适用场景
计划或正在向境外(如集团总部、关联公司)提供中国境内员工个人信息的跨国企业、出海企业,特别是在招聘、日常人事管理和薪酬福利等环节涉及数据跨境传输的企业。
核心要点
1. 明确数据跨境与员工信息的范围
员工数据跨境不仅指物理传输,境外机构远程访问境内存储系统也构成跨境。员工信息范围广泛,包括简历、身份信息、健康报告、银行账户等,其中部分属于受特殊保护的敏感个人信息。
2. 选择合法的数据处理依据
企业可依据依法制定的、经民主程序并公示的劳动规章制度或集体合同作为处理员工数据的合法性基础,无需单独获取员工同意。但此基础仅适用于人力资源管理必需的范围,不可随意扩大。
3. 履行数据出境的法定程序
向境外提供员工数据前,必须完成个人信息保护影响评估(PIA),并根据数据量级和业务性质,选择通过安全评估、保护认证或签订标准合同等路径之一完成合规出境。
4. 落实告知与获取单独同意义务
跨境提供前,须向员工清晰告知境外接收方、处理目的、方式等信息。若处理依据非规章制度,则必须获取员工关于数据出境的、自愿且明确的单独同意。
5. 厘清境内外双方的责任
境内提供方与境外接收方需通过合同明确双方权责,保障员工知情、查阅、删除等法定权利。境外接收方虽在境外,但其处理行为仍受中国法律管辖,违法将面临民事、行政乃至刑事责任。
实务建议
- 立即开展数据盘点:梳理HR各环节收集的员工个人信息,特别是敏感信息,并识别是否存在跨境场景。
- 审查内部制度:确保劳动规章制度内容合法且制定程序(民主协商、公示)符合《劳动合同法》要求,作为数据处理依据。
- 设计合规流程:针对需获取‘单独同意’的场景,设计独立、清晰的授权界面或文件,避免捆绑授权。
- 提前进行PIA评估:按照法规要求框架,对计划的数据出境活动进行个人信息保护影响评估并留存报告至少三年。
- 规范跨境合同:与境外接收方签订协议,明确数据保护责任、员工权利行使机制、再转移限制及违约条款。
- 建立员工行权渠道:设立便捷机制,响应员工关于其个人信息的查询、更正、删除等请求,并向员工明确告知该渠道。
风险提示
- 误区:认为只有将数据物理发送到国外才算出境。正解:境外机构远程访问、查看境内存储的数据同样构成数据出境。
- 误区:认为获取了员工一次性概括同意即可万事大吉。正解:数据出境需获取‘单独同意’,且处理敏感信息要求更高。
- 注意事项:切勿滥用‘人力资源管理所必需’条款,处理信息范围必须与规章制度中明确的管理事项直接相关,不得扩大化。
- 注意事项:即使境外接收方在海外,若其处理中国员工数据违规,中国监管机构仍可依法对其实施处罚,相关责任人也可能被追责。
- 注意事项:数据出境合规路径(安全评估/认证/标准合同)有特定适用条件,选错路径可能导致整个出境活动不合法。