Back to blog

《个人信息保护法》实施后,简历数据应该怎样处理

《个人信息保护法》实施后,简历数据应该怎样处理

简历几乎天然是一份个人信息集合:姓名、电话、邮箱、教育和工作经历集中出现,还可能包含照片、出生日期、住址、证件、健康或家庭信息。招聘系统过去常把它当作普通业务文档——上传后长期保存,解析后复制到多个数据库,模型训练再留一份,人才库搜索又建一份索引。

2021 年 11 月 1 日《中华人民共和国个人信息保护法》施行后,这种“先收集、以后再说”的数据习惯需要被重新审视。法律原则只有转化为数据流、权限、日志、删除和产品交互,才会成为系统能力。以下内容是工程与产品检查框架,不替代针对具体业务的法律意见。

先画清楚简历去了哪里

团队往往知道简历存在哪个主库,却不知道它被复制了多少次。一份文件可能经过对象存储、OCR 临时目录、解析服务日志、搜索索引、消息队列、数据仓库、标注平台、训练集和备份。若没有数据地图,就无法准确告知用途,也无法兑现删除。

应为每一条处理链路记录:数据来源、处理目的、字段范围、处理者、保存位置、访问角色、下游接收方、保存期限和删除方式。原始简历、解析字段、标准化标签、向量表示和模型训练样本都属于链路的一部分,不能只盘点用户界面看得见的数据。

简历从收集到删除的每一环都需要目的、权限和期限控制
简历从收集到删除的每一环都需要目的、权限和期限控制

“有同意”不等于可以无限使用

《个人信息保护法》 确立了合法、正当、必要和诚信等原则,并要求处理个人信息具有明确、合理的目的,与目的直接相关,采取对个人权益影响最小的方式。对产品而言,这意味着“用于招聘”不能自动覆盖所有后续用途。

为某个职位收集的简历,是否进入长期人才库、是否用于模型训练、是否共享给其他主体,应分别分析处理依据与告知要求。产品界面应让候选人理解谁在处理、处理哪些信息、为何处理、保存多久以及如何行使权利,而不是用一段宽泛条款取得永久授权。

同意也应能撤回。撤回入口若只改变前台状态,后台索引、缓存和训练数据仍继续使用,就没有形成完整闭环。系统设计需要把处理依据与数据对象绑定,支持按目的停用,而不仅是删除一个账户。

最小必要应落实到字段和流程

招聘团队常因“以后可能有用”保留所有字段。但不同环节需要的信息不同:初步联系可能只需姓名和联系方式;岗位匹配需要经历与技能;入职核验才可能需要更多身份信息。把后续阶段的数据提前收集,会扩大泄露面和误用风险。

GB/T 35273—2020《信息安全技术 个人信息安全规范》 提供了个人信息安全实践参考。工程上可以建立字段—目的矩阵:每个字段对应业务必要性、可访问角色、保留期和是否进入搜索或模型。无法说明用途的字段默认不采集、不索引、不用于特征。

还应区分“系统能解析”与“业务应该使用”。解析器识别出照片、年龄或婚育信息,不代表匹配模型可以把它们作为排序依据。敏感或高风险字段最好在入口分流,避免进入通用特征库后被无意调用。

敏感个人信息与自动化决策要单独设计

个人信息保护法对敏感个人信息设置了更严格的要求,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等都可能涉及;不满十四周岁未成年人的个人信息也被纳入敏感个人信息。简历中的照片若被用于人脸特征,或健康、证件等信息被处理,风险会明显提高。

系统应先识别是否真的需要这些数据,并设置更严格的访问、加密、审计和单独告知机制。不需要时,与其依赖所有下游“自觉不用”,不如在数据入口删除或隔离。

法律也对利用个人信息进行自动化决策提出透明、公平公正等要求,并对具有重大影响的决定赋予个人要求说明、拒绝仅通过自动化决策作出决定等权利。招聘排序、筛选和推荐可能直接影响机会,产品不宜只给出一个无法追踪的“匹配分”。更稳妥的设计是显示依据与原文证据,允许人工复核和纠正,并禁止模型单独完成高影响淘汰。

目的、字段、权限、自动化和删除构成简历隐私控制地图
目的、字段、权限、自动化和删除构成简历隐私控制地图

委托处理与第三方服务不能只靠接口密钥

OCR、云存储、邮件、模型 API 和标注服务都可能接触简历数据。选择供应商时不仅要看功能,还应明确处理目的、期限、方式、信息种类、保护措施以及双方权利义务,并能监督受托方处理活动。服务结束后,数据如何返还或删除也应可验证。

技术上应控制传给外部服务的最小字段,优先脱敏或分片,限制调试日志保存原文,并记录数据出境与再委托情况。测试环境不应直接复制生产简历;演示和故障排查应使用合成或充分脱敏数据。

对于跨境提供个人信息、向其他处理者提供信息或处理大规模数据等情形,法律设置了额外条件。具体路径与适用门槛需要结合业务和后续规则单独评估,不能从一篇通用文章得出结论。

删除不是一条 SQL

候选人要求删除时,最容易处理的是主数据库记录,最难的是派生数据。搜索索引、向量库、缓存、数据仓库、标注任务和训练集可能仍保留内容。备份也需要明确隔离和到期策略,避免删除后又在恢复时重新上线。

可以给每份简历和派生记录建立稳定的数据标识与来源关系。删除请求进入后,任务按依赖图传播到各系统;无法立即物理删除的备份应停止业务访问,并在轮换周期内清除。任务最终生成可审计的执行记录,同时避免在审计日志中再次复制完整个人信息。

模型训练带来更复杂的问题。最实际的第一步,是让训练集能够追踪到来源批次与授权目的,停止使用已不再具备处理依据的数据,并在下次训练时排除。若团队连某个样本是否进入模型都无法回答,就还不具备可治理的数据生产线。

把合规要求变成发布门槛

每个处理简历的新功能在上线前,都应完成一张简短但具体的检查表:目的是否明确,字段是否最小,处理依据与告知是否匹配,是否含敏感信息,谁能访问,调用了哪些第三方,保存多久,个人如何查阅、更正、撤回和删除,自动化结果如何解释与人工复核。

对于可能对个人权益产生重大影响的处理,还应进行个人信息保护影响评估并保存记录。评估不应只是法务文档,它应直接产出产品限制、权限策略、监控指标和应急预案。

个人信息保护不是在招聘系统外面加一层隐私政策,而是重新设计数据的生命周期:只为明确目的收集必要信息,在需要的时间和角色中使用,让重要决定有人负责,并能真正停止与删除。做到这些,合规才不只是上线前的一次审查,而是系统每天运行的方式。

资料来源

Back to blogRequest a trial