在前不久的315晚会上,央视曝光了多家大型招聘平台泄露求职者简历,大量求职者信息流向黑市。求职找工作过程中的个人信息安全问题甚嚣尘上。
求职简历包含求职者姓名、年龄、电话、籍贯、工作经历等多项敏感的个人信息,一旦泄露无疑会带来不堪设想的后果,轻则不断受到营销电话的骚扰,重则可能受到财产损失和人身安全威胁。
公司在招工、用工、退工中必定会涉及员工的个人信息处理,近年来国家已经出台了多项法律法规政策强调对个人信息的保护,包括《中华人民共和国网络安全法》、《民法总则》、《民法典》、《数据安全法(草案)》、《互联网信息服务管理办法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《网络产品和服务安全审查办法(试行)》、《数据安全管理办法(征求意见稿)》、《网络信息内容生态治理规定》、《信息安全技术 数据出境安全评估指南(征求意见稿)》、《信息安全技术 个人信息安全规范》、《信息安全技术 关键信息基础设施安全检查评估指南(报批稿)》等,这些法律法规政策中均对企业就个人信息安全的保护提出了要求。
《民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
《信息安全技术 个人信息安全规范》3.1以及3.2条中规定:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。其中个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。”
2020年10月21日公布的《个人信息保护法(草案)》第四条也明确了:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
企业在招聘时难免需要涉及候选人的个人信息,如何合规地获取和使用候选人的个人信息?候选人最终未入职,其个人信息应当如何处理?这些是HR在招聘、获取候选人简历时必须面对的问题。
(1)收集信息前获得候选人的的同意和授权
《个人信息保护法(草案)》第十三条规定:
符合下列情形之一的,个人信息处理者方可处理个人信息:
1. 取得个人的同意
2. 为订立或者履行个人作为一方当事人的合同所必需
3. 为履行法定职责或者法定义务所必需
4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需
5. 为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息
6. 法律、行政法规规定的其他情形
获取和使用候选人的个人信息,必须取得候选人的同意。现在企业在招聘新员工时,往往通过在招聘官网、微信公众号上发布招聘信息、通过招聘网站或使用猎头服务等方式获取候选人简历。因此,企业在候选人参加面试、应聘前,应当明确的告知候选人自己对其个人信息获取、使用、处理的目的、方式、范围等规则,征求其授权同意。
(2)基于最小必要原则获取和使用候选人的个人信息
《信息安全技术 个人信息安全规范》第四条规定:“个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,其中最小必要原则是指,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。”
基于最小必要收集、处理个人信息的原则,企业在收集候选人个人信息时应限于与候选人个人工作能力有关的信息,与候选人家庭、情感等与工作能力无关的信息,不建议企业进行获取。
同样地,基于最小必要原则,个人信息处理目的达成后,信息收集主体应及时删除所获取的个人信息。因此,如果在招聘过程汇总的候选人最终未入职,企业也应当按照法律要求,及时删除所获取的候选人个人信息。
作为众多企业信赖的招聘管理系统,大易也承担着保障信息安全的的重要责任,为企业招聘过程中的候选人个人信息安全保驾护航。
在系统的招聘业务操作层面,大易云招聘系统通过《用户隐私协议》、《授权声明》确认等步骤,帮助企业合法合规的收集候选人信息,用户在勾选隐私协议和确认使用授权后,才可投递或推荐简历。HR在系统中进行简历转发和分享时,系统会自动提醒注意候选人的个人信息保护,避免违规操作。同时,系统默认候选人简历在系统中存储6个月时间,并自动提醒用户及时处理即将到期的简历。系统日志中可自动记录各项操作,保存痕迹(比如通过系统对外发送的邮件内容及附件等),随时对可疑操作进行追溯。
此外,在数据安全保障层面,大易云招聘系统获得由公安机关核准颁发的“国家信息安全等级保护三级认证”,通过国际信息安全管理体系ISO/IEC 27001:2013标准认证,ISO27001是目前国际上最权威、最严格、也是全球应用最广泛与典型的信息安全管理体系标准。大易系统安全得到权威专业机构的认可,能够有效保障用户信息安全,提供安全、放心的招聘管理服务。
大易云计算作为国内最早的招聘管理系统及解决方案服务商,历经14年沉淀,始终致力于将信息技术、AI技术与人力资源管理相结合,推动企业招聘效能提升。「大易云招聘系统」可一站式满足各类企业招聘需求,服务知名企业客户千余家。