海外數(shù)字化招聘數(shù)據(jù)合規(guī)白皮書 2024

三.企業(yè)的其他數(shù)據(jù)合規(guī)義務(wù)一.數(shù)據(jù)跨境傳輸?shù)闹饕樾渭氨匾匀?國內(nèi)+海外的數(shù)字化招聘合規(guī)方案366隨著中國經(jīng)濟(jì)步入高質(zhì)量發(fā)展的新時代，立足于經(jīng)濟(jì)轉(zhuǎn)型升級需求，中國企業(yè)“走出去”已成為時代趨勢，在歐洲、南美、中東、北美、東南亞布局最廣。在全球80%以上的國家及地區(qū)均已進(jìn)行數(shù)據(jù)隱私立法的背景下，出海企業(yè)在數(shù)字化招聘過程中，面72020年位居全球第一。與此同時，“一帶一路”沿線國家投資合作穩(wěn)步推進(jìn)，2022年非金融類直接投資達(dá)到209.7億美元。在我國政策的指導(dǎo)和鼓勵，以及海外廣闊的市場空間、廉價(jià)勞動力、原材料資源等因素的驅(qū)使下，越來越多的中國企業(yè)開始積極“走出去”,開拓海外市場。據(jù)不完全統(tǒng)計(jì)，截至2022年，已有超過70萬的中國企業(yè)嘗試或計(jì)劃出海。從行業(yè)分布來看，信息技術(shù)、先進(jìn)制造、醫(yī)療健康行業(yè)的中國企業(yè)出海積極性最高。從出海影響力來看，核心賽道主要有：跨境電商、泛娛樂、消費(fèi)電子和電子制造。醫(yī)療健康信息技術(shù)先進(jìn)制造汽車交通新消費(fèi)文化娛樂金融科技*數(shù)據(jù)來源：《中國出海企業(yè)現(xiàn)狀洞察報(bào)告(2023)》消費(fèi)電子游戲電子商務(wù)工業(yè)制造泛娛樂旅游服務(wù)從全球布局來看，中國出海企業(yè)在歐洲、南美、中東、北美、東南亞布局最廣。拿800拿個89·歐洲地區(qū)經(jīng)濟(jì)增長回暖，政府打造全新基建計(jì)劃，東歐市場受到追捧，但·南美地區(qū)金融科技市場潛力巨大，通訊行業(yè)發(fā)展不均衡，南共體對外關(guān)稅·中東地區(qū)油氣產(chǎn)業(yè)左右經(jīng)濟(jì)增速，互聯(lián)網(wǎng)滲透率高，與中國經(jīng)貿(mào)合作不斷·北美地區(qū)基建指數(shù)高，經(jīng)濟(jì)實(shí)力強(qiáng)，互聯(lián)網(wǎng)滲透率全球第一，但受地緣政根據(jù)全球最大數(shù)據(jù)隱私組織——IAPP(InternationalAssociationofPrivacyProfessionals)的定義，數(shù)據(jù)隱私主要關(guān)注個人數(shù)據(jù)的使用和規(guī)制，例個人信息是數(shù)據(jù)隱私保護(hù)的主要對象。根據(jù)我國《個人有關(guān)的各種信息，不包括匿名化(經(jīng)過處理無法識別特定自然人且不能復(fù)原)處只是對“個人信息”的稱謂有所不同。例如，中國、日本、韓國等將其稱為“個人信息”,歐盟、德國、巴西、美國加州等將其稱為“個人數(shù)據(jù)”,臺灣將其稱隨著越來越多的社會和經(jīng)濟(jì)活動通過線上進(jìn)行得到全球各國的認(rèn)可。如何規(guī)制個人信息的收集、使用、跨境傳輸?shù)然顒?，保護(hù)據(jù)聯(lián)合國貿(mào)易和發(fā)展會議(UnitedNationsConferenceonTradeandDevelopment)的統(tǒng)計(jì)數(shù)據(jù)，截至2021年12月14日，全球194個國家中，已有137個國家進(jìn)行了數(shù)據(jù)隱私立法，約占總數(shù)的71%。此外，9%的國家已有立法草案，15%的國家沒有相關(guān)立法，5%的國家沒有數(shù)據(jù)。據(jù)更新統(tǒng)計(jì)，自2011年開始，全球數(shù)據(jù)隱私立法穩(wěn)步增長。截至2023年初，聯(lián)合國成員國中僅有18%未進(jìn)行數(shù)據(jù)隱私立法(包括立法草案)。統(tǒng)計(jì)年份2023年初盡管在立法背景和文本細(xì)節(jié)上存在些許差異，但是整體而言，全球數(shù)據(jù)隱私立·在立法目的上，各國立法均旨在保護(hù)自然人的個人信息，并尋求促進(jìn)創(chuàng)新和-目的限制：即企業(yè)僅能將個人信息用于合法、特定的目的。-數(shù)據(jù)最小化：即企業(yè)僅能夠在最小必要范圍內(nèi)收集、存儲數(shù)據(jù)。鑒于全球大多數(shù)國家都有數(shù)據(jù)隱私立法，因此中國企業(yè)在“走出去”的過程中基本都需要關(guān)注相關(guān)的合規(guī)要求。具體到海外數(shù)字化招聘這一場景，企業(yè)在數(shù)字化招聘中的簡歷收集、面試、背調(diào)等環(huán)節(jié)，企業(yè)可能會收集應(yīng)聘者的大量個人信息，甚至敏感個人信息，需要遵守在海外招聘過程中，企業(yè)可能將收集的個人信息與中國或其他司法轄區(qū)的關(guān)聯(lián)公司或第三方公司共享。當(dāng)前，不少主要司法轄區(qū)都對個人信息出境設(shè)置應(yīng)聘者個人信息收集、使用和跨境傳輸是企業(yè)海外數(shù)字化招聘過程中主要的數(shù)據(jù)隱私合規(guī)場景。除此之外，出海企業(yè)還可能需要北美、南美、東南亞、中東這五個中國企業(yè)的主要出海地(下稱“五地區(qū)”),基于應(yīng)聘者數(shù)據(jù)處理的不同環(huán)節(jié)，簡要介紹了各地區(qū)重點(diǎn)國家的數(shù)據(jù)隱私立法及需要注意的是，當(dāng)前各司法轄區(qū)的數(shù)據(jù)隱私立法大多具有域外效力。即便不在該司法轄區(qū)運(yùn)營或處理個人信息，也可能因?yàn)槭占撦爡^(qū)內(nèi)居民的個人信息，向轄區(qū)內(nèi)居民提供商品或服務(wù)，個人信息處理活動與轄區(qū)內(nèi)所設(shè)機(jī)構(gòu)活動相關(guān)等原因而受該司法轄區(qū)數(shù)據(jù)隱私立法的管轄。因此，出海企業(yè)應(yīng)首先在專業(yè)律師的協(xié)助下，基于具體業(yè)務(wù)模式和個人信息處理情況，判斷其個人信息處理活動的適在數(shù)字化招聘中的簡歷收集、面試、背調(diào)等環(huán)節(jié)，企業(yè)可能會收集應(yīng)聘者的大量個人信息，甚至敏感個人信息。與該環(huán)節(jié)相關(guān)的五地區(qū)重要立法概況如下：1.歐盟2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtectionRegulation,下稱“GDPR”)是全球影響最廣的數(shù)據(jù)隱私立法，在歐盟運(yùn)營或收集歐盟內(nèi)居民的個人數(shù)據(jù)均受其管轄。如違反GDPR,企業(yè)可能面臨最高不超過2千萬歐元或企業(yè)上一財(cái)年全球年?duì)I業(yè)額4%的罰款，以兩者中較在GDPR項(xiàng)下，提供個人數(shù)據(jù)的應(yīng)聘者是“數(shù)據(jù)主體”(datasubject);決定應(yīng)聘者數(shù)據(jù)收集目的的招聘企業(yè)是“數(shù)據(jù)控制者”(datacontroller);為招聘企業(yè)提供招聘所需的技術(shù)、軟件支持的機(jī)構(gòu)是“數(shù)據(jù)處理者”(data遵循GDPR處理應(yīng)聘者數(shù)據(jù)，需要具備合法性基礎(chǔ)。在招聘場景下最有可1)取得應(yīng)聘者的同意。有效同意是數(shù)據(jù)主體通過明確肯定的方式自愿作出的具體、知情及明確的意思表示。在雇傭場景下，招聘企業(yè)與應(yīng)聘者之間可能存在權(quán)力失衡，應(yīng)聘者的自愿可能受限。但是，如招聘企業(yè)能夠證明，即2)應(yīng)數(shù)據(jù)主體的請求為訂立合同而處理。這一合法性基礎(chǔ)要求僅收集對招3)合法利益(legitimateinterest)。合法利益(也即處理數(shù)據(jù)，幫助候選除需滿足合法性基礎(chǔ)外，企業(yè)在應(yīng)聘者數(shù)據(jù)收集環(huán)節(jié)主要還需要履行如下1)為合法利益處理應(yīng)聘者數(shù)據(jù)：僅基于“特定、明確且合法的目的”收集個人數(shù)據(jù)，僅收集招聘必要的個人信息，且應(yīng)在一個月搭建人才庫，以備未來之需等目的收集應(yīng)聘者個人數(shù)據(jù)，包括社交平臺公開2)就處理敏感個人數(shù)據(jù)取得同意：如需收集應(yīng)聘者的敏感個人數(shù)據(jù)(例如種族、宗教信仰、生物識別、性取向、健康等相關(guān)數(shù)據(jù))或?yàn)槠降染蜆I(yè)機(jī)會調(diào)查或背調(diào)目的收集個人數(shù)據(jù)，應(yīng)僅限于最小必要范圍，且需要以清晰易懂的身份、聯(lián)系方式、處理其個人數(shù)據(jù)的目的、法律基礎(chǔ)、數(shù)據(jù)類型、存儲期與歐盟GDPR相比，北美的數(shù)據(jù)隱私立法更加多樣且不盡相同。本報(bào)告僅在美國，目前并沒有影響數(shù)據(jù)保護(hù)的一般聯(lián)邦立法，對于招聘企業(yè)來說，需要關(guān)注其具體所在州的法案情況。截至2024年2月，已有超過十四個州頒布了全面的數(shù)據(jù)保護(hù)法，但除加州外，大多數(shù)州數(shù)據(jù)保護(hù)法中的“個人信息”或“個人數(shù)據(jù)”的處理規(guī)定僅適用于居住在相應(yīng)州的“消費(fèi)者”,即那些在個人或家庭環(huán)境中行事的居民，而不包括那些在職場環(huán)境中，作為求職者，或作為某個雇員境中活動的科羅拉多居民才是消費(fèi)者，而求職者或就業(yè)環(huán)境下的受益人則不在此與就業(yè)相關(guān)的數(shù)據(jù)(如求職、在職、作為代理或獨(dú)立承包商的情況，以及緊急聯(lián)系和員工福利相關(guān)的數(shù)據(jù))不屬于管轄范圍。加州的數(shù)據(jù)保護(hù)立法主要包括加州消費(fèi)者隱私法案(CaliforniaConsumerPrivacyAct,下稱“CCPA”)和加州隱私權(quán)法案(CaliforniaPrivacyRighAct,下稱“CPRA”)。CPRA在CCPA的基礎(chǔ)上增加了對符合以下條件的營利性加州雇主的數(shù)據(jù)合規(guī)義務(wù)：(1)年總收入超過2500萬美元；(2)購買、出售或共享100,000名或以上加州居民或家庭的個人信息；(3)其年收入的50%或以上來在收集數(shù)據(jù)階段，這些符合條件的招聘企業(yè)必須向求職者或員工提供包括以下內(nèi)容的隱私聲明：收集的敏感個人信息的類別；數(shù)據(jù)是否被共享或出售；每類外包的招聘人員等);收集的目的，或者共享和出售雇員個人信息的目的。同時，(2)加拿大加拿大的數(shù)據(jù)保護(hù)則是通過全國性的立法進(jìn)行的，如《個人信息保護(hù)和電子下稱“PIPEDA”),旨在保護(hù)加拿大公民在商業(yè)活動中的個人信息，適用于聯(lián)邦監(jiān)管的招聘企業(yè)，以及在尚未采用實(shí)質(zhì)上類似隱私立法的省份運(yùn)營的受省級監(jiān)PIPEDA要求組織對其收集、使用和披露的個人信息負(fù)責(zé)，并采取適當(dāng)措施保護(hù)這些信息。它還要求組織對其隱私政策和做法保持透明，并在收集、使用或披露個人信息之前獲得個人的同意，且員工不能“一攬子放棄”其隱私權(quán)。3.南美南美國家在數(shù)據(jù)保護(hù)領(lǐng)域的立法進(jìn)展相對于歐盟而言較為緩慢，但近年來這些國家已經(jīng)在努力向GDPR看齊，開始加強(qiáng)其數(shù)據(jù)保護(hù)法規(guī)，以應(yīng)對全球數(shù)字化趨勢的挑戰(zhàn)。如巴西受GDPR的影響較大，在2018年生效了《通用數(shù)據(jù)保護(hù)法》 正在討論新的個人數(shù)據(jù)法案，該法案將大幅修改1999年第19,628號數(shù)據(jù)保護(hù)法。在雇傭場景下，巴西LGPD的要求基本與GDPR保持一致，招聘企業(yè)在收4.東南亞東南亞地區(qū)國家普遍已有數(shù)據(jù)隱私專門立法，其中六個主要出海國立法·馬來西亞是東南亞國家中較早推行數(shù)據(jù)保護(hù)的國家，其數(shù)據(jù)保護(hù)體系主要包括2010年的《個人數(shù)據(jù)保護(hù)法》(PersonalDataProtectionAct2010)及其相關(guān)配套規(guī)定?！び∧嵊?022年通過了《個人數(shù)據(jù)保護(hù)法》(“LawNo.27of2022其適用的域外效力比GDPR更為廣泛，只要雇主在印尼境外的數(shù)據(jù)處理活動對該國或該國的任何公民具有“法律影響”,就應(yīng)受到規(guī)制。·菲律賓有關(guān)個人數(shù)據(jù)保護(hù)的立法以2012年《數(shù)據(jù)隱私法案》(DataPrivacyAct)為核心，其他領(lǐng)域的立法中也含有部分關(guān)于個人數(shù)據(jù)保護(hù)的·新加坡的數(shù)據(jù)保護(hù)法律體系以2012年的《個人數(shù)據(jù)保護(hù)法》(Personal會出臺了包括《2021個人數(shù)據(jù)保護(hù)條例》《個人數(shù)據(jù)保護(hù)(數(shù)據(jù)泄露通知)·泰國于2019年通過了第一部綜合性數(shù)據(jù)保護(hù)法律《個人數(shù)據(jù)保護(hù)法》(PersonalDataProtectionAct2019),2022年6月1日生效。2023年7月1日正式生效。在應(yīng)聘者數(shù)據(jù)收集場景下，上述六國的數(shù)據(jù)保護(hù)立法均與歐盟GDPR類似，1)基本原則：類似于GDPR,大部分東南亞國家的雇主收集處理數(shù)據(jù)的基本·合法、公平、透明(“合法性”):該原則要求數(shù)據(jù)處理活動以合法、公平、透明的方式進(jìn)行。合法性原則本質(zhì)上要求數(shù)據(jù)處理活動基于適當(dāng)?shù)暮戏ɡ碛?)告知同意：招聘企業(yè)在收集應(yīng)聘者個人數(shù)據(jù)前告知數(shù)據(jù)主體個人數(shù)據(jù)處理的目的等，并取得應(yīng)聘者的同意。越南明確規(guī)定了數(shù)據(jù)主體的沉默或不回應(yīng)并不被視為同意。新加坡則規(guī)定了特定情況下的“視為行為同意”和“通過通知視為同意”。例如，求職者主動提供個人信息以申請工作，可以視作他們同意招聘企業(yè)為處理職位申請而收集和使用其個人信息。此外，新加坡還規(guī)定雇主可以在某些沒有獲得明確同意的情況下處理應(yīng)聘者的數(shù)據(jù)，但這僅限于必要的雇傭管理目避免收集不必要的個人數(shù)據(jù)。如新加坡將身份證號碼視作高度敏感個人信息，受隨著數(shù)據(jù)隱私法規(guī)的快速發(fā)展，中東各國也在·卡塔爾是海灣合作委員會(GCC)成員國中第一個頒布個人數(shù)據(jù)保護(hù)法的國家，即2016年的《個人數(shù)據(jù)隱私保護(hù)法》(LawNo.13of2016ConcerningPersonalDataPrivacyProtectionLaw),并在2021年發(fā)布·阿聯(lián)酋于2021年11月頒布了《2021年聯(lián)邦數(shù)據(jù)保護(hù)法》(UAEDataProtectionLaw)。此外，迪拜國際金融中心(DIFC)也有自己的《2020·沙特阿拉伯于2021年頒布了個人數(shù)據(jù)保護(hù)法(PersonalDataProtectionLaw),并于2023年進(jìn)行了更新。同時，沙特還制定了一系列實(shí)施性細(xì)則、·科威特也在2024年發(fā)布了新的數(shù)據(jù)隱私保護(hù)條例(DataPrivacy1)具有合法性基礎(chǔ)。處理個人數(shù)據(jù)需要有合法依據(jù)，如為履行合同(如工作合同)所必需、遵守法律義務(wù)、保護(hù)數(shù)據(jù)主體或他人的重大利益等。與GDPR2)透明度。招聘企業(yè)應(yīng)提供清晰的隱私政策，在收集個人數(shù)據(jù)之前向候選人明確說明收集數(shù)據(jù)的目的、將要收集數(shù)據(jù)的范圍、個人數(shù)據(jù)將與之共享的任何第三方以及為涵蓋任何跨境數(shù)據(jù)傳輸而采取的保護(hù)措施等信息，并確保候選人有3)告知同意。除特定情形外，招聘企業(yè)在收集個人數(shù)據(jù)前需要獲取數(shù)據(jù)主體的明確同意。尤其是沙特并未為雇傭關(guān)系下的個人數(shù)據(jù)處理提供特定的例外，除了法律要求的數(shù)據(jù)處理外，幾乎所有的非合同規(guī)定的個人數(shù)據(jù)處理都需要獲得員工的同意，且必須獲得每個處理目的的獨(dú)立同意。對于處理“特殊性質(zhì)”(涉及健康、宗教、宗教、犯罪等信息)的個人數(shù)據(jù)，卡塔爾還要求獲取數(shù)據(jù)保護(hù)權(quán)4)目的限制。招聘企業(yè)應(yīng)遵循最小必要原則，只收集招聘過程中必要的個人數(shù)據(jù)，避免收集與職位要求無關(guān)的敏感信息。比如沙特將所需的最小數(shù)據(jù)量定義為：為實(shí)現(xiàn)特定目的而適當(dāng)且必要且與該目的直接相關(guān)；僅限于實(shí)現(xiàn)目的所需的實(shí)際內(nèi)容，不收集任何其他數(shù)據(jù)；在不收集不必要的數(shù)據(jù)的情況下，采取應(yīng)有的謹(jǐn)慎措施，合理地受益于有助于實(shí)現(xiàn)目的的技術(shù)能力；依法確定個人數(shù)據(jù)內(nèi)容收集應(yīng)聘者個人信息以后，出海企業(yè)為評估應(yīng)聘者專業(yè)能力、了解應(yīng)聘者性格、建立人才庫等目的，可能對應(yīng)聘者個人信息進(jìn)行存儲、使用、加工、共享、加工等處理。以下對該環(huán)節(jié)歐盟、北美、南美、東南亞、中東等地區(qū)的典型立法2)處理原則：應(yīng)以合法、合理、透明的方式進(jìn)行處理，并采取措施，如及法轄區(qū)允許招聘企業(yè)為預(yù)防爭議或未來工作機(jī)會，基于合法利益或應(yīng)聘者自愿同4)委托處理：與提供技術(shù)支持的機(jī)構(gòu)簽訂協(xié)議，約定處理期限、處理性質(zhì)與目的、個人數(shù)據(jù)類型、數(shù)據(jù)主體類型、招聘企業(yè)的責(zé)任與5)安全措施及記錄義務(wù)：采取與數(shù)據(jù)處理活動相適應(yīng)的技術(shù)和組織措施，確保數(shù)據(jù)處理過程的安全性，并以書面形式(包括電子形式)全面留存數(shù)據(jù)處理(1)美國在美國，以最嚴(yán)格的加州CPRA為例，在數(shù)據(jù)使用階段：·與GDPR類似，企業(yè)必須與服務(wù)提供商簽訂書面合同，以明確數(shù)據(jù)處理的規(guī)則。合同必須包括以下內(nèi)容：雇員數(shù)據(jù)處理的目的和限制；禁止出于合同未指定的其他目的使用、披露或保留個人數(shù)據(jù)，這應(yīng)包括就業(yè)和招聘；要求供應(yīng)商遵守CPRA的規(guī)定，并在他們不再或暫時不遵守任何條款時通知；要求服務(wù)提供商允許招聘企業(yè)采取合理步驟確保他們的合規(guī)性，例如進(jìn)行審計(jì)；允許招聘企業(yè)采取合理步驟停止和糾正任何未經(jīng)授權(quán)的訪問員工數(shù)據(jù)的條款；與消費(fèi)者請求相關(guān)的條款，服務(wù)提供商必須響應(yīng)以幫助招聘企業(yè)遵守；禁止出售或共享數(shù)據(jù)，要求·招聘企業(yè)必須確保員工數(shù)據(jù)得到良好保護(hù)，最小化數(shù)據(jù)泄露的風(fēng)險(xiǎn)。員工數(shù)據(jù)中通常包含敏感個人信息，因此那些處理對求職者或員工隱私構(gòu)成重大風(fēng)險(xiǎn)(2)加拿大在加拿大，PIPEDA建議企業(yè)將以下原則融入政策和程序中，以增強(qiáng)隱私·審查所有相關(guān)的法律要求和權(quán)利，包括集體協(xié)議、聯(lián)邦與省級的隱私·遵守核心隱私原則：問責(zé)制、準(zhǔn)確性、收集、使用、披露和保留的限采用合適的保護(hù)措施保護(hù)信息，保持政策和實(shí)踐的透明度與開放性，個人訪3.南美在數(shù)據(jù)使用階段，因?yàn)榘臀鞯腖GPD以GDPR為藍(lán)本，招聘企業(yè)需要滿足4.東南亞·保留個人數(shù)據(jù)不超過必要時間。如泰國雖然沒有規(guī)定保留期限，但要求雇濫用、修改、編輯或披露。必須定期審查此類安全措施。企業(yè)必須建立個人數(shù)據(jù)安全措施，包括管理保障、技術(shù)保障和物理保障，以獲取或管理個人數(shù)·進(jìn)行數(shù)據(jù)保護(hù)影響評估、保留個人數(shù)據(jù)處理活動的記錄等。如泰國雖然沒有明確要求進(jìn)行數(shù)據(jù)保護(hù)影響評估，但要求評估可能危及數(shù)據(jù)主體權(quán)利的個·第三方在收集、使用或披露個人數(shù)據(jù)時，僅按照除非這樣做會違反法律要求；第三方應(yīng)及時向數(shù)據(jù)控制者提供任何未經(jīng)授權(quán)或非法丟失、訪問、使用、更改、更正或披露個人數(shù)據(jù)的通知，并采取必要5.中東1)個人數(shù)據(jù)管理系統(tǒng)(PDMS)。是指雇主需要建立一個有效管理個人數(shù)據(jù)、違規(guī)通知和個人權(quán)利履行的系統(tǒng)，其中包括數(shù)據(jù)保護(hù)影響評估(DPIA)和處理活卡塔爾建議數(shù)據(jù)控制者進(jìn)行影響評估，以確定與處理個人數(shù)據(jù)相關(guān)的任何風(fēng)險(xiǎn)。阿聯(lián)酋規(guī)定當(dāng)處理活動涉及對數(shù)據(jù)主體的個人方面進(jìn)行系統(tǒng)性和廣泛的評估RoPA類似于GDPR第30條，是在數(shù)據(jù)處理過程中進(jìn)行活動記錄的要求。卡塔爾、阿聯(lián)酋、沙特、科威特都認(rèn)為控制者有義務(wù)對所有處理活動以及出于任何合法目的的個人數(shù)據(jù)披露保留“全面且詳細(xì)”的記錄。因此，招聘企業(yè)在處理2)數(shù)據(jù)控制者和處理者合同?？ㄋ柡蜕程囟家髷?shù)據(jù)控制者與處理者簽署有關(guān)數(shù)據(jù)處理的合同。這意味著招聘企業(yè)需要與任何參與處理求職者個人信息的第三方服務(wù)提供商，比如人才招聘平臺、人力資源管理系統(tǒng)供應(yīng)商等，簽訂書面合同。并且，他們均應(yīng)采取必要的預(yù)防措施，保護(hù)個人數(shù)據(jù)免遭丟失、損壞、更改、披露、非法訪問或使用。處理者還應(yīng)及時通知控制者是否存在任何違反法3)違規(guī)通知要求。如果發(fā)生可能對個人數(shù)據(jù)或個人隱私“造成嚴(yán)重?fù)p害”的數(shù)據(jù)泄露，數(shù)據(jù)處理者必須將泄露情況通知控制者。控制者將負(fù)責(zé)進(jìn)一步通知受影響的個人和相關(guān)機(jī)構(gòu)。與GDPR類似，卡塔爾和科威特都要求監(jiān)測到違規(guī)行為后72小時發(fā)出通知。1.歐盟除前述個人數(shù)據(jù)收集、使用相關(guān)要求外，GDPR還要求招聘企業(yè)履行如下·保障數(shù)據(jù)主體權(quán)利：保障數(shù)據(jù)主體的知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)/2.北美在美國，盡管除加州的CPRA之外的數(shù)據(jù)保護(hù)法但其也與雇傭場景下的數(shù)據(jù)合規(guī)義務(wù)息息相關(guān)。如其他數(shù)據(jù)保護(hù)立法中規(guī)定了對于那些作為“處理者”協(xié)助“控制者”處理個人信息的實(shí)體的要求。這包括必須幫助控制者遵守法律、維護(hù)數(shù)據(jù)安全、響應(yīng)消費(fèi)者權(quán)利的請求以及在合同中對處因此，盡管這些州的數(shù)據(jù)保護(hù)法律可能不直接適用于人力資源數(shù)據(jù)，它們的存在對于雇傭法律顧問和人力資源專業(yè)人員而言是非常相關(guān)的。這些專業(yè)人員需海外數(shù)字化招聘數(shù)據(jù)合規(guī)白皮書3.南美如前所述，由于巴西的LGPD以GDPR為藍(lán)本，招聘企業(yè)需要履行的其他4.東南亞與GDPR類似，東南亞國家普遍要求招聘企業(yè)在數(shù)據(jù)處理過程中履行保障例如，馬來西亞未引入被遺忘權(quán)(刪除權(quán))和數(shù)據(jù)可攜權(quán)，印尼等未引入限·強(qiáng)制登記制度：馬來西亞、菲律賓均要求滿足特定條件的數(shù)據(jù)控制注冊登記(菲律賓：雇員超過250人或處理至少1000人敏感個人信息)?！?bào)告數(shù)據(jù)泄露：時間上，越南要求在安全事件發(fā)生后5日內(nèi)向有關(guān)機(jī)構(gòu)報(bào)告，其他國家普遍要求在72小時內(nèi)報(bào)告。中東國家的立法基本與GDPR類似，包含對雇主一般安全義務(wù)，要求他們在產(chǎn)品或服務(wù)與客戶之前購買的產(chǎn)品相似的情況下，沙特并沒有例外允許企據(jù)處理活動記錄以及與個人數(shù)據(jù)處理相關(guān)的其他必要文件或信息上傳到管理性企業(yè)頒發(fā)許可證，但并未明確說明企業(yè)需要獲得哪些額外許可證才能處理個人數(shù)據(jù)。與GDPR要求受GDPR約束的非歐洲老牌企業(yè)在工會中任命代表類似，處理與居住在沙特的個人相關(guān)的個人數(shù)據(jù)的非沙特?cái)?shù)據(jù)處理實(shí)體必須任命一名經(jīng)管理局許可的沙特代表，以履行其法律義務(wù)。鑒于代表需要為在海外招聘過程中，企業(yè)可能將收集的個人信息與中國或其他司法轄區(qū)的關(guān)聯(lián)公司或第三方公司共享。企業(yè)需要著重關(guān)注與此種數(shù)據(jù)跨境傳輸相關(guān)的合規(guī)簡單來說，數(shù)據(jù)跨境傳輸就是指數(shù)據(jù)從一國/司法轄區(qū)流動到另一國/司法1)通過網(wǎng)絡(luò)空間、電子設(shè)備、物理攜帶等形式將一國/司法轄區(qū)境內(nèi)收集或2)允許境外機(jī)構(gòu)、組織或者個人查詢、調(diào)取、下載、導(dǎo)出存儲在另一國/司出海企業(yè)在海外數(shù)字化招聘過程中，往往需要跨境傳輸應(yīng)聘者個人信息，1)為評估應(yīng)聘者的能力，決定是否錄用等目的，將應(yīng)聘者個人信息郵件發(fā)2)為全球統(tǒng)一管理之目的，將應(yīng)聘者個人信息錄入并存儲在服務(wù)器設(shè)在中隨著全球數(shù)據(jù)主權(quán)爭奪戰(zhàn)的加劇，以歐盟為代表的諸多司法轄區(qū)都對數(shù)據(jù)出1.歐盟在《通用數(shù)據(jù)保護(hù)條例》的框架下，歐盟要求其他國家只有在提供與歐盟同等水平保護(hù)的情況下，才允許個人數(shù)據(jù)跨境向其進(jìn)行傳輸。允許數(shù)據(jù)跨境的具體護(hù)的充分性進(jìn)行評估，將與《通用數(shù)據(jù)保護(hù)條例》保護(hù)水平相當(dāng)?shù)膰一虻貐^(qū)列入“白名單”,允許歐盟個人數(shù)據(jù)向上述國家或地區(qū)傳輸。分支機(jī)構(gòu)的跨國公司，由跨國公司自行擬定內(nèi)部機(jī)構(gòu)之間數(shù)據(jù)傳輸和保護(hù)的規(guī)則，經(jīng)歐盟成員國數(shù)據(jù)監(jiān)管機(jī)構(gòu)審核批準(zhǔn)后生效。運(yùn)行多年來，共有100多家跨國公司申請并獲得通過。BCR解決了跨國公司內(nèi)部機(jī)構(gòu)之間頻繁傳采用歐盟標(biāo)準(zhǔn)合同條款，通過將《通用數(shù)據(jù)保護(hù)條例》規(guī)定的義務(wù)轉(zhuǎn)化為合·行為準(zhǔn)則(CodesofConduct定時，該國的數(shù)據(jù)控制者或處理者可作出具有約束如果歐盟以外國家未達(dá)到歐盟數(shù)據(jù)保護(hù)水平，且仍《通用數(shù)據(jù)保護(hù)條例》規(guī)定的其他數(shù)據(jù)跨境情形包括：數(shù)據(jù)主體同意、為履行合2.東南亞：新馬泰越(1)新加坡新加坡《個人數(shù)據(jù)保護(hù)法》和《個人數(shù)據(jù)保護(hù)條例》對不同數(shù)據(jù)流動情形的·對于以新加坡作為出海各國數(shù)據(jù)集中存儲地進(jìn)行數(shù)據(jù)中轉(zhuǎn)(intransit),即來自新加坡境外的數(shù)據(jù)通過新加坡進(jìn)一步轉(zhuǎn)移至第三方國家或地區(qū)過程中的個人數(shù)據(jù)，該個人數(shù)據(jù)在新加坡境內(nèi)未被任何組織訪問、使用或披露(傳輸方或傳輸方員工訪問和使用除外),視為已履行數(shù)據(jù)傳輸限制義務(wù)；·對于由新加坡境內(nèi)流向境外的數(shù)據(jù)，要求除非確保接收方對傳輸?shù)膫€人數(shù)據(jù)提供至少與《個人數(shù)據(jù)保護(hù)法》同等的保護(hù)，否則不得將任何個人數(shù)據(jù)傳從《個人數(shù)據(jù)保護(hù)法》《個人數(shù)據(jù)保護(hù)條例》附帶指引(《關(guān)于<個人數(shù)據(jù)保護(hù)法>關(guān)鍵概念的咨詢指南》)及其實(shí)踐來看，企業(yè)通常采用如下方式進(jìn)行跨除上述兩種方式以外，企業(yè)可以通過取得用戶的同意或視為同意的方式，履行數(shù)據(jù)跨境傳輸?shù)牧x務(wù)，但在此過程中，數(shù)據(jù)傳輸方應(yīng)同步履行告知義務(wù)、正當(dāng)(2)馬來西亞西亞建立了個人數(shù)據(jù)跨境傳輸?shù)幕倔w系以及未來可能進(jìn)一步放開數(shù)據(jù)跨境傳輸何個人數(shù)據(jù)傳輸?shù)今R來西亞以外的地方。部分醫(yī)療記錄、政府相關(guān)數(shù)據(jù)等數(shù)據(jù)通-馬來西亞企業(yè)能夠確保該個人數(shù)據(jù)不會以任何違背《個人數(shù)據(jù)保護(hù)法》此外，馬來西亞未來可能進(jìn)一步放開數(shù)據(jù)跨境傳輸?shù)摹鞍酌麊巍被颉昂诿麊巍鼻铱赡茉凇秱€人數(shù)據(jù)保護(hù)法》后續(xù)修正案中由“黑名單”機(jī)制替代，即除了已被(3)泰國泰國通過《個人數(shù)據(jù)保護(hù)法》及其實(shí)施細(xì)則規(guī)范跨境個人數(shù)據(jù)傳輸。其第28條實(shí)施細(xì)則明確將數(shù)據(jù)接收國的個人數(shù)據(jù)保護(hù)水平作為“白名單”機(jī)制的評判標(biāo)準(zhǔn)，即如果數(shù)據(jù)接收國被評判為“充分保護(hù)國家”,則向該國傳輸個人數(shù)在“白名單”機(jī)制尚未建立的情況下，泰國跨境個人數(shù)據(jù)傳輸通常需要符合·額外采取合規(guī)措施，主要包括：(1)確立具有約束力的公司規(guī)則，經(jīng)泰國數(shù)據(jù)保護(hù)機(jī)構(gòu)批準(zhǔn)；(2)標(biāo)準(zhǔn)合同條款；(3)根據(jù)泰國數(shù)據(jù)保護(hù)機(jī)構(gòu)·泰國與外國之間傳輸個人數(shù)據(jù)的具有法律約束力和可執(zhí)行性的法規(guī)或協(xié)(4)越南據(jù)跨境傳輸機(jī)制。越南數(shù)據(jù)跨境傳輸合規(guī)機(jī)制的實(shí)現(xiàn)主要依賴于企業(yè)自身開展個人數(shù)據(jù)跨境傳輸影響評估，且僅需將影響評估評估檔案報(bào)送越南公安部，并接受越南公安部的事后監(jiān)管。這與歐盟、中國等針對數(shù)據(jù)出境開展強(qiáng)監(jiān)管的法域有顯著不同，與周邊的泰國、馬來西亞等國家所采取的合規(guī)機(jī)制也有較大差在數(shù)據(jù)本地化及存儲要求方面，根據(jù)越南《網(wǎng)絡(luò)安全法》,在越南提供電信網(wǎng)絡(luò)、互聯(lián)網(wǎng)和網(wǎng)絡(luò)增值服務(wù)的所有企業(yè)，其收集和處理個人信息的數(shù)據(jù)、服務(wù)用戶關(guān)系的數(shù)據(jù)、服務(wù)用戶生成的數(shù)據(jù)必須在規(guī)定時間內(nèi)在越南存儲。外國企業(yè)在數(shù)據(jù)跨境傳輸方面，根據(jù)越南《個人數(shù)據(jù)保護(hù)法》:·數(shù)據(jù)傳輸方必須進(jìn)行個人數(shù)據(jù)跨境傳輸影響評估、持續(xù)更新和維護(hù)跨境傳輸影響評估檔案，并在處理數(shù)據(jù)之日起60天內(nèi)將檔案提交越南公安部，以·數(shù)據(jù)傳輸完成后，應(yīng)將相關(guān)數(shù)據(jù)傳輸?shù)男畔⒓柏?fù)責(zé)組織或個人的聯(lián)系方式以書面形式通知越南公安部。如果數(shù)據(jù)跨境傳輸出現(xiàn)違反國家安全，提交的個人數(shù)據(jù)跨境傳輸影響評估檔案不完整、不符合要求或未及時更新，泄露或3.中東：沙特阿拉伯在數(shù)據(jù)本地化和數(shù)據(jù)跨境傳輸方面，沙特阿拉伯《個人數(shù)據(jù)保護(hù)法》要求數(shù)據(jù)控制者原則上必須在沙特的地理邊界內(nèi)存儲和處理個人數(shù)據(jù)。在部分場景下，在上述場景下，企業(yè)跨境傳輸個人信息還需·“同等保護(hù)水平原則”:根據(jù)監(jiān)管機(jī)構(gòu)評估結(jié)果，數(shù)據(jù)接收國能夠提供充·“最小必要原則”:個人數(shù)據(jù)跨境轉(zhuǎn)移符合最小必要，數(shù)據(jù)傳輸方應(yīng)說明需要傳輸?shù)拿款悢?shù)據(jù)的類別和必要性，以及在沙特境外處理相關(guān)數(shù)據(jù)的處理·傳輸不得對沙特的國家安全或重大利益造成損害，不得違反沙特法律，不不符合“同等保護(hù)水平原則”的，數(shù)據(jù)傳輸方可以在如果不存在適當(dāng)保障措施的情況下，沙特仍規(guī)定了數(shù)據(jù)跨境傳輸?shù)挠邢蘩?.北美：美國如前所述，美國無統(tǒng)一的聯(lián)邦數(shù)據(jù)保護(hù)立法，其中最有代表性的加州立法系州立法，不涉及數(shù)據(jù)跨境傳輸。美國的數(shù)據(jù)流動政策希望通過數(shù)據(jù)跨境活動維護(hù)自身的技術(shù)經(jīng)濟(jì)優(yōu)勢和所擁有的數(shù)據(jù)市場，發(fā)揮數(shù)據(jù)經(jīng)濟(jì)價(jià)值，占據(jù)全球領(lǐng)先地位。因此，美國過往僅對重要數(shù)據(jù)采取相應(yīng)的限制，即嚴(yán)格限制關(guān)鍵技術(shù)與特定領(lǐng)域的數(shù)據(jù)出口，對個人信息類型的數(shù)據(jù)跨境傳輸持開放態(tài)度。但是，美國近期2024年2月28日，美國總統(tǒng)頒布《關(guān)于防止受關(guān)注國家訪問美國人的大量敏感個人數(shù)據(jù)和美國政府相關(guān)數(shù)據(jù)的行政命令》(ExecutiveOrderonStatesGovernment-RelatedDatabyCountriesofConcern),限制乃至禁止包括中國(含香港和澳門)、俄羅斯、伊朗、朝鮮、古巴和委內(nèi)瑞拉在內(nèi)的“受關(guān)注國家”(CountriesofConcern)及符合條件的主體獲取大量美國主體敏感個人數(shù)據(jù)及政府相關(guān)數(shù)據(jù)。其中，如果關(guān)于敏感個人數(shù)據(jù)的交易和傳輸超過一定門檻(即一定數(shù)量的美國人人數(shù)或美國設(shè)備數(shù)量),相關(guān)數(shù)據(jù)交易會落入規(guī)制范在的數(shù)據(jù)跨境流動”活動，從而使其適用于在美國的投資、商務(wù)和經(jīng)營活動，影5.南美：巴西根據(jù)巴西《通用數(shù)據(jù)保護(hù)法》,個人數(shù)據(jù)跨境傳輸必須符合以下主要情形：·接收方所在國：符合《通用數(shù)據(jù)保護(hù)法》個人數(shù)據(jù)保護(hù)水平的國家或國際·數(shù)據(jù)控制者合規(guī)證明：關(guān)于傳輸?shù)木唧w合同條款、標(biāo)準(zhǔn)合同條款或具有約2023年8月，巴西數(shù)據(jù)保護(hù)局發(fā)布《個人數(shù)據(jù)跨境傳輸條例》草案和配套標(biāo)準(zhǔn)合同條款并公開征求意見。條例草案規(guī)定，巴西數(shù)據(jù)保護(hù)局將確定哪些司法轄區(qū)具有足夠的數(shù)據(jù)保護(hù)水平，允許個人信息在巴西與上述國家之間自由流動，海外數(shù)字化招聘數(shù)據(jù)合規(guī)白皮書在全球化的經(jīng)濟(jì)背景下，數(shù)據(jù)跨境流動已成為推動商業(yè)創(chuàng)新、促進(jìn)國際貿(mào)易規(guī)則等方式，在保護(hù)個人信息的前提下，促進(jìn)區(qū)域間的數(shù)據(jù)跨境流動。本報(bào)告謹(jǐn)1.歐盟-美國DataPrivacyFramework),并指出將繼續(xù)合作，以期將這一安排轉(zhuǎn)化為正式并轉(zhuǎn)交歐洲數(shù)據(jù)保護(hù)委員會征求意見。2023年7月，歐盟委員會全面通過《歐盟-美國數(shù)據(jù)隱私框架的充分性決定》,美國商務(wù)部也同步公布《歐盟-美國數(shù)據(jù)隱私框架》并推出數(shù)據(jù)隱私框架計(jì)劃網(wǎng)站，正式啟動新的美歐跨境數(shù)據(jù)流動政策?！稓W盟-美國數(shù)據(jù)隱私框架》(EU-USDataPrivacyFramework)旨在推動跨大西洋數(shù)據(jù)傳輸和商業(yè)往來，由美國確保對從歐盟傳輸至美國實(shí)體的個人數(shù)據(jù)提供足夠的、與歐盟相當(dāng)保護(hù)水平，為美歐跨境數(shù)據(jù)傳輸提供了基于“歐盟-美國美國實(shí)體通過數(shù)據(jù)隱私框架計(jì)劃的網(wǎng)站公開承諾遵守?cái)?shù)據(jù)隱私框架原則，并進(jìn)行認(rèn)證，以加入《歐盟-美國數(shù)據(jù)隱私框架》。申請認(rèn)證的美國實(shí)體需遵守的主要合規(guī)義務(wù)包括：(1)發(fā)布符合數(shù)據(jù)隱私框架原則的隱私政策；(2)告知個人有關(guān)數(shù)據(jù)處理的信息；(3)為個人提供免費(fèi)、便捷的投訴機(jī)制，且必須在452.亞太經(jīng)合組織亞太經(jīng)合組織跨境隱私規(guī)則(APECCross-BorderPrivacyRules,“CBPR”)是一項(xiàng)數(shù)據(jù)隱私認(rèn)證機(jī)制，基于亞太經(jīng)合組織于2005年批準(zhǔn)并于2015年修訂擇加入該規(guī)則體系，獲取數(shù)據(jù)隱私認(rèn)證，以證明其遵守并實(shí)施了國際公認(rèn)的數(shù)據(jù)在基本運(yùn)行規(guī)則方面，加入CBPR的成員國/地區(qū)政府會指定一個或多個經(jīng)CBPR認(rèn)可的法人擔(dān)任“問責(zé)代理機(jī)構(gòu)”(AccountabilityAgents),問責(zé)機(jī)構(gòu)通過認(rèn)證成員國/地區(qū)內(nèi)相關(guān)企業(yè)或組織，使這些受認(rèn)證企業(yè)加入CBPR機(jī)制，受認(rèn)證企業(yè)之間個人信息的跨境傳輸不受阻礙，其無需額外證明跨境信息傳輸符合其他成員國/地區(qū)的個人信息保護(hù)法律法規(guī)，且成員國/地區(qū)也不得以保護(hù)個目前，已有包括澳大利亞、加拿大、日本、韓國、墨西哥、菲律賓、新加坡、中國臺灣和美國在內(nèi)的多個經(jīng)濟(jì)體加入了亞太經(jīng)合組織跨境隱私規(guī)則。根據(jù)CBPR,盡管受認(rèn)證企業(yè)仍需遵守成員國/地區(qū)當(dāng)?shù)胤煞ㄒ?guī)，但是，如果成員國/地區(qū)的當(dāng)?shù)胤煞ㄒ?guī)使該成員國/地區(qū)參加CBPR的能力受到限制(如阻礙個人信息的跨境流動),則成員國/地區(qū)需考慮對相關(guān)法律法規(guī)進(jìn)行修改。3.東盟東南亞國家聯(lián)盟作為一個重要的區(qū)域性組織，基于對外經(jīng)貿(mào)的需要，在數(shù)據(jù)治理和數(shù)據(jù)跨境流動領(lǐng)域出臺了多部具有靈活性、包容性和指導(dǎo)性的合規(guī)政策文件。東盟于2016年出臺《東盟個人數(shù)據(jù)保護(hù)框架》,提出保護(hù)數(shù)據(jù)、支持?jǐn)?shù)字貿(mào)易和創(chuàng)新。2018年，東盟制定《東盟數(shù)字信息治理框架》,促進(jìn)東盟跨境數(shù)據(jù)流通認(rèn)證，推動?xùn)|盟地區(qū)的數(shù)字信息互聯(lián)互通。2021年，東盟出臺《東盟跨境數(shù)據(jù)流動示范合同條款》,促進(jìn)各成員國國內(nèi)數(shù)據(jù)保護(hù)政策一致化，推進(jìn)建立《東盟個人數(shù)據(jù)保護(hù)框架》確立了一系列的原則，包括同意、通知和目的，個人數(shù)據(jù)的準(zhǔn)確性、安全保障、訪問和更正、跨境數(shù)據(jù)傳輸、存留以及問責(zé)等7個方面。在跨境數(shù)據(jù)傳輸方面，該框架規(guī)定在將個人數(shù)據(jù)轉(zhuǎn)移到另一個國家或地區(qū)之前，企業(yè)應(yīng)獲得個人有關(guān)向境外傳輸?shù)耐?，或采取合理措施確保數(shù)據(jù)接收為企業(yè)之間跨境傳輸個人數(shù)據(jù)提供了合同條款模板，具體分為從控制者到處理者的數(shù)據(jù)傳輸、從控制者到控制者的數(shù)據(jù)傳輸兩個合同模板。企業(yè)可以采納或修改盡管《東盟個人數(shù)據(jù)保護(hù)框架》和《東盟跨境數(shù)據(jù)流動盟出臺的首批專門針對個人數(shù)據(jù)保護(hù)和跨境傳輸?shù)膮^(qū)域?qū)用娴囊?guī)范，但該規(guī)范對各成員國并不具有國際和國內(nèi)的法律約束力，僅作為指導(dǎo)性文件為各成員國提供數(shù)據(jù)治理合作的框架基礎(chǔ)，旨在靈活適應(yīng)各成員國在數(shù)據(jù)保護(hù)監(jiān)管方面的不同的4.歐盟-東盟2024年2月，東盟頒布更新后的《東盟跨境數(shù)據(jù)流動示范合同條款和歐盟標(biāo)準(zhǔn)合同條款聯(lián)合指南》,該指引對東盟跨境數(shù)據(jù)流動示范合同條款和歐盟標(biāo)準(zhǔn)合同條款的共性和差異性進(jìn)行比較和詳解，幫助企業(yè)理解相關(guān)的合同義務(wù)和數(shù)據(jù)保護(hù)要求，概述了企業(yè)在實(shí)施保障措施時可考慮的符合兩地跨境數(shù)據(jù)流動合同條款要求的最佳實(shí)踐。進(jìn)而進(jìn)一步實(shí)現(xiàn)東盟和歐盟跨境數(shù)據(jù)流動合同條款的對接運(yùn)目前來看，各國各地區(qū)的數(shù)據(jù)跨境傳輸法律法規(guī)雖然有一些相似性，但不同國家的跨境數(shù)據(jù)傳輸面對的問題可能完全不同，值得出海企業(yè)密切關(guān)注。鑒于數(shù)據(jù)跨境傳輸?shù)膹?fù)雜性，我們提出如下合規(guī)建當(dāng)前各司法轄區(qū)的數(shù)據(jù)隱私立法大多具有域外效力。即便不在該司法轄區(qū)運(yùn)營或處理個人信息，也可能因?yàn)槭占撦爡^(qū)內(nèi)居民的個人信息，個人信息處理活出海企業(yè)應(yīng)首先在境內(nèi)外專業(yè)律師的協(xié)助下，判斷應(yīng)聘者個人信息處理活動的適識別出適用海外數(shù)據(jù)隱私立法以及對應(yīng)數(shù)據(jù)跨境傳輸合規(guī)要求之后，出海企業(yè)應(yīng)在境內(nèi)外專業(yè)律師的協(xié)助下，按照事實(shí)發(fā)現(xiàn)、數(shù)據(jù)映射、差距分析等合規(guī)工作流程，識別出海企業(yè)合規(guī)現(xiàn)狀與適用數(shù)據(jù)隱私立法要求之間的差距，并通過采取技術(shù)措施、建立管理制度及政策等，落實(shí)整改，彌合差距。如履行數(shù)據(jù)出境合規(guī)義務(wù)存在一定的阻礙，出海企業(yè)還需在必要時調(diào)整商業(yè)安排，如在境外設(shè)置服在海外數(shù)字化招聘場景中，出海企業(yè)不僅需要履行一系列與應(yīng)聘者數(shù)據(jù)處理報(bào)告數(shù)據(jù)泄露、個人信息主體權(quán)利保障等義務(wù)。與此同時，在法律責(zé)任方面，不少司法轄區(qū)的數(shù)據(jù)隱私立法不僅規(guī)定了罰款等行政責(zé)任，還規(guī)定了直接責(zé)任人的當(dāng)前，全球各司法轄區(qū)的數(shù)據(jù)隱私立法都處在高速發(fā)展中，因此，建議出海企業(yè)密切關(guān)注與出海地或服務(wù)地相關(guān)的數(shù)據(jù)合規(guī)政策的發(fā)展動態(tài)，及時調(diào)整合規(guī)政策和措施，以滿足最新的合規(guī)要求。與此同時，鑒于出海企業(yè)在履行合規(guī)義務(wù)大成在中國境內(nèi)擁有51家辦公室，服務(wù)范圍覆蓋中國境內(nèi)全部省、直轄市與自治區(qū)。作為中國成立最早、規(guī)模最大的合伙制律師事務(wù)所之一，大成成立于1992年，秉承“志存高遠(yuǎn)，海納百川，跬步千里，共鑄大成”的核心文化理念，致力于為國內(nèi)外客戶提供專業(yè)、全面、優(yōu)質(zhì)、高效的法律服務(wù)。大成團(tuán)隊(duì)自2012年即開始從事個人信息與數(shù)據(jù)保護(hù)相關(guān)法律實(shí)務(wù)，并獲得-被CorporateINTL評選為2020數(shù)據(jù)與隱私保護(hù)領(lǐng)域中國年度律師事務(wù)所-被GlobalLawExperts評選為2019數(shù)據(jù)保護(hù)、隱私與網(wǎng)絡(luò)安全領(lǐng)域中國-被CorporateINTL評為2019網(wǎng)絡(luò)安全領(lǐng)域中國年度律師事務(wù)所；-榮獲《商法》雜志評選的2019年數(shù)據(jù)與隱私保護(hù)領(lǐng)域年度大獎；-榮獲CorporateLiveWire評定的2018年度全球獎項(xiàng)。-2021年度十五佳數(shù)據(jù)隱私律師-2022-LEGALBAND中國律師特別推薦榜15強(qiáng)：網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)-2021-《商法》TheA-List法律精英大成團(tuán)隊(duì)能夠?yàn)榭蛻籼峁┤轿坏膫€人信息與數(shù)據(jù)保護(hù)法律服務(wù)，業(yè)務(wù)類型研發(fā)場景下的數(shù)據(jù)保護(hù)盡職調(diào)查與審計(jì)大數(shù)據(jù)與競爭數(shù)據(jù)保護(hù)咨詢與合規(guī)營銷政策與數(shù)據(jù)戰(zhàn)略昆血回作為中國最早從事個人信息與數(shù)據(jù)保護(hù)業(yè)務(wù)的團(tuán)隊(duì)之一，大成團(tuán)隊(duì)在該領(lǐng)域·為一家全球知名汽車零配件企業(yè)采用標(biāo)準(zhǔn)合同路徑進(jìn)行數(shù)據(jù)跨境傳輸提供法律服務(wù)，包括但不限于完成標(biāo)準(zhǔn)合同備案，以及準(zhǔn)備與已簽署的標(biāo)準(zhǔn)合同一同提交的個人信息保護(hù)影響評估報(bào)告(2023年至今)·為一家總部位于瑞士的精密儀器制造公司提供數(shù)據(jù)出境安全評估申報(bào)服務(wù)，包括但不限于評估適用路徑、撰寫自評估報(bào)告、建立和完善合規(guī)文提交申報(bào)等(2022年至今)·為一家國際領(lǐng)先的汽車零部件公司建立全面的PIPL合規(guī)體系提供法律服務(wù)，該項(xiàng)目涵蓋各個方面(數(shù)據(jù)映射、差距評估、政策起草和改進(jìn)、合規(guī)培·為一家知名折扣服務(wù)平臺在華日常運(yùn)營中的數(shù)據(jù)合規(guī)提供法律服務(wù)，并擔(dān)任其中國代表，負(fù)責(zé)處理中國個人信息保護(hù)相關(guān)事宜(2022至今)·協(xié)助一家中國領(lǐng)先的顯示屏制造商應(yīng)對歐委會提供境內(nèi)數(shù)據(jù)的要求(2022)·為一家國際領(lǐng)先的體育用品公司針對建立全面的PIPL合規(guī)體系提供法律意見，包括數(shù)據(jù)核查、差距評估、政策起草和完善、IT治理和DPO設(shè)置、APP測試等(2021)·為一家中國國際貨運(yùn)業(yè)務(wù)咨詢服務(wù)提供商就編制全套數(shù)據(jù)合規(guī)文件提供咨詢(2020)·為一家中國物流技術(shù)公司就海外業(yè)務(wù)的全面GDPR合規(guī)提供咨詢服務(wù)·為一家總部位于美國的國際零售公司就其在中國運(yùn)營的網(wǎng)絡(luò)安全和等級保護(hù)問題提供咨詢(2020)·為一家德國軸承制造商就員工數(shù)據(jù)輸出和數(shù)據(jù)處理活動提供咨詢(2020)·為新加坡一家大型工業(yè)集團(tuán)就其在中國業(yè)務(wù)的網(wǎng)絡(luò)安全問題提供咨詢服務(wù)·為一家德國軸承制造商就員工數(shù)據(jù)輸出和數(shù)據(jù)處理活動提供咨詢(2020)·為一家中國領(lǐng)先的制藥公司針對海外商業(yè)仲裁中跨境數(shù)據(jù)傳輸問題提供咨詢服務(wù)(2020)海外數(shù)字化招聘數(shù)據(jù)合規(guī)白皮書·為一家美國生命科學(xué)公司就起草應(yīng)對主管網(wǎng)絡(luò)安全當(dāng)局凌晨突襲的手冊提供咨詢(2019)三.國內(nèi)+海外的數(shù)字化招聘合規(guī)方案對于出海企業(yè)的數(shù)字化招聘，大成團(tuán)隊(duì)能夠獨(dú)立提供國內(nèi)數(shù)據(jù)合規(guī)大成團(tuán)隊(duì)能夠獨(dú)立提供的國內(nèi)數(shù)字化招聘合規(guī)服務(wù)通常包括如下4個階段：1)事實(shí)發(fā)現(xiàn)階段(DataMapping):通過問題清單、訪談、文件審閱等形式，了解企業(yè)收集、使用、跨境傳輸應(yīng)聘者個人信息，2)差距分析階段(GapAnalysis):識別、分析企業(yè)當(dāng)前的數(shù)據(jù)3)整改階段(Rectification):基于差距分析情況，協(xié)助企業(yè)通過采取技術(shù)措施、建立管理制度及政策等方式，落實(shí)合規(guī)整改，彌4)更新階段(Update):根據(jù)適用法律法規(guī)的發(fā)展，及時更新、>>>法律法規(guī)的要求，大成團(tuán)隊(duì)在各個階段能夠交付的工作成果如下(具體取決于企業(yè)的需求):目的/內(nèi)容說明1.問題清單了解應(yīng)聘者個人信息處理及企業(yè)數(shù)據(jù)保護(hù)技術(shù)和制度情況。直觀反映應(yīng)聘者個人信息處理的過程。分析企業(yè)的數(shù)據(jù)合規(guī)實(shí)踐與適用法律法規(guī)要求之間的差距，并提出1.隱私政策遵守告知同意要求，取得個人信息處理的合法性基礎(chǔ)。2.處理敏感個人信息單獨(dú)同意函滿足敏感個人信息處理場景中單獨(dú)同意的要3.跨境數(shù)據(jù)傳輸告知函滿足跨境數(shù)據(jù)傳輸場景的通知需求。為履行《個人信息保護(hù)法》和《數(shù)據(jù)安全法》為落實(shí)《個人信息保護(hù)法》以及《數(shù)據(jù)安全法求提供指引。涵蓋數(shù)據(jù)安全事件發(fā)生后應(yīng)采取的安全措施要求概述個人信息主體的所有權(quán)利，并包括處理權(quán)利要包括針對不同類型數(shù)據(jù)出境要求和合規(guī)程序(如有)。10.數(shù)據(jù)保存期限政策和存儲期限表規(guī)定保留不同類型數(shù)據(jù)的原則、具體規(guī)則和程序留期限。11.數(shù)據(jù)保護(hù)官政策包括個人信息保護(hù)官和數(shù)據(jù)安全官的主要職責(zé)、危12.政府?dāng)?shù)據(jù)調(diào)取應(yīng)對政策解決與政府(包括中國和外國的執(zhí)法機(jī)構(gòu)和司法機(jī)構(gòu))的數(shù)據(jù)訪問請求有關(guān)的問題。13.供應(yīng)商數(shù)據(jù)合規(guī)調(diào)查清單用作對供應(yīng)商進(jìn)行盡職調(diào)查的工具，以幫助企業(yè)第三方合作中潛在的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。14.現(xiàn)場培訓(xùn)15.政策落地指導(dǎo)指導(dǎo)企業(yè)如何使用合規(guī)政策和文件以及使用場景，協(xié)助企業(yè)實(shí)及時告知企業(yè)政策發(fā)展的最新動向，并據(jù)此調(diào)整合規(guī)海外數(shù)字化招聘數(shù)據(jù)合規(guī)白皮書Moka將隱私設(shè)計(jì)理念融入現(xiàn)有安全開發(fā)周期SDL中，對所有涉及個人數(shù)據(jù)功能及服務(wù)的系統(tǒng)開發(fā)和產(chǎn)品設(shè)計(jì)均執(zhí)行隱私設(shè)計(jì)安全開發(fā)流程。在需求設(shè)計(jì)階段，充分考慮所涉及隱私安全的需求，根據(jù)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程和隱私框架和安全團(tuán)隊(duì)進(jìn)行溝通，確保隱私安全保護(hù)要求的落地充分考慮開發(fā)環(huán)境、測試環(huán)境、源代碼及應(yīng)用本身的安全性。進(jìn)行個人數(shù)據(jù)保2.個人信息主體權(quán)利請求個人信息主體享有法律賦予的對其個人信息處理的知情權(quán)、訪問權(quán)、更正權(quán)及刪除權(quán)等權(quán)利?；诜煞ㄒ?guī)的要求，Moka隱私保護(hù)制度明確了個人信息主體權(quán)利請求響應(yīng)流程和處理期限等方面的合規(guī)要求，并在產(chǎn)品功能上保障拒絕權(quán)等法律規(guī)定的權(quán)利。Moka建立了個人信息主體權(quán)利保障機(jī)制，由信息安全與隱私合規(guī)團(tuán)隊(duì)協(xié)同業(yè)務(wù)部門處理個人信息主體請求；通過個人信息主體Moka遵循本地化的個人信息主體權(quán)利保障流程進(jìn)行處理，并在法律法規(guī)規(guī)定3.個人信息跨境傳輸全球范圍內(nèi)已有多個國家和地區(qū)的法律明確了個人信息本地化部署的要求，部分國家和地區(qū)對個人信息提出了轉(zhuǎn)移影響評估等要求。個人信息合規(guī)、安全、有序的跨境流動，對于全球數(shù)字服務(wù)貿(mào)易的發(fā)展至關(guān)重要。Moka在開展全球化業(yè)務(wù)過程中，始終密切關(guān)注與個人信息跨境相關(guān)的全球立法動態(tài)、執(zhí)法案例以及行業(yè)優(yōu)秀的實(shí)踐經(jīng)驗(yàn)，積極探索適應(yīng)自身業(yè)務(wù)發(fā)展的跨境轉(zhuǎn)移合規(guī)方案。Moka在梳理外部法規(guī)要求的基礎(chǔ)上，構(gòu)建了一套個人信息跨境管理制·梳理公司業(yè)務(wù)開展過程中的個人信息流，基于業(yè)務(wù)設(shè)計(jì)和業(yè)界實(shí)踐，評估個人信息跨境的必要性。Moka會優(yōu)先采用本地化部署的方式，避免不必要的個人信息跨境轉(zhuǎn)移，將服務(wù)過程中涉及的個人信息跨境控制在最小·針對需要個人信息跨境轉(zhuǎn)移的場景，基于個人信息輸出國的法律要求，4.供應(yīng)商管理Moka重視對各類供應(yīng)商的隱私合規(guī)管理，并將隱私合規(guī)要求納入供應(yīng)商管理政策。雙方開展合作前，Moka會對供應(yīng)商的合規(guī)能力進(jìn)行評估并擇優(yōu)開·供應(yīng)商應(yīng)了解Moka的隱私保護(hù)政策，積極配合Moka對供應(yīng)商的盡職·供應(yīng)商應(yīng)遵守與Moka簽訂的合同或協(xié)議中關(guān)于數(shù)據(jù)保護(hù)的要求，按約定履行和配合相應(yīng)的個人信息保護(hù)義務(wù)，如配合Moka發(fā)起的隱私合規(guī)審計(jì)。供應(yīng)商引入其他受托人(對應(yīng)GDPR中的子處理者)須獲得Moka的·供應(yīng)商應(yīng)積極采取必要的技術(shù)和組織措施，確保個人信息安全，防止個5.個人信息安全及合規(guī)認(rèn)證Moka高度重視業(yè)務(wù)過程中的個人信息安全，制定了個人信息處理活動中須達(dá)到的信息安全要求。為營造安全的業(yè)務(wù)環(huán)境，