数字化时代，很多公司都开始运用数智系统变革管理，然而近期《个人信息保护法》的出台，对企业数字化转型有着怎样的影响呢?

前不久，上上签电子签约应邀参加了HRise的“超级访谈”栏目，与 《人力资源数字化转型行动指南》作者&深蓝信息公众号分享人徐刚 、北京大成(上海)律师事务所合伙人杨傲霜一起接受了HRise创始人程海涛的专访。

大家从各自视角出发，围绕“《数据安全法》和《个人信息保护法》对HR数字化有何影响”进行了深度探讨。

1. 程海涛：《个人信息保护法》和《数据安全法》出台，对正在进行的人力资源数字化转型有哪些影响?我们先从HR视角开始，请徐老师做一些阐述。

徐刚：《个人信息保护法》出台后，对HR而言是一个不小的挑战。首先，HR不是技术出身，对于如何更好地存储信息，没有特别强的意识。之前HR在一些日常工作中可能会将员工信息，包括电话号码、身份证比较随意地存在自己的网盘上。可能有时会出现一些信息泄露的情况。

现在基于数字化时代，很多公司都开始运用云的系统。不管是国家的个税APP，还是现在的电子签约系统。其实我们都已经离不开云的系统，企业很难离开互联网的环境单独存在。

所以在这个情况下，我们又不得不去应对，将一些个人员工的信息数据放在云上。这时大家就会有很多疑问：第一，能不能把员工信息放在一些云的系统上?担心员工数据万一出问题谁负责?第二，现在从数字化转型的角度看，一方面HR要为业务赋能，另一方面最近非常火的词是员工体验，我们还要保证员工的体验。这时HR会有一些想法：比如，我们在为员工甚至是为其家人过生日的时候，可能会给他们送去祝福。但这就会牵涉一些个人隐私。另外还有一些个人的人生事件，像结婚生小孩。在这种情况下，我们是否可以利用这些数据，在不征求员工同意的权利下给他们惊喜?HR的日常工作离不开个人信息、数据，《个人信息保护法》出台后，我们到底用到什么程度，什么场景才能用，会有很大的困惑。

2. 程海涛：对HR来说，如果数据处理或者使用得不恰当，真有可能把惊喜变成惊吓。Daniel你怎么看?

上上签电子签约解决方案总监Daniel：现在企业跟上云已经分不开了，以前可能很多企业单位的HR会觉得信息掌握在HR部门手里是最安全的。担心一旦上云出事，如何来处理。

所谓的安全，如果是将其锁在一个保险箱里无法流动，也不能称之为安全。所以我们要在合规使用信息的基础上让其发挥效用。

现在两部法律出台以后，特别是《个人信息保护法》，个人认为“反而是企业如果保有和处理这些个人信息，意味着巨大的风险和投入。如果企业的HR将自己作为个人信息的处理者，法律要求其承担相应的责任，需要有相应的数字化投入以及确保安全性。”

这对企业而言可能是比较大的负担，且投入以后是否能做好，毕竟企业在这方面不是专业组织，还有自己的业务范围，选择一些专业的云服务厂商可能会做得更好。

专业的人做专业的事情，国家跟国际的标准化组织有相应的体系来保证。让不懂技术的人也可以通过一些标准体系的认证放心地选择相应的供应商，这是比较重要的点。

另外，刚才也提到“信息是否可以采集，何时采集，放在哪，怎么用的问题”，上上签电子签约作为一家电子签约厂商，人力资源是非常重要的场景，其中会面临入职合同的签署，以及相关入职信息的收取，包括整个员工生命周期的信息处理。最近我们就发现了一个很有趣的现象，在这两部法律出台之前，很多客户关心其用户体验和通过效率。特别是一些劳动密集型企业，会提出“我的用工人员可能文化程度不高，手机也未必是智能的，年龄偏大，能不能采用一些生物识别的方法，例如刚才说的人脸识别、指纹、虹膜。”但是最近几个月发生了明显的变化，很多客户非常敏感。人力资源总监非常主动地强调“我最好不要有刷脸，我们要避免任何强制地采集用户个人的任何身份信息。”

当然上上签电子签约的系统有这个功能，可以避免这些的使用。从客户的需求来看，可以看到市场发生了很明显的变化，而这是两部法律所带来的。

3. 程海涛：在我接触的很多企业中，大家在数字化转型中会先上一套电子合同系统。以上上签为例，你们是怎样系统化地提升电子合同数据安全的?

上上签电子签约解决方案总监Daniel：因为从事电子合同行业，一路走来，上上签电子签约积累了相当多安全技术方面的经验。

我们依照信息安全等级保护和ISO国际安全标准等构建了自身的安全体系。我们始终保有这样的认证和相应的专业化团队，同时也拥有自己的一些核心专利技术。用国际通用并且国家推荐认可的加密算法，对收集到的用户信息不仅仅是个人信息，包括企业的重要信息进行相对应的加密，这些加密内部员工非授权无法访问。这对我们客户而言是非常重要的保护。

仅有这些还不够，我们很多时候还充当顾问或咨询的角色。

业务上我们向客户的人力资源团队学习，改进产品。而在电子签约和相关的信息安全保护方面，我们是专家。

在两部法律出台之前，我们就经常跟客户讨论。当客户需要提供一些信息，或者需要我们替客户向员工收集一些信息时，上上签电子签约一直都非常坚持让客户理解“为什么我们一定要告知员工、用户这些签约的相对方，他在使用一个怎样的平台，在提交何种信息，用于哪些用途”，我们会给客户提供相关的帮助，比如帮助其完善隐私政策和告知文书，通过这些业务流程梳理和文书的告知完成相应的签署。

《个人信息保护法》实际上是把这些场景变成一个必须要告知和签署的场景，对企业和个人而言是双重的保护。避免了企业的很多侥幸心理，减少了未来法律纠纷的可能性。

上上签电子签约可以在这方面提供更好的基础设施，给企业提供技术保障。用我们专业的咨询服务帮助确保企业在该获得授权的地方获得授权，且该授权本身是不可篡改的电子合同文件，从这样的角度帮助企业真正把《个人信息保护法》落到实处。

4. 程海涛：人力资源数字化转型是一个长期过程，在这条漫长的转型过程中会遇到一系列挑战。HR该如何建立一个长期的数据安全风控意识?

徐刚：新的数字化时代，对我们HR提出了一些新的要求。我觉得HR的作用一定要在整个数字化转型过程当中提升。

现在很多的企业可能过分依赖供应商或者咨询公司，这就容易在实际运营，长期的落地过程中出现问题。因为HR只是在当中起了辅助的角色。

所以HR在数字化转型当中，也应当发挥一些咨询作用，统筹各个部门跟供应商一起出方案。这样在整个项目管理的过程中能够很好地把控跟法务部门、IT部门、采购部门以及供应商的合作节奏。

此外，我们在运营过程中要敏捷地持续改进。

我们可以看到不断会有新的法律出台，员工的需求也会不断变化。我们如果能够敏捷地应变，在运营过程中持续梳理一些改进点，这样就可以不断发现问题，持续改进。

在我看来，系统并不会完美，所以我们必须要通过HR能力的提升来总控人力资源数字化的实施和运营。