HR不能忽視信息安全的法律責任
2023-01-11 10:05
《中華人民共和國網絡安全法》(簡稱《網絡安全法》)自2017年6月1日起施行,這是國家建立嚴格的網絡治理指導方針的一個重要里程碑。該法清楚地表明,政府越來越重視數據保護,其廣泛的范圍和潛在的廣泛影響可能會增加人力資源經理的數據保護和數據安全合規義務。
根據該法規定的網絡安全保護分類制度采取措施,包括制定內部安全制度和操作規程,明確負責網絡安全保護的相關人員,數據事件通知,并將網絡日志保存至少6個月;制定發生網絡安全攻擊時的應急預案;和協助政府當局保護國家安全或刑事調查等。
雖然該法沒有明確提及員工數據或人力資源運營,也不是該法的具體重點,但各種術語的廣泛定義意味著它能夠適用于網絡的各類主體。
例如,“網絡運營商”被廣泛定義為包括所有網絡所有者和管理員以及網絡服務提供商,而“網絡”被定義為由計算機和其他信息終端組成的系統,該系統根據某些規則和程序收集,存儲,傳輸,交換和處理信息。
這個定義足夠廣泛,足以涵蓋任何僅僅在中國境內擁有和/或管理網站的企業或組織。同樣,“個人信息”的定義包括各種信息,這些信息單獨或與其他信息一起使用,足以識別一個人的身份。此類信息包括一個人的姓名、出生日期、身份證號碼、識別生物特征、地址和電話號碼。自然的解讀是,這將涵蓋由“網絡運營商”的人力資源團隊收集和維護的所有與員工相關的信息。
該法以現有的數據保護義務為基礎,包括就業及電子數據有關的法律,并確認了許多以前在國內沒有明確法律表示的規定。
為此,HR應該:
審查公司當前的網絡系統,以評估其是否合規,如果不符合,則進行必要的調整,員工個人信息保護是關鍵內容。
為員工和高級管理人員安排培訓,以提高對網絡安全和數據保護要求的認知。 遵守員工訪問和更正個人信息、撤銷同意和投訴的相關數據要求。 查看當前的數據保護通知和同意書,以確保它們清楚地傳達收集員工個人信息的目的、方法和范圍。特別是,在向第三方提供或轉移任何個人信息之前,請確保他們獲得員工的明確同意。
新的《中華人民共和國網絡安全法》修改意見正在進行。原有法規的不確定性將進一步明確。未來將出臺更詳細、更實際的指導意見的法規。無論怎樣,HR在數據隱私和網絡安全實踐方面都要以確保合規為標準。