适用场景
计划或正在进行海外业务拓展的中国企业,特别是涉及内部反舞弊、反腐败、合规审计等调查,且调查过程可能涉及员工个人信息收集、分析与跨境传输至境外总部或法律顾问的场景。
核心要点
1. 内部调查的合法性基础
根据《个人信息保护法》,为实施人力资源管理(如工作考核、反舞弊调查)所必需,可成为处理个人信息的合法依据,无需依赖员工同意。这为保密性要求高的内部调查提供了关键合规路径。
2. 跨境传输的合规要求
因内部管理等需要向境外母公司或顾问传输个人信息,属于“因业务等需要”。企业需通过安全评估、认证或签订标准合同完成合规流程,并注意传输目的不得随意变更(如擅自提交给外国司法机构)。
3. 告知义务的实践困境与应对
法律要求处理前告知,但内部调查的保密性与此冲突。企业可考虑在规章制度或隐私政策中“统一告知”,但针对具体调查的“逐一告知”可能妨碍调查。需谨慎评估并记录不告知的理由,参考国际实践平衡合规与调查效率。
4. 员工个人权利的潜在挑战
被调查员工可能行使查阅、复制、删除等个人信息权利。在调查涉及商业秘密、可能妨碍调查或损害公司合法权益等情形下,企业可依据法律或相关标准主张免于响应,但需有充分证据并记录在案。
5. 跨境举报渠道的特殊风险
若举报热线设在境外或由境外服务商接报,举报人向境外提供信息的行为本身可能构成个人信息跨境传输。企业需对举报机制进行合规设计,明确提示信息处理规则,并确保对举报信息采取保密、最小必要等保护措施。
实务建议
- 梳理并完善内部劳动规章制度与隐私政策,明确将合规调查纳入人力资源管理范畴,并规定相关信息处理(包括可能跨境)的目的、方式和范围。
- 在进行涉及个人信息出境的内部调查前,依法完成个人信息出境安全评估、保护认证或签订标准合同等任一合规路径。
- 对拟出境的个人信息进行高度去标识化处理,敏感信息尽量保留在境内分析,以降低跨境传输风险。
- 设计内部举报机制时,优先考虑境内接收渠道,或确保境外渠道有充分的合规保障与提示。对举报信息严格遵循保密、必要原则,并设定保存期限及时删除。
- 在调查启动时,可考虑向被调查员工发出保密通知(Withhold Notice),说明基于调查需要可能暂缓告知或响应其部分个人信息权利,并记录相关评估理由。
风险提示
- 误区:认为获得员工“同意”即可安全处理信息。注意在劳动关系中,同意的“自愿性”易受质疑,且员工可随时撤回同意导致删除义务,反增风险。
- 误区:认为完成出境合规手续后,信息可随意提交给外国司法或监管机构。未经中国主管机关批准,此举直接违反《数据安全法》与《个保法》。
- 注意事项:境外司法或监管机构的要求(如美国法院命令)不构成中国法下的“法定义务”,不能豁免个人信息出境的合规要求(如单独同意)。
- 注意事项:避免对《个保法》第13条豁免条款作扩大解释,其适用范围应严格限定于中国法律法规规定的职责或义务。