跨境处理员工个人信息？在华外企如何合规应对《个保法》？

9月17日，《中华人民共和国个人信息保护法》（以下简称《个保法》）宣介会上，网信部网络法治局局长华清向企业代表们宣讲了几个重点：

 

以后会不断完善《个保法》的各项配套规定；

切实履行网信部对个人信息处理的监督管理职责，加强违法行为惩处力度；

完善内部个人信息保护合规工作。

 

网信部的口风吹了出来，作为经常接触员工个人信息的外企管理者，有了疑惑和担心：

 

到底什么情况属于“个人信息处理”？《个保法》是不是对数据在海外存储的外企有冲击？公司人事信息统一存在海外总部的服务器上，怎么办？

 

别急，这篇文章我们从《个保法》怎么规制外企跨境处理个人信息的行为说起。

 

 

什么叫“处理个人信息”？单独存储也要受规制么？

 

是的，存储也要受到规制。不仅如此，还有更多信息处理的方式也被纳入《个保法》的规制范围。

 

我们看《个保法》第四条，了解下什么是个人信息处理的方式：

 

 第四条  个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

 

根据第四条的规定，我们可以看到不仅仅是在使用员工个人信息做分析或查看的时候才叫“处理”，而是与个人信息的来源、用途、储存、去向几个维度相关联的几乎所有方式，都被定义为“处理”。

 

如果仔细阅读就会发现，规定里开了一个口子，“不包括匿名化处理后的信息”。

 

那么，什么是“匿名化”？这要从“个人信息”的定义来讲起。

 

其实在《民法典》的1034条就有所铺垫：

 

第一千零三十四条 自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

 

《个保法》的“匿名化”和《民法典》的“识别特定自然人”，中间又有什么关联呢？

 

打个比方来说，现在我们从员工信息库中抽取一条信息，得到的结果是“姓名-身份证号-性别-年龄-所属主体-薪酬…”，其中的“姓名-身份证号”可以单独识别特定员工，则该条信息就是单独“识别特定自然人”的信息；“性别-年龄-所属主体-薪酬”在与其他信息库组合之后如果可以在公司定位到特定员工，则该条信息属于与其他信息结合识别特定员工的信息。

 

匿名化正是“阻断”信息可以定位到个人的一种方式。那么，怎么将信息“匿名化”呢？

 

我们可以从2020年新版的《个人信息安全规范》（GB/T 35273-2020）中得知。

 

匿名化，是指通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息无法被复原的过程。通俗来讲，就是用技术手段（哈希函数、假名）与方案（加密、干扰、分解、泛化）抹去可识别的信息的过程。以上文为例，“姓名-身份证号-性别-年龄-所属主体-薪酬”在“匿名化”的过程后就可能会变为：

 

 

或许有人会问，为啥匿名化这么麻烦，我直接删去姓名和身份证号不就可以了。

 

没错，直接删去姓名和身份证号是避免了在自己的信息库中变为可识别的个人信息，这种方式在技术上叫做“去标识化”。

 

但“去标识化”后的信息如果结合其他信息库或者信息模型，仍能识别出特定员工。比如“男-年龄-入职时间”虽然该条删去了所有标识信息，但仍可以结合入职时间当天的入职人员名单等其他信息来源或模型，精确定位到特定员工。

 

在法律上，“去识别化”的个人信息仍为个人信息，仍受该法管辖。但是如果利用技术手段和方案将个人信息匿名化，其在法律上等同于个人信息的删除。就可以不受该法管辖的同时满足跨境处理个人信息的需求了。

 

到这里，我们就了解了“处理个人信息”。下面，我们再来讨论跨境处理员工个人信息的问题。

 

 

跨境处理员工个人信息受不受该法约束？得看中国式“长臂管辖”

 

《个保法》对跨境处理个人信息的约束

 

《个保法》中一大焦点，便是在其中对个人信息保护设置了域外效力，即将国内个人信息保护的效力首次延展到国外，补全了在境外处理国内人员信息却不受管辖的空白。

 

在此之前，无论是2013年的《电信和互联网用户个人信息保护规定》还是2017年的《网络安全法》仅仅对境内主体设限，并未对境外做出规定。

 

个人信息保护法 第三条

在中华人民共和国境内处理自然人个人信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

 

此次《个保法》的域外效力规定，一定程度上是借鉴了欧盟的《通用数据保护条例》（以下简称GDPR）。

 

通用数据保护条例 第三条第二款

本条例适用于如下相关活动中的个人数据处理，即使数据控制者或处理者不在欧盟设立：

(a)为欧盟内的数据主体提供商品或服务

(b)对发生在欧洲范围内的数据主体的活动进行监控。

 

从适用范围来看，两者都超越了传统的属地或属人管辖，转为是不是涉及境内自然人的个人信息作为原则。

 

这种延展适用范围至主权外地区的方式，我们称之为“长臂管辖”。

 

什么是“长臂管辖”？在华外企在“长臂”之内吗？

 

长臂管辖是指，在某些情况下，地区或主权内的法院将管辖权像手臂一样伸长到地区外或主权以外的地区的方式。那么，长臂是否有边界？在华外企和境外企业是在长臂之内还是长臂之外？

 

我们要了解，长臂管辖的基础是“效果原则”。简单来说，是某一发生在国外的行为对本国境内产生了“效果”（影响），那么无论是身处何方，本国都会对其有管辖的理由。

 

但是不是所有的“效果”都是长臂管辖的“合理理由”，这里要引出一个概念：“最低联系标准”。这是指，如果管辖的理由低于这个标准，就不再合理。

 

那这个“标准”到底是什么？在具体细则出台之前，我们可以参考GDPR的相关原则。

 

在主权范围内设立办事处或关联公司的；

虽为设立办事处或关联公司，但是在主权范围外处理范围内员工的数据的，目的是提供商品或服务的（无论免费或付费）。

对主权范围内自然人进行监控。（在欧盟司法实践上，分析和评估出用户或员工行为画像也属于监控的范畴。）

 

如果各位所属的企业存在以上情况，且在该法生效以后需要将数据跨境处理的，就需要重新审视一下以往的个人信息及数据的保护措施了。

 

 

 我司确需跨境处理员工个人信息，如何满足合法合规？ 

 

1）取得员工的单独同意，这是获取个人信息跨境处理授权的基础

 

根据个人信息保护法 第三十九条

个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

 

这意味着，通过集体授权允许个人信息跨境处理的方法，未来将不再适用。企业应尽快修改相关程序和流程，以符合新法的要求。同时此条也同时隐含着两个动作：告知-同意。且两个动作都需要满足法律规定和管理需求。

 

告知：内容符合《个保法》第三十九条的规定条目，尽量对涉及到员工切身利益的条目减少概括性表述。

 

同意：得到员工单独同意，且需要满足自由平等、知情、单独对相关内容做同意（不得与其他内容一起概括做同意）、同意必须是明确的（同意的表述方式不能模棱两可）。

 

因此，建议需要跨境处理员工数据的企业，在员工入职时，单独做一份《个人信息跨境处理知情同意书》，作为劳动合同的附件进行处理。或在劳动合同中设立特殊条款，约定员工信息的使用目的、用途、可使用的期间等。

 

2）了解“四个选择”、“一个限制”

 

在获得员工的确认后，我们还需注意到该法对企业的约束条件。

 

① 四个选择：跨境处理要满足一定前置条件

 

个人信息保护法 第三十八条

个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

 

《个人信息保护法》第38条中提及了跨境处理的4种前置条件，但并非需要满足全部，未来只需任选其一满足即可。但是我们也需要注意到，在达到一定条件后，个人信息保护法第40条也规定了针对以上条款的特殊限制。

 

② 一个限制：数量限制

 

个人信息保护法 第四十条

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

 

可以看到，该法对提供到境外的个人信息数据也有一定的数量限制，并且可能对超出规定数量数据的组织进行本地储存或强制由网信部进行评估。

 

但是数量多少是超过国家网信部门的数量现在仍未有相关政策对此进行规定。不过，2017年网信部曾公开过一份名为《个人信息和重要数据出境安全评估办法（征求意见稿）》的文件，其中第9条，曾对数据的数量有规定。

 

征求意见稿指出，出境数据含有或累计含有50万人以上的个人信息、出境数据量超过1000GB、数据包含涉及国家安全的信息、CIIO（即关键信息基础设施运营者）向境外提供个人信息和重要数据等，会对国家的信息安全造成影响，国家网信部会对其进行安全评估和审核。

 

里面规定的“50万人”大家觉得可能很多，毕竟在华外企再大，员工也不可能到达10万级别。但是我们要知道，《个人信息保护法》中规定的个人信息并非只有员工的个人信息。员工个人信息只占了上述50万人的个人信息的一部分。若应管理的需求将业务上或其他的个人信息同样进行跨境处理，就很容易达到累计含有50万人以上的个人信息的标准。

 

虽然目前意见稿尚未出台，法律尚未实行。但是有合规需求的企业可以将个人信息保护先行搭建并自查了。

 

3）企业搭建和评估个人信息安全制度，我们应该遵循与参考什么？

 

没有头绪的话，不妨先看看这些：

 

个人信息保护法 第五十五条

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

……（四）向境外提供个人信息；

 

个人信息保护法 第五十六条

个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

 

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 

不仅只有《个保法》，还需要参考以下文件：

《个人信息安全影响评估指南》（GB/T 39335-2020）

《个人信息出境安全评估办法（征求意见稿）》

《个人信息和重要数据出境安全评估办法（征求意见稿）》

 

虽然相关规定较为零散，但我们可以从中总结出我国个人信息出境安全的评估重点：

 

个人信息是不是有必要出境。

处理个人信息的全过程是否符合国家的相关法律法规要求。

境外个人信息处理者的安全保护措施、能力和水平，以及所在国家和地区的个人信息保护的法律环境等。

个人信息处理者的处理行为是否能够保障个人的利益，及在利益受损的情况下，是否存在有效的救济渠道。

个人信息出境是否会对国家安全、社会公共利益等带来的风险。

 

4）那么，面对繁杂的合法合规要求，企业管理者应当注意些什么呢？

 

① 一方面，保障信息跨境的安全性

 

安全性在于两个维度：合法正当、风险可控。

 

合法正当：个人信息获取的合法性，员工有无授权，是否为履行劳动合同所必需等；

风险可控：包括个人信息的发出方和接收方的信息保护措施，技术和能力，接收所在地数据保护环境，是否出现过重大信息安全事故等。

 

② 另一方面，减少跨境个人信息处理对员工的影响

 

目前尚无正式出台的文件能作为我们搭建和评估的直接指引，我在这里总结了三项原则可供各位参考与简单自评。

 

适当性原则：处理员工个人信息的措施有助于目的达成且是合法正当的。

必要性原则：在所有能达到目的的合法正当的方法中，选择对员工影响最小的方式。

比例原则：平衡处理个人信息带来的影响与所达到的目的之间的比重。

 

只要遵循这三个原则，企业管理距离合规就不会偏离的太远。

 

 

最后给在华外企几点建议

 

1）尽早建立个人信息出境的管理机制

 

① 根据法律中“告知-同意”的要求，整理劳动关系运行过程中的信息授权要求，完善在劳动关系建立之时的文件中信息收集的条款。

② 根据以上提及的各类法律法规及标准、指南，尽快设计企业内个人信息收集、管理、处理等操作的流程制度。

③ 提前根据相关规定，构建个人信息保护影响评估报告及报告储存体系。

 

2）涉及到员工个人信息处理的人员，要进行培训

 

规章制度是规则，而遵循规则的是人。

 

我们需要对所有涉及员工个人信息传输和处理的人员进行培训。保证大家在知识和意识层面充分知晓，在操作层面合规合法。避免因操作不当和培训义务缺失造成的法律风险。

 

3）了解企业在境外的信息接收所在地的法律环境

 

由于《个人信息保护法》的境外效力和境外保存的义务，个人信息的保护义务不单单是针对国内企业提供者，也在对作为接收者的境外企业，做同等保护标准的要求。

 

不同国家对个人信息保护的力度不同，合规风险可能发生变化。建议企业管理者结合各国不同的法律环境，及国内的法律法规要求，搭建适应审核、评估的信息保护流程，从而达成通过审核、跨境传输的目标。

 

4）坚持“适当-必要-比例”原则

 

保证向境外传输的信息类别是必要的，尽量不传输严重超出境外企业合理要求之外的其他信息。在境外处理员工信息时，也要尽可能降低传输和处理过程中，对员工个人的影响。

 

5）及时与有关部门沟通，并寻求意见和帮助

 

及时与网信部、劳动监察等有关部门建立沟通渠道，及时沟通与个人信息境外传输相关的信息，主动提示有关部门和上级。避免未来政策变化或发生信息违规时，因没有及时沟通而陷入多方追责，形成被动的局面。

 

 

换个视角看个人信息保护

 

说完正题，回过头来再让我们重新认识一下个人信息保护。

 

其实《个人信息保护法》限制个人信息跨境，在国际上并不是一个新鲜的事物。

 

1973年的《瑞典数据保护法》，2014-2016年，俄罗斯的《信息本土化法》，以及澳大利亚的《隐私原则指南》、日本的《个人信息保护法修正案》、欧盟的《通用数据保护条例》，在其中也有信息跨境处理的相关规定。

 

我国在个人信息保护领域研究起步较晚。并由于我国立法的特色，起初对个人信息域外转移的规定较为零散，主要集中于2016年我国颁布的《网络安全法》之后。

 

随即在2017年网信部就对《个人信息和重要数据出境安全评估办法（征求意见稿）》与《信息安全技术数据出境安全评估指南（征求意见稿）》公开征求过意见，但最后这两个文件由于种种原因没有正式落地。

 

伴随2019年的《个人信息出境安全评估办法（征求意见稿）》与《个人信息安全影响评估指南》的出现，还有后续的《数据安全法》，代表我国正式开始重视数据主权这个领域。

 

在以上文件中，“数据/个人信息跨境”频频出现，但却未形成对数据主权形成保护闭环。本次《个人信息保护法》的出台更像是三角中的一角，与同在2021年出台的《数据安全法》和16年出台《网络安全法》，构成对数据和个人信息保护的三架马车。

 

 

一点思考

 

在写下本篇文章之时，看到经济观察报专访《个人信息保护法》参与起草专家、人大法学院教授张新宝老师，令我触动颇深。

 

经济观察报：作为数据处理者，该法会对企业产生哪些影响？

张新宝：最大的影响是企业合规成本会提高。

经济观察报：作为立法参与者，您如何回应产业对该法的一些关切、甚至担忧？

张新宝：其实立法前专家组就评估过法案的产业影响，也按照民主程序，征求头部企业机构的意见。我认为，企业其实是没有必要担忧的。

 

是的，我们生活在太阳下，又何惧那阳光略微刺眼。