一、跨境人力资源管理中涉及员工敏感个人信息能否豁免?
实践中,实施跨境人力资源管理的企业较多,例如中国开展业务的大型跨国集团公司和经营出海业务的中国公司,这些公司出于员工人力资源管理、业务联络开发等目的,通常在全球范围内共用同一套员工管理系统以进行员工休假、员工考勤、绩效考核等的统一管理,和使用全球范围内的企业内部通讯录共享员工的姓名、照片、职称、办公地点、邮箱、手机号等个人信息(可能包括敏感个人信息)。
根据新规第五条第一类豁免事由,即“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”的,企业免予申报数据出境安全评估、签订个人信息出境标准合同及通过个人信息保护认证。同时,根据新规第八条,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
那么,在实施跨境人力资源管理中如果涉及员工敏感个人信息,能否一并落入新规第五条的第一类豁免情况呢?根据我们在多个项目中与多地网信部门的沟通,监管部门意见认可实施跨境人力资源管理中确需向境外提供员工敏感个人信息的能够落入新规第五条的第一类豁免情况,而无需根据新规第八条的规定进行申报或备案。但同时监管部门亦提示,即使无需办理申报或备案手续,企业也应当依法履行充分告知、取得同意、进行个人信息保护影响评估等《个人信息保护法》下规定的义务。
此外,需要注意的是,判断“确需”的尺度即出境个人信息的必要性,确认被豁免的个人信息种类,也是实操中的难点之一。此前我们处理的出境申报/备案项目中,存在部分数据项因监管部门认为必要性不足而未许可出境的情况。因此,超出人力资源管理范畴或者明显缺乏必要性的员工个人信息在实务中可能难以被认可为确需出境的个人信息。对于无法有效证明其出境必要性的个人信息字段确被传输出境的,企业应及时进行整改,或依据新规要求,及时办理数据出境监管手续。
二、应聘者的个人信息出境是否落入跨境人力资源管理豁免范围?
企业招聘作为日常人力资源管理的重要组成部分之一,往往收集、存储大量应聘者的姓名、联系方式、学历背景、工作履历等个人信息。部分跨国企业为了使其关联的境外主体或者境外总公司知悉中国境内公司的招聘情况、或为境外主体进行招聘、或满足境外主体的决策需求,需要将其收集到的应聘者简历等信息传输出境,这其中不可避免地涉及大量个人信息。部分企业对于员工和应聘的管理采用一站式的管理系统,存在使用境外信息系统进行管理和存储的情况,亦构成个人信息出境。那么,应聘者的个人信息出境是否落入新规第五条中第一类跨境人力资源管理的范畴而一并进行豁免呢?
从条文规定来看,豁免的场景限于“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”,而作为普通的应聘者在尚未成功应聘入职时尚未与企业签订劳动合同,亦无需遵守企业的劳动规章制度,因此仅从文意来看,应聘者的个人信息出境并不落入跨境人力资源管理的豁免范围。尽管如此,根据我们与多地监管部门的沟通结果,部分地方网信部门对这一问题给出了肯定的答复,即应聘者的个人信息出境可以依据跨境人力资源管理场景而豁免,但亦有网信部门给出了否定的意见。由于各地网信部门答复口径不一,这一问题仍有待监管部门的进一步澄清和释明,建议企业在实践中与所在地网信部门进行积极沟通。
此外,根据新规第五条中第四类豁免情况,即关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。因此,如果企业出境应聘者个人信息不包含敏感个人信息且数量亦不满十万人,亦可以依据此豁免情形进行处理。
三、新规实施前已完成或正在办理数据出境手续的企业应当如何处理?
由于数据出境安全评估申报和个人信息出境标准合同备案工作此前已经启动,不少企业已根据《数据出境安全评估申报指南(第一版)》和《个人信息出境标准合同备案指南(第一版)》(以下各称“安全评估指南第一版”和“标准合同指南第一版”统称“第一版指南”)的要求,向网信部门提交了相应的文件。对于已经通过相关手续的数据出境活动,企业可以根据申报/备案事项继续开展。
根据监管部门意见,新规施行前未通过或者部分未通过数据出境安全评估,根据新规免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。新规施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据新规无需开展上述程序的,数据/个人信息处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
根据我们的实务经验以及与监管部门沟通的意见,已经申报数据出境安全评估、提交个人信息出境标准合同备案的企业如希望撤回申报/备案需要此前提交申报/备案的网信部门批复,企业可以通过递交书面申请说明企业的数据处理活动情况及符合豁免条件的说明,取得网信部门的批复并撤回申报/备案。需要注意的是,撤回申报/备案后,企业依然需要履行《个人信息保护法》及相关法律法规下的数据出境相关义务,包括但不限于进行充分告知、取得单独同意、进行个人信息保护影响评估,履行数据安全保护义务,采取技术措施和其他必要措施,保障出境数据安全等。
四、如何计算个人信息出境人数?
根据此前《数据出境安全评估办法》和《个人信息出境标准合同办法》的规定,数据处理者所持有的存量数据数量是数据出境监管手续的触发门槛之一(处理100万人以上个人信息的数据处理者向境外提供个人信息的应当申报数据出境安全评估),此外出境人数的计算是自上年1月1日期起累计计算。新规取消了处理100万人以上个人信息的数据处理者向境外提供个人信息的应当申报数据出境安全评估的规定,并且出境人数的计算改为自当年1月1日期起累计计算。根据监管部门意见,计算周期为自当年1月1日起至申报/备案之日,数量以自然人为单位去重后的统计结果为准,属于新规中其他条款的豁免情形的不计入累计数量。这一调整,避免了此前处理大量个人信息的企业出境一条个人信息亦需申报数据出境安全评估的情况,将计算周期和起算时间调整为当年1月1日,更有利于企业准确评估数据出境的实际情况,并能有效降低企业的合规成本。
值得关注的是,新规专门规定敏感个人信息这一特定类型的个人信息,其出境数量作为一项触发数据出境监管手续的标准,即新规第八条规定,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。根据我们与监管部门沟通的意见,只要存在敏感个人信息出境(排除新规其他条款的豁免场景)即需要签订个人信息出境标准合同或者通过个人信息保护认证。这体现了对敏感个人信息的精准保护和“抓大放小”的立法理念,也提示企业关注梳理数据类型进行数据分级分类,精确识别敏感个人信息以履行合规义务。
五、个人信息出境标准合同的签订备案要求是什么?
根据标准合同指南第二版第一条,个人信息处理者通过订立标准合同的方式向境外提供个人信息,同时符合下列情形的应当向所在地省级网信部门备案:(1)属于关键信息基础设施运营者以外的数据处理者的;(2)自当年1月1日起,累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)的;(3)自当年1月1日起,累计向境外提供不满1万人敏感个人信息的。但是,根据新规第八条,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
根据我们与监管部门的沟通结果,目前监管意见是建议关键信息基础设施运营者以外的数据处理者判断自身是否需要订立个人信息出境标准合同并进行备案时,以新规第八条为准,即,企业自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息的,或者自当年1月1日起累计向境外提供不满1万人敏感个人信息的数据处理者,即需要签订个人信息出境标准合同并进行备案。
六、已经根据第一版指南的要求撰写个人信息保护影响评估报告提交/备查的,报告是否需要根据第二版指南重新修改撰写提交/备查?
由于数据出境安全评估申报和个人信息出境标准合同备案工作此前已经启动,不少企业已根据第一版指南的要求,向其所在地网信部门提交了个人信息保护影响评估报告等申报/备案文件,亦有部分不需要申报/备案的企业按照《个人信息保护法》的要求进行了个人信息保护影响评估并撰写了个人信息保护影响评估报告备查。由于第二版指南对于个人信息保护影响评估报告的格式模板进行了调整,那么前述个人信息保护影响评估报告是否需要按照第二版指南的要求进行重新修改撰写以提交/备查呢?
根据我们的实务经验和与监管部门的指导意见,由于第二版指南精简了第一版指南中部分对报告的细节要求,相较于第二版指南,第一版指南更为详细而全面。因此对于已提交第一版指南要求的申报/备案文件,但尚未取得批复的企业,或者此前已经进行了个人信息保护影响评估并撰写了个人信息保护影响评估报告备查的企业,在第二版指南出台后无需在格式模板方面根据第二版指南的要求重新修改撰写以提交/备查(实质内容上有变化的不在此列),但我们仍建议企业就此与当地网信部门进行积极沟通和确认。
七、新设数据出境申报系统的线上提交和线下提交应如何选择?
进行数据出境安全评估申报的企业可以通过线上方式使用数据出境申报系统进行申报,但是,关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的企业,可以采用线下方式送达书面申报材料并附带材料电子版通过所在地省级网信部门向国家网信办申报数据出境安全评估。订立个人信息出境标准合同并备案的企业应当在标准合同生效之日起10个工作日内,通过数据出境申报系统备案。已经通过线下方式提交数据出境安全评估、个人信息出境标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。
八、此前申报或备案中未获批出境的数据项是否可以根据新规豁免等情况进行出境?
由于数据出境安全评估申报和个人信息出境标准合同备案工作此前已经启动,不少企业已根据第一版指南的要求,向其所在地网信部门提交了个人信息保护影响评估报告等申报/备案文件,并取得了网信部门的批复,其中可能包含因监管部门认为出境必要性不足等原因而未获批出境的数据。这些数据可能落入新规中的数据出境豁免情况,例如实施跨境人力资源管理、或者不属于敏感个人信息等,那么新规下此前申报或备案中未获批出境的数据项是否可以根据新规豁免等情况进行出境呢?
我们就此问题与监管部门进行了多次沟通,但各地网信部门尚未对此给出明确的意见。因此,我们建议有此类情况的企业,就此场景与批复申报/备案的网信部门进行充分的沟通和确认。
九、存在与境外接收方的数据交互但不需要申报/备案,如何处理更合规?
实践中,有不少企业虽然存在与境外接收方的数据交互传输,但是并不落入需要申报数据出境安全评估或签订个人信息出境标准合同并备案的范畴,例如关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的情况,比如跨国企业的全球管理传输少量商业联系人信息,国内企业使用境外信息系统进行有限数据的存储管理等。这种情况下,虽然无需根据数据出境监管体系的要求向政府办理数据出境的申报/备案手续,但是,为完善企业自身数据保护能力,约束境外接收方对数据的处理行为,企业可以参考个人信息出境标准合同的内容,与境外接收方签署相关数据处理协议,以明确涉及数据出境各方的权利义务分配和个人信息主体的权利和相关救济内容,加强对于出境数据的保护。
十、在境外处理境内自然人个人信息是否需要办理出境手续?
第二版指南对此前第一版指南中关于数据出境的界定进行了调整。根据第二版指南的规定,除了“个人信息处理者将在境内运营中收集和产生的个人信息传输至境外”、“个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出”这两种数据/个人信息出境行为外,新增了“符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据/个人信息处理活动”,属于数据/个人信息出境行为的定义。
这一修订明确了在境外处理中华人民共和国境内自然人个人信息的活动(包括在境外以向境内自然人提供产品或服务为目的,或分析、评估境内自然人行为)属于个人信息出境。我们建议符合前述监管条件的企业关注中国境内的立法动态,根据《个人信息保护法》的规定在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门,以及积极保持与网信部门的持续沟通,在符合办理数据出境手续监管条件的情况下及时办理数据出境手续,并履行《个人信息保护法》下的相关合规义务。
结语
新规和第二版指南的落地,标志着我国关于数据跨境监管法律法规体系的进一步完善。这是数据生产力崛起时代背景下,提升数据跨境流动安全管理水平和拉动数据流通效能的重要举措。通过适当放宽数据跨境流动条件、适度收窄数据出境监管范围,便利化数据跨境流通治理,增强企业的可预期性,促进了数据的合理流动和利用,构建了数据跨境安全管理新模式。
由于数据出境监管相关法律法规的修订较频繁,修订内容较多,并针对特殊类型的数据如敏感个人信息、重要数据设置了较为严格的出境监管要求,我们建议企业在日常经营活动中积极关注法律法规修订动向,做好数据分级分类,识别特殊类型数据,防范数据出境合规风险,必要的情况下咨询专业人士,结合本身的业务形态和数据出境需求,选择适应自身需求的数据出境路径,如落入监管范畴应积极办理数据出境手续,在合规前提下实现数据的跨境流通,防止因为涉诉或行政处罚而严重影响业务的正常开展。