企业HR部门是接触员工个人信息最多的部门之一，随着《个人信息保护法》的出台，企业HR对个人信息的合规处理有着新的考量。前不久，上上签电子签约应邀参加了HRise的“超级访谈”栏目，与 《人力资源数字化转型行动指南》作者&深蓝信息公众号分享人徐刚 、北京大成（上海）律师事务所合伙人杨傲霜一起接受了HRise创始人程海涛的专访。

大家从各自视角出发，围绕“《数据安全法》和《个人信息保护法》对HR数字化有何影响”进行了深度探讨。 

1. 程海涛：《个人信息保护法》和《数据安全法》出台，对正在进行的人力资源数字化转型有哪些影响？我们先从HR视角开始，请徐老师做一些阐述

徐刚：《个人信息保护法》出台后，对HR而言是一个不小的挑战。
首先，HR不是技术出身，对于如何更好地存储信息，没有特别强的意识。之前HR在一些日常工作中可能会将员工信息，包括电话号码、身份证比较随意地存在自己的网盘上。可能有时会出现一些信息泄露的情况。
现在基于数字化时代，很多公司都开始运用云的系统。不管是国家的个税APP，还是现在的电子签约系统。其实我们都已经离不开云的系统，企业很难离开互联网的环境单独存在。

所以在这个情况下，我们又不得不去应对，将一些个人员工的信息数据放在云上。
这时大家就会有很多疑问：
第一，能不能把员工信息放在一些云的系统上？担心员工数据万一出问题谁负责？
第二，现在从数字化转型的角度看，一方面HR要为业务赋能，另一方面最近非常火的词是员工体验，我们还要保证员工的体验。
这时HR会有一些想法：
比如，我们在为员工甚至是为其家人过生日的时候，可能会给他们送去祝福。但这就会牵涉一些个人隐私。另外还有一些个人的人生事件，像结婚生小孩。在这种情况下，我们是否可以利用这些数据，在不征求员工同意的权利下给他们惊喜？
HR的日常工作离不开个人信息、数据，《个人信息保护法》出台后，我们到底用到什么程度，什么场景才能用，会有很大的困惑。

程海涛：对HR来说，如果数据处理或者使用得不恰当，真有可能把惊喜变成惊吓。Daniel你怎么看？
上上签电子签约解决方案总监Daniel：现在企业跟上云已经分不开了，以前可能很多企业单位的HR会觉得信息掌握在HR部门手里是最安全的。担心一旦上云出事，如何来处理。

所谓的安全，如果是将其锁在一个保险箱里无法流动，也不能称之为安全。所以我们要在合规使用信息的基础上让其发挥效用。

现在两部法律出台以后，特别是《个人信息保护法》，个人认为“反而是企业如果保有和处理这些个人信息，意味着巨大的风险和投入。如果企业的HR将自己作为个人信息的处理者，法律要求其承担相应的责任，需要有相应的数字化投入以及确保安全性。”

这对企业而言可能是比较大的负担，且投入以后是否能做好，毕竟企业在这方面不是专业组织，还有自己的业务范围，选择一些专业的云服务厂商可能会做得更好。

专业的人做专业的事情，国家跟国际的标准化组织有相应的体系来保证。让不懂技术的人也可以通过一些标准体系的认证放心地选择相应的供应商，这是比较重要的点。

另外，刚才也提到“信息是否可以采集，何时采集，放在哪，怎么用的问题”，上上签电子签约作为一家电子签约厂商，人力资源是非常重要的场景，其中会面临入职合同的签署，以及相关入职信息的收取，包括整个员工生命周期的信息处理。

最近我们就发现了一个很有趣的现象，在这两部法律出台之前，很多客户关心其用户体验和通过效率。特别是一些劳动密集型企业，会提出“我的用工人员可能文化程度不高，手机也未必是智能的，年龄偏大，能不能采用一些生物识别的方法，例如刚才说的人脸识别、指纹、虹膜。”

但是最近几个月发生了明显的变化，很多客户非常敏感。人力资源总监非常主动地强调“我最好不要有刷脸，我们要避免任何强制地采集用户个人的任何身份信息。”

当然上上签电子签约的系统有这个功能，可以避免这些的使用。从客户的需求来看，可以看到市场发生了很明显的变化，而这是两部法律所带来的。

2. 程海涛：杨律师，刚才Daniel提到的跟个人身份信息相关的数字化信息，是否能采集？另外徐老师提到要做员工关怀，HR在不经过当事人同意的情况下，是否可以利用这些数据？

杨傲霜律师：这些问题在两部法律出台之前就已经存在。人力资源部如果招录员工，势必需采集其个人信息，比如员工入职时，要求其提供身份证、银行卡、社保信息等。
大家注意到在《个人信息保护法》中有一个规定，即个人信息的采集分为两大主题：

1. 针对员工个人，需征得本人同意；

2. 签订劳动合同的必要相关信息，哪怕员工不同意，如果企业要建立劳动关系，则属于签订劳动合同所需的必要信息。对方必须要提供给HR，否则无法建立劳动合同关系。

很多HR问我们，“如果员工不愿意提供其身份证、银行卡信息，是否可以？”

这要分两方面，一方面如果是签订劳动合同所需的必要信息，比如HR要为其缴纳社保，此时就必须提供，如果拒绝提供或者提供一些假信息，企业当然不予以录用。
另一方面，像徐老师所说的给员工或其家人送祝福、惊喜，这肯定涉及一些非必要的信息。从律师角度看，员工入职是比较长的过程，当中分两部分信息：
一部分是员工入职后主动提供了个人身份证、学历证明，上家公司的退工单等，还有一些信息是在入职当中逐渐提供给公司的，比如员工买房、买车，要求公司出相关证明以证明收入情况。甚至有时要报销医药费，会将医药费相关的单据提供给公司。有的公司还会为员工购买商业保险，有的高管给孩子报销学费等。

这一系列信息，该如何处理？
根据法律规定，非必要的信息企业不主动收集。
现在我们发现很多公司为360度地了解员工，会问其血型、星座是什么，然后给员工做九型人格测试。根据这些法律规定，非必要的，企业能不收集就尽量不收集。如果收集，首先要征得员工本人的同意，因为这是和签订劳动合同并不直接相关。
另外收集信息后如何处理，我们建议应该和有资质的第三方公司合作。

3. 程海涛：随着这两部法律出台，也不是只针对这两部法律，我们的数据运用愈发走向规范化。相应的，是否会增加企业数字化管理的边际成本？

徐刚：我觉得在大环境下其实是好事。我们知道在中国出台《个人信息保护法》之前，欧洲早就有GDPR这样的个人信息保护法规。

对于中国的一些企业和员工而言，在这样一个互联网或者人工智能飞速发展的时代，其实大家都会有很多担心，反而会让员工不舒服。

如果员工不舒服，对于企业的忠诚度也会降低，潜在的也会影响企业的发展。

从员工体验角度看，我们也会借鉴一些互联网厂商对客户的管理。像客户满意度，了解客户是否愿意把公司的产品推荐给其他人。

我们也可以用一些方式衡量员工的体验，只要有衡量就可以了解在这个过程当中有哪些是我们要去关注的。我们可以关注在《数据安全法》或者《个人信息保护法》出台后，哪些动作对员工的体验可能更友好。

因为是刚开始，对HR来说没有一个标准答案，我觉得任何一个事情取决于使用者如何去解读以及在企业当中如何落地。这些工作到位之后，我们就可以持续跟踪这件事情在企业当中到底能够起到多大的效益。

4. 程海涛：在我接触的很多企业中，大家在数字化转型中会先上一套电子签约系统。以上上签为例，你们是怎样系统化地提升数据安全的？

上上签电子签约解决方案总监Daniel：因为从事电子签约行业，一路走来，上上签电子签约积累了相当多安全技术方面的经验。

我们依照信息安全等级保护和ISO国际安全标准等构建了自身的安全体系。我们始终保有这样的认证和相应的专业化团队，同时也拥有自己的一些核心专利技术。用国际通用并且国家推荐认可的加密算法，对收集到的用户信息不仅仅是个人信息，包括企业的重要信息进行相对应的加密，这些加密内部员工非授权无法访问。这对我们客户而言是非常重要的保护。

仅有这些还不够，我们很多时候还充当顾问或咨询的角色。

业务上我们向客户的人力资源团队学习，改进产品。而在电子签约和相关的信息安全保护方面，我们是专家。

在两部法律出台之前，我们就经常跟客户讨论。当客户需要提供一些信息，或者需要我们替客户向员工收集一些信息时，上上签电子签约一直都非常坚持让客户理解“为什么我们一定要告知员工、用户这些签约的相对方，他在使用一个怎样的平台，在提交何种信息，用于哪些用途”，我们会给客户提供相关的帮助，比如帮助其完善隐私政策和告知文书，通过这些业务流程梳理和文书的告知完成相应的签署。

《个人信息保护法》实际上是把这些场景变成一个必须要告知和签署的场景，对企业和个人而言是双重的保护。避免了企业的很多侥幸心理，减少了未来法律纠纷的可能性。

上上签电子签约可以在这方面提供更好的基础设施，给企业提供技术保障。用我们专业的咨询服务帮助确保企业在该获得授权的地方获得授权，且该授权本身是不可篡改的电子签约文件，从这样的角度帮助企业真正把《个人信息保护法》落到实处。