解讀《個人資訊保護法》，上上籤加強企業電子合同風控

數字化時代，很多公司都開始運用數智系統變革管理，然而近期《個人資訊保護法》的出臺，對企業數字化轉型有著怎樣的影響呢？

前不久，上上籤電子簽約應邀參加了HRise的“超級訪談”欄目，與

 《人力資源數字化轉型行動指南》作者&深藍資訊公眾號分享人徐剛 、北京大成（上海）律師事務所合夥人楊傲霜

一起接受了

HRise創始人程海濤

的專訪。

大家從各自視角出發，圍繞“《資料安全法》和《個人資訊保護法》對HR數字化有何影響”進行了深度探討。

1. 程海濤：《個人資訊保護法》和《資料安全法》出臺，對正在進行的人力資源數字化轉型有哪些影響？我們先從HR視角開始，請徐老師做一些闡述。

徐剛：

《個人資訊保護法》出臺後，對HR而言是一個不小的挑戰。首先，HR不是技術出身，對於如何更好地儲存資訊，沒有特別強的意識。之前HR在一些日常工作中可能會將員工資訊，包括電話號碼、身份證比較隨意地存在自己的網盤上。可能有時會出現一些資訊洩露的情況。

現在基於數字化時代，很多公司都開始運用雲的系統。不管是國家的個稅APP，還是現在的電子簽約系統。其實我們都已經離不開雲的系統，企業很難離開網際網路的環境單獨存在。

所以在這個情況下，我們又不得不去應對，將一些個人員工的資訊資料放在雲上。這時大家就會有很多疑問：第一，能不能把員工資訊放在一些雲的系統上？擔心員工資料萬一出問題誰負責？第二，現在從數字化轉型的角度看，一方面HR要為業務賦能，另一方面最近非常火的詞是員工體驗，我們還要保證員工的體驗。這時HR會有一些想法：比如，我們在為員工甚至是為其家人過生日的時候，可能會給他們送去祝福。但這就會牽涉一些個人隱私。另外還有一些個人的人生事件，像結婚生小孩。在這種情況下，我們是否可以利用這些資料，在不徵求員工同意的權利下給他們驚喜？HR的日常工作離不開個人資訊、資料，《個人資訊保護法》出臺後，我們到底用到什麼程度，什麼場景才能用，會有很大的困惑。

2. 程海濤：對HR來說，如果資料處理或者使用得不恰當，真有可能把驚喜變成驚嚇。Daniel你怎麼看？

上上籤電子簽約解決方案總監Daniel：

現在企業跟上雲已經分不開了，以前可能很多企業單位的HR會覺得資訊掌握在HR部門手裡是最安全的。擔心一旦上雲出事，如何來處理。

所謂的安全，如果是將其鎖在一個保險箱裡無法流動，也不能稱之為安全。所以我們要在合規使用資訊的基礎上讓其發揮效用。

現在兩部法律出臺以後，特別是《個人資訊保護法》，個人認為“反而是企業如果保有和處理這些個人資訊，意味著巨大的風險和投入。如果企業的HR將自己作為個人資訊的處理者，法律要求其承擔相應的責任，需要有相應的數字化投入以及確保安全性。”

這對企業而言可能是比較大的負擔，且投入以後是否能做好，畢竟企業在這方面不是專業組織，還有自己的業務範圍，選擇一些專業的雲服務廠商可能會做得更好。

專業的人做專業的事情，國家跟國際的標準化組織有相應的體系來保證。讓不懂技術的人也可以透過一些標準體系的認證放心地選擇相應的供應商，這是比較重要的點。

另外，剛才也提到“資訊是否可以採集，何時採集，放在哪，怎麼用的問題”，上上籤電子簽約作為一家電子簽約廠商，人力資源是非常重要的場景，其中會面臨入職合同的簽署，以及相關入職資訊的收取，包括整個員工生命週期的資訊處理。最近我們就發現了一個很有趣的現象，在這兩部法律出臺之前，很多客戶關心其使用者體驗和透過效率。特別是一些勞動密集型企業，會提出“我的用工人員可能文化程度不高，手機也未必是智慧的，年齡偏大，能不能採用一些生物識別的方法，例如剛才說的人臉識別、指紋、虹膜。”但是最近幾個月發生了明顯的變化，很多客戶非常敏感。人力資源總監非常主動地強調“我最好不要有刷臉，我們要避免任何強制地採集使用者個人的任何身份資訊。”

當然上上籤電子簽約的系統有這個功能，可以避免這些的使用。從客戶的需求來看，可以看到市場發生了很明顯的變化，而這是兩部法律所帶來的。

3. 程海濤：在我接觸的很多企業中，大家在數字化轉型中會先上一套電子合同系統。以上上籤為例，你們是怎樣系統化地提升電子合同資料安全的？

上上籤電子簽約解決方案總監Daniel：

因為從事電子合同行業，一路走來，上上籤電子簽約積累了相當多安全技術方面的經驗。

我們依照資訊保安等級保護和ISO國際安全標準等構建了自身的安全體系。我們始終保有這樣的認證和相應的專業化團隊，同時也擁有自己的一些核心專利技術。用國際通用並且國家推薦認可的加密演算法，對收集到的使用者資訊不僅僅是個人資訊，包括企業的重要資訊進行相對應的加密，這些加密內部員工非授權無法訪問。這對我們客戶而言是非常重要的保護。

僅有這些還不夠，我們很多時候還充當顧問或諮詢的角色。

業務上我們向客戶的人力資源團隊學習，改進產品。而在電子簽約和相關的資訊保安保護方面，我們是專家。

在兩部法律出臺之前，我們就經常跟客戶討論。當客戶需要提供一些資訊，或者需要我們替客戶向員工收集一些資訊時，上上籤電子簽約一直都非常堅持讓客戶理解“為什麼我們一定要告知員工、使用者這些簽約的相對方，他在使用一個怎樣的平臺，在提交何種資訊，用於哪些用途”，我們會給客戶提供相關的幫助，比如幫助其完善隱私政策和告知文書，透過這些業務流程梳理和文書的告知完成相應的簽署。

《個人資訊保護法》實際上是把這些場景變成一個必須要告知和簽署的場景，對企業和個人而言是雙重的保護。避免了企業的很多僥倖心理，減少了未來法律糾紛的可能性。

上上籤電子簽約可以在這方面提供更好的基礎設施，給企業提供技術保障。用我們專業的諮詢服務幫助確保企業在該獲得授權的地方獲得授權，且該授權本身是不可篡改的電子合同檔案，從這樣的角度幫助企業真正把《個人資訊保護法》落到實處。

4. 程海濤：人力資源數字化轉型是一個長期過程，在這條漫長的轉型過程中會遇到一系列挑戰。HR該如何建立一個長期的資料安全風控意識？

徐剛：

新的數字化時代，對我們HR提出了一些新的要求。我覺得HR的作用一定要在整個數字化轉型過程當中提升。

現在很多的企業可能過分依賴供應商或者諮詢公司，這就容易在實際運營，長期的落地過程中出現問題。因為HR只是在當中起了輔助的角色。

所以HR在數字化轉型當中，也應當發揮一些諮詢作用，統籌各個部門跟供應商一起出方案。這樣在整個專案管理的過程中能夠很好地把控跟法務部門、IT部門、採購部門以及供應商的合作節奏。

此外，我們在運營過程中要敏捷地持續改進。

我們可以看到不斷會有新的法律出臺，員工的需求也會不斷變化。我們如果能夠敏捷地應變，在運營過程中持續梳理一些改進點，這樣就可以不斷髮現問題，持續改進。

在我看來，系統並不會完美，所以我們必須要透過HR能力的提升來總控人力資源數字化的實施和運營。