当前,许多跨国公司的国外总部为了方便对全球员工进行管理,采用员工信息管理软件,对全球员工数据实行统一处理,需要将分布在各国境内的所有员工的信息存储到国外的软件(服务器在国外)当中,如何合法合规的跨境传输中国国内员工信息是许多跨国公司关心的问题,我们对这一问题进行了检索与研究,下面将一一阐述。
经检索发现,目前涉及个人信息保护以及数据离境等方面的、且与该问题直接相关五部法律法规如下:
1.法律:《民法典》,2021年1月1日生效,由于生效日期临近,我们认为相关法条具有现实的参考价值。
2.法律:《网络安全法》(以下简称《网安法》),已生效
3.行政法规:2019年5月发布《数据安全管理办法(征求意见稿)》(以下简称“管理办法”)
4.行政法规:2019年6月发布《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“评估办法”)
5.国家标准:2020年《个人信息安全规范》 GB/T 35273-2020(以下简称《安全规范》)
鉴于“管理办法”、“评估办法”的正式文件尚未出台,现阶段跨国公司如果拟将员工个人信息传输出境,需要确认该行为是否违反《民法典》、现行《网安法》的强制规定。此外,收集个人信息,应当符合“安全规范”的要求。
《民法典》第一千零三十四条至一千零三十九条明确了个人信息的范围、个人信息主体的权利与信息处理主体的义务。《网安法》第四十一条明确了网络运营者收集、使用个人信息,应当履行告知义务,并被收集者同意。
“安全规范”作为目前个人信息安全领域最基础的国家标准,对个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为给出了严格规范。
因此,跨国企业在处理员工信息时,应当合法合规,向员工明示处理信息的目的、方式和范围,并征得员工的书面确认;处理个人信息过程中应当履行信息处理者的义务。
《网安法》第二条明确适用对象是“网络运营者”,即“网络的所有者、管理者和网络服务提供者。”这一广泛定义将大多数企业都纳入了《网安法》的规范范畴。
《网安法》第三十七条规定了应当在境内存储数据的情形,其限定义务主体为“关键信息基础设施的运营者”,第三十一条概括了“关键信息基础设施的运营者”的范围:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”,其特点是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。
因此,对于一般的网络运营者而言,《网安法》并未对其设置“本地化存储”义务。
《安全规范》中规定的个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息在向境外传输时需要采用加密等安全措施。值得注意的是,属于个人健康的信息在出境时需要遵守其他关于健康数据出境的规定。此外,如果收集了员工家庭成员信息,特别是未成年人的个人信息,还需要注意遵守《儿童个人信息网络保护规定》有关儿童信息出境的特别要求。
《网安法》第三十七条规定了“关键信息基础设施运营者”因业务需要向境外提供个人信息或重要数据的安全评估义务。
因此,对于一般的网络运营者而言,《网安法》并未对其设置安全评估义务。
《网安法》第四十条至第五十条款明确了网络运营者对所收集的个人信息需要承担的多项保密与安全保障义务。
因此,跨国企业应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
综上六点,基于《民法典》、《网安法》和《安全规范》的规定,跨国企业在处理员工信息时,应当合法合规,向员工明示处理信息的目的、方式和范围,并征得员工的书面确认,在处理个人信息过程中应当履行信息处理者的义务。
同时,跨国企业应当判断自身是否属于“关键信息基础设施的运营者”,如果是,则应当在境内存储数据,且向境外传输个人信息需要进行安全评估。如果不是,则无需遵循“本地化存储”的义务,向境外传输个人信息不需要进行安全评估。但应当对其收集的用户信息遵循保密义务,并建立健全用户信息保护制度,承担相应的信息安全保障义务。
此外,通过对尚未出台“评估办法”、“管理办法”征求意见稿的审阅,我们认为中国对个人信息出境的安全问题的监管将会变得更加规范与严格。跨国公司应当关注以下几点变化,提前准备对策提供自身安全保护能力,为将来通过安全评估做好准备。
1.所有网络运营者在进行个人信息出境活动之前必须承担安全评估义务
“评估办法”第二条将安全评估义务的主体范围扩大到了所有网络运营者,要求全部网络运营者在进行个人信息出境活动之前必须承担安全评估义务。“管理办法”第二十八条规定了网络运营者在发布、共享、交易以及向境外提供重要数据前,都应进行安全风险评估,并报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准。
网络运营者在申报出境安全评估时应提交个人信息出境安全风险及安全保障措施分析报告,重点分析内容之一即是数据接收者的数据安全能力。
“评估办法”第三条将组织开展个人信息出境安全评估工作的职责统一归于省级网信部门。
“管理办法”第五条明确数据安全管理的监管主体为中央网络安全和信息化委员会、国家网信部门、地(市)及以上网信部门。
“评估办法”第四条明确了网络运营者申报个人信息出境安全评估应当提供的材料;第六条明确了需要重点评估的材料;第十七条明确了第四条第三款关于“个人信息出境安全风险及安全保障措施分析报告”中应当包含的内容。
“评估办法”第十六条细化了企业的告知义务,应向个人信息主体说明数据出境的目的、内容、时限,接收方及接收方所在的国家或地区,并经其同意。在实践中,企业可以就个人信息出境向员工出具说明,并要求员工书面确认,以履行上述义务。
在申报安全评估时,网络运营者需要提交其与接收者之间签订的合同。“评估办法”第十三条至第十六条从合同的基本条款、网络运营者的义务条款、接收者的义务条款以及接收者的再次传输条件四个方面详细地列明了合同的必备条款。
网络运营者在个人信息出境后主要后续义务包括:重新评估义务;出境记录保存义务;年度报告义务,安全事件报告义务。参考“评估办法”第三条、第八条、第九条、第十三条。
综上,当“评估办法”、“管理办法”正式出台后,个人信息出境行为将会面临更规范严格的监管,“评估办法”是当前最具实践指导价值的法规,建议各跨国公司在实务操作中进行参考。
今年7月,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》进行了审议。另一部法律《个人信息保护法》、一部国家标准《数据出境安全评估指南》也正在制定过程中,我们将持续关注相关立法动态。
参考法律法规:
2.《网安法》第三十一条,第三十七条,第四十条至第五十条
3.2019《个人信息和重要数据出境安全评估办法(征求意见稿)》
4.2019《数据安全管理办法(征求意见稿)》第五条,第二十八条