跨国公司员工管理数据合规十问十答.docx
跨国公司员工管理数据合规十问十答立足现有法律法规,围绕跨国企业常见员工信息处理场景,本文回答了十个常见代表性员工管理数据合规问题。人力资源合规是跨国公司最重要的合规部分。自2021年11月1日个人信息保护法施行以来,对跨国公司在人力资源管理的场景下提出了一系列新的合规要求。跨国公司如何在个人信息保护法的框架下,既满足自身全球化管理的内在需求,又要符合中国法律的规定,成为当前困扰着许多跨国公司的难题。而随着相关配套立法的完善,特别是数据跨境立法即将落地,一些问题的答案也逐渐清晰。立足于现有法律法规和有关立法征求意见稿,我们围绕跨国企业常见的员工个人信息处理场景,选取了十个具有代表性的问题提供一些建议。一、员工个人信息的跨境提供如何理解?(一)如何理解“员工个人信息”依据个人信息保护法第四条,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的内涵十分丰富,根据国家标准信息安全技术个人信息安全规范,个人信息具体可包括:1、个人基本资料(姓名、出生、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等);2、个人身份信息(身份证、护照等);3、个人生物识别信息(面部识别特征等);4、个人健康生理信息(身高、体重、生育信息、病症等);5、个人教育工作信息(学历、学位、教育经历、工作经历、培训记录、成绩单等);6、个人财产信息(银行账户、房产信息、征信信息等);7、网络身份标识信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息、其他信息。实践当中,企业在进行员工招聘时往往会通过收集简历、填写入职登记表等方式获得潜在员工的个人基本资料、联系人信息、个人教育工作信息、个人财产信息等;通过入职体检等方式收集潜在员工的个人健康生理信息;以及通过员工日常管理,可能收集到员工的个人生物识别信息等。需要指出的是,员工个人信息不仅仅包括“一般个人信息”。部分员工个人信息可能落入“敏感个人信息”的范围内。个人信息保护法第二十八条将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。员工个人信息当中的入职体检报告、违法犯罪记录、宗教信仰、生育信息、不满十四周岁子女信息、身份证、社保卡或居住证件信息、征信信息、指纹、虹膜、人脸信息、监控行踪轨迹、银行账户和工资支付记录等,较大可能落入“敏感个人信息个人信息保护法及其相关法律法规对处理此类敏感个人信息亦提出了更高标准的处理要求(例如取得个人信息主体的“单独同意综上,理解员工个人信息,必须根据个人信息保护法以及相关法律法规及行业标准理解“个人信息”内涵与外延的界定,同时结合企业在招聘、管理员工时的具体应用场景来进行梳理。(二)如何理解“跨境提供”?个人信息保护法并未明确定义何为“跨境提供”,根据目前的法律规定,目前可以从两个角度理解“跨境提供”:(I)指在境外处理境内自然人个人信息的特定活动;(2)指向境外提供境内特定数据的情形。当然,理解跨境提供的具体场景,根据现有实践,我们认为以下情形属于数据出境:1、向本国境内,但向不属于本国管辖/注册的主体提供个人信息;2、个人信息未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);3、网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息的。下列行为不包含在数据出境范畴中:1、非在境内运营中收集和产生的个人信息经由本国出境,未经任何变动或加工处理的,不属于数据出境。2、非在境内运营中收集和产生的个人信息在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息的,不属于数据出境。值得注意的是,上述理解基于现有规定做出,不排除未来制定个人信息保护法实施细则时,在认定属于“跨境提供”的具体场景时会有所改变。二、境外公司访问境内公司的员工数据存储系统是否构成中国个人信息保护法下的个人信息跨境?参见第一问,我们认为境外公司在境外访问境内公司位于境内的员工数据存储系统属于个人信息保护法下的“个人信息跨境提供依据个人信息保护法第四条的规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。境外公司即便仅访问境内的员工数据系统,其“访问”也很极有可能被法律认定为属于对境内员工数据的处理(“使用”),从而落入个人信息保护法下“跨境提供”的范畴。就目前实践当中,境外企业通过API接口等方式访问存储于境内公司的员工个人信息,无论根据个人信息保护法的法律文本还是通过现有其他法律法规的辅助释义,都很有可能构成个人信息保护法下的个人信息跨境。三、中国个人信息保护法第13条中规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一合法性基础如何理解?个人信息处理者处理个人信息的,须取得个人信息保护法第十三条所列六项“合法性基础”之一,其中:“(二)或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需结合劳动合同法的相关规定,可以从以下两个层次理解该合法性基础:(一)按照依法制定的劳动规章制实施人力资源管理所必须。依照劳动合同法第四条的规定,企业在制定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定。用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者。即:依法制定的劳动规章,应当为企业依法经过民主协商程序,将特定的劳动制度进过公示或告知员工,并经过职代会及员工充分协商、反馈后所订立的劳动规章制度。而理解“为人力资源管理所必须”,则应当关注特定劳动规章制度涉及的具体管理事项,不得随意扩大个人信息的处理范围。例如企业依其制定的有关“劳动报酬''的政策时,需要收集个人信息主体的姓名、职级等信息,但实施相关政策并无需收集年龄、性别等个人信息。(二)按照依法签订的集体合同实施人力资源管理所必须。依照劳动合同法第五章第一节的有关规定,集体合同通常是指由工会代表企业职工一方与用人单位通过平等协商,就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立的合同。依法制定的集体合同,其草案应当提交职工代表大会或全体职工讨论通过。实务当中,集体合同通常见诸于建筑、采矿、餐饮等特定行业。同样,依集体合同实施人力资源管理,必须关注集体合同具体约定事项(如劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项)所需处理的个人信息,不得超范围处理。值得注意的是,作为“同意”这一合法性基础的特殊表现形式,“单独同意”本身并未被个人信息保护法列为独立的合法性基础。因此,依据个人信息保护法第十三条的相关规定,企业处理员工个人信息若基于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一合法性基础,则无需另行取得“同意”,亦无需再取得“单独同意”。四、境内公司向境外公司跨境提供员工个人信息的,境内公司应当如何取得员工的单独同意?个人信息保护法第三十九条规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。我们认为可以从以下几个维度理解单独同意:(一)取得标准。单独同意的取得标准,应当至少不低于个人信息保护法就取得个人“同意”的相关规定。即应当充分告知信息主体个人信息处理的方式、目的、规则等,由个人在充分知情的前提下自愿、明确作出;保障个人信息主体能通过便捷的方式撤回其“同意”;以及在变更使用目的或方式等特定情形下重新获取个人信息主体的“同意(二)取得形式。单独同意的取得形式,应当具有独立性。依据最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定第四条的规定,以拒不提供产品或服务相胁迫、捆绑授权、强迫或变相强迫等方式获取的同意不属于“单独同意基于上述分析,境内公司向境外公司跨境提供员工个人信息的,境内公司首先应当明确该处理场景是否需要取得员工的“单独同意同时建议公司针对法律法规对单独同意的取得标准及取得形式的要求,制定专门的SOP、设置同意授权通道、并由专人负责保障个人信息主体针对其授权同意的行权。五、境内公司在向境外公司跨境提供员工个人信息前,应当开展哪些评估工作?结合个人信息保护法、数据出境安全评估办法(征求意见稿)等有关规定和实践,境内公司在向境外公司提供员工个人信息前应当开展如下评估工作:(一)完成个人信息保护影响评估依据个人信息保护法及相关法律法规的的规定,个人信息处理者向境外提供个人信息时,应当事前进行个人信息保护影响评估(以下简称“PIA”),并对处理情况进行记录。根据我们的经验,我们认为保护影响评估至少包括:1、评估应当包括评估个人信息的处理目的、处理方式等是否合法、正当、必要及是否符合诚信原则;2、评估应当包括评估对个人权益的影响及安全风险,在跨境场景下,需要评估境外国家法律保护环境,以及接收方、相关方的安全措施,是否存在风险;3、评估应当包括评估所采取的保护措施是否合法、有效并与风险程度相适应;4、评估的报告和处理情况记录应当至少保存三年。5、评估应当包括评估数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等。(-)完成对应跨境路径的评估工作个人信息保护法第三十八条就员工个人信息出境给出了三条路径。即(1)通过国家网信部门安全评估;(2)获得专业机构的认证办理;或(3)通过签订标准合同办理。总体而言,每条通关路径的适用对象、范围不同,且所需完成的评估工作与个人信息保护法要求的PIA存在重叠但又有所不同(下文中将详细介绍)。由于目前网信部门尚未就标准合同出台相关规定,本文仅就安全评估及专业机构认证所涉及的评估工作进行介绍。1、通关路径一:完成安全评估。依照个人信息保护法第三十八条、第四十条以及于数据出境安全评估办法(征求意见稿)第四条,关键信息基础设施的运营者(以下简称“CIIO”)在中华人民共和国境内运营中收集和产生的个人信息、处理个人信息达到一百万人的个人信息处理者向境外提供个人信息、累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息应当完成安全评估。安全评估应当坚持风险自评估与风险评估相结合的原则。即:*进行风险自评估,需要完成解答(一)所列举的PIA评估工作,并在此之外梳理与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务,同时留存数据出境风险自评估报告。*备齐相关材料,按照法定程序通过所在地省级网信部门向国家网信部门申报数据出境安全评估。值得注意的是,CIIO通常是指涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的信息基础设施运营者。拟跨境提供员工个人信息的企业若所属行业、业务类型可能落入CnO的,我们建议企业在跨境提供个人信息前,应当完成安全评估。同时,若企业因其业务类型(如专门提供跨境劳务派遣服务)、规模存在大量传输员工个人信息或员工敏感个人信息的情形的,也应当按照法律法规要求完成安全评估工作。相反,若企业规模较小,且不涉及特殊行业或服务类型的,在跨境提供员工个人信息时则并不一定需要完成安全评估工作。2、通关路径二:完成个人信息保护认证。对于非CH0或处理员工个人信息或员工个人敏感信息没有超过一定数量的企业,可以在跨境提供前选择完成个人信息安全保护认证。企业若选择通过该路径跨境提供员工个人信息的,我们建议完成如下评估工作:(1)明确主体责任。跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,可由境内实体申请认证并承担法律责任。若境内企业与境外企业分属不同实体,则我们建议由境外企业在境内设置专门机构以完成认证。(2)评估是否符合法定原则建企业跨境提供员工个人信息的,须评估是否符合如下要求:* 合法、正当、必要和诚信原则。企业是否采取了对员工权益影响最小的方式处理其个人信息;* 公开、透明原则。跨境提供员工信息是否做到处理规则公开、处理过程透明,并及时告知员工跨境提供个人信息的目的、范围和方式;* 信息质量原则。跨境提供员工信息过程中,各方是否能够保证个人信息的准确及完整;* 同等保护原则。跨境处理员工信息过程中,各方是否能够确保个人信息的处理符合我国相关法律法规就个人信息保护设置的标准。(3)评估是否满足基本要求。企业跨境提供员工个人信息的,须评估是否满足如下基本要求:* 法律约束要求。各方是否签订了具有法律约束力和执行力的文件。同时该文件是否包括:参与跨境处理员工个人信息相关方;处理的目的及类别与范围;采取何种措施保障个人信息主体权益;承诺遵守统一个人信息处理规则并确保其水平不低于我国个人信息保护相关规定;接受认证机构监管及法律管辖。* 组织管理要求。企业内部是否指派了专门保护员工个人信息的负责人,且该负责人是否为决策层成员且职责明确。各相关方就履行员工个人信息保护义务,防止其泄露、篡改、丢失是否设立了专门保护机构。* 跨境处理规则要求。境内员工个人信息提供方与境外企业是否设置并遵循统一的个人信息处理规则。规则内容包含:处理员工个人信息的基本情况(类型、敏感程度);处理的目的、方式及范围;境外存储的起止时间及到期后的处理方式;跨境处理员工个人信息是否需要中转及经哪些地区或国家中转;保障员工个人信息主体权益采取的资源和措施;发生安全事件后的赔偿及处置规则。* 个人信息影响评估要求。参照个人信息保护法及信息安全技术个人信息安全影响评估指南就跨境提供员工个人信息进行评估。针该通关路径,我们建议除PIA外,境内提供方与境外接收方还需要重点评估员工个人信息出境目的国和地区的法律环境是否能够对员工个人信息提供有效保护,以及境外接收方自身的网络环境是否能够对员工个人信息主体权益提供有效保障。六、境内公司在向境外公司跨境提供员工个人信息前,应当向员工个人告知哪些事项?境内公司在向境外公司跨境提供员工个人信息前,应当向员工个人告知如下事项:一、告知员工个人其个人信息跨境提供的目的、范围和处理方式,确保员工了解自己个人信息处理的全过程。二、告知员工参与跨境处理其个人信息的相关方。告知员工有关的保障措施以及所遵守的个人信息处理规则,同时明确境内承担法律责任的实体等。三、告知员工行使其个人信息主体权益的方式与路径,以及企业的响应方式。应员工请求,企业应提供其个人信息跨境中与员工签署的法律文件,并提供员工行权路径和涉及员工权益的副本等。若企业拒绝员工相关请求的,企业应当说明理由和救济途径。四、针对员工敏感个人信息的特殊告知义务参见第九问。七、境内公司与境外公司订立的关于员工个人信息跨境提供的合同,应当对哪些事项进行约定?境内公司与境外公司订立的关于员工个人信息跨境提供的合同,我们建议对以下事项进行约定:(一)境内提供方与境外接收方的具体信息;(二)跨境的目的、方式以及数据的类别与范围,境外接收方处理数据的用途、方式等;(S)员工数据在境外的保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;(四)对于员工个人信息主体权益的保护措施;(五)限制将出境的员工数据再转移给其他组织、个人的约束条款;(六)在境外接收方的实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化等情况下,导致难以保障员工数据安全时,应当采取的有效安全措施;(七)境外接收方与境内提供方承诺接受中华人民共和国个人信息保护相关法律、行政法规管辖;(A)违反员工数据安全保护义务的违约责任,以及具有约束力且可执行的争议解决条款;(九)境外接收方与境内提供方承诺接受认证机构监督(如进行个人信息跨境活动认证的);(十)境外接收方承诺并遵守统一的个人信息处理规则,确保个人信息保护水平不低于中华人民共和国个人信息保护相关法律、行政法规规定的标准;值得关注的是,个人信息保护法第三十八条第(三)款亦明确了“国家网信部门制定的标准合同”这一条件,根据网信办发布的个人信息出境标准合同规定(征求意见稿),以下情形属于可以使用个人信息出境标准合同(“标准合同”)方式向境外提供个人信息:(一)非关键信息基础设施运营者;(二)处理个人信息不满IOO万人的;(S)自上年1月1日起累计向境外提供未达到10万人个人信息的;(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。标准合同原则上按照网信办所公示的模板进行签署和条款调整,并应当备案。如出现以下情形之一的,应当重新签订标准合同并重新备案:(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的;(三)可能影响个人信息权益的其他情况。八、境外公司作为员工个人信息的境外接收方,如何保障员工在个人信息保护法下的法定权利?根据个人信息保护法第三十九条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知个人向境外接收方行使本法规定权利的方式和程序等事项”。根据该条规定,我们认为,境外公司作为员工个人信息的境外接收方,应当重点从以下两方面保障员工在个人信息保护法下的法定权利:(一)明确个人信息保护法下的法定权利基于境外公司与境内公司的法律适用性的区别,境外公司往往对于中国个人信息保护法下的个人信息主体的法定权利较为陌生。因此,境外公司有必要首先对中国个人信息保护法下的个人信息主体的法定权利进行明确。概括而言,在跨境场景下,现有实践中的有关法定权利主要包括以下类别:1、个人信息主体对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;2、有权向境外接收方要求查阅、复制、更正、补充、删除其个人信息;3、有权要求个人信息跨境处理活动相关方对其个人信息处理规则进行解释说明;4、有权拒绝仅通过自动化决策的方式作出决定;5、有权向中华人民共和国履行个人信息保护职责的监管机构进行投诉、举报。根据立法趋势,境外接收方还需要注意以下两点可能的扩张权利(“扩张权利”):1、文本获取。个人信息主体是个人信息跨境处理活动相关方签订法律文件中个人信息权益相关条款的受益人,有权要求个人信息跨境处理相关方提供法律文本中涉及个人信息主体权益部分的副本;2、司法管辖。个人信息主体有权在其经常居住地所在法院向参与个人信息跨境处理的相关方提起司法诉讼。我们理解,基于目前已生效的个人信息保护法,境外接收方应当重点关注前五类法定权利,依法保障员工在个人信息保护法下的法定权利。至于两类扩张权利,境外接收方可保持关注,待该规则具体落地后,可以结合企业实际,综合考量保障该两类扩张权利的成本,必要的时候可以与监管部门进一步确认。(-)建立便捷的员工行权申请受理和处理机制根据个人信息保护法第五十条的规定,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。作为境内员工个人信息的境外接收方,境外公司作为个人信息处理者,亦应当在明确个人信息保护法下的法定权利的基础上,建立便捷的员工行权申请受理和处理机制。在员工个人信息跨境场景下,建议境外公司直接或通过境内公司的协助与相关员工签订员工隐私政策,细化各类法定权利的具体行权机制,并依法实际履行该等义务。若进行跨境的员工个人信息亦包含求职者的个人信息,建议境外公司要求境内公司,在招聘环节即前置化要求求职者签订求职者隐私政策,以更为全面地保障员工的法定权利。九、境内公司向境外公司跨境提供员工的敏感个人信息时,应当关注哪些特殊合规义务?(一)敏感个人信息的识别识别何类员工个人信息属于敏感员工个人信息参见第一问的回答。(-)严格限制的处理目的个人信息保护法第二十八条规定:只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。在员工个人信息跨境场景下,境内公司应当首先评估是否满足该等严格限制的处理目的,若不满足,则不应当开展员工敏感个人信息的跨境行为。(三)特殊的告知义务个人信息保护法第三十条规定:“个人信息处理者处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响”。境内公司在向境外公司传输员工个人信息前,应当通过协议、文本等留痕方式向员工以其可以充分理解的方式,告知前述必要性以及对员工个人权益的影响。(四)区分合法性基础下的单独同意义务基于前述分析,若基于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需''这一合法性基础处理员工个人信息的,不需取得员工个人的同意;若无法适用前述合法性基础,则需在处理员工个人信息前,谨慎分析处理的合法性基础。跨国公司由境内向境外跨境提供员工个人信息前,应当充分论证适用的合法性基础,区分化地判断是否应当取得员工的单独同意。根据2021年11月发布的网络数据安全管理条例(征求意见稿)第七十三条的规定,“单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。''因此,“单独同意”的核心在于就要求个人信息处理者将特定个人信息处理事项单独列出,给予该个人就某一事项单独判断的权利与便利。具体到跨国公司在人事管理的场景下,建议公司可以将单独同意事项列出,由员工逐项确认。(五)个人信息保护影响评估义务根据个人信息保护法第五十五条的规定,处理敏感个人信息,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。境内公司在向境外提供员工敏感个人信息前,应当依法履行个人信息保护影响评估义务,并做好留痕工作。十、境外公司违反员工个人信息保护合规义务,将会承担何种法律责任?境外公司虽然地理位置位于中国境外,但作为境内员工个人信息跨境提供的境外接收方,其对于员工个人信息的处理行为,仍受中国个人信息保护法的管辖,其违反员工个人信息保护合规义务,主要面临三类法律责任:(一)民事责任处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。该损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。(-)行政责任对个人信息处理者:根据个人信息保护法规定,最高可以对违法的个人信息处理者处以上一年度营业额百分之五以下的罚款。对直接负责的主管人员和其他直接责任人员个人信息保护法规定最高可罚款一百万元,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。个人信息处理者违反个人信息保护法刑法等的规定,构成犯罪的,依法追究刑事责任。如构成侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等犯罪的,最高可处七年以下有期徒刑,并处罚金。结语Conclusion所谓正本清源,企业在向中国境外提供员工个人信息时,应当回归个人信息保护法等法律法规的相关文本以及立法目的,厘清重点概念并加深对各项法定合规义务的理解,才能在运营管理过程中制定、实施更为有效且具有针对性的合规策略。考虑到数据出境安全评估办法等针对个人信息跨境的法律法规即将落地,我们建议跨国企业做好有关的必备合规动作,确保在规则落地后,自身的员工管理行为不会产生法律风险。