跨国公司员工个人信息出境合规要点
秦瑛张一博
跨国企业通常在全球多个国家或地区设有分支机构。 大多数跨国企业都会对其全球分支机构的员工信息进行统一管理,这在各国员工信息跨境传输时面临数据合规问题。 据了解,目前跨国公司在华员工个人信息存储模式主要有两种:一是在中国设立IT服务器,将中国员工的个人信息存储在位于中国境内的服务器上,仅传输数据必要时。 传输至境外; 另一种模式是IT服务器位于海外集团总部。 中国子公司使用集团统一的人力资源管理系统,境内收集的员工数据也将存储在位于境外的服务器上。 上述两种员工数据存储模式都会涉及到员工个人数据的跨境转移。
目前,我国对于员工个人信息的传输尚无特殊规定。 近年来个人调查公司,国内个人信息保护相关立法取得了长足进步。 虽然个人信息保护立法的初衷主要是针对互联网企业在业务运营中收集的用户个人数据,但从法律规定和实践来看,员工个人信息属于特定群体的个人信息。 在没有其他更具体规定的情况下,从合规角度来看,企业最审慎的做法是在员工个人信息跨境转移时严格遵守个人信息跨境转移的相关规定。 实践中,不少外商投资企业非常关注员工数据跨境传输的合规风险,以及相关法律法规对IT系统的技术要求。 下面,我们就从一些比较常见的问题入手,来解答一些疑惑。
1、员工信息范围比较广。 相关个人信息保护法中定义的个人信息具体包括哪些信息?
通常,企业对员工信息的收集始于员工加入公司之前,结束于员工离开公司时。 在此期间产生的数据主要有三类。 一类是个人基本信息,包括个人姓名、生日、性别、民族、国籍等。二类是企业自行或通过专业公司对员工入职前进行的背景调查。 这种类型的调查很常见,尤其是在外资企业中。 背景调查往往涉及员工的社会关系背景,包括详细的教育背景、工作经历、犯罪记录、个人财产和信用信息,甚至其他人对其工作表现和工作能力的评价。 第三类是通过就业体检了解到的个人健康信息,包括身高体重、生育能力、疾病状况、保险情况、家庭成员等。
2017年6月生效的《中华人民共和国网络安全法》(以下简称“网安法”)对个人信息的定义是“以电子或者其他方式记录的能够识别自然人个人身份的信息”。单独或与其他信息结合。” 各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物特征信息、地址、电话号码等。” 2019年10月22日,由国家市场监管总局和国家标准化委员会在联合发布的《信息安全技术个人信息安全规范(征求意见稿)》(《个人信息安全规范(征求意见稿)》 ),进一步明确个人信息和个人敏感信息的类型和范围。 以下是个人信息和个人敏感信息的示例。
表1:个人信息[1]
表2:个人敏感信息[2]
对比上述表1和表2不难看出,员工的三类个人信息均属于相关法律法规规定的个人信息范畴。 如果涉及个人身份信息、健康和财产信息,也可能被归类为敏感个人信息。 向境外传输个人敏感信息必须采取加密等安全措施。 值得注意的是,个人健康信息出境时需要遵守健康数据出境的其他规定。 此外,一些跨国公司还会为其员工的家属购买保险作为员工福利。 此时,收集员工家属的信息,尤其是未成年人的个人信息,也必须注意遵守2019年10月1日起实施的《儿童法》、《个人信息网络保护条例》关于向国外输出儿童信息的特殊要求。
2、外商投资企业是否必须在中国境内设立IT服务器来存储员工数据?
如上所述,员工个人信息数据一般应属于《网络安全法》保护的个人信息范围。 但国内个人信息保护相关规定并没有明确要求外商投资企业纯粹为了存储员工信息而存储员工信息。 在中国设立IT服务器。
尽管如此,根据《网络安全法》[3]的规定,如果外商投资企业属于“关键信息基础设施运营者”,即涉及公共通信、信息服务、能源等行业的外商投资企业,交通、水利、金融、公共服务、电子政务等重要行业领域,企业应当在境内设立IT服务器,存储其境内运营过程中收集和产生的个人信息和重要数据。 在这种情况下,由于作为“关键信息基础设施运营商”的外资企业已经架设了国内IT服务器,最可靠的办法就是将其员工的个人信息存储在同一台国内IT服务器上。 需要向境外提供时,将按要求进行安全评估。