《促进和规范数据跨境流动规定》于2024年3月22日出台并生效,在新规出台的背景下,针对数据出境,近期兰迪数字经济团队收到不少与之相关的咨询与提问,借此机会,我们将常见问题整理成文,以供企业在实施出境合规工作时参考。
当然,其中不乏部分问题在实践之中可能仍无一个统一或者明确的解决方案,我们在这里暂先给出一个倾向性的回复与建议。
本文的上部内容请参见新规视角下数据出境合规难点Q&A(上)。
Q13
跨境人力资源管理中涉及员工敏感个人信息能否豁免?
不一定,需满足豁免的前提条件,即“依法制定的劳动规章制度和依法签订的集体合同,且确有必要”。下一个问题将展开介绍。
Q14
按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,是均需满足还是满足其一即可?
关于and/or的问题,我们理解,对于企业而言,同时满足两个条件难度较大,且无必要,按照实践的做法,我们理解满足其一即可。
关于何为“依法制定的劳动规章制度”,其包含两个要点,一是针对该劳动规章制度,企业应履行民主程序,二是企业需向劳动者履行公示义务;
关于何为“依法签订的集体合同”,其涉及五个要点,一是制定集体合同草案,即企业职工一方与用人单位通过平等协商,可以就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立集体合同;二是登记备案(即集体合同或专项集体合同签订或变更后,应当自双方首席代表签字之日起10日内,由用人单位一方将文本一式三份报送劳动保障行政部门审查);三是公布(即生效的集体合同或专项集体合同,应当自其生效之日起由协商代表及时以适当的形式向本方全体人员公布)。
Q15
“为订立、履行个人作为一方当事人的合同”的豁免情形中,需要“出境方”(个人信息处理者)与个人均为合同的当事人?还是说个人作为一方当事人就可以,另一方当事人可以为出境方的经销商、代理等?
《促进和规范数据跨境流动规定》 第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
实践之中,似乎暂未得到一个统一的定论。我们倾向于认为,考虑到跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务场景下,一般均为涉及到经销商、代理商,如果要求(个人信息处理者)与个人均为合同的当事人,则该条豁免情形运用的场景就比较狭窄。
按照我们对于该条的理解,个人作为一方当事人,另一方当事人可以为出境方的经销商、代理。但是该经销商、代理商需与出境方有明确的合作关系,在这种场景下即可适用该条的豁免情形。
Q16
个人信息处理者的数据安全能力是否被纳入“遵守个人信息保护相关法律法规的情况”?
第一,值得注意的是,《个人信息出境标准合同备案指南(第二版)》的个人信息保护影响评估报告(模板)删除了个人信息处理者的数据安全能力。
那么,关于个人信息处理者的数据安全能力评估是否需要纳入“遵守个人信息保护相关法律法规的情况”范围,我们理解是必要的,因为根据《个人信息保护法》第五十一条,个人信息处理者应采取相应的管理与技术措施保障个人信息安全性。
图为个人信息保护影响评估报告(模板)截图
Q17
数据出境风险自评估和PIA怎么有效结合起来一起进行评估落地?
从实践经验来看,这两者是先后进行的。考虑到PIA可较为便捷与快速的推动,企业可先进行PIA,识别出目前企业现存的合规风险,并总结相应的风险处置措施,且落地实施。之后再针对数据出境情况进行全面的数据出境风险自评估。
Q18
内部员工与境外供应商联系时,会通过微信和邮箱进行信息传递,除了制度方面规定,有没有其他好的办法管控员工的聊天信息呢?制度方面应如何进行强调呢?
企业对于员工对外沟通行为的监管核心在于公司利益(如商业秘密等系列权益)与员工隐私权益之间的平衡。所以,如企业希望对于员工的对外沟通行为进行管控,需要采取的措施如下:
(1)严格区分员工的工作行为与个人信息,仅可对员工的工作行为进行管控,例如企业为员工统一配备办公电脑等工作设备。为员工统一配备企业微信和邮箱等,并要求员工不得在工作设备、帐号处理个人事务,也不要在个人设备、帐号处理工作事务;
(2)进行个人信息保护影响评估(PIA),评估该行为的风险维度,并列明应采取哪些合规措施;
(3)提前告知员工关于企业监控其聊天信息的情况(如采用了DLP工具等),并明确告知员工该等监管工具的功能、监控范围等等,并获得员工的同意。
Q19
在出境申报豁免条件中“(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;”中的跨境购物和寄递场景是怎么理解,境内转到境外第三方吗?还是说在可以隐私协议中明确这类场景,然后豁免申报吗?
以跨境购物为例,例如用户A通过B购物平台,购买了一个全球购商品。在该种情形下,当且仅当用户A向境外提供收货地址时,才可以收到自己购买的商品,那么这一场景就符合“确需向境外提供个人信息”。
在此情形下,B购物平台不仅需要通过隐私协议告知用户存在这一数据跨境场景,还需要履行其他的合规义务,如取得个人信息主体的单独同意(如弹窗告知)等,其他仍需履行的合规义务如下:
(1)《个人信息保护法》第三十九条,针对数据跨境事项根据取得个人信息主体的单独同意;
(2)与数据接收方签署《个人信息出境标准合同》(以下或称“SCC”);
(3)根据《个人信息保护法》第五十五条人信息保护影响评估(以下或称“PIA”),并在PIA之中论证企业所涉及的数据出境场景落入豁免情形;
(4)根据《个人信息保护法》第五十五对所涉及的个人信息出境情形进行记录。
Q20
如果公司有中国香港、中国大陆、新加坡、日本,四个地方要用lark聊天软件集合,人力资源管理,lark服务器在新加坡,有没有什么风险?
在该种情形下,企业需要考虑的数据合规风险有二:
(1)是否满足中国大陆、中国香港、日本、新加坡现行个人信息保护相关法律下的数据处理合规要求(如处理否具有合法性基础,履行告知义务等);
(2)中国大陆、中国香港、日本关于数据出境有哪些合规要求与合规措施,可结合企业业务场景、个人信息类型等综合判断确定最终的数据跨境流动合规方案。
Q21
PIA评估,一般是针对系统,还是针对整个组织?有部分个人信息评估的条款,感觉跟隐私政策有关系,对整个组织进行测评,不同产品有不同的隐私政策,那怎么测?还是组织有个总的隐私政策?
《个人信息保护法》第五十五条规定,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
由此可见,PIA的主要适用情形是针对一些具体的个人信息处理场景,而并非对组织整体进行PIA。
对于组织整体进行数据合规评估有两个情形,一个是按照《个人信息保护法》第五十四条进行的合规审计,或者是说从企业数据合规部门(或者相关部门)自行或者联合外部机构(如律所、咨询机构等)发起的针对企业整体的数据合规项目。
此外,关于隐私问题,通常情形下,建议不同产品需要有不同的隐私政策,一般不建议用总的隐私政策。
Q22
保险母子公司,子公司在境内,母公司在香港,系统部署在香港机房,子公司使用母公司系统日常作业,数据存储在香港是否合规?
这一问题可拆分为两个问题。
(1)关于数据本地化问题。针对中国大陆地区法律而言,是否强制要求相关信息本地化存储。目前而言,中国大陆虽然对于一般数据没有强制本地化存储要求,但对于个人金融信息,以本地化处理为原则,法律法规明确规定下方可跨境传输。
(2)关于数据跨境传输问题(其中涉及个人金融信息的话,需在满足法定另外情形,方可传输),对于大陆地区数据跨境传输至香港的问题,根据《促进和规范数据跨境流动规定》,首先应当确定是否属于豁免情形。属于豁免情形的企业无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
