适用场景
跨国经营、设有海外分支机构或使用全球统一HR系统的出海企业,在招聘、日常考勤、薪酬发放及员工数据跨境传输阶段需重点关注。
核心要点
1. 招聘阶段的候选人信息处理
收集简历前需明确告知处理目的、方式及留存期限,并获取候选人同意。收集范围应仅限于与岗位强相关的必要信息;若通过第三方猎头获取简历,需在合同中明确双方的数据合规责任;未录用者的简历应及时删除或经明确授权后方可入库。
2. 生物识别与考勤管理限制
指纹、人脸识别等属于敏感个人信息,处理此类数据需满足特定目的和充分必要性,并开展个人信息保护影响评估。即便企业规章制度中有相关规定,实务中仍强烈建议获取员工的“单独同意”以降低合规风险。
3. 员工信息收集的合法边界
企业收集员工信息必须基于法定要求(如劳动合同法规定的基本信息)、合理的人力资源管理需求(如物流员工的定位轨迹)或员工自愿同意。严禁“一刀切”式地过度收集与工作职责无关的隐私数据(如普通岗位的婚育信息)。
4. 数据外发与跨境传输合规
向第三方(如薪酬代发机构、审计机构)或海外总部传输员工数据时,需告知接收方详情并取得员工单独同意。对于跨国企业的数据出境行为,还需依法履行通过安全评估、获得专业认证或签署标准合同(SCC)等法定前置程序。
5. 响应员工的法定数据权利
员工依法享有对其个人信息的知情、决定、查阅、复制、更正、删除及转移等权利。企业必须建立便捷的内部响应机制和申请渠道,及时处理员工的合规诉求,避免因响应不力引发劳动争议或监管处罚。
实务建议
- 在招聘网站或简历上传界面增设“隐私政策同意”弹窗或勾选框,确保收集动作前置合规。
- 与第三方招聘平台或猎头签署合作协议时,务必加入“数据合规与违约担责”条款,防范连带责任。
- 梳理现有考勤方式,尽量提供非生物识别(如刷卡、密码)的替代方案;若必须使用人脸/指纹,需签署单独的知情同意书。
- 起草专门的《员工隐私政策》并将其纳入员工手册,经过民主程序公示,明确HR管理所需的数据收集范围。
- 设立专门的隐私合规邮箱或内部OA通道,用于接收和处理员工的数据权利请求(如要求删除历史简历、修改个人信息)。
风险提示
- 常见误区:认为只要把收集人脸或指纹信息的条款写进《员工手册》,就可以随意强制收集(仍需单独同意且具备必要性)。
- 常见误区:为了建立企业“人才库”,未经候选人明确同意,长期保留未录用人员包含个人身份信息的简历。
- 合规红线:跨国企业使用全球统一的HR系统(如Workday)时,直接将国内员工数据同步至海外服务器,却未履行数据出境的法定程序。
- 注意事项:过度收集与岗位无关的敏感信息,例如要求普通文职候选人提供婚育计划或详细病史,极易引发合规投诉。