跨国公司员工管理数据合规十问十答.docxVIP

跨国公司员工管理数据合规十问十答 立足现有法律法规,围绕跨国企业常见员工信息处理场 景,本文回答了十个常见代表性员工管理数据合规问题。 人力资源合规是跨国公司最重要的合规局部。自2021年 n月1日《个人信息保护法》施行以来，对跨国公司在人力 资源管理的场景下提出了一系列新的合规要求。跨国公司如 何在《个人信息俣护法》的框架下，既满足自身全球化管理 的内在需求，又要符合中国法律的规定，成为当前困扰着许 多跨国公司的难题。而随着相关配套立法的完善，特别是数 据跨境立法即将落地，一些问题的答案也逐渐清晰。立足于 现有法律法规和有关立法征求意见稿，我们围绕跨国企业常 见的员工个人信息处理场景，选取了十个具有代表性的问题 提供一些建议。 一、员工个人信息的跨境提供如何理解? （一）如何理解“员工个人信息” 依据《个人信息保护法》及相关法律法规的的规定，个 人信息处理者向境外提供个人信息时，应当事前进行个人信 息保护影响评估（以下简称“PIA”），并对处理情况进行记录。 根据我们的经验，我们认为保护影响评估至少包括： 1、评估应当包括评估个人信息的处理目的、处理方式等 是否合法、正当、必要及是否符合诚信原那么； 2、评估应当包括评估对个人权益的影响及平安风险，在 跨境场景下，需要评估境外国家法律保护环境，以及接收方、 相关方的平安措施，是否存在风险； 3、评估应当包括评估所采取的保护措施是否合法、有效 并与风险程度相适应；4、评估的报告和处理情况记录应当至少保存三年。 5、评估应当包括评估数据出境和再转移后泄露、毁损、 篡改、滥用等的风险，个人维护个人信息权益的渠道是否通 畅等。 （二）完成对应跨境路径的评估工作 《个人信息保护法》第三十八条就员工个人信息出境给 出了三条路径。即（1）通过国家网信部门平安评估；（2）获 得专业机构的认证办理；或（3）通过签订标准合同办理。总 体而言，每条通关路径的适用对象、范围不同，且所需完成 的评估工作与《个人信息保护法》要求的PIA存在重叠但又 有所不同（下文中将详细介绍）。由于目前网信部门尚未就标 准合同出台相关规定，本文仅就平安评估及专业机构认证所 涉及的评估工作进行介绍。 1、通关路径一：完成平安评估。依照《个人信息保护法》 第三十八条、第四十条以及于《数据出境平安评估方法（征 求意见稿）》第四条，关键信息基础设施的运营者（以下简称 “CHO”）在中华人民共和国境内运营中收集和产生的个人信 息、处理个人信息到达一百万人的个人信息处理者向境外提 供个人信息、累计向境外提供超过十万人以上个人信息或者 一万人以上敏感个人信息应当完成平安评估。平安评估应当 坚持风险自评估与风险评估相结合的原那么。即： *进行风险自评估，需要完成解答（一）所列举的PIA 评估工作，并在此之外梳理与境外接收方订立的数据出境相 关合同是否充分约定了数据平安保护责任义务，同时留存数 据出境风险自评估报告。 *备齐相关材料，按照法定程序通过所在地省级网信部门向国家网信部门申报数据出境平安评估。 值得注意的是，CIIO通常是指涉及公共通信和信息服务、 能源、交通、水利、金融、公共服务、电子政务、国防科技 工业等重要行业和领域的信息基础设施运营者。拟跨境提供 员工个人信息的企业假设所属行业、业务类型可能落入CIIO的, 我们建议企业在跨境提供个人信息前，应当完成平安评估。 同时，假设企业因其业务类型(如专门提供跨境劳务派遣服务)、 规模存在大量传输员工个人信息或员工敏感个人信息的情 形的，也应当按照法律法规要求完成平安评估工作。相反， 假设企业规模较小，且不涉及特殊行业或服务类型的，在跨境 提供员工个人信息时那么并不一定需要完成平安评估工作。 2、通关路径二：完成个人信息保护认证。对于非CIIO 或处理员工个人信息或员工个人敏感信息没有超过一定数 量的企业，可以在跨境提供前选择完成个人信息平安保护认 证。企业假设选择通过该路径跨境提供员工个人信息的，我们 建议完成如下评估工作： (1)明确主体责任。跨国公司或者同一经济、事业实体 下属子公司或关联公司之间的个人信息跨境处理活动，可由 境内实体申请认证并承当法律责任。假设境内企业与境外企业 分属不同实体，那么我们建议由境外企业在境内设置专门机构 以完成认证。 (2)评估是否符合法定原那么。企业跨境提供员工个人信息的，须评估是否符合如下要求： 合法、正当、必要和诚信原那么。企业是否采取了对员 工权益影响最小的方式处理其个人信息； 公开、透明原那么。跨境提供员工信息是否做到处理规 那么公开、处理过程透明，并及时告知员工跨境提供个人信息 的目的、范围和方式； 信息质量原那么。跨境提供员工信息过程中，各方是否 能够保证个人信息的准确及完整； 同等保护原那么。跨境处理员工信息过程中，各方是否