圍、公開、透明、目的、方式、范圍、質量與保障。

            獵頭公司正確的做法是?

            03場景三

            獵頭公司如何對候選人簡歷信息儲存與管理?

            獵頭公司收集到候選人簡歷信息后需將其妥善存儲,通常會使用第三方的人才管理系統。實踐中,自主開發人才管理系統的企業相對較少,一般獵頭公司通常在了解第三方管理系統是否可以滿足自己的人才管理邏輯,通過定制化滿足需求后,基本雙方也就達成了協議,對于潛在的風險多停留在金額與違約責任上,很少關注隱私保護與數據安全的問題,更很少關注系統后臺對候選人信息的精細化管理,但是,這往往是風險出現的重災區。常見的潛在風險包括但不限于:1. 批量下載簡歷,進行非法交易;2. IP登錄異常登錄或者多IP登錄;3. 登錄非本行業職位過多;4. 對應管理人不明確,權責不清晰。

            獵頭公司正確的做法是?

            在日常服務過程中,我們可能會遇到有將本公司賬號密碼同步給他人的,一臺電腦同時登錄不同公司賬號的,及時設置了警報功能未設置監管人員或設置監管人員不在意而引起候選人數據泄露的。需要注意的是,《個人信息保護法》增加了對直接負責的主管人員的處罰,因此獵頭公司的相關負責人應當尤其引起重視。

            04場景四

            獵頭公司如何對候選人簡歷進行使用、加工與傳輸?

            獵頭公司在獲取候選人個人信息后,對于使用目的要明確,僅限于本公司內部推薦給特定的甲方公司,不可未經同意授權隨意推送給其他招聘主體。獵頭公司通常會對候選人簡歷信息進行加工,當然也可以認定為適當“美化”,但切記不可做非專業獵頭顧問所做的“篡改”行為,在內部做候選人分析報告時,做必要的脫敏信息處理。候選人對于簡歷信息在傳輸過程中建議做加密處理,這樣可以相對減少信息泄露的概率,獵頭顧問在傳輸給甲方客戶時也建議加密處理,如甲方使用特定內部人才管理系統時,甲方通常會設定固定字段來確認信息傳輸的完整性,所以敏感字段的必要性將會是獵頭公司應當了解的。最后,對于集團性質的甲方客戶,要確認集團系統的互通性,要了解內部的使用、加工與傳輸的過程。

            05場景五

            獵頭公司如何對候選人進行背調?

            在獵頭招聘過程中,背景調查一般會根據協議約定而由獵頭公司負責或者委托第三方背調機構,背景調查結果的真實性、準確性以及周期性,往往會和獵頭服務費最終是否拿到有著密不可分的關聯。企業一般要求對候選人進行“五年三段”的了解,這樣可以對候選人的過往的工作履歷和工作表現有更加清晰的認知,從而輔助企業做出是否錄用該候選人的判斷。獵頭公司根據自身的實際情況我們強烈建議交由第三方背調機構,畢竟獵頭公司主營業務是招聘。那么這個過程如何去做比較好呢?

            1. 自行背調的情況下,對于直接和“第一手信息”打交道的獵頭公司,我們建議:

            2. 委托調查的情況下,因為需要向第三方公司提供候選人的相關信息,需要對其負責,因此,我們建議:

            06場景六

            獵頭公司如何維護候選人簡歷刪除權?

            獵頭公司在和候選人信息交互過程中,應當按照約定處理候選人信息,不得超出約定的處理目的、處理方式等處理個人信息;委托行為不生效、無效、被撤銷或者終止的,應當將個人信息返還個人信息處理者或者予以刪除,不得保留。刪除權是《個人信息保護法》下一項重要的權利,其可能會改變很多實際應用場景,例如改變整個行業的甲方查重權,獵頭公司遇到最多的就是幫助甲方公司梳理人才庫,遇到庫里有的候選人,獵頭顧問前期所有勞動成果將會付之東流,而這一權利或許可以重新定義行業規范。

            對此,我們的建議是:

            通過獵頭顧問引起候選人對甲方職位感興趣后,可以簽訂授權委托書,明確簡歷收集的維度、使用目的、享有刪除權,刪除權主要是告知候選人未能成功入職甲方公司時,候選人可以要求獵頭公司和甲方公司刪除存儲在人才管理系統里的信息,這一點可以避免一年期限后的查重問題。獵頭公司會擔心履行刪除權后,無法在后期建立起交互,從而損失候選人,其實這要回到內部信息管理流程的設定的問題了,一般獵頭顧問都會添加微信或領英好友等,這一點不但沒有損失,反而增加了交流,只是需要對賬號作好管理足矣。

            07場景七

            外資獵頭公司,我們的總部也可以訪問境內的數據庫,這樣會有什么問題嗎?

            首先,《個人信息保護法》對于所有企業提出了一般性要求。

            具體包括:

            (1)采取必要措施,保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準;

            (2)告知個人關于個人信息跨境傳輸的相關情況(包括接收方的名稱/姓名、聯系方式、處理目的、處理方式、個人信息類型、向接收方行使權利的程序和方式等)并取得個人的單獨同意;

            (3)事先進行個人信息保護影響評估并并對處理情況進行記錄,評估報告和處理情況記錄應當至少保存三年。

            其次,針對關鍵信息基礎設施運營者(Critical Information Infrastructure Operator, 以下簡稱“CIIO”)或處理個人信息達到國家網信部門規定數量(根據2021年10月29日最新發布的《數據出境安全評估辦法(征求意見稿)》,處理個人信息達到100萬人,或累計向境外提供超過10萬人以上個人信息或者1萬人以上敏感個人信息,即達到該等數量)的個人信息處理者,原則上應當將在中國境內收集和產生的個人信息存儲于境內,確需向境外提供的,應當通過國家網信部門組織的安全評估。

            再者,針對其他不構成CIIO或者所處理的個人信息未達到國家網信部門規定數量的個人信息處理者,應當滿足以下條件之一:(1)按照國家網信部門的規定經專業機構進行個人信息保護認證;(2)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(3)法律、行政法規或者國家網信部門規定的其他條件。

            對于獵頭公司來說,構成CIIO的可能性較低,但是,如果公司處理的個人信息數量較大,達到了需要進行安全評估的標準,則需要進行安全評估。如果未達到上述標準,則對于候選人相關的個人信息跨境傳輸,我們建議:

            向員工和面試者進行告知,包括接收方的名稱/姓名、聯系方式、處理目的、處理方式、個人信息類型、向接收方行使權利的程序和方式等,并取得其單獨同意,即專門針對跨境傳輸取得同意,而不能以一攬子方式取得同意。

            實務觀察

            對于獵頭行業而言,涉及個人信息的案例較多,由于“互換資源”“信息泄密”等問題,很多獵頭公司都曾受到處罰。該行業本身即存在較高的個人信息合規風險。而在《個人信息保護法》生效后,鑒于法律責任比以往更高,違法成本也大幅增加,因此,我們建議企業做好數據合規工作,同時密切關注該法及配套法律、法規的立法動態,以確保相關制度符合最新監管合規要求,防患于未然。

            特別聲明:

            以上內容屬于作者個人觀點,不代表其所在機構立場,亦不應當被視為出具任何形式的法律意見或建議。

            電話:400-640-6658
            華爾街獵頭

            華爾街獵頭

            掃一掃查看更多職位

            專注于 高級 金融人才
            版權所有:華爾街(北京)人力資源有限公司   旗下網站:華爾街獵頭   資質公示   企業熱線:400-640-6658   舉報電話:010-62124346   
            ICP 經營許可證編號  [京B2-20213984]  [京ICP備11018102號-1] 人才許可證號:RC1009319   

            京公網安備 11010802037026號

            日本大香伊蕉一区二区

              1. <b id="zzmlf"></b>
                1. <cite id="zzmlf"></cite>