固法评论
律师专访
跨国企业数据合规与个人信息保护要点(第一期)
自2021年以来,我国在数据安全、个人信息保护等领域立法频出。《数据安全法》和《个人信息保护法》等一系列法律法规相继出台并施行,对企业网络安全、数据安全和个人信息保护的治理及合规管理提出了越来越高、越来越细的要求。跨国企业基于全球化管理的特殊性,会不可避免的触及企业数据和个人信息跨境传输问题。如何在经营过程中合法合规地满足自身全球化管理需求,成为当前困扰着许多跨国企业的难题。
对此,我们分两期采访了广东固法律师事务所的肖律师。肖律师结合其服务跨国企业数据出境合规项目经验,对跨国企业数据与个人信息出境应用场景、合规要求、合规难点和痛点进行分享,并为跨国企业制定数据出境合规策略提供建议。
第一期采访内容如下:
问
在什么场景中,跨国企业会面临数据与个人信息出境问题?
答
当前的主要场景有两个。一是人力资源管理信息出境;二是业务数据出境。
问
实践中,人力资源管理信息出境是怎么操作的呢?
答
基于全球化的管理架构,对于大部分跨国企业而言,都是由境外总部通过全球一体化的HR系统统一管理全球员工,进行员工个人信息、档案资料、薪资福利、薪酬结算等人力资源管理。实践中,境内公司可直接通过公司邮箱等向境外总部提供员工个人信息,也可以使用总部服务器位于境外的HR管理系统上传员工个人信息。
问
那业务数据出境又是什么意思呢?
答
境内公司应境外总部要求将自身运营过程中产生的数据(如生产、技术、经营业务数据等)提供给境外总部,或直接使用跨国集团的统一系统(如ERP、OA系统等)存储和传输业务数据。比如,跨境电子商务、物流、旅游等业务中必然涉及用户数据的传输,全球化售后服务或投诉处理也不可避免需要向境外传输用户数据。
问
在以上场景中,跨国企业数据出境一般需具备哪些条件?
答
根据《个人信息保护法》《数据出境安全评估办法》和《个人信息出境标准合同办法》等相关法律规定,跨国企业数据出境一般需满足以下三个条件:一是通过国家网信办组织的数据出境安全评估;二是经专业机构进行个人信息保护认证;三是与境外接收方签署标准合同并备案。
问
结合我国相关法律,跨国企业数据出境还需满足哪些基础合规要求?
答
基础层面的合规要求有三个。
一是履行告知义务并获取个人单独同意。根据《个人信息保护法》第39条规定,企业向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
二是个人信息保护影响自评估。根据《个人信息保护法》第55条规定,在跨境传输个人信息时,企业应当事前进行个人信息保护影响评估,并对处理情况进行记录。根据《个人信息保护法》第56条的要求,个人信息保护影响自评估内容应当包括(1)个人信息的处理目的、方式是否合法、正当、必要;(2)对个人权益的影响及安全风险;以及(3)所采取的保护措施是否合法、有效且与风险相适应。以上影响评估报告和处理情况记录应保存至少三年。
三是采取必要安全保障措施。根据《个人信息保护法》及《个人信息出境标准合同办法》相关规定,企业向境外提供个人信息的,应当采取必要措施,例如与境外接收方签订数据传输协议等,确保境外接收方在处理个人信息的过程中遵循中国法律所规定的个人信息保护标准;并在综合考虑个人信息处理目的、个人信息种类、规模、范围及敏感程度、传输数量和频率、个人信息传输及境外接收方保存期限等可能带来的个人信息安全风险的前提下,确保境外接收方采取如加密、匿名化、去标识化、访问控制等技术和管理措施保障出境个人信息安全。
作者
肖美榕,广东固法律师事务所律师
张红娇,广东固法律师事务所律师
