中国的《个人信息保护法》(简称“PIPL”)已于 2021 年 11 月 1 日起正式施行。与此同时,国家互联网信息办公室(简称“网信办”)也发布了《数据出境安全评估办法(征求意见稿)》。
在大多数情况下,在中国开展业务的跨国公司都会涉及中国与海外总部之间的沟通。这些公司需要收集并处理从招聘到雇佣结束期间现有及潜在员工的信息。因此,研究《个人信息保护法》中影响雇主收集和处理员工个人信息的相关规定至关重要。我们可以预见到雇主应格外留心的几种情形:
- 中国子公司与海外关联公司之间的信息传输涉及员工个人信息;
- 公司的 ERP 数据(包括中国员工的个人信息)托管或备份在海外服务器上;
- 第三方服务提供商在海外管理中国员工的保险及其他福利;
- 子公司将被出售或收购,且潜在的新所有者正通过海外第三方安排交易;
- 正在进行内部调查,需要访问员工的电子设备。
在实践中,肯定存在更复杂的情况,需要进行详细分析。基于目前数据隐私框架的发展,我们建议雇主采取以下行动:
明确告知员工并获得其关于处理个人信息的书面同意
许多雇主在招聘和入职过程中获取“概括性同意”已很普遍。旧的做法可能仅在员工合同或员工手册中包含一项通用声明。然而,这些条款已不再适用于所有场景。当雇主打算向第三方披露员工信息、将信息转移至中国境外或处理敏感个人信息时,应向员工提供单独告知。在书面同意书中,雇主应明确告知员工具体事项:
- 个人信息处理者的名称和联系方式;
- 处理个人信息的目的和方式;
- 处理个人信息的类别和保存期限;以及
- 员工行使《个人信息保护法》所赋予权利的方式和程序。
尽管《个人信息保护法》规定了在某些情况下无需获得同意即可处理员工数据的其他依据,但这些例外的确切范围尚待明确。因此,对雇主而言,最稳妥的策略是在所有情况下都保持审慎。
在向境外传输个人信息前进行安全影响评估
根据《数据出境安全评估办法(征求意见稿)》,雇主在向境外提供员工个人信息前,应首先开展数据出境风险自评估,重点评估以下事项:
- 数据出境及境外接收方处理数据的目的、范围、方式的合法性、正当性和必要性;
- 出境数据的数量、范围、种类、敏感程度,以及数据出境可能对国家安全、公共利益或者个人、组织的合法权益带来的风险;
- 数据处理者预防数据泄露、毁损等风险的管理和技术措施及能力;
- 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施及能力是否能够保障出境数据的安全;
- 数据出境及再转移后泄露、毁损、篡改、滥用等风险;
- 个人是否能够便捷地行使维护其个人信息权益的权利。
- 与境外接收方订立的协议是否充分约定了数据安全保护责任义务。
除了自评估外,如果个人信息处理量达到《数据出境安全评估办法》规定的特定阈值,则会触发由省级网信部门进行的强制性安全影响评估。
与境外数据接收方签署跨境数据传输协议
中国子公司应与每一家境外数据接收方签署跨境数据传输协议。协议应规定数据安全保护的责任和义务,包括:
- 数据出境的目的、方式和出境数据的范围;
- 境外接收方处理数据的目的、方式;
- 数据在境外的保存地点、保存期限;
- 保存期限届满、约定目的完成或者合同终止后出境数据的处理方式;
- 限制境外接收方将出境数据再转移给其他组织、个人的约束性条款;
- 境外接收方实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化等导致难以保障数据安全时,应当采取的安全措施;
- 违反数据安全保护义务的责任,以及具有约束力且可执行的争议解决条款;
- 发生数据泄露等风险时妥善开展应急处置的条款;
- 保障个人维护其个人信息权益渠道畅通的条款。
审查并更新公司在中国的数据存储和备份政策
中国的人力资源经理应与 IT 部门合作,审查当前数据存储、保护和备份政策的 IT 基础设施。特别注意评估公司是否应改进中国数据备份政策、数据库管理系统、数据脱敏和远程访问机制。
对于更复杂的情况,建议进行风险分析以规避责任。雇主需要重新审视其政策并实施整改,以符合中国的数据隐私框架。应根据每家公司的具体情况规划修订方案,以降低法律责任风险并赢得员工的信任。