劳动力风险管理

信息安全和个人信息保护

《数据安全法》和《个人信息保护法》的相继出台，意味着数据合规强监管时代的到来，对于企业用工管理、员工个人信息管理等工作提出了新挑战。

数据管理分散：数据在企业内的使用场景复杂，各条线管理交叉且分散，企业缺少统筹管理数据安全的组织、机制、制度和流程，可能导致个人信息和重要数据存在管理失效的风险。

数据收集和使用违规：对个人数据的收集和使用过程中，未向数据提供方说明数据收集和使用的目的、用途、范围以及相关变更，导致违规收集和使用风险。比如在面试和背景调查时，未向候选人说明个人信息收集的目的和用途；或入职过程中数据过度收集和未充分告知数据收集范围等，均可能引发合规风险。

数据窃取和泄露：随着云计算、大数据和人工智能等技术的不断应用，员工个人隐私和重要数据越来越多面临来自互联网的多渠道数据窃取风险。在企业与第三方数据交换或聘用第三方服务时，第三方直接接触员工个人数据可能造成数据泄露和被非法使用的风险。

全球监管趋紧：全球各国近期均实施了一系列数据和隐私保护相关的法律法规，对于全球化发展企业，面对日益趋紧的监管形势，在跨境数据传输和管理过程中，如何应对本地法律和接受国法律对数据合规的要求是一大挑战。

我们提供的服务

建立健全的数据管理组织机构：任命数据保护官，明确业务、人力资源、内控、合规、信息安全、风险管理、内审等相关部门的职责和RACI矩阵（R=Responsible “谁执行”; A=Accountable “谁批准”; C=Consulted “咨询谁”; I=Informed “通知谁”）。从全局角度建立、落实、推广数据安全的规范体系，起到统筹引领的管理功能 。在数据安全合规的基础上，促进“挖掘数据价值，推动企业数字化发展”，防止“一刀切”式过于激进的数据管理。

建立数据管理体系：梳理涉及数据安全的人力资源业务场景，总结与企业人力资源管理相关的法律要求。基于法律要求，结合企业业务特色，建立健全覆盖数据全生命周期的数据安全管理体系，包括分类分级、去标识化、数据跨境、风险评估等内容。对数据的收集、存储、使用、加工、传输、删除和销毁的全流程进行管理，从而确保数据管理各环节中，多方参与者的职责明确、流程清晰、安全可控。

签署有法律约束力的文件：识别企业内部和外部个人数据共享、传输和委托处理等相关方，遵循各国法律规定的标准合同范本与外部相关方签署相关的传输协议。与内部相关方通过制定管理制度、签署传输协议、增加个人数据保护条款（劳动合同、外派协议等）等方式来明确多方在数据保护方面的权利和义务，通过有一定约束力的法律文件确保数据处理活动的合规性。

定期开展安全技术评估：对企业现行人力资源相关的应用程序、服务器、网络设备和物理环境进行技术评估，识别和修复安全漏洞。识别互联网上可能暴露的敏感资产，包括敏感文档、域名、网址、身份凭据和代码库等，并建立防护措施。

搭建全球隐私合规运营平台：建立隐私安全平台，设立相关机制动态，关注海外子公司所在区域的监管和合规要求，形成法律法规动态知识库。利用数字化平台对数据的全生命周期管理进行记录，包括个人同意记录管理、数据处理活动管理、数据跨境传输记录等。