海外数字化招聘数据合规白皮书 2024.docx

Contents目录Part 1.企业走出去面临的数字化招聘数据合规挑战6-.中国企业出海现状7二,全球数据隐私立法概况三,海外数字化招聘中的数据合规挑战概览Part 2.海外数字化招聘全流程数据合规风险及应对12一.应聘者数据收集合规13二,应聘者数据使用合规18三.企业的其他数据合规义务21Part 3.海外数字化招聘中的数据跨境传输挑23一,数据跨境传输的主要情形及必要性24-.全球主要司法辖区数据篇境传输限制24三 .全球主要数据跨境自由流动区域规则30四 .出海企业数据跨境传输合规建议32Part 4.大成个人信息与数据保护法律服务33一 -大成个人信息与数据保护团队简介34二 .大成全球个人信息与数据保护法律实践35三 .国内+海外的数字化招聘合规方案36Part 5.Moka数据隐私合规解决方案39一 Moka数据隐私保护体系及合规实践40二 .Moka海外招聘数据隐私合规解决方案三 .MokaReCrUiting常见数据隐私合规问题42Part1企业走出去面临的数字化招聘数据合规挑战心E随着中国经济步入高质量发展的新时代，立足于经济转型升级需求，中国企业“走出去”已成为时代趋势，在欧洲、南美、中东、北美、东南亚布局最广。在全球80$以上的国家及地区均已进行数据隐私立法的背景下，出海企业在数字化招聘过程中，面临的应聘者数据收集、使用、跨境传输等诸多合规挑战。一.中国企业出海现状历年对外直接投资公报数据显示，近年来，我国对外直接投资流量持续加码，2020年位居全球第一。与此同时，“一带一路”沿线国家投资合作稳步推进，2022年非金融类直接投资达到209.7亿美元。在我国政策的指导和鼓励，以及海外广阔的市场空间、廉价劳动力、原材料资源等因素的驱使下，越来越多的中国企业开始积极“走出去”，开拓海外市场。据不完全统计，截至2022年，已有超过70万的中国企业尝试或计划出海。2008年-2021年中国对外直按投资流一单位：亿美元201阵-2022中Hihik“带路”从行业分布来看，信息技术、先进制造、医疗健康行业的中国企业出海积极性最高。从出海影响力来看，核心赛道主要有：跨境电商、泛娱乐'消费电子和电子制造。2023体出海企殳行业分布单位：%医疗健康信息技术先进制造汽车交通斯消费文化娱乐金融科技"数据来海中国出海企业现状洞察报告(2023)亿欧,HHBraanS2022Q1出海品I*杜泰彩力单T(Ploo行堡分布单位：%消费电子游戏电子商务工业制造泛娱乐旅游牌务-Kfe从全球布局来看，中国出海企业在欧洲、南美,中东、北美、东南亚布局最广。«数据来源：亿欧智库；2Q23年中国企业出海白皮1分从布局最广的五大地区的地域特征来看： 欧洲地区经济增长回暖，政府打造全新基建计划，东欧市场受到追捧，但政府法规众多，数据合规为重中之重； 南美地区金融科技市场潜力巨大，通讯行业发展不均衡，南共体对外关税降低，中国与其贸易增长空间较大； 中东地区油气产业左右经济增速，互联网渗透率高，与中国经贸合作不断迈上新台阶，实现互利共赢； 北美地区基建指数高，经济实力强，互联网渗透率全球第一，但受地缘政治影响深，与中国的合作致力于双方利益最大化； 东南亚地区劳动市场人口庞大，GDP增速高于全球平均水平，东盟国家与中国贸易往来密切，RCEP签订后贸易关税进一步降低。二.全球数据隐私立法概况根据全球最大数据隐私组织IPP(InternationalAssociationofPrivacyProfessionals)的定义，数据隐私主要关注个人数据的使用和规制，例如制定政策，以确保用户个人信息被通过适当的方式收集'分享和使用。个人信息是数据隐私保护的主要对象。根据我国个人信息保护法中的定义，“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化(经过处理无法识别特定自然人且不能复原)处理后的信息。与中国类似，世界各国大多都将“可识别性''作为个人信息最为重要的特征，只是对“个人信息”的称谓有所不同。例如，中国、日本、韩国等将其称为“个人信息”,欧盟、德国、巴西、美国加州等将其称为“个人数据”，台湾将其称为“个人资料”。随着越来越多的社会和经济活动通过线上进行，数据隐私保护的重要性日益得到全球各国的认可。如何规制个人信息的收集、使用、跨境传输等活动，保护个人信息主体权利，成为全球关注的话题。据联合国贸易和发展会议(UnitedNationsConferenceonTradeandDevelopment)的统计数据，截至2021年12月14日，全球194个国家中，已有137个国家进行了数据隐私立法，约占总数的71、。此外，9%的国家已有立法草案，15%的国家没有相关立法，5%的国家没有数据。DataProtectionandPrivacy1.egislationWorldwide71%COUNTRIESWITH1.egislation9%COUWTRiesWrTHDraft1.egislation15%COUNTRIESWrrHNo1.egislation5%COUNTRIESW11>lNoData*DataProtectiandPrivacy1.egiSIaUonWorlctwicie,https½bnctad.orgpage,data-pro<ecti-arxJ-privacy4gislation-WOrfcMide据更新统计，自2011年开始，全球数据隐私立法稳步增长。截至2023年初,联合国成员国中仅有18%未进行数据隐私立法（包括立法草案）。统计年份2011201320152017201920212023年初立法国家数量7699109120132145162尽管在立法背景和文本细节上存在些许差异，但是整体而言，全球数据隐私立法在立法目的和基本原则上具有一定的相似性。在立法目的上，各国立法均旨在保护自然人的个人信息，并寻求促进创新和保护隐私权利两者间的平衡。在基本原则上，各国立法几乎均包括：- 告知同意：即企业在收集、存储、共享个人信息前，应告知个人信息主体,并取得主体的同意。- 目的限制：即企业仅能将个人信息用于合法、特定的目的。- 数据最小化：即企业仅能够在最小必要范围内收集、存储数据。- 主体权利：即企业应保障个人信息主体对其个人信息享有的访问、更正、删除等权利。三.海外数字化招聘中的数据合规挑战概览鉴于全球大多数国家都有数据隐私立法，因此中国企业在“走出去”的过程中基本都需要关注相关的合规要求。具体到海外数字化招聘这一场景，企业可能面临的全生命周期数据合规挑战包括：1 .应聘看数据收集合规在数字化招聘中的简历收集、面试'背调等环节，企业可能会收集应聘者的大量个人信息，甚至敏感个人信息，需要遵守适用数据隐私立法规定。2 .应聘者数据使用合规收集应聘者个人信息以后，企业可能会对应聘者个人信息进行存储、使用'加工、共享等处理，这些活动同样需要遵守适用数据隐私立法的规定。3 .应聘者数据普境传输合规在海外招聘过程中，企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。当前，不少主要司法辖区都对个人信息出境设置了严格的限制条件，企业需要着重关注相关合规要求。4 .其他数据合规义务应聘者个人信息收集、使用和跨境传输是企业海外数字化招聘过程中主要的数据隐私合规场景。除此之外，出海企业还可能需要关注诸如数据安全保障'个人信息主体权利保障等合规义务。Part2海外数字化招聘全流程数据合规风险及应对针对中国企业“走出去”面临的数字化招聘数据合规挑战，本章选取了欧盟、北美、南美'东南亚、中东这五个中国企业的主要出海地（下称“五地区”）.基于应聘者数据处理的不同环节，简要介绍了各地区重点国家的数据隐私立法及主要合规要求，以期为出海企业提供合规参考。需要注意的是，当前各司法辖区的数据隐私立法大多具有域外效力。即便不在该司法辖区运营或处理个人信息，也可能因为收集该辖区内居民的个人信息，向辖区内居民提供商品或服务，个人信息处理活动与辖区内所设机构活动相关等原因而受该司法辖区数据隐私立法的管辖。因此，出海企业应首先在专业律师的协助下，基于具体业务模式和个人信息处理情况，判断其个人信息处理活动的适用数据隐私立法。一.应聘者数据收集合规在数字化招聘中的简历收集、面试、背调等环节，企业可能会收集应聘者的大量个人信息，甚至敏感个人信息。与该环节相关的五地区重要立法概况如下：1 .欧盟2018年5月25日生效的欧盟通用数据保护条例(GeneralDataProtectionRegUIatiOn,下称"GDPR")是全球影响最广的数据隐私立法，在欧盟运营或收集欧盟内居民的个人数据均受其管辖。如违反GDPR,企业可能面临最高不超过2千万欧元或企业上一财年全球年营业额4%的罚款，以两者中较高者为准。在GDPR项下，提供个人数据的应聘者是“数据主体"(datasubject);决定应聘者数据收集目的的招聘企业是“数据控制者"(datacontroller);为招聘企业提供招聘所需的技术、软件支持的机构是“数据处理者''(dataprocessor)o遵循GDPR处理应聘者数据，需要具备合法性基础。在招聘场景下最有可能适用的三项合法性基础是：1)取得应聘者的同意。有效同意是数据主体通过明确肯定的方式自愿作出的具体、知情及明确的意思表示。在雇佣场景下，招聘企业与应聘者之间可能存在权力失衡，应聘者的自愿可能受限。但是，如招聘企业能够证明，即便应聘者不同意也不会产生任何不利后果，则可将同意作为合法性基础。2)应数据主体的请求为订立合同而处理。这一合法性基础要求仅收集对招聘必要的个人数据。一些欧盟国家的就业或劳动立法明确规定了可以出于招聘目的收集哪些类型的个人数据。超出该范畴，需要取得应聘者的自愿同意。3)合法利益(Iegitimateinterest)。合法利益(也即处理数据，帮助候选人找到工作)是最灵活的一项合法性基础。其适用前提是：企业以应聘者能够合理预期的方式使用其个人数据，且不会对数据主体的权益造成较大影响。除需满足合法性基础外，企业在应聘者数据收集环节主要还需要履行如下义务：1)为合法利益处理应聘者数据：仅基于“特定、明确且合法的目的”收集个人数据，仅收集招聘必要的个人信息，且应在一个月内联系应聘者。仅为搭建人才库，以备未来之需等目的收集应聘者个人数据，包括社交平台公开数据，是非法的。2)就处理敏感个人数据取得同意：如需收集应聘者的敏感个人数据(例如种族'宗教信仰、生物识别、性取向、健康等相关数据)或为平等就业机会调查或背调目的收集个人数据，应仅限于最小必要范围，且需要以清晰易懂的方式取得应聘者的自愿同意，并提供撤回同意的明确指引。海外数字化招聘数据合规白皮书3）确保数据处理的透明度：通过隐私政策向应聘者明确告知招聘企业的身份'联系方式、处理其个人数据的目的'法律基础、数据类型、存储期限、数据主体权利、行权方式等。2 .北美与欧盟GDPR相比，北美的数据隐私立法更加多样且不尽相同。本报告仅选取美国和加拿大这两大主要出海国作简要介绍。（1）美国在美国，目前并没有影响数据保护的一般联邦立法，对于招聘企业来说，需要关注其具体所在州的法案情况。截至2024年2月，已有超过十四个州颁布了全面的数据保护法，但除加州外，大多数州数据保护法中的“个人信息”或“个人数据”的处理规定仅适用于居住在相应州的“消费者”，即那些在个人或家庭环境中行事的居民，而不包括那些在职场环境中，作为求职者，或作为某个雇员的受益人行事的个人。例如：科罗拉多州隐私法认为，只有在个人或家庭环境中活动的科罗拉多居民才是消费者，而求职者或就业环境下的受益人则不在此列。特拉华州个人数据隐私法和印第安纳州消费者数据保护法也明确，与就业相关的数据（如求职、在职、作为代理或独立承包商的情况，以及紧急联系和员工福利相关的数据）不属于管辖范围。加州的数据保护立法主要包括加州消费者隐私法案（CaliforniaConsumerPrivacyAct,下称mCCPAw）和加州隐私权法案（CaliforniaPrivacyRightsAct,下称“CPRA"）oCPRA在CCPA的基础上增加了对符合以下条件的营利性加州雇主的数据合规义务：（1）年总收入超过2500万美元；（2）购买、出售或共享100,000名或以上加州居民或家庭的个人信息；（3）其年收入的50%或以上来自出售或共享加州居民的个人信息。具体而言：在收集数据阶段，这些符合条件的招聘企业必须向求职者或员工提供包括以下内容的隐私声明：收集的敏感个人信息的类别；数据是否被共享或出售；每类个人信息的保留期限；如何处理消费者权利请求；谁在收集数据（是人力资源团队、外包的招聘人员等）；收集的目的，或者共享和出售雇员个人信息的目的。同时，应聘者可以不选择共享敏感个人信息。（2）加拿大加拿大的数据保护则是通过全国性的立法进行的，如个人信息保护和电子文件法（PersonalInformationProtectionandElectronicDocumentsAct,下称“PIPEDA”），旨在保护加拿大公民在商业活动中的个人信息，适用于联邦监管的招聘企业，以及在尚未采用实质上类似隐私立法的省份运营的受省级监管的招聘企业。PIPEDA要求组织对其收集、使用和披露的个人信息负责，并采取适当措施保护这些信息。它还要求组织对其隐私政策和做法保持透明，并在收集'使用或披露个人信息之前获得个人的同意，且员工不能“一揽子放弃”其隐私权。3 .3美南美国家在数据保护领域的立法进展相对于欧盟而言较为缓慢，但近年来这些国家已经在努力向GDPR看齐，开始加强其数据保护法规，以应对全球数字化趋势的挑战。如巴西受GDPR的影响较大，在2018年生效了通用数据保护法(GeneralDataProtection1.aw),并成立了国家数据保护局。智利的参议院也正在讨论新的个人数据法案，该法案将大幅修改1999年第19.628号数据保护法。在雇佣场景下，巴西1.GPD的要求基本与GDPR保持一致，招聘企业在收集数据之前需要明确告知并获得应聘者的同意，且同意不能通过“一般授权”获得，而必须根据GDPR提及特定目的或明确且细致。4 .东南亚东南亚地区国家普遍已有数据隐私专门立法，其中六个主要出海国立法如下： 马来西亚是东南亚国家中较早推行数据保护的国家，其数据保护体系主要包括2010年的个人数据保护法(PerSOnalDataProtectionAct2010)及其相关配套规定。 印尼于2022年通过了个人数据保护法(“1.awN。.27of2022regardingPersonalDataProtectionw),是印尼第一部综合性数据保护立法，其适用的域外效力比GDPR更为广泛，只要雇主在印尼境外的数据处理活动对该国或该国的任何公民具有“法律影响”，就应受到规制。 菲律宾有关个人数据保护的立法以2012年数据隐私法案(DataPrivacyAct)为核心，其他领域的立法中也含有部分关于个人数据保护的规定。 新加坡的数据保护法律体系以2012年的个人数据保护法(PersonalDataProtectionAct)为主。为更好地执行该法，新加坡个人数据保护委员会出台了包括2021个人数据保护条例个人数据保护(数据泄露通知)条例等一系列条例和指引，以及该法的咨询指南。 泰国于2019年通过了第一部综合性数据保护法律个人数据保护法(PersonalDataProtectionAct2019),2022年6月1日生效。 越南个人数据保护法(DecreeonProtectionofPersonalData)于2023年7月1日正式生效。在应聘者数据收集场景下，上述六国的数据保护立法均与欧盟GDPR类似，普遍要求招聘企业遵守如下要求：1）基本原则：类似于GDPR,大部分东南亚国家的雇主收集处理数据的基本原则包括了以下内容： 合法、公平、透明（“合法性”）：该原则要求数据处理活动以合法、公平、透明的方式进行。合法性原则本质上要求数据处理活动基于适当的合法理由进行。 目的限制：该原则要求告知数据处理的目的，并按照该目的进行数据处理。数据处理目的应当明确、明确、合法。 数据最小化：这一原则要求数据处理活动使用充分、相关且仅限于知情目的所需的数据。 准确性：这一原则要求处理的数据准确且最新。 完整性、安全性和保密性：该原则要求保护处理后的数据免受未经授权或非法处理活动的影响，包括未经授权的访问、未经授权的披露、未经授权的更改、滥用、丢失或损坏数据。 合法保留：该原则要求，如果保留期结束或数据主体提出要求，则根据适用的法律和法规销毁或删除个人数据。 确保数据主体的权利：在进行数据处理活动时，必须根据适用的法律和法规考虑并遵守数据主体的权利。 问责制：该原则要求处理活动以负责任且可证明的方式进行。2）告知同意，招聘企业在收集应聘者个人数据前告知数据主体个人数据处理的目的等，并取得应聘者的同意。越南明确规定了数据主体的沉默或不回应并不被视为同意。新加坡则规定了特定情况下的“视为行为同意”和“通过通知视为同意”。例如，求职者主动提供个人信息以申请工作，可以视作他们同意招聘企业为处理职位申请而收集和使用其个人信息。此外，新加坡还规定雇主可以在某些没有获得明确同意的情况下处理应聘者的数据，但这仅限于必要的雇佣管理目的，如薪资处理'员工福利管理及评估个人的就业适合性等。一旦应聘者被录用，雇主继续使用其个人数据来管理雇佣关系也被视为合理。3）目的限制：招聘企业应在合法、与其行为直接相关的目的下收集个人数据，避免收集不必要的个人数据。如新加坡将身份证号码视作高度敏感个人信息，受到更高水平的保护。5.中东随着数据隐私法规的快速发展，中东各国也在加紧更新和加强他们的立法以保护个人数据。其中四个主要出海国立法如下：卡塔尔是海湾合作委员会(GCe)成员国中第一个颁布个人数据保护法的国家，即2016年的个人数据隐私保护法(1.awNo.13of2016ConcerningPersonalDataPrivacyProtection1.aw),并在2021年发布了适用指南。 阿联酋于2021年11月颁布了2021年联邦数据保护法(UAEDataProtection1.aW)C此外，迪拜国际金融中心(DIFC)也有自己的2020年数据保护法(DlFC1.awXo.5of2020),影响了所有在DlFC注册的实体。 沙特阿拉伯于2021年颁布了个人数据保护法(PerSonalDataProtection1.aw),并于2023年进行了更新。同时，沙特还制定了一系列实施性细则、补充性规定，包括个人数据保护法实施条例个人数据境外传输条例以及金融、电子商务、电信互联网等不同行业领域的个人数据保护要求和标准等。 科威特也在2024年发布了新的数据隐私保护条例(DataPrivacyProtectionRegulation)n在应聘者数据收集场景下，这些国家的数据保护立法同样与欧盟GDPR相近，普遍要求招聘企业遵守如下要求：1)具有合法性基础.处理个人数据需要有合法依据，如为履行合同(如工作合同)所必需、遵守法律义务、保护数据主体或他人的重大利益等。与GDPR不同的是，阿联酋并不将“合法利益”作为允许处理个人数据的基础。2)透明度。招聘企业应提供清晰的隐私政策，在收集个人数据之前向候选人明确说明收集数据的目的、将要收集数据的范围、个人数据将与之共享的任何第三方以及为涵盖任何跨境数据传输而采取的保护措施等信息，并确保候选人有机会自由选择是否同意。3)告知同意。除特定情形外，招聘企业在收集个人数据前需要获取数据主体的明确同意。尤其是沙特并未为雇佣关系下的个人数据处理提供特定的例外，除了法律要求的数据处理外，几乎所有的非合同规定的个人数据处理都需要获得员工的同意，且必须获得每个处理目的的独立同意。对于处理“特殊性质”（涉及健康、宗教、宗教、犯罪等信息）的个人数据，卡塔尔还要求获取数据保护权威机构的同意。4）目的限制。招聘企业应遵循最小必要原则，只收集招聘过程中必要的个人数据，避免收集与职位要求无关的敏感信息。比如沙特将所需的最小数据量定义为：为实现特定目的而适当且必要且与该目的直接相关；仅限于实现目的所需的实际内容，不收集任何其他数据；在不收集不必要的数据的情况下，采取应有的谨慎措施，合理地受益于有助于实现目的的技术能力；依法确定个人数据内容的文件程序。二.应聘者数据使用合规收集应聘者个人信息以后，出海企业为评估应聘者专业能力、了解应聘者性格、建立人才库等目的，可能对应聘者个人信息进行存储、使用、加工、共享、加工等处理。以下对该环节欧盟、北美、南美、东南亚、中东等地区的典型立法作简要介绍。1.欧盟GDPR中与应聘者数据使用相关的合规要求主要包括：1）目的限制：仅能为招聘之目的使用应聘者个人数据。未经应聘者自愿同意，不得用于人才库搭建等目的。2）处理原则：应以合法、合理、透明的方式进行处理，并采取措施，如及时更新等，确保应聘者个人数据的准确性。3）存储期限：原则上招聘流程结束时即应删除未录用应聘者信息。一些司法辖区允许招聘企业为预防争议或未来工作机会，基于合法利益或应聘者自愿同意保留一段时间，但设置了最长期限。4）委托处理：与提供技术支持的机构签订协议，约定其对招聘企业的责任、处理期限、处理性质与目的、个人数据类型、数据主体类型、招聘企业的责任与权利等。如受托人违反GDPR义务，招聘企业需为之担责。5）安全措施及记录义务：采取与数据处理活动相适应的技术和组织措施，确保数据处理过程的安全性，并以书面形式（包括电子形式）全面留存数据处理活动记录。2.北美(1)美国在美国，以最严格的加州CPRA为例，在数据使用阶段： 与GDPR类似，企业必须与服务提供商签订书面合同，以明确数据处理的规则。合同必须包括以下内容：雇员数据处理的目的和限制；禁止出于合同未指定的其他目的使用、披露或保留个人数据，这应包括就业和招聘；要求供应商遵守CPRA的规定，并在他们不再或暂时不遵守任何条款时通知；要求服务提供商允许招聘企业采取合理步骤确保他们的合规性，例如进行审计；允许招聘企业采取合理步骤停止和纠正任何未经授权的访问员工数据的条款；与消费者请求相关的条款，服务提供商必须响应以帮助招聘企业遵守；禁止出售或共享数据，要求在他们使用子处理器时进行通知。 招聘企业必须确保员工数据得到良好保护，最小化数据泄露的风险。员工数据中通常包含敏感个人信息，因此那些处理对求职者或员工隐私构成重大风险的招聘企业必须进行定期的风险评估和网络安全审计。(2)加拿大在加拿大，PIPEDA建议企业将以下原则融入政策和程序中，以增强隐私保护： 审查所有相关的法律要求和权利，包括集体协议、联邦与省级的隐私法、侵权法、人权以及劳动法； 明确正在收集,使用及披露的员工信息种类，并评估其敏感性； 进行隐私影响评估，帮助建立隐私管理计划、政策和培训计划； 检验拟定的员工信息管理实践； 确保仅收集实现既定目标所必需的信息； 通过制定公开可获取的政策，确保信息收集、使用和披露的过程透明； 遵守核心隐私原则：问责制、准确性、收集、使用、披露和保留的限制，采用合适的保护措施保护信息，保持政策和实践的透明度与开放性，个人访问权，以及允许受影响者质询合规性； 警惕不当行为。3 .南美在数据使用阶段，因为巴西的1.GPD以GDPR为蓝本，招聘企业需要满足的合规条件可参照欧盟GDPR执行。4 .东南亚与GDPR类似，东南亚各国普遍要求企业在使用应聘者数据时履行如下义务： 在合理、必要的目的范围内处理个人数据； 保留个人数据不超过必要时间。如泰国虽然没有规定保留期限，但要求雇主确保告知员工其个人数据的保留期限； 采取适当的安全措施，以保护存储的个人数据免遭未经授权的访问、丢失、滥用、修改、编辑或披露。必须定期审查此类安全措施。企业必须建立个人数据安全措施，包括管理保障、技术保障和物理保障，以获取或管理个人数据的使用。 进行数据保护影响评估、保留个人数据处理活动的记录等。如泰国虽然没有明确要求进行数据保护影响评估，但要求评估可能危及数据主体权利的个人数据收集、处理和披露的风险水平和程度。 第三方在收集、使用或披露个人数据时，仅按照数据控制者的指示行事，除非这样做会违反法律要求；第三方应及时向数据控制者提供任何未经授权或非法丢失、访问、使用、更改、更正或披露个人数据的通知，并采取必要的安全措施来防止这些行为；5 .中东中东国家与应聘者数据使用相关的合规要求主要包括：1)个人数据Ira系统(PDMS)。是指雇主需要建立一个有效管理个人数据、违规通知和个人权利履行的系统，其中包括数据保护影响评估(DPlA)和处理活动记录(RPA)<.卡塔尔建议数据控制者进行影响评估，以确定与处理个人数据相关的任何风险。阿联酋规定当处理活动涉及对数据主体的个人方面进行系统性和广泛的评估或涉及大量敏感个人信息时，DPlA是强制性的要求。沙特进一步为DPIA提供了最低限度的信息要求。RoPA类似于GDPR第30条，是在数据处理过程中进行活动记录的要求。卡塔尔、阿联酋、沙特、科威特都认为控制者有义务对所有处理活动以及出于任何合法目的的个人数据披露保留“全面且详细”的记录。因此，招聘企业在处理应聘者数据时应注意保存其职责范围内的处理活动记录。2）数据控制者和处理者合同.卡塔尔和沙特都要求数据控制者与处理者签署有关数据处理的合同。这意味着招聘企业需要与任何参与处理求职者个人信息的第三方服务提供商，比如人才招聘平台、人力资源管理系统供应商等，签订书面合同。并且，他们均应采取必要的预防措施，保护个人数据免遭丢失、损坏、更改、披露、非法访问或使用。处理者还应及时通知控制者是否存在任何违反法律规定的预防措施的情况或出现以任何方式威胁个人数据的风险。3）违规通知要求。如果发生可能对个人数据或个人隐私“造成严重损害”的数据泄露，数据处理者必须将泄露情况通知控制者。控制者将负责进一步通知受影响的个人和相关机构。与GDPR类似，卡塔尔和科威特都要求监测到违规行为后72小时发出通知。三企业的其他数据合规义务1 .欧盟除前述个人数据收集、使用相关要求外，GDPR还要求招聘企业履行如下义务： 保障数据主体权利：保障数据主体的知情权、访问权、更正权、删除权/被遗忘权、可携权、处理限制权、反对权以及限制自动决策权等。 报告数据泄ih在发生数据泄露后72小时之内向数据监管机构报告。 开展数据保护影响评估：在数据处理活动可能给数据主体的权利和自由带来高风险时，开展事前数据保护影响评估。 任命数据保护官：存在法定情形，需任命数据保护官。2 .北美在美国，尽管除加州的CPRA之外的数据保护法并不直接适用于雇佣场景，但其也与雇佣场景下的数据合规义务息息相关。如其他数据保护立法中规定了对于那些作为“处理者”协助“控制者”处理个人信息的实体的要求。这包括必须帮助控制者遵守法律、维护数据安全、响应消费者权利的请求以及在合同中对处理者施加的义务。因此，尽管这些州的数据保护法律可能不直接适用于人力资源数据，它们的存在对于雇佣法律顾问和人力资源专业人员而言是非常相关的。这些专业人员需要理解这些规则，并确保公司在处理个人信息时遵守相关法律。3 .南美如前所述，由于巴西的1.GpD以GDPR为蓝本，招聘企业需要履行的其他数据合规义务可参照欧盟GDPR执行。4 .东南亚与GDPR类似，东南亚国家普遍要求招聘企业在数据处理过程中履行保障数据主体权利、报告数据泄露、开展数据保护影响评估、任命数据保护官等义务。与此同时，各个国家也有一些差异，举例如下： 数据主体权利：与GDPR相比，东南亚各国的数据主体权利范围普遍更小。例如，马来西亚未引入被遗忘权（删除权）和数据可携权，印尼等未引入限制自动决策权等。 强制登记制度：马来西亚、菲律宾均要求满足特定条件的数据控制者进行注册登记（菲律宾：雇员超过250人或处理至少IOe）O人敏感个人信息）。 报告数据泄誉：时间上，越南要求在安全事件发生后5日内向有关机构报告，其他国家普遍要求在72小时内报告。5 .中JK中东国家的立法基本与GDPR类似，包含对雇主一般安全义务，要求他们采取适合风险水平的措施。但在某些方面也存在区别： 营策中的同意：沙特也要求企业获得数据所有者的同意，但与GDPR不同，在产品或服务与客户之前购买的产品相似的情况下，沙特并没有例外允许企业在未经同意的情况下发送营销信息。 处理活动记录的上传要求：与GDPR不同，沙特规定控制实体必须将其数据处理活动记录以及与个人数据处理相关的其他必要文件或信息上传到管理局维护的电子门户。 需要获将牌照或委任持牌代表：沙特规定管理局应向商业、专业或非营利性企业颁发许可证，但并未明确说明企业需要获得哪些额外许可证才能处理个人数据。与GDPR要求受GDPR约束的非欧洲老牌企业在工会中任命代表类似，处理与居住在沙特的个人相关的个人数据的非沙特数据处理实体必须任命一名经管理局许可的沙特代表，以履行其法律义务。鉴于代表需要为此目的获得许可，代表的地位和职能可能比GDPR更严格地监管和审查。Part3海外数字化招聘中的数据跨境传输挑战在海外招聘过程中，企业可能将收集的个人信息与中国或其他司法辖区的关联公司或第三方公司共享。企业需要着重关注与此种数据跨境传输相关的合规要求。一.数据跨境传输的主要情形及必要性简单来说，数据跨境传输就是指数据从一国/司法辖区流动到另一国/司法辖区。主要包括两种情形：1)通过网络空间、电子设备、物理携带等形式将一国/司法辖区境内收集或产生的数据传输、存储至境外。2)允许境外机构、组织或者个人查询、调取'下载、导出存储在另一国/司法辖区境内的数据。出海企业在海外数字化招聘过程中，往往需要跨境传输应聘者个人信息，例如：1)为评估应聘者的能力，决定是否录用等目的，将应聘者个人信息邮件发送给中国总部管理人员或允许其远程访问相关个人信息。2)为全球统一管理之目的，将应聘者个人信息录入并存储在服务器设在中国境内的人力资源管理系统中。二.全球主要司法辖区数据跨境传输限制随着全球数据主权争夺战的加剧，以欧盟为代表的诸多司法辖区都对数据出境，尤其是个人信息出境，设置了严格的限制条件。以下谨选取五地区的主要国家，简要介绍个人信息出境相关的立法限制。1 .欧盟在通用数据保护条例的框架下，欧盟要求其他国家只有在提供与欧盟同等水平保护的情况下，才允许个人数据跨境向其进行传输。允许数据跨境的具体措施和要求包括：基于充分性认定的白名单制度。欧盟委员会对欧盟以外国家或地区数据保护的充分性进行评估，将与通用数据保护条例保护水平相当的国家或地区列入“白名单''，允许欧盟个人数据向上述国家或地区传输。约束性公司规则(BindingCorporateRules,BCR)适用于在欧盟设立分支机构的跨国公司，由跨国公司自行拟定内部机构之间数据传输和保护的规则，经欧盟成员国数据监管机构审核批准后生效。运行多年来，共有100多家跨国公司申请并获得通过。BCR解决了跨国公司内部机构之间频繁传输数据的隐私保护问题，但同时也存在适用范围有限、实施成本高等弊端。,标准合同条款(StandardContractualClause,SCC)o数据传输双方采用欧盟标准合同条款，通过将通用数据保护条例规定的义务转化为合同义务和责任，确保对数据主体权利的保护。行为准则(CodesofConductjCoC)。当欧盟以外国家未获得充分性认定时，该国的数据控制者或处理者可作出具有约束力、可强制执行的承诺，遵守经批准的行为准则，则欧盟数据可向其传输。如果欧盟以外国家未达到欧盟数据保护水平，且仍未提供适当的保障措施，通用数据保护条例规定的其他数据跨境情形包括：数据主体同意、为履行合同义务所必需、保护重要公共利益、保护数据主体及他人的重大利益等情形。2.东南亚：新马泰越(1)新加坡新加坡个人数据保护法和个人数据保护条例对不同数据流动情形的监管要求不同。 对于入境新加坡的数据，不设限制； 对于以新加坡作为出海各国数据集中存储地进行数据中转(intransit),即来自新加坡境外的数据通过新加坡进一步转移至第三方国家或地区过程中的个人数据，该个人数据在新加坡境内未被任何组织访问、使用或披露(传输方或传输方员工访问和使用除外)，视为已履行数据传输限制义务； 对于由新加坡境内流向境外的数据，要求除非确保接收方对传输的个人数据提供至少与个人数据保护法同等的保护，否则不得将任何个人数据传输到新加坡以外的国家或地区。从个人数据保护法个人数据保护条例附带指引(关于个人数据保护法关键概念的咨询指南)及其实践来看，企业通常采用如下方式进行跨境传输： 与接收方签订数据处理协议 集团内签订具有约束力的公司规则(BindingCorporateRUIeS,“BCRs”)除上述两种方式以外，企业可以通过取得用户的同意或视为同意的方式，履行数据跨境传输的义务，但在此过程中，数据传输方应同步履行告知义务、正当手段、不得以同意作为提供服务前提等合规要求。(2)马来西亚根据马来西亚个人数据保护法个人数据保护条例等相关法规，马来西亚建立了个人数据跨境传输的基本体系以及未来可能进一步放开数据跨境传输的“白名单”或“黑名单”机制。首先，个人数据保护法规定，原则上，数据传输方不得将数据主体的任何个人数据传输到马来西亚以外的地方。部分医疗记录、政府相关数据等数据通常需要本地化存储，除非得到正式授权，否则通常禁止将这些数据传输到境外。其次，在符合以下条件的情况下，马来西亚允许个人数据跨境传输：- 向部长根据个人数据保护专员建议指定的“同等保护水平”地区传输。- 企业满足以下主要条件之一：- 数据主体同意；- 履行与数据主体作为一方当事人的合同所必需；一为法律诉讼或维护合法权利；- 马来西亚企业能够确保该个人数据不会以任何违背个人数据保护法的方式被处理；- 为保护数据主体利益所必需；- 符合公共利益等。此外，马来西亚未来可能进一步放开数据跨境传输的“白名单”或“黑名单”机制。“白名单”机制是指企业可以从马来西亚将个人数据直接传输至“白名单”国家(包括中国)而无需依赖合规机制，但目前该等“白名单”机制尚未正式生效，且可能在个人数据保护法后续修正案中由“黑名单”机制替代，即除了已被部长列入黑名单的司法辖区外，数据传输方可以自由将个人数据跨境传输。(3)泰国泰国通过个人数据保护法及其实施细则规范跨