簡析《個人信息保護法》實施后外商投資企業的合規應對
作者:洪靜海 程中華 林龍 2021-11-162021年11月1日《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)正式實施。《個人信息保護法》因對企業違法處理個人信息的行為規定最高可處5000萬元或企業上一年度營業額百分之五的罰款,同時企業的負責人等最高可能會被科以10萬元以上100萬元以下罰款等處罰,而被稱為史上最嚴格的數據保護法案。由于自身獨特的屬性,外商投資企業對個人信息的跨境傳輸有先天的客觀需要。對于《個人信息保護法》的實施,外商投資企業尤其需要注意做好相應的合規應對措施。本文將從實務視角對外商投資企業需要關注的方面進行分析,并提出相應具體合規應對建議。
一、外商投資企業對《個人信息保護法》的理解誤區分析 根據筆者的實務經驗,外商投資企業目前主要關注如下幾個問題:1.企業在并未收集公司外部人員信息的情況下,是否需要進行合規應對?2.企業并非是專業的數據處理企業,在日常生產經營過程中基本上不收集交易對象的個人信息,收集員工個人信息也是基于履行勞動合同及人力資源管理目的。在這種情況下是否需要進行合規應對? 對此,筆者認為在這兩種情況下企業都需要進行合規應對。對于第一個問題,根據《個人信息保護法》第三條的規定,《個人信息保護法》適用于處理個人信息的活動,對于個人信息是公司內部人員信息還是外部人員信息并未進行區分,也就是說就算該企業并未收集公司外部人員信息,收集的只是公司內部人員信息仍然需要根據《個人信息保護法》的要求進行合規應對。對于第二個問題,根據《個人信息保護法》第十三條第二項的規定,若是基于履行勞動合同及人力資源管理目的收集員工個人信息是無需獲得個人的同意,但是適用該條規定需要滿足一定條件,即企業需要證明收集員工的個人信息是企業履行勞動合同所必需以及企業應當是按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需,這一證明責任的難點在于,目前對何為“履行勞動合同所必需”并無明確的法律界限。另外該企業就算是非專業的個人信息處理企業,在日常經營活動中只要有個人信息的處理行為,其仍然需要按照《個人信息保護法》的要求進行合規應對。一般來說,企業處理員工的個人信息包括對個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。對于個人信息的處理原則上是需要取得個人的同意,但是《個人信息保護法》的第十三條第二項至第七項規定了六種不需要個人同意即可處理個人信息的法定許可情形。對于外商投資企業來說,其在日常經營活動中處理個人信息比如處理員工敏感個人信息、跨境傳輸員工的個人信息等活動很多時候都是屬于法定許可以外的情形,需要按照《個人信息保護法》的規定取得員工的單獨同意,并且做好個人信息保護影響評估。 二、《個人信息保護法》下外商投資企業的關注點 《個人信息保護法》的實施會對外商投資企業產生深遠的影響,外商投資企業必須要引起高度重視并且重點關注如下幾個方面。 其一、員工在履行勞動合同的過程中,企業會獲得員工的身份證信息、銀行賬戶信息、民族宗教信息、婚史信息、生育信息、員工指紋信息等個人敏感信息。對于個人敏感信息的處理,《個人信息保護法》要求需要獲得員工的單獨同意,并且企業應當在事前進行個人信息保護影響評估。 其二、外商投資企業習慣事無巨細地在人事或財務系統當中錄入員工的個人信息。這些系統可能由其外國母公司或統括公司所控制,甚至服務器也存放在國外。在這種情形下,當企業在錄入員工個人信息的同時就發生了個人信息的跨境傳輸。對于個人信息的跨境傳輸,《個人信息保護法》同樣要求需要獲得員工的單獨同意,并且企業應當在事前進行個人信息保護影響評估。 其三,在華外商投資企業,根據企業生產經營管理的需要,一般也存在需要將員工個人信息批量的提供給第三方企業的場景。比如提供給外服公司處理員工的個稅及社保申報;提供給旅游代理公司處理員工團建或旅游事項;提供給簽證代理公司進行駐在員以及赴海外研修員工的簽證代辦;提供給會計審計單位進行年度或專項的財務審計;提供給商業保險公司進行商業保險投保事項;其他還有諸如名片制作公司、大樓物業公司等等。對于該等個人信息處理者向其他個人信息處理者提供其處理的個人信息的情形的,同樣《個人信息保護法》也要求需要獲得員工的單獨同意。 關于同意與單獨同意的關系,目前仍存在爭議,有觀點認為《個人信息保護法》第十四條所述單獨同意已包含在“同意”之中,是其下位概念。對此,筆者認為“單獨同意”并非是一攬子同意,《個人信息保護法》在第十四條設置單獨同意的目的,就是要區別于第十三條的概括性同意,企業應當就需要取得個人同意的事項與員工單獨書面簽訂個人信息處理同意書。當然,關于這一點,還有待國家立法機關出臺細則具體進行明確。而正是因為目前對于同意與單獨同意的關系仍存在爭議,從合規角度來看,還是重新取得員工的單獨同意更為妥當。 對于個人信息保護影響評估,根據《個人信息保護法》第五十六條的規定,企業應關注三個要點,首先要對收集員工敏感個人信息或者對員工個人信息進行跨境傳輸的目的以及處理方式等是否合法、正當、必要做出評估。其次,企業應評估收集員工敏感個人信息或者對員工個人信息進行跨境傳輸可能對員工的個人權益帶來的影響及引發的安全風險。最后,評估企業所采取的安全保護措施是否合法、有效并與風險程度相適應。 如前文所述,外商投資企業由于其自身獨特的屬性,對個人信息的跨境傳輸有先天的客觀需要。對于個人信息的跨境傳輸,在獲得員工的個人同意及進行個人信息保護影響評估之后,根據《個人信息保護法》第三十八條第一款的規定外商投資企業還需要具備一定條件即需要按照國家網信部門的規定經專業機構進行個人信息保護認證或者按照國家網信部門制定的標準合同與境外接收方訂立合同約定雙方的權利和義務。其中,按照國家網信部門制定的標準合同與境外接收方訂立合同最為簡便且成本最小。目前,國家網信部門的標準合同尚未出臺,但參考歐盟的標準合同條款,筆者預測國家網信部門未來出臺的標準合同內容很可能與標準合同條款相似,也會包括數據保護保障措施、分包處理者的作用、數據主體權利、責任、監管等內容。此外,根據《個人信息保護法》第三十八條第三款的規定,外商投資企業需要采取必要措施,保障境外接收方處理個人信息的活動達到規定的個人信息保護標準,對于不能達到標準的,則不應當向其提供個人信息。這里的必要措施通常包括各種內部和外部的措施,內部的措施是指當接收方與提供方存在法律或經濟上的關聯時,如跨國企業集團內部的公司可以通過規定有約束力的公司規則來確保達到相應的保護水平,也可以通過派遣相應的專家進行指導等。外部的措施則是通過相互之間簽訂的更細致、更有約束力的合同條款來實行。 以上主要是對在境內處理自然人個人信息的活動時外商投資企業需要關注的方面做了分析。實際上根據《個人信息保護法》第三條的規定,對于在境外處理中國境內自然人個人信息的活動,若是存在以向境內自然人提供產品或者服務為目的、分析評估境內自然人的行為、法律行政法規規定的其他情形時,該處理行為仍然需要受到《個人信息保護法》的規制。 實務中很多外商投資企業的母公司會在中國境外設立全球合規投訴熱線窗口,該窗口為外部委托企業負責受理包括中國在內的關聯公司的全部合規投訴舉報事項。此時,根據《個人信息保護法》第三條第二款的規定,該境外合規窗口企業屬于境外的個人信息處理者。又依據第五十三條的規定,該境外合規窗口企業需要在中國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門(如網安部門)。 三、《個人信息保護法》下對外商投資企業的合規應對建議 為了避免《個人信息保護法》實施后給外商投資企業帶來的風險,外商投資企業應當做好個人信息保護的合規應對。但是對于外商投資企業來說個人信息保護的合規應對是一個系統工程,不可能一蹴而就。筆者建議企業可以從這兩條路徑來進行合規應對。 1、制定企業內部的合規制度 合規制度應當結合企業的實際情況制定。鑒于各企業的實際情況不同,在起草制作書面的合規制度前,企業應當先按照《個人信息保護法》的各項合規要求對企業目前處理個人信息的各個環節進行排查,確認企業目前在個人信息處理活動的具體情況。之后企業再結合這些具體情況制定內部的合規制度包括個人信息跨境傳輸制度、個人信息安全事件應急制度、個人信息保護影響評估制度等。 2、對企業內部有關人員進行定期的合規培訓 外商投資企業處理個人信息是否符合《個人信息保護法》的規定,關鍵還是要靠正確實施企業內部相關的合規制度。對于企業內部相關人員,企業應當對其進行定期的合規培訓。持續定期開展合規培訓,有利于使其樹立安全意識,明確各自權限及邊界,使處理個人信息的行為符合法律的規定。
