前海人力组织《个人信息保护合规审计管理办法（征稿）》专题学习分享会

2023年8月3日，为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，现已向社会公开征求意见，意见反馈截止时间为2023年9月2日。

作为一家行业顶流的猎头公司，成都前海人力资源服务有限公司运营负责人Victor Cheung认为，此《管理办法》是所有猎头公司及猎头从业者必须认真学习且须完全遵守的。

从现实的角度看，猎头从业者的日常业务活动中，各类List及CV资源库是猎头从业者非常重要的资源，是易触犯侵犯公民个人信息罪的最大风险源。猎头公司如何从经营管理的角度规避侵犯公民个人信息，防范获取、使用List及CV引发的刑事风险，从而避免触犯侵犯公民个人信息罪，是各家猎头公司的经营管理者的重要工作之一。

目前，国内已先后出台了对个关于个人信息保护的法律，其中《刑法》第二百五十三条规定，构成侵犯公民个人信息罪的客观行为有两种：

一、违反国家有关规定，向他人出售或者提供公民个人信息。

二、窃取或以其他方法非法获取公民信息。单纯持有或者使用公民个人信息的行为不存在触犯侵犯公民个人信息罪的可能（如果利用公民个人信息实施诈骗等犯罪的，可能会构成诈骗等其他犯罪）。出售、提供公民个人信息或者获取公民个人信息的行为，只有在违反”国家有关规定”的情况下，才可能构成侵犯公民个人信息罪。据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第二条，”国家有关规定”，是指法律、行政法规、部门规章有关公民个人信息保护的规定。同时，《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定，企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定。

因此，企业收集、使用公民个人信息应遵循的底线是---不得违反法律、法规规定。

其次，本次出台的《个人信息保护合规审计管理办法（征求意见稿）》正文计十六条，另有附件《个人信息保护合规审计参考要点》计三十一条。

成都前海人力资源服务有限公司运营负责人Victor Cheung认为，《个人信息保护合规审计管理办法（征求意见稿）》及其附件提出的个人信息保护合规审计要求，为广大猎头从业者提示需重点关注的核心事项。其中，《征求意见稿》正文第四条规定---处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。而附件《个人信息保护合规审计参考要点》（下称《要点》）详细明确了个人信息保护合规审计的主要控制项，涉及个人信息全生命周期各环节。从企业经营管理的角度看，附件的《要点》对猎头公司的合法合规经营更具指导性。针对本次出台的《要点》相关核心意涵总结如下：

一、合法性的重要基础（第二条）：

是否针对个人同意。包括：处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出；基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意。

二、充分且必要的告知（第三条及第四条）。

三、保障个人信息权益（第十七条至第十九条）。

四、内部个人信息安全保护制度、组织管理与技术措施（第二十条至第二十七条）：

履行主体责任情况，个人信息保护内部管理制度和操作规程，安全技术措施，教育培训计划，个人信息保护负责人，个人信息保护影响评估，安全事件应急预案与应急响应处置情况。

综上，结合猎头行业从业现状，猎头公司需在未来的日常经营管理过程中确保以下两个底线原则以力求个人信息保护的合法合规性：

一、经营主体合规：依法取得人力资源服务许可证等前置许可并办理相应备案等。

二、运营管理规范：

1、制定更加科学、规范的业务流程及个人信息保护体系，从严治理、有规可循。

2、提升运营过程的精细化作业能力，确保个人信息保护的合法基础。

3、提升运营过程的可视化、可追溯能力，降低人为过失风险。

4、强化内部宣导及督查，杜绝非法的系统性信息泄露行为。

5、建立数据指标预警监控，防范关键流程节点的风险溢出。

6、建立个人信息保护内审机制，定期审视作业流程合规性。

7、满足法律法规的其他相关规定。