跨國(guó)公司員工管理數(shù)據(jù)合規(guī)十問十答

跨國(guó)公司員工管理數(shù)據(jù)合規(guī)十問十答立足現(xiàn)有法律法規(guī)，圍繞跨國(guó)企業(yè)常見員工信息處理場(chǎng)景，本文回答了十個(gè)常見代表性員工管理數(shù)據(jù)合規(guī)問題。人力資源合規(guī)是跨國(guó)公司最重要的合規(guī)部分。自2021年11月1日《個(gè)人信息保護(hù)法》施行以來，對(duì)跨國(guó)公司在人力資源管理的場(chǎng)景下提出了一系列新的合規(guī)要求?？鐕?guó)公司如何在《個(gè)人信息保護(hù)法》的框架下，既滿足自身全球化管理的內(nèi)在需求，又要符合中國(guó)法律的規(guī)定，成為當(dāng)前困擾著許多跨國(guó)公司的難題。而隨著相關(guān)配套立法的完善，特別是數(shù)據(jù)跨境立法即將落地，一些問題的答案也逐漸清晰。立足于現(xiàn)有法律法規(guī)和有關(guān)立法征求意見稿，我們圍繞跨國(guó)企業(yè)常見的員工個(gè)人信息處理場(chǎng)景，選取了十個(gè)具有代表性的問題提供一些建議。一、員工個(gè)人信息的跨境提供如何理解？（一）如何理解“員工個(gè)人信息”依據(jù)《個(gè)人信息保護(hù)法》第四條，個(gè)人信息是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個(gè)人信息的內(nèi)涵十分豐富，根據(jù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》，個(gè)人信息具體可包括：1、個(gè)人基本資料（姓名、出生、性別、民族、國(guó)籍、家庭關(guān)系、住址、個(gè)人電話號(hào)碼、電子郵件地址等）；2、個(gè)人身份信息（身份證、護(hù)照等）；3、個(gè)人生物識(shí)別信息（面部識(shí)別特征等）；4、個(gè)人健康生理信息（身高、體重、生育信息、病癥等）；5、個(gè)人教育工作信息（學(xué)歷、學(xué)位、教育經(jīng)歷、工作經(jīng)歷、培訓(xùn)記錄、成績(jī)單等）；6、個(gè)人財(cái)產(chǎn)信息（銀行賬戶、房產(chǎn)信息、征信信息等）；7、網(wǎng)絡(luò)身份標(biāo)識(shí)信息、聯(lián)系人信息、個(gè)人上網(wǎng)記錄、個(gè)人常用設(shè)備信息、個(gè)人位置信息、其他信息。實(shí)踐當(dāng)中，企業(yè)在進(jìn)行員工招聘時(shí)往往會(huì)通過收集簡(jiǎn)歷、填寫入職登記表等方式獲得潛在員工的個(gè)人基本資料、聯(lián)系人信息、個(gè)人教育工作信息、個(gè)人財(cái)產(chǎn)信息等；通過入職體檢等方式收集潛在員工的個(gè)人健康生理信息；以及通過員工日常管理，可能收集到員工的個(gè)人生物識(shí)別信息等。需要指出的是，員工個(gè)人信息不僅僅包括“一般個(gè)人信息”。部分員工個(gè)人信息可能落入“敏感個(gè)人信息”的范圍內(nèi)?！秱€(gè)人信息保護(hù)法》第二十八條將敏感個(gè)人信息定義為一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。員工個(gè)人信息當(dāng)中的入職體檢報(bào)告、違法犯罪記錄、宗教信仰、生育信息、不滿十四周歲子女信息、身份證、社保卡或居住證件信息、征信信息、指紋、虹膜、人臉信息、監(jiān)控行蹤軌跡、銀行賬戶和工資支付記錄等，較大可能落入“敏感個(gè)人信息”?！秱€(gè)人信息保護(hù)法》及其相關(guān)法律法規(guī)對(duì)處理此類敏感個(gè)人信息亦提出了更高標(biāo)準(zhǔn)的處理要求（例如取得個(gè)人信息主體的“單獨(dú)同意”）。綜上，理解員工個(gè)人信息，必須根據(jù)《個(gè)人信息保護(hù)法》以及相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)理解“個(gè)人信息”內(nèi)涵與外延的界定，同時(shí)結(jié)合企業(yè)在招聘、管理員工時(shí)的具體應(yīng)用場(chǎng)景來進(jìn)行梳理。（二）如何理解“跨境提供”？《個(gè)人信息保護(hù)法》并未明確定義何為“跨境提供”，根據(jù)目前的法律規(guī)定，目前可以從兩個(gè)角度理解“跨境提供”：（1）指在境外處理境內(nèi)自然人個(gè)人信息的特定活動(dòng)；（2）指向境外提供境內(nèi)特定數(shù)據(jù)的情形。當(dāng)然，理解跨境提供的具體場(chǎng)景，根據(jù)現(xiàn)有實(shí)踐，我們認(rèn)為以下情形屬于數(shù)據(jù)出境:1、向本國(guó)境內(nèi)，但向不屬于本國(guó)管轄/注冊(cè)的主體提供個(gè)人信息；2、個(gè)人信息未轉(zhuǎn)移存儲(chǔ)至本國(guó)以外的地方，但被境外的機(jī)構(gòu)、組織、個(gè)人訪問查看的（公開信息、網(wǎng)頁(yè)訪問除外）；3、網(wǎng)絡(luò)運(yùn)營(yíng)者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外，涉及其在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息的。下列行為不包含在數(shù)據(jù)出境范疇中：1、非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息經(jīng)由本國(guó)出境，未經(jīng)任何變動(dòng)或加工處理的，不屬于數(shù)據(jù)出境。2、非在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息在境內(nèi)存儲(chǔ)、加工處理后出境，不涉及境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息的，不屬于數(shù)據(jù)出境。值得注意的是，上述理解基于現(xiàn)有規(guī)定做出，不排除未來制定《個(gè)人信息保護(hù)法》實(shí)施細(xì)則時(shí)，在認(rèn)定屬于“跨境提供”的具體場(chǎng)景時(shí)會(huì)有所改變。二、境外公司訪問境內(nèi)公司的員工數(shù)據(jù)存儲(chǔ)系統(tǒng)是否構(gòu)成中國(guó)《個(gè)人信息保護(hù)法》下的個(gè)人信息跨境？參見第一問，我們認(rèn)為境外公司在境外訪問境內(nèi)公司位于境內(nèi)的員工數(shù)據(jù)存儲(chǔ)系統(tǒng)屬于《個(gè)人信息保護(hù)法》下的“個(gè)人信息跨境提供”。依據(jù)《個(gè)人信息保護(hù)法》第四條的規(guī)定，個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。境外公司即便僅訪問境內(nèi)的員工數(shù)據(jù)系統(tǒng)，其“訪問”也很極有可能被法律認(rèn)定為屬于對(duì)境內(nèi)員工數(shù)據(jù)的處理（“使用”），從而落入《個(gè)人信息保護(hù)法》下“跨境提供”的范疇。就目前實(shí)踐當(dāng)中，境外企業(yè)通過API接口等方式訪問存儲(chǔ)于境內(nèi)公司的員工個(gè)人信息，無論根據(jù)《個(gè)人信息保護(hù)法》的法律文本還是通過現(xiàn)有其他法律法規(guī)的輔助釋義，都很有可能構(gòu)成《個(gè)人信息保護(hù)法》下的個(gè)人信息跨境。三、中國(guó)《個(gè)人信息保護(hù)法》第13條中規(guī)定的“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”這一合法性基礎(chǔ)如何理解？個(gè)人信息處理者處理個(gè)人信息的，須取得《個(gè)人信息保護(hù)法》第十三條所列六項(xiàng)“合法性基礎(chǔ)”之一，其中：“（二）……或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需……”。結(jié)合《勞動(dòng)合同法》的相關(guān)規(guī)定，可以從以下兩個(gè)層次理解該合法性基礎(chǔ)：（一）按照依法制定的勞動(dòng)規(guī)章制實(shí)施人力資源管理所必須。依照《勞動(dòng)合同法》第四條的規(guī)定，企業(yè)在制定有關(guān)勞動(dòng)報(bào)酬、工作時(shí)間、休息休假、勞動(dòng)安全衛(wèi)生、保險(xiǎn)福利、職工培訓(xùn)、勞動(dòng)紀(jì)律以及勞動(dòng)定額管理等直接涉及勞動(dòng)者切身利益的規(guī)章制度或者重大事項(xiàng)時(shí)，應(yīng)當(dāng)經(jīng)職工代表大會(huì)或者全體職工討論，提出方案和意見，與工會(huì)或者職工代表平等協(xié)商確定。用人單位應(yīng)當(dāng)將直接涉及勞動(dòng)者切身利益的規(guī)章制度和重大事項(xiàng)決定公示，或者告知?jiǎng)趧?dòng)者。即：依法制定的勞動(dòng)規(guī)章，應(yīng)當(dāng)為企業(yè)依法經(jīng)過民主協(xié)商程序，將特定的勞動(dòng)制度進(jìn)過公示或告知員工，并經(jīng)過職代會(huì)及員工充分協(xié)商、反饋后所訂立的勞動(dòng)規(guī)章制度。而理解“為人力資源管理所必須”，則應(yīng)當(dāng)關(guān)注特定勞動(dòng)規(guī)章制度涉及的具體管理事項(xiàng)，不得隨意擴(kuò)大個(gè)人信息的處理范圍。例如企業(yè)依其制定的有關(guān)“勞動(dòng)報(bào)酬”的政策時(shí)，需要收集個(gè)人信息主體的姓名、職級(jí)等信息，但實(shí)施相關(guān)政策并無需收集年齡、性別等個(gè)人信息。（二）按照依法簽訂的集體合同實(shí)施人力資源管理所必須。依照《勞動(dòng)合同法》第五章第一節(jié)的有關(guān)規(guī)定，集體合同通常是指由工會(huì)代表企業(yè)職工一方與用人單位通過平等協(xié)商，就勞動(dòng)報(bào)酬、工作時(shí)間、休息休假、勞動(dòng)安全衛(wèi)生、保險(xiǎn)福利等事項(xiàng)訂立的合同。依法制定的集體合同，其草案應(yīng)當(dāng)提交職工代表大會(huì)或全體職工討論通過。實(shí)務(wù)當(dāng)中，集體合同通常見諸于建筑、采礦、餐飲等特定行業(yè)。同樣，依集體合同實(shí)施人力資源管理，必須關(guān)注集體合同具體約定事項(xiàng)（如勞動(dòng)報(bào)酬、工作時(shí)間、休息休假、勞動(dòng)安全衛(wèi)生、保險(xiǎn)福利等事項(xiàng)）所需處理的個(gè)人信息，不得超范圍處理。值得注意的是，作為“同意”這一合法性基礎(chǔ)的特殊表現(xiàn)形式，“單獨(dú)同意”本身并未被《個(gè)人信息保護(hù)法》列為獨(dú)立的合法性基礎(chǔ)。因此，依據(jù)《個(gè)人信息保護(hù)法》第十三條的相關(guān)規(guī)定，企業(yè)處理員工個(gè)人信息若基于“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”這一合法性基礎(chǔ)，則無需另行取得“同意”，亦無需再取得“單獨(dú)同意”。四、境內(nèi)公司向境外公司跨境提供員工個(gè)人信息的，境內(nèi)公司應(yīng)當(dāng)如何取得員工的單獨(dú)同意？《個(gè)人信息保護(hù)法》第三十九條規(guī)定，個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。我們認(rèn)為可以從以下幾個(gè)維度理解單獨(dú)同意：（一）取得標(biāo)準(zhǔn)。單獨(dú)同意的取得標(biāo)準(zhǔn)，應(yīng)當(dāng)至少不低于《個(gè)人信息保護(hù)法》就取得個(gè)人“同意”的相關(guān)規(guī)定。即應(yīng)當(dāng)充分告知信息主體個(gè)人信息處理的方式、目的、規(guī)則等，由個(gè)人在充分知情的前提下自愿、明確作出；保障個(gè)人信息主體能通過便捷的方式撤回其“同意”；以及在變更使用目的或方式等特定情形下重新獲取個(gè)人信息主體的“同意”。（二）取得形式。單獨(dú)同意的取得形式，應(yīng)當(dāng)具有獨(dú)立性。依據(jù)《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第四條的規(guī)定，以拒不提供產(chǎn)品或服務(wù)相脅迫、捆綁授權(quán)、強(qiáng)迫或變相強(qiáng)迫等方式獲取的同意不屬于“單獨(dú)同意”。基于上述分析，境內(nèi)公司向境外公司跨境提供員工個(gè)人信息的，境內(nèi)公司首先應(yīng)當(dāng)明確該處理場(chǎng)景是否需要取得員工的“單獨(dú)同意”。同時(shí)建議公司針對(duì)法律法規(guī)對(duì)單獨(dú)同意的取得標(biāo)準(zhǔn)及取得形式的要求，制定專門的SOP、設(shè)置同意授權(quán)通道、并由專人負(fù)責(zé)保障個(gè)人信息主體針對(duì)其授權(quán)同意的行權(quán)。五、境內(nèi)公司在向境外公司跨境提供員工個(gè)人信息前，應(yīng)當(dāng)開展哪些評(píng)估工作？結(jié)合《個(gè)人信息保護(hù)法》、《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》等有關(guān)規(guī)定和實(shí)踐，境內(nèi)公司在向境外公司提供員工個(gè)人信息前應(yīng)當(dāng)開展如下評(píng)估工作：（一）完成個(gè)人信息保護(hù)影響評(píng)估依據(jù)《個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)的的規(guī)定，個(gè)人信息處理者向境外提供個(gè)人信息時(shí)，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估（以下簡(jiǎn)稱“PIA”），并對(duì)處理情況進(jìn)行記錄。根據(jù)我們的經(jīng)驗(yàn)，我們認(rèn)為保護(hù)影響評(píng)估至少包括：1、評(píng)估應(yīng)當(dāng)包括評(píng)估個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要及是否符合誠(chéng)信原則；2、評(píng)估應(yīng)當(dāng)包括評(píng)估對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)，在跨境場(chǎng)景下，需要評(píng)估境外國(guó)家法律保護(hù)環(huán)境，以及接收方、相關(guān)方的安全措施，是否存在風(fēng)險(xiǎn)；3、評(píng)估應(yīng)當(dāng)包括評(píng)估所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)；4、評(píng)估的報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。5、評(píng)估應(yīng)當(dāng)包括評(píng)估數(shù)據(jù)出境和再轉(zhuǎn)移后泄露、毀損、篡改、濫用等的風(fēng)險(xiǎn)，個(gè)人維護(hù)個(gè)人信息權(quán)益的渠道是否通暢等。（二）完成對(duì)應(yīng)跨境路徑的評(píng)估工作《個(gè)人信息保護(hù)法》第三十八條就員工個(gè)人信息出境給出了三條路徑。即（1）通過國(guó)家網(wǎng)信部門安全評(píng)估；（2）獲得專業(yè)機(jī)構(gòu)的認(rèn)證辦理；或（3）通過簽訂標(biāo)準(zhǔn)合同辦理?？傮w而言，每條通關(guān)路徑的適用對(duì)象、范圍不同，且所需完成的評(píng)估工作與《個(gè)人信息保護(hù)法》要求的PIA存在重疊但又有所不同（下文中將詳細(xì)介紹）。由于目前網(wǎng)信部門尚未就標(biāo)準(zhǔn)合同出臺(tái)相關(guān)規(guī)定，本文僅就安全評(píng)估及專業(yè)機(jī)構(gòu)認(rèn)證所涉及的評(píng)估工作進(jìn)行介紹。1、通關(guān)路徑一：完成安全評(píng)估。依照《個(gè)人信息保護(hù)法》第三十八條、第四十條以及于《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》第四條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者（以下簡(jiǎn)稱“CIIO”）在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息、處理個(gè)人信息達(dá)到一百萬人的個(gè)人信息處理者向境外提供個(gè)人信息、累計(jì)向境外提供超過十萬人以上個(gè)人信息或者一萬人以上敏感個(gè)人信息應(yīng)當(dāng)完成安全評(píng)估。安全評(píng)估應(yīng)當(dāng)堅(jiān)持風(fēng)險(xiǎn)自評(píng)估與風(fēng)險(xiǎn)評(píng)估相結(jié)合的原則。即：*進(jìn)行風(fēng)險(xiǎn)自評(píng)估，需要完成解答（一）所列舉的PIA評(píng)估工作，并在此之外梳理與境外接收方訂立的數(shù)據(jù)出境相關(guān)合同是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)，同時(shí)留存數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估報(bào)告。*備齊相關(guān)材料，按照法定程序通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。值得注意的是，CIIO通常是指涉及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。擬跨境提供員工個(gè)人信息的企業(yè)若所屬行業(yè)、業(yè)務(wù)類型可能落入CIIO的，我們建議企業(yè)在跨境提供個(gè)人信息前，應(yīng)當(dāng)完成安全評(píng)估。同時(shí)，若企業(yè)因其業(yè)務(wù)類型（如專門提供跨境勞務(wù)派遣服務(wù)）、規(guī)模存在大量傳輸員工個(gè)人信息或員工敏感個(gè)人信息的情形的，也應(yīng)當(dāng)按照法律法規(guī)要求完成安全評(píng)估工作。相反，若企業(yè)規(guī)模較小，且不涉及特殊行業(yè)或服務(wù)類型的，在跨境提供員工個(gè)人信息時(shí)則并不一定需要完成安全評(píng)估工作。2、通關(guān)路徑二：完成個(gè)人信息保護(hù)認(rèn)證。對(duì)于非CIIO或處理員工個(gè)人信息或員工個(gè)人敏感信息沒有超過一定數(shù)量的企業(yè)，可以在跨境提供前選擇完成個(gè)人信息安全保護(hù)認(rèn)證。企業(yè)若選擇通過該路徑跨境提供員工個(gè)人信息的，我們建議完成如下評(píng)估工作：（1）明確主體責(zé)任?？鐕?guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)，可由境內(nèi)實(shí)體申請(qǐng)認(rèn)證并承擔(dān)法律責(zé)任。若境內(nèi)企業(yè)與境外企業(yè)分屬不同實(shí)體，則我們建議由境外企業(yè)在境內(nèi)設(shè)置專門機(jī)構(gòu)以完成認(rèn)證。（2）評(píng)估是否符合法定原則。企業(yè)跨境提供員工個(gè)人信息的，須評(píng)估是否符合如下要求：*合法、正當(dāng)、必要和誠(chéng)信原則。企業(yè)是否采取了對(duì)員工權(quán)益影響最小的方式處理其個(gè)人信息；*公開、透明原則?？缇程峁﹩T工信息是否做到處理規(guī)則公開、處理過程透明，并及時(shí)告知員工跨境提供個(gè)人信息的目的、范圍和方式；*信息質(zhì)量原則?？缇程峁﹩T工信息過程中，各方是否能夠保證個(gè)人信息的準(zhǔn)確及完整；*同等保護(hù)原則?？缇程幚韱T工信息過程中，各方是否能夠確保個(gè)人信息的處理符合我國(guó)相關(guān)法律法規(guī)就個(gè)人信息保護(hù)設(shè)置的標(biāo)準(zhǔn)。（3）評(píng)估是否滿足基本要求。企業(yè)跨境提供員工個(gè)人信息的，須評(píng)估是否滿足如下基本要求：*

法律約束要求。各方是否簽訂了具有法律約束力和執(zhí)行力的文件。同時(shí)該文件是否包括：參與跨境處理員工個(gè)人信息相關(guān)方；處理的目的及類別與范圍；采取何種措施保障個(gè)人信息主體權(quán)益；承諾遵守統(tǒng)一個(gè)人信息處理規(guī)則并確保其水平不低于我國(guó)個(gè)人信息保護(hù)相關(guān)規(guī)定；接受認(rèn)證機(jī)構(gòu)監(jiān)管及法律管轄。*

組織管理要求。企業(yè)內(nèi)部是否指派了專門保護(hù)員工個(gè)人信息的負(fù)責(zé)人，且該負(fù)責(zé)人是否為決策層成員且職責(zé)明確。各相關(guān)方就履行員工個(gè)人信息保護(hù)義務(wù)，防止其泄露、篡改、丟失是否設(shè)立了專門保護(hù)機(jī)構(gòu)。*

跨境處理規(guī)則要求。境內(nèi)員工個(gè)人信息提供方與境外企業(yè)是否設(shè)置并遵循統(tǒng)一的個(gè)人信息處理規(guī)則。規(guī)則內(nèi)容包含：處理員工個(gè)人信息的基本情況（類型、敏感程度）；處理的目的、方式及范圍；境外存儲(chǔ)的起止時(shí)間及到期后的處理方式；跨境處理員工個(gè)人信息是否需要中轉(zhuǎn)及經(jīng)哪些地區(qū)或國(guó)家中轉(zhuǎn)；保障員工個(gè)人信息主體權(quán)益采取的資源和措施；發(fā)生安全事件后的賠償及處置規(guī)則。*

個(gè)人信息影響評(píng)估要求。參照《個(gè)人信息保護(hù)法》及《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》就跨境提供員工個(gè)人信息進(jìn)行評(píng)估。針該通關(guān)路徑，我們建議除PIA外，境內(nèi)提供方與境外接收方還需要重點(diǎn)評(píng)估員工個(gè)人信息出境目的國(guó)和地區(qū)的法律環(huán)境是否能夠?qū)T工個(gè)人信息提供有效保護(hù)，以及境外接收方自身的網(wǎng)絡(luò)環(huán)境是否能夠?qū)T工個(gè)人信息主體權(quán)益提供有效保障。六、境內(nèi)公司在向境外公司跨境提供員工個(gè)人信息前，應(yīng)當(dāng)向員工個(gè)人告知哪些事項(xiàng)？境內(nèi)公司在向境外公司跨境提供員工個(gè)人信息前，應(yīng)當(dāng)向員工個(gè)人告知如下事項(xiàng)：一、告知員工個(gè)人其個(gè)人信息跨境提供的目的、范圍和處理方式，確保員工了解自己個(gè)人信息處理的全過程。二、告知員工參與跨境處理其個(gè)人信息的相關(guān)方。告知員工有關(guān)的保障措施以及所遵守的個(gè)人信息處理規(guī)則，同時(shí)明確境內(nèi)承擔(dān)法律責(zé)任的實(shí)體等。三、告知員工行使其個(gè)人信息主體權(quán)益的方式與路徑，以及企業(yè)的響應(yīng)方式。應(yīng)員工請(qǐng)求，企業(yè)應(yīng)提供其個(gè)人信息跨境中與員工簽署的法律文件，并提供員工行權(quán)路徑和涉及員工權(quán)益的副本等。若企業(yè)拒絕員工相關(guān)請(qǐng)求的，企業(yè)應(yīng)當(dāng)說明理由和救濟(jì)途徑。四、針對(duì)員工敏感個(gè)人信息的特殊告知義務(wù)參見第九問。七、境內(nèi)公司與境外公司訂立的關(guān)于員工個(gè)人信息跨境提供的合同，應(yīng)當(dāng)對(duì)哪些事項(xiàng)進(jìn)行約定？境內(nèi)公司與境外公司訂立的關(guān)于員工個(gè)人信息跨境提供的合同，我們建議對(duì)以下事項(xiàng)進(jìn)行約定：（一）境內(nèi)提供方與境外接收方的具體信息；（二）跨境的目的、方式以及數(shù)據(jù)的類別與范圍，境外接收方處理數(shù)據(jù)的用途、方式等；（三）員工數(shù)據(jù)在境外的保存地點(diǎn)、期限，以及達(dá)到保存期限、完成約定目的或者合同終止后出境數(shù)據(jù)的處理措施；（四）對(duì)于員工個(gè)人信息主體權(quán)益的保護(hù)措施；（五）限制將出境的員工數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束條款；（六）在境外接收方的實(shí)際控制權(quán)或者經(jīng)營(yíng)范圍發(fā)生實(shí)質(zhì)性變化，或者所在國(guó)家、地區(qū)法律環(huán)境發(fā)生變化等情況下，導(dǎo)致難以保障員工數(shù)據(jù)安全時(shí)，應(yīng)當(dāng)采取的有效安全措施；（七）境外接收方與境內(nèi)提供方承諾接受中華人民共和國(guó)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)管轄；（八）違反員工數(shù)據(jù)安全保護(hù)義務(wù)的違約責(zé)任，以及具有約束力且可執(zhí)行的爭(zhēng)議解決條款；（九）境外接收方與境內(nèi)提供方承諾接受認(rèn)證機(jī)構(gòu)監(jiān)督（如進(jìn)行個(gè)人信息跨境活動(dòng)認(rèn)證的）；（十）境外接收方承諾并遵守統(tǒng)一的個(gè)人信息處理規(guī)則，確保個(gè)人信息保護(hù)水平不低于中華人民共和國(guó)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)規(guī)定的標(biāo)準(zhǔn)；值得關(guān)注的是，《個(gè)人信息保護(hù)法》第三十八條第（三）款亦明確了“國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同”這一條件，根據(jù)網(wǎng)信辦發(fā)布的《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》，以下情形屬于可以使用《個(gè)人信息出境標(biāo)準(zhǔn)合同》（“標(biāo)準(zhǔn)合同”）方式向境外提供個(gè)人信息：（一）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；（二）處理個(gè)人信息不滿100萬人的；（三）自上年1月1日起累計(jì)向境外提供未達(dá)到10萬人個(gè)人信息的；（四）自上年1月1日起累計(jì)向境外提供未達(dá)到1萬人敏感個(gè)人信息的。標(biāo)準(zhǔn)合同原則上按照網(wǎng)信辦所公示的模板進(jìn)行簽署和條款調(diào)整，并應(yīng)當(dāng)備案。如出現(xiàn)以下情形之一的，應(yīng)當(dāng)重新簽訂標(biāo)準(zhǔn)合同并重新備案：（一）向境外提供個(gè)人信息的目的、范圍、類型、敏感程度、數(shù)量、方式、保存期限、存儲(chǔ)地點(diǎn)和境外接收方處理個(gè)人信息的用途、方式發(fā)生變化，或者延長(zhǎng)個(gè)人信息境外保存期限的；（二）境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的；（三）可能影響個(gè)人信息權(quán)益的其他情況。八、境外公司作為員工個(gè)人信息的境外接收方，如何保障員工在《個(gè)人信息保護(hù)法》下的法定權(quán)利？根據(jù)《個(gè)人信息保護(hù)法》第三十九條規(guī)定：“個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知……個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)”。根據(jù)該條規(guī)定，我們認(rèn)為，境外公司作為員工個(gè)人信息的境外接收方，應(yīng)當(dāng)重點(diǎn)從以下兩方面保障員工在《個(gè)人信息保護(hù)法》下的法定權(quán)利：（一）明確《個(gè)人信息保護(hù)法》下的法定權(quán)利基于境外公司與境內(nèi)公司的法律適用性的區(qū)別，境外公司往往對(duì)于中國(guó)《個(gè)人信息保護(hù)法》下的個(gè)人信息主體的法定權(quán)利較為陌生。因此，境外公司有必要首先對(duì)中國(guó)《個(gè)人信息保護(hù)法》下的個(gè)人信息主體的法定權(quán)利進(jìn)行明確。概括而言，在跨境場(chǎng)景下，現(xiàn)有實(shí)踐中的有關(guān)法定權(quán)利主要包括以下類別：1、個(gè)人信息主體對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理；2、有權(quán)向境外接收方要求查閱、復(fù)制、更正、補(bǔ)充、刪除其個(gè)人信息；3、有權(quán)要求個(gè)人信息跨境處理活動(dòng)相關(guān)方對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明；4、有權(quán)拒絕僅通過自動(dòng)化決策的方式作出決定；5、有權(quán)向中華人民共和國(guó)履行個(gè)人信息保護(hù)職責(zé)的監(jiān)管機(jī)構(gòu)進(jìn)行投訴、舉報(bào)。根據(jù)立法趨勢(shì)，境外接收方還需要注意以下兩點(diǎn)可能的擴(kuò)張權(quán)利（“擴(kuò)張權(quán)利”）：1、文本獲取。個(gè)人信息主體是個(gè)人信息跨境處理活動(dòng)相關(guān)方簽訂法律文件中個(gè)人信息權(quán)益相關(guān)條款的受益人，有權(quán)要求個(gè)人信息跨境處理相關(guān)方提供法律文本中涉及個(gè)人信息主體權(quán)益部分的副本；2、司法管轄。個(gè)人信息主體有權(quán)在其經(jīng)常居住地所在法院向參與個(gè)人信息跨境處理的相關(guān)方提起司法訴訟。我們理解，基于目前已生效的《個(gè)人信息保護(hù)法》，境外接收方應(yīng)當(dāng)重點(diǎn)關(guān)注前五類法定權(quán)利，依法保障員工在《個(gè)人信息保護(hù)法》下的法定權(quán)利。至于兩類擴(kuò)張權(quán)利，境外接收方可保持關(guān)注，待該規(guī)則具體落地后，可以結(jié)合企業(yè)實(shí)際，綜合考量保障該兩類擴(kuò)張權(quán)利的成本，必要的時(shí)候可以與監(jiān)管部門進(jìn)一步確認(rèn)。（二）建立便捷的員工行權(quán)申請(qǐng)受理和處理機(jī)制根據(jù)《個(gè)人信息保護(hù)法》第五十條的規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說明理由。作為境內(nèi)員工個(gè)人信息的境外接收方，境外公司作為個(gè)人信息處理者，亦應(yīng)當(dāng)在明確《個(gè)人信息保護(hù)法》下的法定權(quán)利的基礎(chǔ)上，建立便捷的員工行權(quán)申請(qǐng)受理和處理機(jī)制。在員工個(gè)人信息跨境場(chǎng)景下，建議境外公司直接或通過境內(nèi)公司的協(xié)助與相關(guān)員工簽訂《員工隱私政策》，細(xì)化各類法定權(quán)利的具體行權(quán)機(jī)制，并依法實(shí)際履行該等義務(wù)。若進(jìn)行跨境的員工個(gè)人信息亦包含求職者的個(gè)人信息，建議境外公司要求境內(nèi)公司，在招聘環(huán)節(jié)即前置化要求求職者簽訂《求職者隱私政策》，以更為全面地保障員工的法定權(quán)利。九、境內(nèi)公司向境外公司跨境提供員工的敏感個(gè)人信息時(shí)，應(yīng)當(dāng)關(guān)注哪些特殊合規(guī)義務(wù)？（一）敏感個(gè)人信息的識(shí)別識(shí)別何類員工個(gè)人信息屬于敏感員工個(gè)人信息參見第一問的回答。（二）嚴(yán)格限制的處理目的《個(gè)人信息保護(hù)法》第二十八條規(guī)定：只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。在員工個(gè)人信息跨境場(chǎng)景下，境內(nèi)公司應(yīng)當(dāng)首先評(píng)估是否滿足該等嚴(yán)格限制的處理目的，若不滿足，則不應(yīng)當(dāng)開展員工敏感個(gè)人信息的跨境行為。（三）特殊的告知義務(wù)《個(gè)人信息保護(hù)法》第三十條規(guī)定：“個(gè)人信息處理者處理敏感個(gè)人信息的，……還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響”。境內(nèi)公司在向境外公司傳輸員工個(gè)人信息前，應(yīng)當(dāng)通過協(xié)議、文本等留痕方式向員工以其可以充分理解的方式，告知前述必要性以及對(duì)員工個(gè)人權(quán)益的影響。（四）區(qū)分合法性基礎(chǔ)下的單獨(dú)同意義務(wù)基于前述分析，若基于“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”這一合法性基礎(chǔ)處理員工個(gè)人信息的，不需取得員工個(gè)人的同意；若無法適用前述合法性基礎(chǔ)，則需在處理員工個(gè)人信息前，謹(jǐn)慎分析處理的合法性基礎(chǔ)?？鐕?guó)公司由境內(nèi)向境外跨境提供員工個(gè)人信息前，應(yīng)當(dāng)充分論證適用的合法性基礎(chǔ)，區(qū)分化地判斷是否應(yīng)當(dāng)取得員工的單獨(dú)同意。根據(jù)2021年11月發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第七十三條的規(guī)定，“單獨(dú)同意是指數(shù)據(jù)處理者在