中国上海,2021年12月23日 - 《中华人民共和国个人信息保护法》于8月20日第十三届全国人民代表大会常务委员会第三十次会议通过,并于2021年11月1日起正式生效和施行。作为第一部专门保护个人信息的法律,《个人信息保护法》为数据保护的合规性提供指导,对处理个人信息的企业和个人如何使用相关数据进行更严格的管理,具有划时代意义。
新法旨在加强,统一和协调对中国境内所有个人数据的保护,同时解决个人数据的境外传输问题。它在兼顾为数据开发提供新途径的互联网和云技术的同时,提升国民对数字生态系统的信任度。预计《个人信息保护法》颁布实施后,人们将对企业收集、存储和保护个人数据拥有更多话语权和控制权。
《个人信息保护法》规范所有在中国运营、与中国有业务往来或处理中国居民个人数据的企业,无论该企业是否位于中国。“个人信息”是一个宽泛的概念:只要该信息能够直接或间接地用于识别某一个人,那么它将很可能被纳入《个人信息保护法》的管辖范畴。
除了消费者和客户数据,该法还将影响企业人力资源和薪资相关的数据及流程,因为企业员工和消费者一样,对个人信息拥有相应的权利。不合规行为可能带来代价高昂的后果: 《个人信息保护法》规定,如果企业存在严重违法行为,将被处五千万元以下或者上一年度营业额百分之五以下的罚款,并可能面临受到影响的个人的赔偿要求。如有处理不当,企业可能受到来自监管部门的惩罚,招致劳动争议,乃至面临声誉受损的风险。
“对于企业而言,员工的背景调查、人才招聘、薪酬管理、人事外包等各个流程和领域,均会涉及个人信息的收集和处理,”张晓云说,“例如,根据法案的具体要求,雇主应该完善招聘环节中的背景调查流程,以及应该修订并规范公司现有的劳动合同,以便在人员管理的每一个环节中,充分重视员工的个人隐私及信息的保护,并且遵守对已离职员工数据保留的相关规定。”
“除此之外,跨国企业向境外提供员工个人信息需获得员工同意;在与第三方机构合作、涉及处理员工个人信息时,根据新法的要求,企业应视乎合作伙伴是否能够提供高标准的数据保护,做出判断和选择。”
《个人信息保护法》已落地实施,企业需要开始考虑做出调整。首先,企业应该对新法的各项要求进行分析,以确定新法将如何影响企业的业务;然后检查现有流程,绘制数据处理流程图,两相对比,明确需要进步的差距和空间;接下来,企业管理者可以列出行动计划,让相应的部门及人员参与其中,包括但不限于隐私、法律、人力资源、信息技术、销售和市场等。
行动计划的关键部分,则是记录和确认相关行动的完成情况。这就要求各部门管理者进行定期测试,以控制以上行动的实际实施进展。
最后,我们建议企业将《个人信息保护法》的合规工作视作一项长期流程,而非一蹴而就的任务。鉴于此,企业领导者应制定公司治理计划,展现出负责任的态度,并时刻保持自省,以确保在未来的运营中长期保持合规。
在应对《个人信息保护法》进行必要的调整的过程之中,企业可能缺乏相应的技术专长或资源。考虑到合规的复杂性,人力资源主管可考虑将数据处理外包给像ADP这样的人力资本管理解决方案提供商。
作为人力资源和薪酬服务行业的领导者,ADP在全球各个市场提供高标准的数据保护,在帮助客户遵守薪酬和人力资源流程相关的新规定方面,也有丰富的经验。“ADP已根据《个人信息保护法》的具体要求,调整了相关平台和流程,”张晓云表示,“我们为《个人信息保护法》的颁布和实施做好了充分准备,帮助客户找准定位,确保合规。”