海外数字化招聘数据合规白皮书 2024

三.企业的其他数据合规义务一.数据跨境传输的主要情形及必要性三.国内+海外的数字化招聘合规方案366随着中国经济步入高质量发展的新时代，立足于经济转型升级需求，中国企业“走出去”已成为时代趋势，在欧洲、南美、中东、北美、东南亚布局最广。在全球80%以上的国家及地区均已进行数据隐私立法的背景下，出海企业在数字化招聘过程中，面72020年位居全球第一。与此同时，“一带一路”沿线国家投资合作稳步推进，2022年非金融类直接投资达到209.7亿美元。在我国政策的指导和鼓励，以及海外广阔的市场空间、廉价劳动力、原材料资源等因素的驱使下，越来越多的中国企业开始积极“走出去”,开拓海外市场。据不完全统计，截至2022年，已有超过70万的中国企业尝试或计划出海。从行业分布来看，信息技术、先进制造、医疗健康行业的中国企业出海积极性最高。从出海影响力来看，核心赛道主要有：跨境电商、泛娱乐、消费电子和电子制造。医疗健康信息技术先进制造汽车交通新消费文化娱乐金融科技*数据来源：《中国出海企业现状洞察报告(2023)》消费电子游戏电子商务工业制造泛娱乐旅游服务从全球布局来看，中国出海企业在欧洲、南美、中东、北美、东南亚布局最广。拿800拿个89·欧洲地区经济增长回暖，政府打造全新基建计划，东欧市场受到追捧，但·南美地区金融科技市场潜力巨大，通讯行业发展不均衡，南共体对外关税·中东地区油气产业左右经济增速，互联网渗透率高，与中国经贸合作不断·北美地区基建指数高，经济实力强，互联网渗透率全球第一，但受地缘政根据全球最大数据隐私组织——IAPP(InternationalAssociationofPrivacyProfessionals)的定义，数据隐私主要关注个人数据的使用和规制，例个人信息是数据隐私保护的主要对象。根据我国《个人有关的各种信息，不包括匿名化(经过处理无法识别特定自然人且不能复原)处只是对“个人信息”的称谓有所不同。例如，中国、日本、韩国等将其称为“个人信息”,欧盟、德国、巴西、美国加州等将其称为“个人数据”,台湾将其称随着越来越多的社会和经济活动通过线上进行得到全球各国的认可。如何规制个人信息的收集、使用、跨境传输等活动，保护据联合国贸易和发展会议(UnitedNationsConferenceonTradeandDevelopment)的统计数据，截至2021年12月14日，全球194个国家中，已有137个国家进行了数据隐私立法，约占总数的71%。此外，9%的国家已有立法草案，15%的国家没有相关立法，5%的国家没有数据。据更新统计，自2011年开始，全球数据隐私立法稳步增长。截至2023年初，联合国成员国中仅有18%未进行数据隐私立法(包括立法草案)。统计年份2023年初尽管在立法背景和文本细节上存在些许差异，但是整体而言，全球数据隐私立·在立法目的上，各国立法均旨在保护自然人的个人信息，并寻求促进创新和-目的限制：即企业仅能将个人信息用于合法、特定的目的。-数据最小化：即企业仅能够在最小必要范围内收集、存储数据。鉴于全球大多数国家都有数据隐私立法，因此中国企业在“走出去”的过程中基本都需要关注相关的合规要求。具体到海外数字化招聘这一场景，企业在数字化招聘中的简历收集、面试、背调等环节，企业可能会收集应聘者的大量个人信息，甚至敏感个人信息，需要遵守在海外招聘过程中，企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。当前，不少主要司法辖区都对个人信息出境设置应聘者个人信息收集、使用和跨境传输是企业海外数字化招聘过程中主要的数据隐私合规场景。除此之外，出海企业还可能需要北美、南美、东南亚、中东这五个中国企业的主要出海地(下称“五地区”),基于应聘者数据处理的不同环节，简要介绍了各地区重点国家的数据隐私立法及需要注意的是，当前各司法辖区的数据隐私立法大多具有域外效力。即便不在该司法辖区运营或处理个人信息，也可能因为收集该辖区内居民的个人信息，向辖区内居民提供商品或服务，个人信息处理活动与辖区内所设机构活动相关等原因而受该司法辖区数据隐私立法的管辖。因此，出海企业应首先在专业律师的协助下，基于具体业务模式和个人信息处理情况，判断其个人信息处理活动的适在数字化招聘中的简历收集、面试、背调等环节，企业可能会收集应聘者的大量个人信息，甚至敏感个人信息。与该环节相关的五地区重要立法概况如下：1.欧盟2018年5月25日生效的欧盟《通用数据保护条例》(GeneralDataProtectionRegulation,下称“GDPR”)是全球影响最广的数据隐私立法，在欧盟运营或收集欧盟内居民的个人数据均受其管辖。如违反GDPR,企业可能面临最高不超过2千万欧元或企业上一财年全球年营业额4%的罚款，以两者中较在GDPR项下，提供个人数据的应聘者是“数据主体”(datasubject);决定应聘者数据收集目的的招聘企业是“数据控制者”(datacontroller);为招聘企业提供招聘所需的技术、软件支持的机构是“数据处理者”(data遵循GDPR处理应聘者数据，需要具备合法性基础。在招聘场景下最有可1)取得应聘者的同意。有效同意是数据主体通过明确肯定的方式自愿作出的具体、知情及明确的意思表示。在雇佣场景下，招聘企业与应聘者之间可能存在权力失衡，应聘者的自愿可能受限。但是，如招聘企业能够证明，即2)应数据主体的请求为订立合同而处理。这一合法性基础要求仅收集对招3)合法利益(legitimateinterest)。合法利益(也即处理数据，帮助候选除需满足合法性基础外，企业在应聘者数据收集环节主要还需要履行如下1)为合法利益处理应聘者数据：仅基于“特定、明确且合法的目的”收集个人数据，仅收集招聘必要的个人信息，且应在一个月搭建人才库，以备未来之需等目的收集应聘者个人数据，包括社交平台公开2)就处理敏感个人数据取得同意：如需收集应聘者的敏感个人数据(例如种族、宗教信仰、生物识别、性取向、健康等相关数据)或为平等就业机会调查或背调目的收集个人数据，应仅限于最小必要范围，且需要以清晰易懂的身份、联系方式、处理其个人数据的目的、法律基础、数据类型、存储期与欧盟GDPR相比，北美的数据隐私立法更加多样且不尽相同。本报告仅在美国，目前并没有影响数据保护的一般联邦立法，对于招聘企业来说，需要关注其具体所在州的法案情况。截至2024年2月，已有超过十四个州颁布了全面的数据保护法，但除加州外，大多数州数据保护法中的“个人信息”或“个人数据”的处理规定仅适用于居住在相应州的“消费者”,即那些在个人或家庭环境中行事的居民，而不包括那些在职场环境中，作为求职者，或作为某个雇员境中活动的科罗拉多居民才是消费者，而求职者或就业环境下的受益人则不在此与就业相关的数据(如求职、在职、作为代理或独立承包商的情况，以及紧急联系和员工福利相关的数据)不属于管辖范围。加州的数据保护立法主要包括加州消费者隐私法案(CaliforniaConsumerPrivacyAct,下称“CCPA”)和加州隐私权法案(CaliforniaPrivacyRighAct,下称“CPRA”)。CPRA在CCPA的基础上增加了对符合以下条件的营利性加州雇主的数据合规义务：(1)年总收入超过2500万美元；(2)购买、出售或共享100,000名或以上加州居民或家庭的个人信息；(3)其年收入的50%或以上来在收集数据阶段，这些符合条件的招聘企业必须向求职者或员工提供包括以下内容的隐私声明：收集的敏感个人信息的类别；数据是否被共享或出售；每类外包的招聘人员等);收集的目的，或者共享和出售雇员个人信息的目的。同时，(2)加拿大加拿大的数据保护则是通过全国性的立法进行的，如《个人信息保护和电子下称“PIPEDA”),旨在保护加拿大公民在商业活动中的个人信息，适用于联邦监管的招聘企业，以及在尚未采用实质上类似隐私立法的省份运营的受省级监PIPEDA要求组织对其收集、使用和披露的个人信息负责，并采取适当措施保护这些信息。它还要求组织对其隐私政策和做法保持透明，并在收集、使用或披露个人信息之前获得个人的同意，且员工不能“一揽子放弃”其隐私权。3.南美南美国家在数据保护领域的立法进展相对于欧盟而言较为缓慢，但近年来这些国家已经在努力向GDPR看齐，开始加强其数据保护法规，以应对全球数字化趋势的挑战。如巴西受GDPR的影响较大，在2018年生效了《通用数据保护法》 正在讨论新的个人数据法案，该法案将大幅修改1999年第19,628号数据保护法。在雇佣场景下，巴西LGPD的要求基本与GDPR保持一致，招聘企业在收4.东南亚东南亚地区国家普遍已有数据隐私专门立法，其中六个主要出海国立法·马来西亚是东南亚国家中较早推行数据保护的国家，其数据保护体系主要包括2010年的《个人数据保护法》(PersonalDataProtectionAct2010)及其相关配套规定。·印尼于2022年通过了《个人数据保护法》(“LawNo.27of2022其适用的域外效力比GDPR更为广泛，只要雇主在印尼境外的数据处理活动对该国或该国的任何公民具有“法律影响”,就应受到规制。·菲律宾有关个人数据保护的立法以2012年《数据隐私法案》(DataPrivacyAct)为核心，其他领域的立法中也含有部分关于个人数据保护的·新加坡的数据保护法律体系以2012年的《个人数据保护法》(Personal会出台了包括《2021个人数据保护条例》《个人数据保护(数据泄露通知)·泰国于2019年通过了第一部综合性数据保护法律《个人数据保护法》(PersonalDataProtectionAct2019),2022年6月1日生效。2023年7月1日正式生效。在应聘者数据收集场景下，上述六国的数据保护立法均与欧盟GDPR类似，1)基本原则：类似于GDPR,大部分东南亚国家的雇主收集处理数据的基本·合法、公平、透明(“合法性”):该原则要求数据处理活动以合法、公平、透明的方式进行。合法性原则本质上要求数据处理活动基于适当的合法理由2)告知同意：招聘企业在收集应聘者个人数据前告知数据主体个人数据处理的目的等，并取得应聘者的同意。越南明确规定了数据主体的沉默或不回应并不被视为同意。新加坡则规定了特定情况下的“视为行为同意”和“通过通知视为同意”。例如，求职者主动提供个人信息以申请工作，可以视作他们同意招聘企业为处理职位申请而收集和使用其个人信息。此外，新加坡还规定雇主可以在某些没有获得明确同意的情况下处理应聘者的数据，但这仅限于必要的雇佣管理目避免收集不必要的个人数据。如新加坡将身份证号码视作高度敏感个人信息，受随着数据隐私法规的快速发展，中东各国也在·卡塔尔是海湾合作委员会(GCC)成员国中第一个颁布个人数据保护法的国家，即2016年的《个人数据隐私保护法》(LawNo.13of2016ConcerningPersonalDataPrivacyProtectionLaw),并在2021年发布·阿联酋于2021年11月颁布了《2021年联邦数据保护法》(UAEDataProtectionLaw)。此外，迪拜国际金融中心(DIFC)也有自己的《2020·沙特阿拉伯于2021年颁布了个人数据保护法(PersonalDataProtectionLaw),并于2023年进行了更新。同时，沙特还制定了一系列实施性细则、·科威特也在2024年发布了新的数据隐私保护条例(DataPrivacy1)具有合法性基础。处理个人数据需要有合法依据，如为履行合同(如工作合同)所必需、遵守法律义务、保护数据主体或他人的重大利益等。与GDPR2)透明度。招聘企业应提供清晰的隐私政策，在收集个人数据之前向候选人明确说明收集数据的目的、将要收集数据的范围、个人数据将与之共享的任何第三方以及为涵盖任何跨境数据传输而采取的保护措施等信息，并确保候选人有3)告知同意。除特定情形外，招聘企业在收集个人数据前需要获取数据主体的明确同意。尤其是沙特并未为雇佣关系下的个人数据处理提供特定的例外，除了法律要求的数据处理外，几乎所有的非合同规定的个人数据处理都需要获得员工的同意，且必须获得每个处理目的的独立同意。对于处理“特殊性质”(涉及健康、宗教、宗教、犯罪等信息)的个人数据，卡塔尔还要求获取数据保护权4)目的限制。招聘企业应遵循最小必要原则，只收集招聘过程中必要的个人数据，避免收集与职位要求无关的敏感信息。比如沙特将所需的最小数据量定义为：为实现特定目的而适当且必要且与该目的直接相关；仅限于实现目的所需的实际内容，不收集任何其他数据；在不收集不必要的数据的情况下，采取应有的谨慎措施，合理地受益于有助于实现目的的技术能力；依法确定个人数据内容收集应聘者个人信息以后，出海企业为评估应聘者专业能力、了解应聘者性格、建立人才库等目的，可能对应聘者个人信息进行存储、使用、加工、共享、加工等处理。以下对该环节欧盟、北美、南美、东南亚、中东等地区的典型立法2)处理原则：应以合法、合理、透明的方式进行处理，并采取措施，如及法辖区允许招聘企业为预防争议或未来工作机会，基于合法利益或应聘者自愿同4)委托处理：与提供技术支持的机构签订协议，约定处理期限、处理性质与目的、个人数据类型、数据主体类型、招聘企业的责任与5)安全措施及记录义务：采取与数据处理活动相适应的技术和组织措施，确保数据处理过程的安全性，并以书面形式(包括电子形式)全面留存数据处理(1)美国在美国，以最严格的加州CPRA为例，在数据使用阶段：·与GDPR类似，企业必须与服务提供商签订书面合同，以明确数据处理的规则。合同必须包括以下内容：雇员数据处理的目的和限制；禁止出于合同未指定的其他目的使用、披露或保留个人数据，这应包括就业和招聘；要求供应商遵守CPRA的规定，并在他们不再或暂时不遵守任何条款时通知；要求服务提供商允许招聘企业采取合理步骤确保他们的合规性，例如进行审计；允许招聘企业采取合理步骤停止和纠正任何未经授权的访问员工数据的条款；与消费者请求相关的条款，服务提供商必须响应以帮助招聘企业遵守；禁止出售或共享数据，要求·招聘企业必须确保员工数据得到良好保护，最小化数据泄露的风险。员工数据中通常包含敏感个人信息，因此那些处理对求职者或员工隐私构成重大风险(2)加拿大在加拿大，PIPEDA建议企业将以下原则融入政策和程序中，以增强隐私·审查所有相关的法律要求和权利，包括集体协议、联邦与省级的隐私·遵守核心隐私原则：问责制、准确性、收集、使用、披露和保留的限采用合适的保护措施保护信息，保持政策和实践的透明度与开放性，个人访3.南美在数据使用阶段，因为巴西的LGPD以GDPR为蓝本，招聘企业需要满足4.东南亚·保留个人数据不超过必要时间。如泰国虽然没有规定保留期限，但要求雇滥用、修改、编辑或披露。必须定期审查此类安全措施。企业必须建立个人数据安全措施，包括管理保障、技术保障和物理保障，以获取或管理个人数·进行数据保护影响评估、保留个人数据处理活动的记录等。如泰国虽然没有明确要求进行数据保护影响评估，但要求评估可能危及数据主体权利的个·第三方在收集、使用或披露个人数据时，仅按照除非这样做会违反法律要求；第三方应及时向数据控制者提供任何未经授权或非法丢失、访问、使用、更改、更正或披露个人数据的通知，并采取必要5.中东1)个人数据管理系统(PDMS)。是指雇主需要建立一个有效管理个人数据、违规通知和个人权利履行的系统，其中包括数据保护影响评估(DPIA)和处理活卡塔尔建议数据控制者进行影响评估，以确定与处理个人数据相关的任何风险。阿联酋规定当处理活动涉及对数据主体的个人方面进行系统性和广泛的评估RoPA类似于GDPR第30条，是在数据处理过程中进行活动记录的要求。卡塔尔、阿联酋、沙特、科威特都认为控制者有义务对所有处理活动以及出于任何合法目的的个人数据披露保留“全面且详细”的记录。因此，招聘企业在处理2)数据控制者和处理者合同。卡塔尔和沙特都要求数据控制者与处理者签署有关数据处理的合同。这意味着招聘企业需要与任何参与处理求职者个人信息的第三方服务提供商，比如人才招聘平台、人力资源管理系统供应商等，签订书面合同。并且，他们均应采取必要的预防措施，保护个人数据免遭丢失、损坏、更改、披露、非法访问或使用。处理者还应及时通知控制者是否存在任何违反法3)违规通知要求。如果发生可能对个人数据或个人隐私“造成严重损害”的数据泄露，数据处理者必须将泄露情况通知控制者。控制者将负责进一步通知受影响的个人和相关机构。与GDPR类似，卡塔尔和科威特都要求监测到违规行为后72小时发出通知。1.欧盟除前述个人数据收集、使用相关要求外，GDPR还要求招聘企业履行如下·保障数据主体权利：保障数据主体的知情权、访问权、更正权、删除权/2.北美在美国，尽管除加州的CPRA之外的数据保护法但其也与雇佣场景下的数据合规义务息息相关。如其他数据保护立法中规定了对于那些作为“处理者”协助“控制者”处理个人信息的实体的要求。这包括必须帮助控制者遵守法律、维护数据安全、响应消费者权利的请求以及在合同中对处因此，尽管这些州的数据保护法律可能不直接适用于人力资源数据，它们的存在对于雇佣法律顾问和人力资源专业人员而言是非常相关的。这些专业人员需海外数字化招聘数据合规白皮书3.南美如前所述，由于巴西的LGPD以GDPR为蓝本，招聘企业需要履行的其他4.东南亚与GDPR类似，东南亚国家普遍要求招聘企业在数据处理过程中履行保障例如，马来西亚未引入被遗忘权(删除权)和数据可携权，印尼等未引入限·强制登记制度：马来西亚、菲律宾均要求满足特定条件的数据控制注册登记(菲律宾：雇员超过250人或处理至少1000人敏感个人信息)。·报告数据泄露：时间上，越南要求在安全事件发生后5日内向有关机构报告，其他国家普遍要求在72小时内报告。中东国家的立法基本与GDPR类似，包含对雇主一般安全义务，要求他们在产品或服务与客户之前购买的产品相似的情况下，沙特并没有例外允许企据处理活动记录以及与个人数据处理相关的其他必要文件或信息上传到管理性企业颁发许可证，但并未明确说明企业需要获得哪些额外许可证才能处理个人数据。与GDPR要求受GDPR约束的非欧洲老牌企业在工会中任命代表类似，处理与居住在沙特的个人相关的个人数据的非沙特数据处理实体必须任命一名经管理局许可的沙特代表，以履行其法律义务。鉴于代表需要为在海外招聘过程中，企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。企业需要着重关注与此种数据跨境传输相关的合规简单来说，数据跨境传输就是指数据从一国/司法辖区流动到另一国/司法1)通过网络空间、电子设备、物理携带等形式将一国/司法辖区境内收集或2)允许境外机构、组织或者个人查询、调取、下载、导出存储在另一国/司出海企业在海外数字化招聘过程中，往往需要跨境传输应聘者个人信息，1)为评估应聘者的能力，决定是否录用等目的，将应聘者个人信息邮件发2)为全球统一管理之目的，将应聘者个人信息录入并存储在服务器设在中随着全球数据主权争夺战的加剧，以欧盟为代表的诸多司法辖区都对数据出1.欧盟在《通用数据保护条例》的框架下，欧盟要求其他国家只有在提供与欧盟同等水平保护的情况下，才允许个人数据跨境向其进行传输。允许数据跨境的具体护的充分性进行评估，将与《通用数据保护条例》保护水平相当的国家或地区列入“白名单”,允许欧盟个人数据向上述国家或地区传输。分支机构的跨国公司，由跨国公司自行拟定内部机构之间数据传输和保护的规则，经欧盟成员国数据监管机构审核批准后生效。运行多年来，共有100多家跨国公司申请并获得通过。BCR解决了跨国公司内部机构之间频繁传采用欧盟标准合同条款，通过将《通用数据保护条例》规定的义务转化为合·行为准则(CodesofConduct定时，该国的数据控制者或处理者可作出具有约束如果欧盟以外国家未达到欧盟数据保护水平，且仍《通用数据保护条例》规定的其他数据跨境情形包括：数据主体同意、为履行合2.东南亚：新马泰越(1)新加坡新加坡《个人数据保护法》和《个人数据保护条例》对不同数据流动情形的·对于以新加坡作为出海各国数据集中存储地进行数据中转(intransit),即来自新加坡境外的数据通过新加坡进一步转移至第三方国家或地区过程中的个人数据，该个人数据在新加坡境内未被任何组织访问、使用或披露(传输方或传输方员工访问和使用除外),视为已履行数据传输限制义务；·对于由新加坡境内流向境外的数据，要求除非确保接收方对传输的个人数据提供至少与《个人数据保护法》同等的保护，否则不得将任何个人数据传从《个人数据保护法》《个人数据保护条例》附带指引(《关于<个人数据保护法>关键概念的咨询指南》)及其实践来看，企业通常采用如下方式进行跨除上述两种方式以外，企业可以通过取得用户的同意或视为同意的方式，履行数据跨境传输的义务，但在此过程中，数据传输方应同步履行告知义务、正当(2)马来西亚西亚建立了个人数据跨境传输的基本体系以及未来可能进一步放开数据跨境传输何个人数据传输到马来西亚以外的地方。部分医疗记录、政府相关数据等数据通-马来西亚企业能够确保该个人数据不会以任何违背《个人数据保护法》此外，马来西亚未来可能进一步放开数据跨境传输的“白名单”或“黑名单”且可能在《个人数据保护法》后续修正案中由“黑名单”机制替代，即除了已被(3)泰国泰国通过《个人数据保护法》及其实施细则规范跨境个人数据传输。其第28条实施细则明确将数据接收国的个人数据保护水平作为“白名单”机制的评判标准，即如果数据接收国被评判为“充分保护国家”,则向该国传输个人数在“白名单”机制尚未建立的情况下，泰国跨境个人数据传输通常需要符合·额外采取合规措施，主要包括：(1)确立具有约束力的公司规则，经泰国数据保护机构批准；(2)标准合同条款；(3)根据泰国数据保护机构·泰国与外国之间传输个人数据的具有法律约束力和可执行性的法规或协(4)越南据跨境传输机制。越南数据跨境传输合规机制的实现主要依赖于企业自身开展个人数据跨境传输影响评估，且仅需将影响评估评估档案报送越南公安部，并接受越南公安部的事后监管。这与欧盟、中国等针对数据出境开展强监管的法域有显著不同，与周边的泰国、马来西亚等国家所采取的合规机制也有较大差在数据本地化及存储要求方面，根据越南《网络安全法》,在越南提供电信网络、互联网和网络增值服务的所有企业，其收集和处理个人信息的数据、服务用户关系的数据、服务用户生成的数据必须在规定时间内在越南存储。外国企业在数据跨境传输方面，根据越南《个人数据保护法》:·数据传输方必须进行个人数据跨境传输影响评估、持续更新和维护跨境传输影响评估档案，并在处理数据之日起60天内将档案提交越南公安部，以·数据传输完成后，应将相关数据传输的信息及负责组织或个人的联系方式以书面形式通知越南公安部。如果数据跨境传输出现违反国家安全，提交的个人数据跨境传输影响评估档案不完整、不符合要求或未及时更新，泄露或3.中东：沙特阿拉伯在数据本地化和数据跨境传输方面，沙特阿拉伯《个人数据保护法》要求数据控制者原则上必须在沙特的地理边界内存储和处理个人数据。在部分场景下，在上述场景下，企业跨境传输个人信息还需·“同等保护水平原则”:根据监管机构评估结果，数据接收国能够提供充·“最小必要原则”:个人数据跨境转移符合最小必要，数据传输方应说明需要传输的每类数据的类别和必要性，以及在沙特境外处理相关数据的处理·传输不得对沙特的国家安全或重大利益造成损害，不得违反沙特法律，不不符合“同等保护水平原则”的，数据传输方可以在如果不存在适当保障措施的情况下，沙特仍规定了数据跨境传输的有限例外4.北美：美国如前所述，美国无统一的联邦数据保护立法，其中最有代表性的加州立法系州立法，不涉及数据跨境传输。美国的数据流动政策希望通过数据跨境活动维护自身的技术经济优势和所拥有的数据市场，发挥数据经济价值，占据全球领先地位。因此，美国过往仅对重要数据采取相应的限制，即严格限制关键技术与特定领域的数据出口，对个人信息类型的数据跨境传输持开放态度。但是，美国近期2024年2月28日，美国总统颁布《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》(ExecutiveOrderonStatesGovernment-RelatedDatabyCountriesofConcern),限制乃至禁止包括中国(含香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉在内的“受关注国家”(CountriesofConcern)及符合条件的主体获取大量美国主体敏感个人数据及政府相关数据。其中，如果关于敏感个人数据的交易和传输超过一定门槛(即一定数量的美国人人数或美国设备数量),相关数据交易会落入规制范在的数据跨境流动”活动，从而使其适用于在美国的投资、商务和经营活动，影5.南美：巴西根据巴西《通用数据保护法》,个人数据跨境传输必须符合以下主要情形：·接收方所在国：符合《通用数据保护法》个人数据保护水平的国家或国际·数据控制者合规证明：关于传输的具体合同条款、标准合同条款或具有约2023年8月，巴西数据保护局发布《个人数据跨境传输条例》草案和配套标准合同条款并公开征求意见。条例草案规定，巴西数据保护局将确定哪些司法辖区具有足够的数据保护水平，允许个人信息在巴西与上述国家之间自由流动，海外数字化招聘数据合规白皮书在全球化的经济背景下，数据跨境流动已成为推动商业创新、促进国际贸易规则等方式，在保护个人信息的前提下，促进区域间的数据跨境流动。本报告谨1.欧盟-美国DataPrivacyFramework),并指出将继续合作，以期将这一安排转化为正式并转交欧洲数据保护委员会征求意见。2023年7月，欧盟委员会全面通过《欧盟-美国数据隐私框架的充分性决定》,美国商务部也同步公布《欧盟-美国数据隐私框架》并推出数据隐私框架计划网站，正式启动新的美欧跨境数据流动政策。《欧盟-美国数据隐私框架》(EU-USDataPrivacyFramework)旨在推动跨大西洋数据传输和商业往来，由美国确保对从欧盟传输至美国实体的个人数据提供足够的、与欧盟相当保护水平，为美欧跨境数据传输提供了基于“欧盟-美国美国实体通过数据隐私框架计划的网站公开承诺遵守数据隐私框架原则，并进行认证，以加入《欧盟-美国数据隐私框架》。申请认证的美国实体需遵守的主要合规义务包括：(1)发布符合数据隐私框架原则的隐私政策；(2)告知个人有关数据处理的信息；(3)为个人提供免费、便捷的投诉机制，且必须在452.亚太经合组织亚太经合组织跨境隐私规则(APECCross-BorderPrivacyRules,“CBPR”)是一项数据隐私认证机制，基于亚太经合组织于2005年批准并于2015年修订择加入该规则体系，获取数据隐私认证，以证明其遵守并实施了国际公认的数据在基本运行规则方面，加入CBPR的成员国/地区政府会指定一个或多个经CBPR认可的法人担任“问责代理机构”(AccountabilityAgents),问责机构通过认证成员国/地区内相关企业或组织，使这些受认证企业加入CBPR机制，受认证企业之间个人信息的跨境传输不受阻碍，其无需额外证明跨境信息传输符合其他成员国/地区的个人信息保护法律法规，且成员国/地区也不得以保护个目前，已有包括澳大利亚、加拿大、日本、韩国、墨西哥、菲律宾、新加坡、中国台湾和美国在内的多个经济体加入了亚太经合组织跨境隐私规则。根据CBPR,尽管受认证企业仍需遵守成员国/地区当地法律法规，但是，如果成员国/地区的当地法律法规使该成员国/地区参加CBPR的能力受到限制(如阻碍个人信息的跨境流动),则成员国/地区需考虑对相关法律法规进行修改。3.东盟东南亚国家联盟作为一个重要的区域性组织，基于对外经贸的需要，在数据治理和数据跨境流动领域出台了多部具有灵活性、包容性和指导性的合规政策文件。东盟于2016年出台《东盟个人数据保护框架》,提出保护数据、支持数字贸易和创新。2018年，东盟制定《东盟数字信息治理框架》,促进东盟跨境数据流通认证，推动东盟地区的数字信息互联互通。2021年，东盟出台《东盟跨境数据流动示范合同条款》,促进各成员国国内数据保护政策一致化，推进建立《东盟个人数据保护框架》确立了一系列的原则，包括同意、通知和目的，个人数据的准确性、安全保障、访问和更正、跨境数据传输、存留以及问责等7个方面。在跨境数据传输方面，该框架规定在将个人数据转移到另一个国家或地区之前，企业应获得个人有关向境外传输的同意，或采取合理措施确保数据接收为企业之间跨境传输个人数据提供了合同条款模板，具体分为从控制者到处理者的数据传输、从控制者到控制者的数据传输两个合同模板。企业可以采纳或修改尽管《东盟个人数据保护框架》和《东盟跨境数据流动盟出台的首批专门针对个人数据保护和跨境传输的区域层面的规范，但该规范对各成员国并不具有国际和国内的法律约束力，仅作为指导性文件为各成员国提供数据治理合作的框架基础，旨在灵活适应各成员国在数据保护监管方面的不同的4.欧盟-东盟2024年2月，东盟颁布更新后的《东盟跨境数据流动示范合同条款和欧盟标准合同条款联合指南》,该指引对东盟跨境数据流动示范合同条款和欧盟标准合同条款的共性和差异性进行比较和详解，帮助企业理解相关的合同义务和数据保护要求，概述了企业在实施保障措施时可考虑的符合两地跨境数据流动合同条款要求的最佳实践。进而进一步实现东盟和欧盟跨境数据流动合同条款的对接运目前来看，各国各地区的数据跨境传输法律法规虽然有一些相似性，但不同国家的跨境数据传输面对的问题可能完全不同，值得出海企业密切关注。鉴于数据跨境传输的复杂性，我们提出如下合规建当前各司法辖区的数据隐私立法大多具有域外效力。即便不在该司法辖区运营或处理个人信息，也可能因为收集该辖区内居民的个人信息，个人信息处理活出海企业应首先在境内外专业律师的协助下，判断应聘者个人信息处理活动的适识别出适用海外数据隐私立法以及对应数据跨境传输合规要求之后，出海企业应在境内外专业律师的协助下，按照事实发现、数据映射、差距分析等合规工作流程，识别出海企业合规现状与适用数据隐私立法要求之间的差距，并通过采取技术措施、建立管理制度及政策等，落实整改，弥合差距。如履行数据出境合规义务存在一定的阻碍，出海企业还需在必要时调整商业安排，如在境外设置服在海外数字化招聘场景中，出海企业不仅需要履行一系列与应聘者数据处理报告数据泄露、个人信息主体权利保障等义务。与此同时，在法律责任方面，不少司法辖区的数据隐私立法不仅规定了罚款等行政责任，还规定了直接责任人的当前，全球各司法辖区的数据隐私立法都处在高速发展中，因此，建议出海企业密切关注与出海地或服务地相关的数据合规政策的发展动态，及时调整合规政策和措施，以满足最新的合规要求。与此同时，鉴于出海企业在履行合规义务大成在中国境内拥有51家办公室，服务范围覆盖中国境内全部省、直辖市与自治区。作为中国成立最早、规模最大的合伙制律师事务所之一，大成成立于1992年，秉承“志存高远，海纳百川，跬步千里，共铸大成”的核心文化理念，致力于为国内外客户提供专业、全面、优质、高效的法律服务。大成团队自2012年即开始从事个人信息与数据保护相关法律实务，并获得-被CorporateINTL评选为2020数据与隐私保护领域中国年度律师事务所-被GlobalLawExperts评选为2019数据保护、隐私与网络安全领域中国-被CorporateINTL评为2019网络安全领域中国年度律师事务所；-荣获《商法》杂志评选的2019年数据与隐私保护领域年度大奖；-荣获CorporateLiveWire评定的2018年度全球奖项。-2021年度十五佳数据隐私律师-2022-LEGALBAND中国律师特别推荐榜15强：网络安全与数据合规-2021-《商法》TheA-List法律精英大成团队能够为客户提供全方位的个人信息与数据保护法律服务，业务类型研发场景下的数据保护尽职调查与审计大数据与竞争数据保护咨询与合规营销政策与数据战略昆血回作为中国最早从事个人信息与数据保护业务的团队之一，大成团队在该领域·为一家全球知名汽车零配件企业采用标准合同路径进行数据跨境传输提供法律服务，包括但不限于完成标准合同备案，以及准备与已签署的标准合同一同提交的个人信息保护影响评估报告(2023年至今)·为一家总部位于瑞士的精密仪器制造公司提供数据出境安全评估申报服务，包括但不限于评估适用路径、撰写自评估报告、建立和完善合规文提交申报等(2022年至今)·为一家国际领先的汽车零部件公司建立全面的PIPL合规体系提供法律服务，该项目涵盖各个方面(数据映射、差距评估、政策起草和改进、合规培·为一家知名折扣服务平台在华日常运营中的数据合规提供法律服务，并担任其中国代表，负责处理中国个人信息保护相关事宜(2022至今)·协助一家中国领先的显示屏制造商应对欧委会提供境内数据的要求(2022)·为一家国际领先的体育用品公司针对建立全面的PIPL合规体系提供法律意见，包括数据核查、差距评估、政策起草和完善、IT治理和DPO设置、APP测试等(2021)·为一家中国国际货运业务咨询服务提供商就编制全套数据合规文件提供咨询(2020)·为一家中国物流技术公司就海外业务的全面GDPR合规提供咨询服务·为一家总部位于美国的国际零售公司就其在中国运营的网络安全和等级保护问题提供咨询(2020)·为一家德国轴承制造商就员工数据输出和数据处理活动提供咨询(2020)·为新加坡一家大型工业集团就其在中国业务的网络安全问题提供咨询服务·为一家德国轴承制造商就员工数据输出和数据处理活动提供咨询(2020)·为一家中国领先的制药公司针对海外商业仲裁中跨境数据传输问题提供咨询服务(2020)海外数字化招聘数据合规白皮书·为一家美国生命科学公司就起草应对主管网络安全当局凌晨突袭的手册提供咨询(2019)三.国内+海外的数字化招聘合规方案对于出海企业的数字化招聘，大成团队能够独立提供国内数据合规大成团队能够独立提供的国内数字化招聘合规服务通常包括如下4个阶段：1)事实发现阶段(DataMapping):通过问题清单、访谈、文件审阅等形式，了解企业收集、使用、跨境传输应聘者个人信息，2)差距分析阶段(GapAnalysis):识别、分析企业当前的数据3)整改阶段(Rectification):基于差距分析情况，协助企业通过采取技术措施、建立管理制度及政策等方式，落实合规整改，弥4)更新阶段(Update):根据适用法律法规的发展，及时更新、>>>法律法规的要求，大成团队在各个阶段能够交付的工作成果如下(具体取决于企业的需求):目的/内容说明1.问题清单了解应聘者个人信息处理及企业数据保护技术和制度情况。直观反映应聘者个人信息处理的过程。分析企业的数据合规实践与适用法律法规要求之间的差距，并提出1.隐私政策遵守告知同意要求，取得个人信息处理的合法性基础。2.处理敏感个人信息单独同意函满足敏感个人信息处理场景中单独同意的要3.跨境数据传输告知函满足跨境数据传输场景的通知需求。为履行《个人信息保护法》和《数据安全法》为落实《个人信息保护法》以及《数据安全法求提供指引。涵盖数据安全事件发生后应采取的安全措施要求概述个人信息主体的所有权利，并包括处理权利要包括针对不同类型数据出境要求和合规程序(如有)。10.数据保存期限政策和存储期限表规定保留不同类型数据的原则、具体规则和程序留期限。11.数据保护官政策包括个人信息保护官和数据安全官的主要职责、危12.政府数据调取应对政策解决与政府(包括中国和外国的执法机构和司法机构)的数据访问请求有关的问题。13.供应商数据合规调查清单用作对供应商进行尽职调查的工具，以帮助企业第三方合作中潜在的数据保护风险。14.现场培训15.政策落地指导指导企业如何使用合规政策和文件以及使用场景，协助企业实及时告知企业政策发展的最新动向，并据此调整合规海外数字化招聘数据合规白皮书Moka将隐私设计理念融入现有安全开发周期SDL中，对所有涉及个人数据功能及服务的系统开发和产品设计均执行隐私设计安全开发流程。在需求设计阶段，充分考虑所涉及隐私安全的需求，根据业务内容、业务流程和隐私框架和安全团队进行沟通，确保隐私安全保护要求的落地充分考虑开发环境、测试环境、源代码及应用本身的安全性。进行个人数据保2.个人信息主体权利请求个人信息主体享有法律赋予的对其个人信息处理的知情权、访问权、更正权及删除权等权利。基于法律法规的要求，Moka隐私保护制度明确了个人信息主体权利请求响应流程和处理期限等方面的合规要求，并在产品功能上保障拒绝权等法律规定的权利。Moka建立了个人信息主体权利保障机制，由信息安全与隐私合规团队协同业务部门处理个人信息主体请求；通过个人信息主体Moka遵循本地化的个人信息主体权利保障流程进行处理，并在法律法规规定3.个人信息跨境传输全球范围内已有多个国家和地区的法律明确了个人信息本地化部署的要求，部分国家和地区对个人信息提出了转移影响评估等要求。个人信息合规、安全、有序的跨境流动，对于全球数字服务贸易的发展至关重要。Moka在开展全球化业务过程中，始终密切关注与个人信息跨境相关的全球立法动态、执法案例以及行业优秀的实践经验，积极探索适应自身业务发展的跨境转移合规方案。Moka在梳理外部法规要求的基础上，构建了一套个人信息跨境管理制·梳理公司业务开展过程中的个人信息流，基于业务设计和业界实践，评估个人信息跨境的必要性。Moka会优先采用本地化部署的方式，避免不必要的个人信息跨境转移，将服务过程中涉及的个人信息跨境控制在最小·针对需要个人信息跨境转移的场景，基于个人信息输出国的法律要求，4.供应商管理Moka重视对各类供应商的隐私合规管理，并将隐私合规要求纳入供应商管理政策。双方开展合作前，Moka会对供应商的合规能力进行评估并择优开·供应商应了解Moka的隐私保护政策，积极配合Moka对供应商的尽职·供应商应遵守与Moka签订的合同或协议中关于数据保护的要求，按约定履行和配合相应的个人信息保护义务，如配合Moka发起的隐私合规审计。供应商引入其他受托人(对应GDPR中的子处理者)须获得Moka的·供应商应积极采取必要的技术和组织措施，确保个人信息安全，防止个5.个人信息安全及合规认证Moka高度重视业务过程中的个人信息安全，制定了个人信息处理活动中须达到的信息安全要求。为营造安全的业务环境，