夜雨聆风
ICO审计发现多数AI招聘工具不合规——DPIA缺失、人工干预缺位、偏见审计空白。UK GDPR第22条踩红线,EU AI Act叠加效应。
2026年5月29日,英国信息专员办公室(ICO)为AI招聘工具设定的合规整改截止日到来。据Tech Times当日报道,多数接受审计的雇主未能达标。
这不是象征性的检查。ICO从2025年起将AI招聘工具列为重点审计对象,覆盖从简历筛选到面试评估的全链条。审计结果令人不安:大量企业甚至没有完成一份像样的数据保护影响评估(DPIA)。
如果你的公司正在用AI筛选简历、评估候选人适配度、或者用算法对面试录像做表情分析,这篇文章需要你认真看完。
ICO对AI招聘工具的审计有明确的法律依据和时间线。2023年3月,ICO更新了《AI与数据保护指南》,明确了AI系统在数据处理全生命周期中的合规义务。2025年起,ICO进一步将AI招聘工具列为重点审计对象,要求使用此类工具的雇主在2026年5月29日前完成合规整改。
审计覆盖的范围很广:简历筛选算法、在线招聘能力测试、视频面试分析工具、候选人评分系统——只要涉及自动化处理个人数据并做出招聘相关决策的AI工具,都在审计范围内。
审计发现的典型问题集中在四个方面:
企业无法说明AI系统如何对候选人做出评分或排序。当候选人问"为什么我被筛掉了",企业答不上来。ICO明确要求,使用AI招聘工具的组织必须向候选人提供"有关决策过程的有意义信息"(meaningful information about the logic involved)。
多数企业没有进行数据保护影响评估,即使AI工具已经处理了成千上万份求职者简历。DPIA是UK GDPR第35条的强制要求——当数据处理可能对自然人的权利和自由产生高风险时,控制者必须在处理前进行DPIA。AI招聘工具几乎必然触发这一要求。
相当数量的雇主对AI输出结果缺乏人工复核机制,相当于把录用决策完全交给了算法。ICO将"无人工干预的电子招聘实践"(e-recruiting practices without human intervention)明确列为Article 22的典型适用场景。
AI招聘工具的训练数据如果存在历史性偏见——例如过去十年的录用数据中某一群体被系统性低估——算法会忠实地复现甚至放大这种偏见。ICO在审计中发现,多数雇主连基本的偏见测试都没有做过,遑论定期校准。
AI招聘合规的法律根基在于UK GDPR第22条。该条第1款规定:
招聘决定显然属于"类似重大影响"的范畴。一个候选人是否获得面试机会、是否被录用,直接影响其就业权和生计。当AI系统自动筛掉简历、给候选人打分、甚至决定面试问题时,它已经做出了具有重大影响的自动化决策。
第22条并非完全禁止自动化决策。第2款规定了三种例外情形:
订立或履行合同所必需 法律授权 数据主体明确同意
但即便适用例外,第3款仍要求控制者实施适当保障措施:
- 获得人工干预的权利
(the right to obtain human intervention) - 表达观点的权利
(the right to express his or her point of view) - 对决定提出异议的权利
(the right to contest the decision)
审计中暴露的核心问题是:多数雇主既没有明确其AI招聘工具适用哪一项例外,也没有建立第3款要求的保障机制。候选人被AI筛掉后,既没有被告知算法参与了决策,也没有获得质疑的渠道。
如果你的公司同时面向欧盟市场,问题会更复杂。
EU AI Act于2024年8月生效,其附件III(Annex III)第4类明确将用于就业、招聘和工作相关管理的AI系统列为"高风险"类别。
影响工作关系条款的AI系统:晋升或终止劳动合同、基于个人特征分配任务、监督和评估绩效
高风险AI系统需要满足一系列额外义务:
建立风险管理体系 确保数据治理质量 编制技术文档 实现记录保存和可追溯性 提供清晰的用户说明 确保人类监督 满足准确性、鲁棒性和网络安全标准
对于跨国企业而言,同一套AI招聘系统可能同时受到UK GDPR和EU AI Act的双重监管。两者的处罚力度都不可小觑:UK GDPR最高可处以£17.5M或全球营业额4%的罚款(以较高者为准);EU AI Act最高可处以€35M或全球营业额7%的罚款。
| 适用范围 | ||
| 招聘场景 | ||
| 合规要求 | ||
| 处罚上限 | £17.5M | €35M |
关键区别在于:UK GDPR关注的是"决策是否完全自动化"——如果有人类参与决策过程,Article 22可能不适用;EU AI Act关注的是"AI系统是否属于高风险类别"——只要用于招聘场景,就自动归类为高风险,无论是否有人类参与。
这意味着,即使你的AI招聘工具有人类审核员参与最终决策,仍然需要满足EU AI Act的高风险AI系统合规要求。
如果你的公司使用AI招聘工具面向英国或欧盟市场,以下是必须完成的合规动作:
- 数据保护影响评估(DPIA)
。这是ICO审计的首要检查项。DPIA需要识别AI招聘工具对候选人数据权利的风险,并说明采取了哪些缓解措施。没有DPIA,等于在合规考试中交了白卷。 - 自动化决策的人工干预机制
。建立候选人质疑AI决定的渠道,确保在AI做出不利决定时有真正的人类审核员介入。这个人不能是走形式——他需要有能力理解AI的决策逻辑,并有权推翻AI的结论。 - 偏见审计与定期校准
。对AI招聘工具进行系统性的偏见测试,检查是否存在对性别、种族、年龄、残疾等受保护特征的歧视。这不是一次性工作——需要定期重复,每次系统更新或训练数据变化时都要重新测试。 - 供应商尽职调查
。如果你使用第三方AI招聘工具(如HireVue、Pymetrics等),你作为数据控制者仍然承担合规责任。需要评估供应商的技术文档、偏见测试报告、以及是否符合ICO的AI审计框架。2021年FTC对HireVue的调查是一个警示——全球首个针对AI招聘工具的重大执法行动,HireVue同意删除某些生物识别数据。 - 透明度义务落地
。确保隐私政策准确、具体地描述AI招聘工具的使用方式、数据处理逻辑、以及候选人的权利。模板化的文本不够——需要与实际部署的系统一致。ICO要求的"有意义信息"不是一句"我们使用AI辅助筛选"就能打发的。 - EU AI Act合规准备(如适用)
。如果你的AI系统属于EU AI Act Annex III的高风险类别,需要额外满足:风险管理体系、技术文档、记录保存、用户说明、人类监督等要求。合规窗口期有限,现在就要开始准备。
ICO的审计传递了一个清晰的信号:AI招聘工具的"狂野西部"时代结束了。5月29日的合规截止日不是终点,而是执法的起点。未达标的企业面临的不只是罚款风险,还有声誉损害和人才流失——当候选人知道你的AI系统不合规时,他们会选择别处。
合规不是成本,是准入门槛。在这个AI加速渗透招聘流程的时代,谁先做好合规,谁就先赢得候选人信任。
扫码关注 / 联系咨询
📞 180-8435-5772
添加微信请备注咨询 | 致电前请先短信说明来意
长按识别二维码添加好友,备注咨询
广东广和律师事务所 · 人工智能法律业务中心
本文仅供学术探讨和法律知识普及,不构成法律意见。如有具体法律问题,请咨询专业律师。
