大皮DENTONS ×Moka 海外数字化招聘数据合规白皮书 DataCcmplianceandPrivacyProtection inGlobalRecruitrment mokahr.com 前言 Foreworcl 随着中国经济步入高质量发展的新时代,立足于经济转型升级需求,中国企业“走出去”已成为时 代趋势。在全球80%以上的国家及地区均已进行数据隐私立法的背景下,出海企业在全球用工过程中面临着诺多合规挑战。在此背景下,大成和Moka联合 发布了《海外数字化招聘数据合规白皮书》,以期为出海企业提供全球数字化招聘数据合规指引,更好地应对国际市场的复杂挑战。 大成是一家全国领先的律师事务所,与全球最 大律师事务所Dentons拥有优先合作关系,能够为 中国企业全球化用工提供全方位的个人信息和数据保 护专业合规服务。Moka是中国领先的一体化人力资 源服务商,能够帮助中国企业实现智能自动、落实数 据安全与合规政策要求的国际化招聘流程管理。 本白皮书分析了出海企业在海外数字化招聘中遇到的数据合规挑战和应对策路。该册基于欧盟、北美、南美、东南亚、中东这五个中国企业主要出海目 的地的重要数据隐私立法,全面介绍了应聘者数据使用、收集、跨境传输等处理过程中需要遵守的具体合 规要求,并从实务角度为企业提出了切实可行的合规建议。此外,该册还简要介绍了大成提供的“国内+ 海外数字化招聘合规方案”,以及MokaRecruiting (Moka招聘国际版)产品,以期为国际化企业的海 外数字化招聘提供数据合规帮助。 大成个人信息与数据保护团队 Contents目录 Part1. 企业走出去面临的数字化招聘数据合规挑战6 一,中国企业出海现状7 二,全球数据隐私立法概况6 三,海外数字化招聘中的数据合规挑战概览11 Part2. 海外数字化招聘全流程数据合规风险及应对12 ,应聘者数据收集合规13 二。应聘者数据使用合规18 三,企业的其他数据合规义务21 Part3. 海外数字化招聘中的数据跨境传输挑战23 一.数据跨境传输的主要情形及必要性24 二.全球主要司法辖区数据跨境传输限制24 三,全球主要数据跨境自由流动区域规则OE 四。出海企业数据跨境传输合规建议32 Part4. 大成个人信息与数据保护法律服务EE 一.大成个人信息与数据保护团队简介34 二.大成全球个人信息与数据保护法律实践35 三.国内+海外的数字化招聘合规方案9 Part5. Moka数据隐私合规解决方案 一.Moka数据隐私保护体系及合规实践40 二,Moka海外招聘数据隐私合规解决方案41 三.MokaRecruiting常见数据隐私合规问题42 Part1 企业走出去面临的数字化招聘 数据合规挑战 随着中国经济步入高质量发展的新时代,立定于经济转型升级需求,中国企业“走出去”已成为时代超势,在欧洲、南美、中东、北美、东南亚布局最广。在全球80% 以上的国家及地区均已进行数据隐私立法的背景下,出海企业在数字化招聘过程中,面 临的应聘者数据收集、使用、跨境传输等诸多合规挑战。 DotoCemolicrcecndPmvoCyProtecEoninloeolRecruitmen ,中国企业出海现状 历年对外直接投资公报数据显示,近年来,我国对外直接投资流量持续加码,2020年位居全球第一。与此同时,“一带一路”沿线国家投资合作稳步推进, 2022年非金购类直接投资达到209.7亿美元。 在我国政策的指导和鼓励,以及海外广阔的市场空间、廉价劳动力、原材料 资源等因素的驱使下,越来越多的中国企业开始积极“走出去”,开拓海外市场。据不完全统计,截至2022年,已有超过70万的中国企业尝试或计划出海。 2008年-2021年中国对外直接投资流量 单位:亿美元 2000 1500 1000 股资量(亿美元) 同比增速(%) 200 15.004 150 10.00% 100 5.00% 50 0.00% 5.00% 2018年 2019年 2020年 2021年 量报来源:商务 企业理状温告(2023) 海外数字化招聘数据合规白皮书 从行业分布来看,信息技术、先进制造、医疗健康行业的中国企业出海积极性最高。从出海影响力来看,核心赛道主要有:跨境电商、泛娱乐、消费电子和 电子制造。 2023整体出海企业行业分布 单位:% 25.1% 13.9k 11.7%6 0.2% 医疗健康 信息技术 先进制造汽车交通新费文优娱乐金股科技 (中国出海全业现状测事据告(2023) 亿欧智库:BrandOS2022Q1出海品牌社媒影响力换单TOP100行业分布 单位:% 239 其怡 消费电子 浓戏 电子商务工业制造透娱乐饮游服务 从全球布局来看,中国出海企业在欧洲、南美、中东、北美、东南亚布局最广 F 中心 *量据末源:(亿数量库:2023年中围企业出)白皮书) DotoComplicncecncPrivoCyProteconinGlobolRecruitment 从布局最广的五大地区的地域特征来看 ,欧洲地区经济增长回暖,政府打造全新基建计划,东欧市场受到追摔,但 政府法规众多,数据合规为重中之重; ,南美地区金融科技市场潜力巨大,通讯行业发展不均衡,南共体对外关税 降低,中国与其贸易增长空间较大; ,中东地区油气产业左右经济增速,互联网渗透率高,与中国经贸合作不断 迈上新台阶,实现互利共赢; ,北美地区基建指数高,经济实力强,互联网渗透率全球第一,但受地缘政 治影响深,与中国的合作致力于双方利益最大化; ·东南亚地区劳动市场人口庞大,GDP增速高于全球平均水平,东盟国家与中国贸易往来密切,RCEP签订后贸易关税进一步降低。 二,全球数据隐私立法概况 根据全球最大数据隐私组织—IAPP(InternationalAssociationof PrivacyProfessionals)的定义,数据隐私主要关注个人数据的使用和规制,例 如制定政策,以确保用户个人信息被通过适当的方式收集、分享和使用。 个人信息是数据隐私保护的主要对象。根据我国《个人信息保护法》中的定 义, 有关的各种信息,不包括医名化(经过处理无法识别特定自然人且不能复原)处 理后的信息。 只是对“个人信息”的称谓有所不同。例如,中国、日本、韩国等将其称为“个人信息”,欧盟、德国、巴西、美国加州等将其称为“个人数据”,台湾将其称为“个人资料” 随着越来越多的社会和经济活动通过域上进行,数据隐私保护的重要性日益得到全球各国的认可。如何规制个人信息的收集、使用、跨境传输等活动,保护个人信息主体权利,成为全球关注的话题。 据联合国贸易和发展会议(UnitedNationsConferenceonTradeand Development)的统计数据,就至2021年12月14日,全球194个国家中, 已有137个国家进行了数据隐私立法,约占总数的71%。!此外,9%的国家已有立法草案,15%的国家没有相关立法,5%的国家没有数据。 6 海外数字化招聘数据合规白皮书 DataProtectionandPrivacyLegislationWorldwide 71%9%15%5% LegislationDraftLegistationMoLegistatlorNoData Dat=PcnandPriwacyLegislationWoatd-privacy-legislatio 据更新统计,自2011年开始,全球数据隐私立法稳步增长。截至2023年初,联合国成员国中仅有18%未进行数据隐私立法(包括立法草案)。 统计年份 2011 2013 2015 2017 2019 2021 2023年初 立法国家数量 76 66 109 120 132 145 162 尽管在立法背景和文本细节上存在些许差异,但是整体而言,全球数据隐私立 法在立法目的和基本原则上具有一定的相似性。 ,在立法目的上,各国立法均旨在保护自然人的个人信息,并寻求促进创新和 保护隐私权利两者间的平衡。 10 DotoComplicncecncPrivoCyProteconinGlobolRecruitment 在基本原则上,客国立法几乎均包括: ·告知同意:即企业在收集、存储、共享个人信息前,应告知个人信息主体,并取得主体的同意。 -目的限制:即企业仅能将个人信息用于合法、特定的目的。 ·数据量小化:即企业仅能够在最小必要范围内收集、存储数据。 ·主体权利:即企业应保障个人信息主体对其个人信息享有的访问、更正、删除等权利。 三,海外数字化招聘中的数据合规挑战概览 鉴于全球大多数国家都有数据隐私立法,因此中国企业在“走出去”的过程中基本都需要关注相关的合规要求。具体到海外数字化招聘这一场景,企业可能面临的全生命周期数据合规挑战包括: 1.应聘者数据收集合规 在数字化招聘中的简历收集、面试、背调等环节,企业可能会收集应聘者 的大量个人信息,甚至敏感个人信息,需要遵守适用数据隐私立法规定。2.应聘者数据使用合规 收集应聘者个人信息以后,企业可能会对应聘者个人信息进行存储、使用、加工、共享等处理,这些活动同样需要遵守适用数据隐私立法的规定。 3.应聘者数据跨境传输合规 在海外招聘过程中,企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。当前,不少主要司法辖区都对个人信息出境设置了严格的限制条件,企业需要着重关注相关合规要求。 4.其他数据合规义务 应聘者个人信息收集、使用和跨境传输是企业海外数字化招聘过程中主要 的数据隐私合规场景。除此之外,出海企业还可能需要关注诺如数据安全保障、个人信息主体权利保障等合规义务。 11 Part2 海外数字化招聘全流程数据合规风险及应对 针对中国企业“走出去”面临的数字化招聘数据合规挑战,本章选取了欧盟北美、南美、东南亚、中东这五个中国企业的主要出海地(下称“五地区”), 基于应聘者数据处理的不同环节,简要介绍了各地区重点国家的数据隐私立法及 主要合规要求,以期为出海企业提供合规参考。 需要注意的是,当前各司法辖区的数据隐私立法大多具有域外效力。即便不 在该司法辖区运营或处理个人信息,也可能因为收集该辖区内居民的个人信息,向辖区内居民提供商品或服务,个人信息处理活动与辖区内所设机构活动相关等 原因而受该司法辖区数据隐私立法的管辖。因此,出海企业应首先在专业律师的协助下,基于具体业务模式和个人信息处理情况,判断其个人信息处理活动的适用数据隐私立法。 12 DotoComplicncecncPrivoCyProteconinGlobolRecruitment 一,应聘者数据收集合规 在数字化招聘中的简历收集、面试、背调等环节,企业可能会收集应聘者的大量个人信息,基至敏感个人信息。与该环节相关的五地区重要立法概况如下: 1.欧盟 2018年5月25日生效的欧盟通用数据保护条例》(GeneralData ProtectionRegulation,下称“GDPR”)是全球影响最广的数据隐私立法,在 欧盟运营或收集欧盟内居民的个人数据均受其管辖。如违反GDPR,企业可能面 临最高不超过2千万欧元或企业上一财年全球年营业额4%的罚款,以两者中较 高者为准。 在GDPR项下,提供个人数据的应聘者是“数据主体”(data5ubject);决定应聘者数据收集目的的招聘企业定“数据控制者”(datacontroller); 为招聘企业提供招聘所需的技术、软件支持的机构是“数据处理者”(data processor) 遵循GDPR处理应聘者数据,需要具备合法性基础。在招聘场景下最有可 能适用的三项合法性基础是: 1)取得应聘者的同意。有效同意是数据主体通过明确肯定的方式自愿作出的具体、知情及明确的意思表示。在罹佣场景下,招聘企业与应聘者之间可能存在权力失衡,应聘者的自愿可能受限。但是,如招聘企业能够证明,