当前位置:首页>行业资讯
“个保法”来了,猎头行业应如何自保?
发布时间:2022-01-04 阅读(296)

中华人民共和国个人信息保护法》(“《个人信息保护法》”)自2021年11月1日起施行,该法堪称进入信息时代以来中国最重要的法律之一,其不仅对标欧美法律实践,对个人信息保护也进行了全方位的定义,同时,最高可处罚上一年度企业营业额5%的罚款,更使其进一步受到广泛关注。此前《网络安全法》与《数据安全法》已经落地实施,加之《个人信息保护法》,共同构成了中国数据安全的三驾马车,而后者与所有市场主体的经济活动密切相关,这对于企业在规范经营与风险管控方面,提出了全新的挑战,可以说,《个人信息保护法》正在对于每个主体都产生着全面而深远的影响。尤其,《个人信息保护法》为加快构建中国特色人力资源产业服务发展,提供了有力的支撑。

近日,人力资源社会保障部联合国家发展改革委、财政部、商务部、市场监管总局发布了《关于推进新时代人力资源服务业高质量发展的意见》。意见中指出:重点发展猎头服务,完善通过猎头机构开展市场化引才机制。对于以“候选人个人信息数据”为核心竞争力的猎头行业而言,个人信息的频繁交互,使得猎头行业成为个人信息安全风险的高发之地。为此,我们结合猎头业务运营场景,为大家深入解读《个人信息保护法》给猎头行业带来的变革——如果想要避开前方的“坑”,应该如何去做呢?

01场景一

猎头公司如何获取甲方客户线索?

对于猎头公司而言,通常获取甲方客户线索的方式分为直接收集与间接收集,前者由甲方客户主动发布在公开渠道中,例如招聘网站、社交平台等,通过猎头顾问主动沟通,完成合作的过程。后者主要是通过客户介绍、市场活动等方式获取。

1. 在直接收集的情况下,《个人信息保护法》主要强调了从公开渠道获取甲方客户线索的合法性,通过猎头顾问主动与之联系从而建立起合作关系。

2. 在间接收集的情况下,《个人信息保护法》主要强调了甲方客户主动将信息提供给猎头企业的合法性,现有甲方客户通过“潜在客户”同意而完成转介绍,猎头公司通过市场活动使得潜在客户主动留下信息,从而建立起信息交互。

需要注意的是,甲方客户线索的获取不可通过所谓“list互换群”、会展名单买卖、非公开信息“爬取”等违法方式,例如:在(2020)沪0114刑初1033号一案中,被告人张某犯侵公民个人信息罪,判处有期徒刑十个月,罚金人民币二千元。

02场景二

猎头公司如何获取候选人简历信息?

对于甲方客户给到的职位需求,猎头顾问通常会作专业的职位需求分析,从而生成人才画像,锁定内外部人才寻找方案,通常搜集信息的方式包括直接收集与间接收集。前者由个人信息主体主动提供、通过与个人信息主体交互或记录主体行为等采集活动,通常是直接和候选人取得联系,例如在招聘平台(猎聘、智联、Boss等)、社交平台(微信朋友圈、微信群、领英、脉脉等)等发布招聘信息而引发候选人主动投递,以及猎头公司长年累月积攒的人才库(走过基本流程);后者主要是通过候选人转介绍、市场活动等方式合法获取个人信息的行为。

1. 在直接收集的情况下,《个人信息保护法》主要强调了从公开渠道获取候选人信息的合法性,通过猎头顾问主动与之联系从而建立起推荐关系。

2. 在间接收集的情况下,《个人信息保护法》主要强调了候选人主动将信息提供给猎头企业的合法性,我们可以看到猎头公司通过组建市场部门,逐渐摆脱了“野蛮”发展时期,使得候选人乐于主动进行信息交互,从而促进社会化就业、更好发挥我国人力资源优势、服务经济社会发展。

需要注意的是,通过“内部通讯录”互换、“共享信息”、爬取某些网站信息等方式获取个人信息可能存在侵犯个人信息的风险,例如:在(2020)粤0103刑初707号一案中,“猎头搜”被告人王某犯侵犯公民个人信息罪,判处有期徒刑十个月,缓刑一年,并处罚金人民币一万元。

以上两个场景极其相似都是在直接与间接收集的情况下,《个人信息保护法》扩大了个人信息处理的合法性基础,即除“同意”外,个人信息处理者还可以基于“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的规章制度和依法签订的合同实施人力资源管理所必需”等其他6项合法性基础处理个人信息。比如企业可以基于劳动合同处理员工个人信息,而无需取得同意。但对于猎头行业来说,要想取得“合法性基础”,通常应在直接接触候选人并搜集其个人信息时取得其同意或与之订立协议,并遵守个人信息处理的基本原则:合法、正当、必要、诚信、目的明确、最小范围、公开、透明、目的、方式、范围、质量与保障。

猎头公司正确的做法是?

03场景三

猎头公司如何对候选人简历信息储存与管理?

猎头公司收集到候选人简历信息后需将其妥善存储,通常会使用第三方的人才管理系统。实践中,自主开发人才管理系统的企业相对较少,一般猎头公司通常在了解第三方管理系统是否可以满足自己的人才管理逻辑,通过定制化满足需求后,基本双方也就达成了协议,对于潜在的风险多停留在金额与违约责任上,很少关注隐私保护与数据安全的问题,更很少关注系统后台对候选人信息的精细化管理,但是,这往往是风险出现的重灾区。常见的潜在风险包括但不限于:1. 批量下载简历,进行非法交易;2. IP登录异常登录或者多IP登录;3. 登录非本行业职位过多;4. 对应管理人不明确,权责不清晰。

猎头公司正确的做法是?

在日常服务过程中,我们可能会遇到有将本公司账号密码同步给他人的,一台电脑同时登录不同公司账号的,及时设置了警报功能未设置监管人员或设置监管人员不在意而引起候选人数据泄露的。需要注意的是,《个人信息保护法》增加了对直接负责的主管人员的处罚,因此猎头公司的相关负责人应当尤其引起重视。

04场景四

猎头公司如何对候选人简历进行使用、加工与传输?

猎头公司在获取候选人个人信息后,对于使用目的要明确,仅限于本公司内部推荐给特定的甲方公司,不可未经同意授权随意推送给其他招聘主体。猎头公司通常会对候选人简历信息进行加工,当然也可以认定为适当“美化”,但切记不可做非专业猎头顾问所做的“篡改”行为,在内部做候选人分析报告时,做必要的脱敏信息处理。候选人对于简历信息在传输过程中建议做加密处理,这样可以相对减少信息泄露的概率,猎头顾问在传输给甲方客户时也建议加密处理,如甲方使用特定内部人才管理系统时,甲方通常会设定固定字段来确认信息传输的完整性,所以敏感字段的必要性将会是猎头公司应当了解的。最后,对于集团性质的甲方客户,要确认集团系统的互通性,要了解内部的使用、加工与传输的过程。

05场景五

猎头公司如何对候选人进行背调?

在猎头招聘过程中,背景调查一般会根据协议约定而由猎头公司负责或者委托第三方背调机构,背景调查结果的真实性、准确性以及周期性,往往会和猎头服务费最终是否拿到有着密不可分的关联。企业一般要求对候选人进行“五年三段”的了解,这样可以对候选人的过往的工作履历和工作表现有更加清晰的认知,从而辅助企业做出是否录用该候选人的判断。猎头公司根据自身的实际情况我们强烈建议交由第三方背调机构,毕竟猎头公司主营业务是招聘。那么这个过程如何去做比较好呢?

1. 自行背调的情况下,对于直接和“第一手信息”打交道的猎头公司,我们建议:

2. 委托调查的情况下,因为需要向第三方公司提供候选人的相关信息,需要对其负责,因此,我们建议:

06场景六

猎头公司如何维护候选人简历删除权?

猎头公司在和候选人信息交互过程中,应当按照约定处理候选人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托行为不生效、无效、被撤销或者终止的,应当将个人信息返还个人信息处理者或者予以删除,不得保留。删除权是《个人信息保护法》下一项重要的权利,其可能会改变很多实际应用场景,例如改变整个行业的甲方查重权,猎头公司遇到最多的就是帮助甲方公司梳理人才库,遇到库里有的候选人,猎头顾问前期所有劳动成果将会付之东流,而这一权利或许可以重新定义行业规范。

对此,我们的建议是:

通过猎头顾问引起候选人对甲方职位感兴趣后,可以签订授权委托书,明确简历收集的维度、使用目的、享有删除权,删除权主要是告知候选人未能成功入职甲方公司时,候选人可以要求猎头公司和甲方公司删除存储在人才管理系统里的信息,这一点可以避免一年期限后的查重问题。猎头公司会担心履行删除权后,无法在后期建立起交互,从而损失候选人,其实这要回到内部信息管理流程的设定的问题了,一般猎头顾问都会添加微信或领英好友等,这一点不但没有损失,反而增加了交流,只是需要对账号作好管理足矣。

07场景七

外资猎头公司,我们的总部也可以访问境内的数据库,这样会有什么问题吗?

首先,《个人信息保护法》对于所有企业提出了一般性要求。

具体包括:

(1)采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准;

(2)告知个人关于个人信息跨境传输的相关情况(包括接收方的名称/姓名、联系方式、处理目的、处理方式、个人信息类型、向接收方行使权利的程序和方式等)并取得个人的单独同意;

(3)事先进行个人信息保护影响评估并并对处理情况进行记录,评估报告和处理情况记录应当至少保存三年。

其次,针对关键信息基础设施运营者(Critical Information Infrastructure Operator, 以下简称“CIIO”)或处理个人信息达到国家网信部门规定数量(根据2021年10月29日最新发布的《数据出境安全评估办法(征求意见稿)》,处理个人信息达到100万人,或累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息,即达到该等数量)的个人信息处理者,原则上应当将在中国境内收集和产生的个人信息存储于境内,确需向境外提供的,应当通过国家网信部门组织的安全评估。

再者,针对其他不构成CIIO或者所处理的个人信息未达到国家网信部门规定数量的个人信息处理者,应当满足以下条件之一:(1)按照国家网信部门的规定经专业机构进行个人信息保护认证;(2)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(3)法律、行政法规或者国家网信部门规定的其他条件。

对于猎头公司来说,构成CIIO的可能性较低,但是,如果公司处理的个人信息数量较大,达到了需要进行安全评估的标准,则需要进行安全评估。如果未达到上述标准,则对于候选人相关的个人信息跨境传输,我们建议:

向员工和面试者进行告知,包括接收方的名称/姓名、联系方式、处理目的、处理方式、个人信息类型、向接收方行使权利的程序和方式等,并取得其单独同意,即专门针对跨境传输取得同意,而不能以一揽子方式取得同意。

实务观察

对于猎头行业而言,涉及个人信息的案例较多,由于“互换资源”“信息泄密”等问题,很多猎头公司都曾受到处罚。该行业本身即存在较高的个人信息合规风险。而在《个人信息保护法》生效后,鉴于法律责任比以往更高,违法成本也大幅增加,因此,我们建议企业做好数据合规工作,同时密切关注该法及配套法律、法规的立法动态,以确保相关制度符合最新监管合规要求,防患于未然。

特别声明:

以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。

电话:400-640-6658
华尔街猎头

华尔街猎头

扫一扫查看更多职位

专注于 高级 金融人才
版权所有:华尔街(北京)人力资源有限公司   旗下网站:华尔街猎头   资质公示   企业热线:400-640-6658   举报电话:010-62124346   
ICP 经营许可证编号  [京B2-20213984]  [京ICP备11018102号-1] 人才许可证号:RC1009319   

京公网安备 11010802037026号