跨国企业通常在全球多个国家或地区有分支机构,大多数跨国企业都会对其全球分支公司的员工信息进行统一管理,这就面临各国员工信息跨境传输的数据合规问题。据了解,目前中国国内的跨国企业员工个人信息储存主要有两种模式:一种是中国境内设置IT服务器,将中国员工个人信息数据存储于位于中国境内的服务器上,只有在必要时再将数据传输至境外;另一种模式是IT服务器设在境外的集团总部所在地,中国的子公司使用集团统一的人力资源管理系统,在国内收集到的员工数据也将存储于位于境外的服务器上。以上两种员工数据存储模式都会涉及员工个人数据的跨境传输。
目前我国尚没有针对员工个人信息数据传输的特别规定。近年来,国内有关个人信息保护的立法有了较大的发展。虽然个人信息保护立法的初衷主要是针对互联网企业在业务运营中收集的用户个人数据,但从法律规定和实务的角度理解,员工个人信息属于特定群体的个人信息,在没有其他更具体的规定的情况下,企业从合规角度最为稳妥的做法是在员工个人信息的跨境传输时严格遵守个人信息跨境传输的相关规定。实务中,许多外商投资企业都非常关心员工数据跨境传输中的合规风险,以及相关法规对IT系统的技术要求。以下,我们将从较为常见的几个问题入手,以期解答部分疑惑。
一、员工信息范围较广,具体哪些信息属于相关个人信息保护法律中定义的个人信息?
通常企业对于员工信息的收集始于该员工入职前,止于该员工离职。在这期间所产生的数据主要有三类,一类是个人的基本资料,包括个人姓名、生日、性别、民族、国籍等。第二类是企业在员工入职前自行或通过专业公司对员工进行的背景调查,尤其是在外商投资企业,这种调查非常普遍。背景调查往往涉及到员工的社会关系背景,包括详细的教育背景、工作经历、是否有犯罪记录、个人财产及征信信息、甚至他人对其工作表现以及工作能力的评价等。第三类是通过入职体检了解到的个人身体健康信息,包括身高体重、生育、疾病情况、保险及家庭成员等。
2017年6月生效的《中华人民共和国网络安全法》(“《网安法》”)中对于个人信息的定义是,“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号、个人生物识别信息、住址、电话号码等。”2019年10月22日,由国家市场监督管理总局和中国国家标准化委员会联合发布的《信息安全技术 个人信息安全规范(征求意见稿)》(“《个人信息安全规范(征求意见稿)》”)中,进一步明确了个人信息及个人敏感信息的类型和范围,以下为个人信息和个人敏感信息的示例。
表一:个人信息[1]
表二:个人敏感信息[2]
对比以上表一、表二不难看出,员工的三类个人信息都属于相关法律法规定义的个人信息的范畴,如果涉及到了个人身份信息、健康和财产信息的还可能属于个人敏感信息。个人敏感信息在向境外传输的时候需要采用加密等安全措施。值得注意的是,属于个人健康信息的在出境时需要遵守其他关于健康数据出境的规定。此外,有的跨国企业会给员工家属购买保险作为员工福利,此时收集的员工家庭成员信息,特别是未成年人的个人信息,还需要注意遵守自2019年10月1日起施行的《儿童个人信息网络保护规定》有关儿童信息出境的特别要求。
二、外商投资企业是否必须在中国境内设立用于存储员工数据的IT服务器?
如上所述,员工的个人信息数据整体上应属于《网安法》所保护的个人信息的范畴,但是,国内有关个人信息保护的相关规定并未明确要求外商投资企业必须单纯为了存储员工信息而在中国境内设立IT服务器。
尽管如此,依据《网安法》的规定[3],如果一家外商投资企业属于“关键信息基础设施运营者”,也就是,如果外商投资企业所处的行业涉及到了公共通信、信息服务、能源、交通、水利、金融、公共服务、电子政务等重要的行业领域,则该企业应该在境内设立IT服务器以存储其在境内运营中收集和产生的个人信息和重要数据。在此情形下,作为“关键信息基础设施运营者”的外商投资企业既然已经设立了境内IT服务器,最为稳妥的方式自然是将其员工个人信息也同样存储于境内的IT服务器。在需要向境外提供时,再按照要求进行安全评估。
三、如果将员工数据传输到境外,尽管是跨境,但实质还是在企业集团内部传输,这种情况是否也需要征求员工的同意?
涉及到个人信息出境的,通常需要征求个人信息主体的同意。国家互联网信息办公室(“网信办”)2017年在《网安法》的基础上又发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《个人信息和重要数据出境办法》”),其中要求个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。但在全国信息安全标准化技术委员会于2020年1月20日发布的《信息安全技术个人信息告知同意指南(征求意见稿)》(“《个人信息告知指南》”)又进一步明确了网络运营者在处理个人信息时需要告知和免于告知的情形,以及具体的告知方式要求。其中,在第6.1条规定的免于告知同意的情形中,规定收集、使用“与个人信息主体求职、就业直接相关的,例如用人单位收集个人信息主体投递的包含姓名、联系电话、学历背景、工作经验等个人信息的简历”属于需以适当方式告知个人信息主体目的,但无需征得个人信息主体的明示同意的情况。
《个人信息和重要数据出境办法》和《个人信息告知指南》关于网络运营者在个人信息收集、使用(包括向境外提供)时的义务的规定并不完全相同,但由于两个规定都还只是征求意见稿暂未生效,实践中具体的操作方法还有待相关主管部门的进一步明确。但通常认为,由于《个人信息和重要数据出境办法》的立法层级高于《个人信息告知指南》,且是有针对性的对信息出境进行规定,从企业合规的角度,按照《个人信息和重要数据出境办法》规定的在征得员工明确同意之后再将其个人信息传输出境应是更为稳妥的操作。
四、基于中国关于个人信息保护的合规要求,境外接收员工数据的母公司需要做什么?
由于收集、传输数据的主体主要是外商投资企业,因此大部分的向国内主管部门汇报及合规义务主要由外商投资企业承担,境外母公司主要承担配合的义务。例如,在2019年6月国家互联网信息办公室发布的《个人信息出境安全评估办法(征求意见稿)》(“《个人信息出境办法》”)中,要求在向境外传输信息时,网络运营者(外商投资企业)和个人信息接收者(境外母公司)签订合同。还明确了双方合同中境外母公司应该承担的责任,包括为个人信息主体提供访问、删除信息的途径、确定境外保存期限、遵守当地法律、除非特殊原因不得再传输给第三方等。[4]此外,在进行数据出境安全评估时,数据接收方的安全保护措施、能力和水平、以及所在国家和地区的网络安全环境都是需要评估的因素。
五、数据出境时有一些安全评估的要求,什么时候需要自评估,什么时候需要到主管机构去评估?
个人信息数据出境的评估通常涉及到自行安全评估、报请主管机关评估和主管机关依职权评估三种情况。相关的依据主要是《个人信息出境办法》、《个人信息和重要数据出境办法》和2017年8月由全国信息安全标准化技术委员会发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“《数据出境评估指南》”)。
其中,自评估是普遍适用的情况,只要涉及到数据出境的情况,企业都应在出境前进行安全评估。自评估时需要制定数据出境计划、形成自评估报告。自评估的内容则主要包括数据出境必要性、数据类型和敏感程度、泄露风险等方面。
对于报请主管机关评估的情况,《个人信息出境办法》和《个人信息和重要数据出境办法》的规定并不完全一致。具体而言,《个人信息出境办法》要求个人信息在出境前,网络运营者都需要向所在地省级网信部门申报个人信息出境安全评估。而《个人信息和重要数据出境办法》则要求在几种特定的情况下,需要报请主管机关评估,这种情况主要包括涉及50万人以上的个人信息、数据量超过1000GB、数据涉及国防及健康领域、关键信息基础设施运营者向境外提供的信息等。[5]如果适用《个人信息和重要数据出境办法》,人员较多的外商投资企业比较容易符合的条件是数据量超过1000GB,这种情况就涉及到需要报请主管机关评估。
主管机关自行启动评估的情况与上述报请主管机关评估的条件类似,但是增加了大量用户投诉、举报和全国性行业协会建议两种触发机制。这主要是考虑到相关数据出境的社会危害性和影响。通常而言,一般跨国企业在国内的员工数据不太可能涉及到这种情况。
六、与个人信息保护及出境相关的法规汇总
目前,关于个人信息保护和出境的法律法规较少,且大多都还在征求意见稿的阶段。尽管如此,我们认为这些法规及征求意见稿能够代表一定的立法趋势,具有较强的参考价值,因此借本文章之机,进行列举总结。
从上表可以看出,目前尚没有关于员工个人信息数据的保护及跨境传输的专门规定。除了《网安法》外,大部分有关数据的立法都还只是征求意见稿,并未正式生效,对于其通过后具体实施时的操作细节和可能遇到障碍目前尚不明确。而值得期待的是,全国人大常委会法工委发言人在去年明确提出,在2020年将在制定个人信息保护法、数据安全法等数据与信息安全领域的法律。届时,相关具体要求应得以进一步明确。
[1]《信息安全技术 个人信息安全规范(征求意见稿)》,附录A:个人信息示例,表A.1 个人信息举例
[2]《信息安全技术 个人信息安全规范(征求意见稿)》,附录B 个人敏感信息判定,表B.1 个人敏感信息举例
[3]《网络安全法》第三十七条
[4]《个人信息出境安全评估办法(征求意见稿)》第十三条至第十六条
[5]《个人信息和重要数据出境办法(征求意见稿)》第九条
相关推荐