王寧

（吉林大學(xué)人力資源處 長(zhǎng)春 130022）

0 引言

人事檔案數(shù)字化管理是指通過運(yùn)用現(xiàn)代化的信息技術(shù)，將存量紙質(zhì)人事檔案進(jìn)行數(shù)字化掃描保存，并在信息系統(tǒng)中進(jìn)行歸檔、檢索和管理的過程。同時(shí)也包括增量原生電子人事檔案的數(shù)字化管理。與傳統(tǒng)認(rèn)知不同的是，人事檔案的數(shù)字化管理并不僅僅是數(shù)字化技術(shù)的自然應(yīng)用。實(shí)際上，人事檔案的數(shù)字化管理過程需要技術(shù)、管理、制度、人員等多維要素的協(xié)同。由于思維認(rèn)知的局限性，在人事檔案數(shù)字化進(jìn)程中，數(shù)據(jù)安全和隱私保護(hù)問題凸顯出來。[1][2]因此，本文將從數(shù)據(jù)安全和隱私保護(hù)的視角，探討機(jī)構(gòu)或組織的人事檔案數(shù)字化管理過程中遇到的困難與挑戰(zhàn)，進(jìn)行分析討論并提供相應(yīng)對(duì)策。

1 人事檔案數(shù)字化管理中的數(shù)據(jù)安全與隱私保護(hù)

1.1 人事檔案數(shù)字化管理的意義

人事檔案是系統(tǒng)考查員工德能勤績(jī)廉的原始記錄，是進(jìn)行人力資源管理和選人用人的重要參考資料，是企業(yè)、部門、機(jī)構(gòu)的珍貴數(shù)據(jù)資產(chǎn)。人事檔案資源中記錄著大量基礎(chǔ)隱私信息，如身份證號(hào)碼、職務(wù)、教育背景、住址、聯(lián)系方式等。人事檔案經(jīng)數(shù)字化處理后，由紙質(zhì)采編變成機(jī)讀檔案，相比于傳統(tǒng)的管理方式有顯而易見的優(yōu)勢(shì)。如存儲(chǔ)成本降低，檢索調(diào)用效率提高，可以支持遠(yuǎn)程工作，并且易于備份與恢復(fù)等。因此，數(shù)字化技術(shù)與工具運(yùn)用到人事檔案資料管理活動(dòng)有著廣闊的前景與深遠(yuǎn)的意義。

1.2 法律法規(guī)視角下數(shù)據(jù)安全與隱私保護(hù)

隨著信息化、數(shù)字化的進(jìn)程不斷發(fā)展與推進(jìn)，從全球法律法規(guī)的角度來看，數(shù)據(jù)和隱私保護(hù)已經(jīng)成為了一個(gè)國(guó)際性的議題。為應(yīng)對(duì)人工智能與大數(shù)據(jù)的新形勢(shì)變化，眾多國(guó)家和地區(qū)都頒布了數(shù)據(jù)隱私保護(hù)的相關(guān)法律條例。如歐洲的通用數(shù)據(jù)保護(hù)條例GDPR 與美國(guó)的加州消費(fèi)者隱私法CCPA 等，都對(duì)企業(yè)存儲(chǔ)和使用個(gè)人數(shù)據(jù)進(jìn)行了嚴(yán)格的規(guī)范。[3][4]違反這些法規(guī)，企業(yè)將面臨巨額的罰款，甚至可能導(dǎo)致運(yùn)營(yíng)許可的吊銷。我國(guó)也頒布了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》來保障公民信息安全，維護(hù)公民的合法權(quán)益。[5][6]企業(yè)或組織必須在人事檔案數(shù)字化管理的同時(shí)，考慮如何遵照相關(guān)的法律法規(guī)做好數(shù)據(jù)安全與隱私保護(hù)工作，規(guī)避不必要的風(fēng)險(xiǎn)。

1.3 數(shù)據(jù)安全與隱私保護(hù)的必要性與緊迫性

在今日的數(shù)據(jù)驅(qū)動(dòng)社會(huì)，數(shù)字技術(shù)賦能人事檔案資源管理已是大勢(shì)所趨。隨著人事檔案數(shù)字化進(jìn)程的推進(jìn)，數(shù)據(jù)安全與隱私保護(hù)等問題涌現(xiàn)出來，已經(jīng)成為每個(gè)個(gè)體、企業(yè)與社會(huì)都不容忽視的主題。對(duì)個(gè)人來說，人事檔案資源是對(duì)于自身基本情況真實(shí)且詳細(xì)的記錄，隱私保護(hù)不僅是為了保護(hù)自己免受傷害，而且是一種基本權(quán)利。對(duì)于企業(yè)或者組織來說，人事檔案資源是珍貴的財(cái)富，確保數(shù)據(jù)安全與隱私保護(hù)，則是他們履行社會(huì)責(zé)任，提升競(jìng)爭(zhēng)力的必要措施。人事檔案管理主體需要積極應(yīng)對(duì)新的挑戰(zhàn)，認(rèn)識(shí)到人事檔案數(shù)字化存在的難題，并靈活采取合理有效的應(yīng)對(duì)策略。數(shù)據(jù)安全與隱私保護(hù)的有效保障是企業(yè)保持良好經(jīng)濟(jì)效益、實(shí)現(xiàn)可持續(xù)發(fā)展的基石。

總的來說，數(shù)字技術(shù)應(yīng)用和大數(shù)據(jù)安全與隱私防護(hù)在信息化快速發(fā)展的進(jìn)程中對(duì)抗激烈，是未來人事檔案資源在進(jìn)行數(shù)字化組織與管理過程必須重視和權(quán)衡的關(guān)鍵因素。[7][8]

2 數(shù)據(jù)安全與隱私保護(hù)的挑戰(zhàn)

（1）數(shù)據(jù)泄露。數(shù)字技術(shù)廣泛運(yùn)用的場(chǎng)景下，數(shù)據(jù)泄露風(fēng)險(xiǎn)無處不在。一方面，企業(yè)的數(shù)據(jù)存儲(chǔ)與管理系統(tǒng)如果存在安全漏洞，惡意攻擊者可能通過這些漏洞入侵檔案數(shù)據(jù)庫(kù)獲取敏感數(shù)據(jù)。另一方面，企業(yè)的人事檔案管理人員可能出現(xiàn)疏忽大意、惡意操作，且企業(yè)的人事檔案存儲(chǔ)介質(zhì)可能出現(xiàn)運(yùn)行故障和損壞。一旦出現(xiàn)檔案數(shù)據(jù)泄露，將嚴(yán)重影響企業(yè)或組織的聲譽(yù)和公信力，甚至可能導(dǎo)致嚴(yán)重的法律糾紛和經(jīng)濟(jì)財(cái)產(chǎn)損失。

（2）隱私侵犯。當(dāng)前企業(yè)或組織對(duì)用戶隱私信息的收集、使用、共享日益加劇。由于信息利用過程不透明不公開、監(jiān)督管理機(jī)制不完善、檔案主體自身道德素質(zhì)欠缺等原因，大量的個(gè)人隱私信息可能被誤用或?yàn)E用。數(shù)據(jù)主體為了經(jīng)濟(jì)利益而倫理失范，甚至是非法出售給其他個(gè)人或組織，導(dǎo)致用戶在不知情的情況下隱私信息被泄露、權(quán)益被侵犯。一旦員工的人事檔案信息泄漏，勢(shì)必會(huì)對(duì)員工的工作和生活帶來嚴(yán)重的影響。[9]比如，員工的身份信息和聯(lián)系方式貿(mào)然出現(xiàn)在各種商業(yè)或非法活動(dòng)中，員工經(jīng)常接收到與工作內(nèi)容相關(guān)的詐騙電話等。

（3）法律法規(guī)跟進(jìn)緩慢。互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，數(shù)據(jù)技術(shù)不斷更新，人工智能展現(xiàn)出強(qiáng)大的數(shù)據(jù)分析與整合能力。使得立法者在跟進(jìn)相關(guān)法律法規(guī)方面存在一定程度的滯后，數(shù)據(jù)隱私保護(hù)的制度要求不夠細(xì)化。[10]例如我國(guó)現(xiàn)有的隱私保護(hù)相關(guān)法律中，對(duì)于隱私保護(hù)的范圍沒有做出明確劃分，隱私安全邊界不夠清晰，相關(guān)法規(guī)體系不夠完整，配套制度不夠合理。企業(yè)或組織難以提供完全符合法規(guī)要求的保護(hù)，依靠現(xiàn)有法律難以維護(hù)檔案用戶自身的合法權(quán)益。用戶的數(shù)據(jù)隱私權(quán)存在被侵?jǐn)_、泄露和惡意使用的風(fēng)險(xiǎn)。

（4）保護(hù)技術(shù)跟進(jìn)困難。企業(yè)面臨著內(nèi)外部不斷變化的安全威脅。數(shù)字智能技術(shù)的更新迭代速度加快，互聯(lián)網(wǎng)工具迭代不斷。人工智能大語(yǔ)言模型、區(qū)塊鏈技術(shù)、云計(jì)算等出現(xiàn)幫助企業(yè)、組織實(shí)現(xiàn)信息化、數(shù)字化的同時(shí)，也給內(nèi)部管理主體帶來許多挑戰(zhàn)。[11]人事檔案管理主體如果不能與時(shí)俱進(jìn)，主動(dòng)掌握新工具、了解新知識(shí)、學(xué)習(xí)新技術(shù)，人事檔案的數(shù)字化管理流程面臨的風(fēng)險(xiǎn)也隨之增加。[12[13]企業(yè)或組織需要投入大量資源進(jìn)行技術(shù)研發(fā)和更新，以及加強(qiáng)對(duì)人事檔案管理主體的培訓(xùn)，提高其意識(shí)與能力來應(yīng)對(duì)數(shù)字化過程中困擾，以達(dá)成數(shù)據(jù)安全和隱私保護(hù)的目標(biāo)。

3 數(shù)據(jù)安全與隱私保護(hù)的應(yīng)對(duì)策略

在人事檔案數(shù)字化的背景下，隱私保護(hù)與數(shù)據(jù)安全問題緊密相連。企業(yè)或機(jī)構(gòu)要建立一個(gè)安全的數(shù)字化管理系統(tǒng)，在人事檔案數(shù)字化管理中實(shí)現(xiàn)有效的數(shù)據(jù)安全和隱私保護(hù)，需要采取可實(shí)施的策略。

3.1 采取基于區(qū)塊鏈技術(shù)的人事檔案數(shù)字化管理模式

區(qū)塊鏈技術(shù)作為革命性的數(shù)字技術(shù)，有著去中心化、分布式、不可篡改和匿名性等特性，它的出現(xiàn)與革新可以賦能數(shù)字化檔案管理模式。基于區(qū)塊鏈技術(shù)記錄與存儲(chǔ)的數(shù)據(jù)無法被非法篡改，密碼學(xué)的安全技術(shù)為數(shù)據(jù)的完整性與可靠性提供保障，通過采取多次簽名數(shù)據(jù)鏈私鑰合并數(shù)據(jù)加密技術(shù)確保數(shù)據(jù)信息的安全，管理模式更合理高效。[14]

如建立區(qū)域內(nèi)統(tǒng)一檔案管理平臺(tái)，檔案資源管理主體基于區(qū)塊鏈公開的接口程序開發(fā)的應(yīng)用系統(tǒng)，可以實(shí)現(xiàn)機(jī)構(gòu)、組織的人事檔案數(shù)字化錄入、存儲(chǔ)與調(diào)用。此外，區(qū)塊鏈的訪問需要通過公鑰和私鑰來完成，采取分配最低權(quán)限、按角色分配權(quán)限等管理方式實(shí)現(xiàn)訪問控制，對(duì)不同類型人員訪問權(quán)限進(jìn)行管理[15][16]即檔案管理主體需要通過公鑰進(jìn)行人事檔案的調(diào)用或變動(dòng)等操作，人事檔案中部分資料可以由本人通過私鑰進(jìn)行訪問查看。并對(duì)訪問操作進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)并消除不當(dāng)訪問行為，從而將數(shù)據(jù)泄露風(fēng)險(xiǎn)降到更低水平。

3.2 規(guī)范數(shù)據(jù)采集與處理的原則和流程

在復(fù)雜多變的市場(chǎng)環(huán)境中，員工對(duì)隱私數(shù)據(jù)的保護(hù)越來越敏感。在獲取、使用、存儲(chǔ)員工人事檔案及其他重要數(shù)據(jù)之前，應(yīng)該獲得員工的明示同意，并向他們解釋數(shù)據(jù)會(huì)用以何種用途以及會(huì)以何種方式保存。組織或機(jī)構(gòu)應(yīng)定期開展信息安全與隱私保護(hù)的相關(guān)培訓(xùn)，全面提升員工的網(wǎng)絡(luò)信息安全和個(gè)人隱私保護(hù)意識(shí)。鼓勵(lì)員工報(bào)告可疑行為，建立有效的獎(jiǎng)懲機(jī)制，以增強(qiáng)員工的安全責(zé)任感。

組織或機(jī)構(gòu)應(yīng)合理控制收集數(shù)據(jù)的范圍和時(shí)機(jī)，采用“最小化”的原則來處理用戶的隱私數(shù)據(jù)，只收集必要的數(shù)據(jù)信息。只有在確實(shí)需要的情況下才收集、使用和存儲(chǔ)個(gè)人信息。增強(qiáng)對(duì)數(shù)據(jù)生命周期管理的認(rèn)識(shí)，對(duì)數(shù)據(jù)的存儲(chǔ)、使用、分享、銷毀等各個(gè)環(huán)節(jié)進(jìn)行嚴(yán)格的管理，針對(duì)不同類型的數(shù)據(jù)設(shè)定適當(dāng)?shù)臄?shù)據(jù)保存期限，及時(shí)刪除超過保存期限的敏感信息，降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。[17]

組織或機(jī)構(gòu)應(yīng)劃定隱私邊界，明確信息保護(hù)范圍，對(duì)敏感數(shù)據(jù)與非敏感數(shù)據(jù)進(jìn)行分隔保存。通過運(yùn)用現(xiàn)代加密技術(shù)進(jìn)行處理，以防止未經(jīng)授權(quán)的訪問，確保僅有擁有密鑰的管理人員才能訪問和讀取該部分?jǐn)?shù)據(jù)。進(jìn)而保障數(shù)據(jù)在傳輸和存儲(chǔ)過程中的安全性，降低隱私數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

3.3 運(yùn)行安全網(wǎng)絡(luò)并持續(xù)監(jiān)控軟硬件常態(tài)運(yùn)行

及時(shí)更新網(wǎng)絡(luò)安全設(shè)備，對(duì)安全設(shè)備進(jìn)行定期維護(hù)檢查，確保其日常穩(wěn)定運(yùn)行。持續(xù)監(jiān)控?cái)?shù)字化管理系統(tǒng)的安全性能，及時(shí)發(fā)現(xiàn)并修復(fù)潛在安全漏洞。合理利用第三方資源，選擇可信賴的第三方安全評(píng)估機(jī)構(gòu)，定期進(jìn)行內(nèi)部和外部數(shù)據(jù)安全的審查和評(píng)估。根據(jù)評(píng)估采取加強(qiáng)網(wǎng)絡(luò)安全措施，清理安全隱患和降低潛在風(fēng)險(xiǎn)，達(dá)成合規(guī)目標(biāo)。

應(yīng)制訂應(yīng)急預(yù)案并采用多重備份策略，定期備份敏感數(shù)據(jù)并測(cè)試恢復(fù)過程，確保恢復(fù)策略的有效性。在數(shù)據(jù)庫(kù)維護(hù)以及數(shù)據(jù)管理與利用過程中出現(xiàn)異常情況可以進(jìn)行及時(shí)且有效的處理，以減少因數(shù)據(jù)異常、泄露、丟失等對(duì)所造成的損失。

3.4 遵守法律法規(guī)與完善政策制度

組織或機(jī)構(gòu)需要關(guān)注世界范圍內(nèi)的數(shù)據(jù)安全法規(guī)，根據(jù)不同的法律法規(guī)要求制定合規(guī)策略。在跨境傳輸中，尊重各國(guó)法律法規(guī)，統(tǒng)籌協(xié)調(diào)數(shù)據(jù)傳輸問題。對(duì)檔案用戶數(shù)據(jù)的采集、管理、使用等環(huán)節(jié)，建立全過程嚴(yán)密的保護(hù)制度，將檔案用戶數(shù)據(jù)隱私納入《檔案法》，加強(qiáng)侵權(quán)責(zé)任法律保護(hù)，完善檔案用戶數(shù)據(jù)隱私權(quán)被侵犯時(shí)申請(qǐng)司法保護(hù)的途徑。[18]

組織或機(jī)構(gòu)應(yīng)根據(jù)國(guó)家法律及行業(yè)規(guī)定制訂與更新隱私保護(hù)制度，調(diào)整現(xiàn)行檔案法規(guī)政策，制訂隱私權(quán)保護(hù)條例，建立完善的保護(hù)體系，為員工提供明確的數(shù)據(jù)安全與隱私保護(hù)實(shí)施指導(dǎo)，確保管理層及員工了解并履行隱私保護(hù)的職責(zé)。對(duì)檔案用戶數(shù)據(jù)的采集、管理以及使用等環(huán)節(jié)建立全過程嚴(yán)密的保護(hù)制度。[19][20]同時(shí)，還應(yīng)定期檢查和評(píng)估實(shí)施效果，確保政策能夠真正落到實(shí)處。

4 結(jié)語(yǔ)

數(shù)據(jù)安全與隱私保護(hù)不僅僅是技術(shù)問題，更是一門涉及戰(zhàn)略、管理、法律、文化等多個(gè)領(lǐng)域的復(fù)雜課題。從戰(zhàn)略角度看，企業(yè)或組織需要在確保員工在創(chuàng)造勞動(dòng)價(jià)值的同時(shí)，保障其人事檔案及其他重要數(shù)據(jù)安全性與隱私性，這是企業(yè)或組織穩(wěn)定發(fā)展之基礎(chǔ)。從法律角度來看，不同的地區(qū)與國(guó)家對(duì)于數(shù)據(jù)安全與隱私保護(hù)的法律法規(guī)不同，企業(yè)或組織需要合規(guī)導(dǎo)向，主動(dòng)調(diào)整策略以適應(yīng)政策和法規(guī)的變化。從管理角度看，完善的數(shù)據(jù)安全與隱私保護(hù)管理體系是必不可少的，例如數(shù)據(jù)最小化處理、權(quán)限控制、加密處理等都需要在管理層面進(jìn)行規(guī)定與執(zhí)行。從文化角度看，則需要建立健康的數(shù)據(jù)安全與隱私保護(hù)企業(yè)文化，提升員工的信息安全素養(yǎng)與隱私保護(hù)意識(shí)，讓每個(gè)員工都能積極參與到數(shù)據(jù)安全與隱私保護(hù)的實(shí)踐中。數(shù)據(jù)安全與隱私保護(hù)還是一個(gè)持續(xù)的過程，而不只是一次性的任務(wù)。由于網(wǎng)絡(luò)環(huán)境日新月異，安全威脅和隱私挑戰(zhàn)也在不斷變化，企業(yè)或組織需要保持警惕，實(shí)施預(yù)警，及時(shí)進(jìn)行策略調(diào)整。