借助上上签电子签名等数字科技,HR既可以为业务赋能,也能够提升员工体验。然而《个人信息保护法》出台后,关于个人信息,HR到底用到什么程度,什么场景才能用,HR会有很大的困惑。
前不久,上上签电子签约应邀参加了HRise的“超级访谈”栏目,与 《人力资源数字化转型行动指南》作者&深蓝信息公众号分享人徐刚 、北京大成(上海)律师事务所合伙人杨傲霜一起接受了HRise创始人程海涛的专访。以下内容节选自本次专访。
1. 程海涛:对HR来说,如果数据处理或者使用得不恰当,真有可能把惊喜变成惊吓。Daniel你怎么看?
上上签解决方案总监Daniel:现在企业跟上云已经分不开了,以前可能很多企业单位的HR会觉得信息掌握在HR部门手里是最安全的。担心一旦上云出事,如何来处理。
所谓的安全,如果是将其锁在一个保险箱里无法流动,也不能称之为安全。所以我们要在合规使用信息的基础上让其发挥效用。
现在《数据安全法》、《个人信息保护法》两部法律出台以后,特别是《个人信息保护法》,个人认为“反而是企业如果保有和处理这些个人信息,意味着巨大的风险和投入。如果企业的HR将自己作为个人信息的处理者,法律要求其承担相应的责任,需要有相应的数字化投入以及确保安全性。”
这对企业而言可能是比较大的负担,且投入以后是否能做好,毕竟企业在这方面不是专业组织,还有自己的业务范围,选择一些专业的云服务厂商可能会做得更好。
专业的人做专业的事情,国家跟国际的标准化组织有相应的体系来保证。让不懂技术的人也可以通过一些标准体系的认证放心地选择相应的供应商,这是比较重要的点。
另外,关于“信息是否可以采集,何时采集,放在哪,怎么用的问题”,上上签电子签约作为一家电子签约厂商,人力资源是非常重要的场景,其中会面临入职合同的电子签名,以及相关入职信息的收取,包括整个员工生命周期的信息处理。
最近我们就发现了一个很有趣的现象,在这两部法律出台之前,很多客户关心其用户体验和通过效率。特别是一些劳动密集型企业,会提出“我的用工人员可能文化程度不高,手机也未必是智能的,年龄偏大,能不能采用一些生物识别的方法,例如刚才说的人脸识别、指纹、虹膜。”
但是最近几个月发生了明显的变化,很多客户非常敏感。人力资源总监非常主动地强调“我最好不要有刷脸,我们要避免任何强制地采集用户个人的任何身份信息。”
当然上上签电子签约的系统有这个功能,可以避免这些的使用。从客户的需求来看,可以看到市场发生了很明显的变化,而这是两部法律所带来的。
2. 程海涛:关于上述问题,徐老师在书中也有提及,在您看来人力资源数字化基于整个企业的人力资源管理,到底起到什么作用?
徐刚:我将人力资源数字化转型的终极目标,分为了三部分:
1)我们需要通过数字化的人力资源管理赋能业务,让业务获得更多业绩;
2) 刚才提及员工体验,我们HR大多数时间会跟一线员工打交道,所以员工的体验也会影响客户的体验,所以优化员工体验对业务也有帮助;
3)第3点对今天的话题很关键,希望通过对人力数据的分析来驱动业务。
管理上很早便说过,没有衡量就无法做管理。所以在人力资源数字化过程中,“如何运用数据收集或分析,最终做一些决策”是比较关键的。
刚才听大家的反馈,关于数据分析,我留意到在《个人信息保护法》中,有提到并非不允许我们做大数据分析,我认为企业完全可以把所有人力相关数据,如果是员工愿意提供,且是公司必要的,进行数据分析。
但其中提到一点,该数据分析包括相应的建议,不能针对某一个人的个人特征进行建议。比如公司想做弹性福利,HR可以基于大数据角度分析得出,我们公司40岁到50岁的员工更喜欢买重疾险。
这是大数据,后续HR在进入弹性福利系统时,可以面向40~50的员工推荐适合的产品。但是其推荐的原因是通过大数据知道这类人群普遍拥有这些特征,即平均数据或者普遍数据是这样。
但是不能针对某一个人,比如刚才提到的,如果我知道他是某个星座,然后在系统中设置成不能担当某些岗位,以后在人才盘点或者继任者计划将其排除。
我认为《个人信息保护法》其实强调了以下内容:
如果是针对某个个人的特点做一些推荐分析,必须要给其明确拒绝的权利。如果员工本人觉得可以,对方同意后继续下一步动作。若员工不希望HR采取这样的分析方式,提供任何推荐,则员工可以明确拒绝。
3. 程海涛:在我接触的很多企业中,大家在数字化转型中会先上一套电子签名系统。以上上签为例,你们是怎样系统化地提升数据安全的?
上上签电子签约解决方案总监Daniel:因为从事电子签约领域,一路走来,上上签电子签约积累了相当多安全技术方面的经验。
我们依照信息安全等级保护和ISO国际安全标准等构建了自身的安全体系。我们始终保有这样的认证和相应的专业化团队,同时也拥有自己的一些核心专利技术。用国际通用并且国家推荐认可的加密算法,对收集到的用户信息不仅仅是个人信息,包括企业的重要信息进行相对应的加密,这些加密内部员工非授权无法访问。这对我们客户而言是非常重要的保护。
仅有这些还不够,我们很多时候还充当顾问或咨询的角色。
业务上我们向客户的人力资源团队学习,改进产品。而在电子签名和相关的信息安全保护方面,我们是专家。
在两部法律出台之前,我们就经常跟客户讨论。当客户需要提供一些信息,或者需要我们替客户向员工收集一些信息时,上上签电子签约一直都非常坚持让客户理解“为什么我们一定要告知员工、用户这些签约的相对方,他在使用一个怎样的平台,在提交何种信息,用于哪些用途”,我们会给客户提供相关的帮助,比如帮助其完善隐私政策和告知文书,通过这些业务流程梳理和文书的告知完成相应的签署。
《个人信息保护法》实际上是把这些场景变成一个必须要告知和签署的场景,对企业和个人而言是双重的保护。避免了企业的很多侥幸心理,减少了未来法律纠纷的可能性。
上上签电子签约可以在这方面提供更好的基础设施,给企业提供技术保障。用我们专业的咨询服务帮助确保企业在该获得授权的地方获得授权,且该授权本身是不可篡改的电子签约文件,从这样的角度帮助企业真正把《个人信息保护法》落到实处。
结语
HRise创始人程海涛:徐刚老师刚才谈到的,为HR在数字化转型过程中的角色挑明了方向。如徐刚老师所言:
首先,在数字化转型过程中,尤其是基于数据安全,建议HR先把双手弄脏,什么意思?就是要跟采购、技术、供应商三方一起针对项目管理进行完整复盘,并且全程参与。
其次,HR最好要知道盐从哪儿咸,醋从哪儿酸。虽然不一定是数字化的专家,但是要知道它是如何在我们企业决策或者组织变革中发挥作用的。
以上这些是对我们DHR(Digital HR)画像的初步描述。
北京大成(上海)律师事务所合伙人杨傲霜:其实《个人信息保护法》和《数据安全法》更多的是对整个社会和个人信息的保护,员工信息保护是当中很小的一部分。
数字化转型过程中带来的数据安全问题是一个必然会发生的事情,这件事情基于整个人力资源部,是一件难而正确的事。基于这样一个方向,未来HR要做一个前瞻者,而不是等问题出现才去应对。
我觉得法务部门肯定也会研究这一问题,HR更多的需要去配合法务部门。而不是因为法律出台,反而束缚了手脚。恰恰相反,是让各个部门更有保障。很多时候专业的事情让专业的人做。
上上签电子签约解决方案总监Daniel:一次性部署信息系统并非数字化转型,它并非一锤子买卖,而是一个持之以恒的过程。我们在电子签名相关项目中会有很清晰的感受:做得好的项目,一定是业务方、HR总监、法务总监以及相关部门一起参与的。我们各自提供各自的专业能力,大家作为一个合作伙伴走过这个旅程,并且长期地不断改进,才是真正让项目成功。