前台客服
扫一扫

扫一扫加我

返回顶部

数据跨境新规下企业员工个人信息出境豁免情形适用的前期准备

近期,《规范和促进数据跨境流动规定(征求意见稿)》(下称“数据跨境新规”)发布,对于当前的个人信息出境监管要求进行了大幅调整,按照数据跨境新规,某些符合条件的境内个人信息处理者的员工个人信息出境场景将有望被豁免《个人信息保护法》(下称“《个保法》”)第38条规定的数据出境条件——根据第38条,个人信息处理者开展个人信息出境的合法途径包括通过国家网信部门组织的安全评估(关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者),按照国家网信部门的规定经专业机构进行个人信息保护认证,以及按照国家网信部门制定的标准合同签订个人信息出境合同,也即“三条数据出境路径”。为届时顺利适用数据跨境新规的豁免条件,企业需要在内部人事制度建设、员工个人信息出境告知程序等方面做好合规准备。本文旨在为相关企业的前述合规准备提供方向指引,并提出工作开展的建议。

,

一、

个人信息出境监管现状及动向

,

1.现行有效的关于员工个人信息出境的监管要求

 

《个保法》明确了个人信息处理者进行个人信息出境活动应当同时满足以下三个条件:

 

一是根据《个保法》第39条的规定获得个人信息主体的单独同意或具备其他个人信息处理的合法性基础

 

二是根据第55条和第56条的规定开展个人信息保护影响评估

 

三是满足第38条规定的“三条数据出境路径”之一。

 

具体而言:

 

图片可点击放大查看

 

具体到企业员工个人信息出境场景,则需要同时满足以下要件:

 

✦ 根据员工个人信息出境的不同目的匹配相应的合法性基础,通常为:A.就员工个人信息出境取得员工单独同意,且根据《个保法》,该同意应当由个人在充分知情的前提下自愿、明确作出;或B.为订立、履行员工作为一方当事人的合同所必需;或C.按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

 

✦ 满足“三条数据出境路径”之一(涵盖个人信息保护影响评估)。

 

2.“数据跨境新规”对个人信息出境的监管格局重塑

 

“数据跨境新规”全面重塑了现行的个人信息出境监管格局,根据“数据跨境新规”:

 

图片可点击放大查看

 

对于企业来说,如个人信息出境总体规模不满1万人,员工个人信息出境可直接适用豁免情形,仅根据员工个人信息出境的不同目的为其匹配相应的合法性基础、并履行告知、进行个人信息保护影响评估等法定义务即可。

 

如企业预计一年内向境外提供1万人以上个人信息,根据数据跨境新规,如符合以下情形之一,仍可被豁免“三条数据出境路径”的要求:

 

✦ 为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;

 

✦ 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;

 

✦ 紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。

 

根据我们的项目服务经验和观察,境内企业员工个人信息出境以跨国企业最为典型和常见,一般情况下,由境外母公司统一采购部署于境外的系统供境内控股子公司使用,由此导致境内员工个人信息出境至境外。

 

限于篇幅,本文将基于企业预计一年内向境外提供1万以上个人信息的假设和前述我们所观察到的当前企业员工个人信息出境活动的普遍现状,在此情形下,企业在员工个人信息出境活动中较为贴近前两类合法性基础,从而存在较大可能全部或部分被豁免“三条数据出境路径”的要求。

 

因此,为在“数据跨境新规”届时按现状生效时顺利适用豁免情形,企业需要合法合理地为员工个人信息出境活动援引前两类合法性基础做好合规准备,具体而言:

 

图片可点击放大查看

,

二、

为订立、履行员工作为一方当事人的合同所必需

,

企业与员工签署劳动合同是法律的明确要求,劳动合同也因此成为公司与员工之间最为基础和普遍的合同关系类型,因此企业在订立与履行与员工的劳动合同过程中所处理的个人信息可以《个保法》的“为订立、履行个人作为一方当事人的合同所必需”作为处理的合法性基础。

 

1.现行法律规范明确规定用人单位可收集的员工个人信息

 

《劳动合同法》第7条规定,“用人单位自用工之日起即与劳动者建立劳动关系。用人单位应当建立职工名册备查”;根据《劳动合同法实施条例》,《劳动合同法》第7条规定的职工名册,应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容

 

《劳动合同法》第17条要求劳动合同应当具备以下条款:

 

(一)用人单位的名称、住所和法定代表人或者主要负责人;

(二)劳动者的姓名、住址和居民身份证或者其他有效身份证件号码

(三)劳动合同期限;

(四)工作内容和工作地点;

(五)工作时间和休息休假;

(六)劳动报酬;

(七)社会保险;

(八)劳动保护、劳动条件和职业危害防护;

(九)法律、法规规定应当纳入劳动合同的其他事项。

 

劳动合同除前款规定的必备条款外,用人单位与劳动者可以约定试用期、培训、保守秘密、补充保险和福利待遇等其他事项。

 

也就是说,除了上述劳动法律法规明确列示的用人单位应当收集的员工个人信息字段,用人单位也可基于与员工劳动合同中关于“休息休假”“劳动报酬”“社会保险”等事项的约定,收集员工的相关个人信息以履行劳动合同,但个人信息收集范围不应突破《个保法》合法、正当、必要的基本原则性要求,也即《劳动合同法》第8条所要求的“直接相关”性。

 

2.用人单位如何判断员工个人信息是否与劳动合同“直接相关”?

 

《劳动合同法》第8条规定,“用人单位有权了解劳工与劳动合同直接相关的基本情况”,该条即用人单位的知情权。

 

而《劳动合同法》第8条规定的“直接相关的基本情况”在实践中却缺少配套规则的具体指引,各地对“直接相关”的解释也只是粗略列举,例如《北京市劳动合同规定》第10条规定,劳动者有权了解用人单位的有关情况,并应当如实向用人单位提供本人的身份证和学历、就业状况、工作经历、职业技能等证明。这一列举只是简单分类,没有给出明确指引。实际上,由于行业众多,法律确实也无法作出统一规定,实践中应根据企业的经营需要及劳动合同的履行情况作出综合判断。

 

从理论上看,可以从合法性和合理性两个维度对“直接相关”的解释进行正当性判断。“合法性”是指用人单位对求职者某一因素的考量,因具备制定法上的依据而具有正当性,包括但不限于:

 

(一)法律禁止招聘的人员。比如按照《食品安全法》第45条的要求,患有国务院卫生行政部门规定的有碍食品安全疾病的人员,不得从事接触直接入口食品的工作。从事接触直接入口食品工作的食品生产经营人员应当每年进行健康检查,取得健康证明后方可上岗工作。

 

(二)用人单位履行劳动者进行在先劳动合同终止确认义务的需要。根据《劳动合同法》第23条、第39条等规定,用人单位在招用新雇员时有权利调查确认应聘人员是否已与前一用人单位解除或终止劳动关系,或是否存在竞业限制协议等。

 

(三)用人单位履行特殊职位、特殊行业招聘的审慎注意义务。如《公司法》规定,董事、监事或髙级管理人员等特殊职位,用人单位应对应聘人员是否具有任职资格进行调査。某些特定行业对于从业人员也有所限制,例如《网络安全法》第34条规定,关键信息基础设施的运营者应当设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。

 

合理性判断则主要需要结合实际情况,考量平等协商、诚实信用和善良风俗原则等进行判断,例如询问女性求职者有无怀孕或近期有无生育计划、要求员工申报主要社会关系或亲属关系等,在不同场景下需要结合个案判断是否与劳动合同直接相关。以下是我们查询到的一些可供参考的公开案例:

在上海市浦东新区人民法院发布的劳动争议典型案例牛某诉上海某物流有限公司劳动合同纠纷案中,法院认定牛某是否持有残疾证并不影响其从事叉车工的工作,因此可以不主动披露残疾情况,在员工登记表中未填写残疾信息不构成欺诈。

 

在(2015)穗中法民一终字第465号黄某与广州某公司劳动纠纷上诉案中,上诉人所在的岗位是公交车司机,因此上诉人生育状况不属于与劳动合同直接相关的基本情况,因此即便劳动者隐瞒或虚假陈述该事项,也不会导致用人单位作出错误判断,进而违背真实思表示而订立劳动合同,因此不构成欺诈。

 

综合以上分析,我们理解通常来说企业可以“为订立、履行个人作为一方当事人的合同所必需”所处理的员工个人信息处理范围为:

 

✦ 现行劳动法规明确的用人单位通常情况下应当收集的员工个人信息字段:姓名、性别、户籍地址及现住址、居民身份证或者其他有效身份证件号码、联系方式、用工形式、用工起始时间、劳动合同期限、拟聘用员工与前雇主的劳动关系解除情况以及是否存在竞业限制协议等。

 

✦ 法定特殊情形下用人单位应收集的员工个人信息字段:如从事接触直接入口食品工作的食品生产经营人员的健康证明。

 

✦ 用人单位履行对员工的法定义务应收集的个人信息:如与“休息休假”“劳动报酬”“社会保险”等事项直接相关的个人信息。

 

✦ 用人单位履行对员工的约定义务应收集的个人信息:如企业与员工在劳动合同中约定了补充保险、福利待遇等事项,则在上述法定应收集个人信息之外,可补充收集与约定事项直接相关的个人信息。

 

✦ 其他与劳动合同的订立与履行“直接相关”的个人信息,即与工作岗位相匹配的信息,比如姓名、性别、年龄、身份证号、银行卡号、社保账号、基本健康情况、民族、学历、专业、学位、职称、毕业学校、计算机水平、外语水平、通讯地址、邮编、联系电话、邮箱、待遇要求、特长、到岗时间、工作经历、主要业绩等。而婚姻状况、生育情况与意愿、家庭条件、个人爱好等通常与岗位、工作能力不直接相关的信息,则不属于劳动者应当说明的范围。

,

三、

按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需

,

1.场景明确,“必需”应在个案场景中动态评估

 

为了严格限定用人单位处理劳动者个人信息的范围、数量及限度,防止用人单位以“实施人力资源管理所必需”为由过度收集和使用个人信息,《个保法》仅将人力资源管理所必需的场景限缩于“按照依法制定的劳动规章制度依法签订的集体合同实施人力资源管理”这两大场景之下。

 

具体来看,从获取求职者简历或者委托第三方对求职者进行背景调查甚至心理评估,到要求新员工进行入职体检、办理门禁,再到员工入职后的生产线管理、病事假管理、员工培训与开发、绩效管理、薪酬管理、员工流动管理、员工关系管理、员工安全与健康管理、离职管理等过程,都需要涉及员工大量个人信息,甚至是敏感个人信息。因此需要明确,“必需”是一个场景依赖性概念,需要在具体的场景中衡量信息处理行为的利益与风险,结合具体场景评估信息处理是否符合必要性要求,以及是否有可能造成了不合理的风险,针对个案场景进行动态的评估。如婚育状况,除非出于员工休婚假、产假等必要场景,用人单位不得主动向员工收集此类信息。以下案例可供参考:

在(2016)粤03民终20674号王某与深圳某公司劳动合同纠纷案中,法院认定劳动者的婚育状况应属劳动者的个人隐私范畴,除非用人单位能证明该隐私信息与履行劳动合同存在直接的关联关系,否则劳动者无向用人单位报告的义务,因此公司制定的规章制度即使经民主程序制定,其有关员工应及时报告怀孕计划及怀孕情况,否则视为严重违反公司规章制度行为的规定,既侵犯了女职工的个人私隐权,又变相限制女职工的就业及劳动权利,员工在入职时隐瞒其已婚状况、在职期间未及时向公司报告其怀孕状况也不构成解除劳动合同事由。

 

2.内容要求

 

(1)规章制度的内容要求

 

《劳动合同法》第4条第1款规定,用人单位应当依法建立和完善劳动规章制度,保障劳动者享有劳动权利、履行劳动义务。根据《劳动合同法》第4条第2款的规定,规章制度涵盖范围包括劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等劳动管理规定。

 

(2)集体合同的内容要求

 

《劳动合同法》第51条第1款规定,企业职工一方与用人单位通过平等协商,可以就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立集体合同。集体合同草案应当提交职工代表大会或者全体职工讨论通过。[1]此外,企业职工一方与用人单位可以订立劳动安全卫生、女职工权益保护、工资调整机制等专项集体合同,或者在县级以下区域内,建筑业、采矿业、餐饮服务业等行业可以由工会与企业方面代表订立行业性集体合同,或者订立区域性集体合同。

 

根据人力资源与社会保障部发布的《集体合同规定》,集体协商双方可以就下列多项或某项内容进行集体协商,签订集体合同或专项集体合同[2],包括:劳动报酬、工作时间、休息休假、劳动安全与卫生、补充保险和福利、女职工和未成年工特殊保护、职业技能培训、劳动合同管理、奖惩、裁员、集体合同期限、变更、解除集体合同的程序、履行集体合同发生争议时的协商处理办法、违反集体合同的责任等。

 

可见,劳动规章制度是公司所必需建立的,而在何种情况下需要签订集体合同,则是根据劳动者和用人单位的实际需求,并没有强制要求。集体合同可以是劳动合同必备内容的全部,也可以是其中的一个内容中的某一项

 

此外,劳动合同对签约双方具有约束力,没有对他人的约束力;而集体合同则对集体协商代表所代表的一个用人单位及其所有员工或者当地同行业或同区域的所有用人单位及其所有员工具有约束力。

 

3.制定和通过程序区分

 

(1)规章制度

 

《劳动合同法》第4条第2、3款规定,用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定。一般理解,用人单位制定规章制度时并非必须要经过员工讨论通过,而是履行讨论程序即可,是否通过的决定权依然在用人单位。当然,规章制度依然需要符合法律法规的规定、具有合理性,否则可能不能得到法院的认可。例如:

在(2022)京02民终5060号王某劳动争议案中,法院认定,《劳动合同法》第四十条规定,对员工进行培训或调整工作岗位,仍不能胜任工作的,方可依法解除,而案涉公司在规章制度中规定只要绩效考核结果为待改进即可直接对员工解聘的规定有违《劳动合同法》第四十条的规定,亦有违法治精神及社会主义核心价值观,因此不能确定双方权利义务的依据。

 

在规章制度和重大事项决定实施过程中,工会或者职工认为不适当的,有权向用人单位提出,通过协商予以修改完善。

 

(2)集体合同

 

《劳动合同法》第51条第2款规定,集体合同由工会代表企业职工一方与用人单位订立;尚未建立工会的用人单位,由上级工会指导劳动者推举的代表与用人单位订立

 

关于集体合同前期如何起草,《集体合同规定》对此进行了进一步规定,经双方协商代表协商一致的集体合同草案或专项集体合同草案应当提交职工代表大会或者全体职工讨论。职工代表大会或者全体职工讨论集体合同草案或专项集体合同草案,应当有三分之二以上职工代表或者职工出席,且须经全体职工代表半数以上或者全体职工半数以上同意,集体合同草案或专项集体合同草案方获通过。集体合同草案或专项集体合同草案经职工代表大会或者职工大会通过后,由集体协商双方首席代表签字。

 

4.生效方式区分

 

《劳动合同法》第4条第4款规定,用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者[3]

 

《集体合同规定》第47条规定,集体合同或专项集体合同签订或变更后,应当自双方首席代表签字之日起10日内,由用人单位一方将文本一式三份报送劳动保障行政部门审查。劳动保障行政部门自收到到文本之日起15日内未提出异议的,集体合同或专项集体合同即行生效。第48规定,生效的集体合同或专项集体合同,应当自其生效之日起由协商代表及时以适当的形式向本方全体人员公布。

 

可见,未向员工公示的规章制度或集体合同不能作为确定双方权利义务的根据。

 

在实践中,公示的方法各种各样,企业可结合自身实际情况并综合考虑实施难度等因素选取适宜的方式。此类公示方法包括但不限于:

 

(1)向员工发放《员工手册》等规章制度文本,并要求员工签字确认已阅读和知悉相关内容。建议企业可以制作单独的签收联,并在员工签署后回收、留存,作为已履行公示程序的证明。

 

(2)组织规章制度宣贯会议并通知员工参加,同时保留会议纪要和员工参会签到记录。

 

(3)组织规章制度考试,并保留员工考试记录。

 

(4)以线下的公告栏、宣传栏或线上办公系统进行公示,按照公示方式的不同保留相应的公示记录并要求员工进行查收及回复,同时保留员工查收及回复的记录。

 

(5)在劳动合同中以附录等方式详细列举单位相关规章制度的名称,要求员工充分理解并严格遵守。如果企业有固定的规章制度公示方式,也可一并在劳动合同中约定。

 

采用各类公示方式的,我们建议在劳动合同中同步约定何种方式为有效公示/送达方式。

 

5.规章制度与集体合同应如何选择?

 

规章制度既是公司规范运行所必须的,又可以通过劳动合同向员工传达,在情况变化灵活修改后也方便及时通知员工,而集体合同流程复杂,其内容又可以被劳动合同所涵盖,因此我们理解企业通过将目前所处理的员工个人信息所涉及的各类场景纳入到依法制定的规章制度中的方式,以适用“按照依法制定的劳动规章制度实施人力资源管理所必需”这一个人信息处理的合法性基础,从而豁免数据出境的标准合同备案及签署义务的合规成本更低。

 

但是,根据与部分网信部门的咨询结果,“依法制定的劳动规章制度”和“依法签订的集体合同实施人力资源管理”均是同一合法处理理由需要同时具备的两个合法要件,需要同时满足。鉴于上文对二者的区分和联系,若所属网信办认为二条件必须同时具备的,则我们建议企业可以通过搭建劳动规章制度(以员工手册)为主,辅以针对人力资源管理所需数据跨境的专项集体合同,创设《个人信息保护法》所述合法处理理由,以符合数据跨境新规所述豁免情形。

 

6.用人单位搭建劳动规章制度体系的方式

 

实践中,用人单位一般以以下方式搭建劳动规章制度体系:

 

(1)单一员工手册

 

较为少见,由于大型企业管理涉及方方面面,且部分领域的规章制度需要根据国家法律法规及时制定或迅速更新迭代,在单一员工手册中规定不够灵活,也难以全面,因此基本没有企业采用单一的员工手册形式规定整个劳动规章制度体系。

 

(2)员工手册+附属规章制度文件

 

多数公司采用员工手册和其他归属规章制度文件的形式构成规章制度体系。

 

如果企业需要搭建劳动规章制度体系,我们推荐采取第(2)种方式。

,

四、

即便适用豁免情形,用人单位仍然需要履行其他合规义务

,

1.就员工个人信息出境履行告知义务

 

根据《个保法》第17条的相关要求,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

 

✦ 个人信息处理者的名称或者姓名和联系方式;

✦ 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

✦ 个人行使本法规定权利的方式和程序;

✦ 法律、行政法规规定应当告知的其他事项。

上述规定事项发生变更的,应当将变更部分告知个人。

 

个人信息处理者通过制定个人信息处理规则的方式告知上述规定事项的,处理规则应当公开,并且便于查阅和保存。

 

根据《个保法》,无论个人信息出境活动以“单独同意”“为订立、履行员工作为一方当事人的合同所必需”抑或“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法性基础,告知义务皆应履行。

 

如果境内企业的人力资源管理系统及其他业务系统几乎全部系境外总部购买,员工个人信息因此被直接收集到境外服务器,员工个人信息出境活动几乎涉及到全部个人信息处理环节,相比在劳动合同及各类规章制度中零散描述个人信息处理活动细节,我们建议起草独立成文的《员工个人信息处理规则》。特别需要说明的是,《员工个人信息处理规则》作为通用的告知、说明性文件,以“单独同意”为合法性基础的个人信息处理活动亦可涵盖在内,但应同时辅以“系统弹窗”、“个人信息出境授权书”等措施以满足“单独”这一形式要件的要求。

 

此外,《员工个人信息处理规则》按规定应当公开,公开方式可参考本文第三部分第4小节的公示方法。

 

2.开展个人信息保护影响评估

 

根据《个保法》第55条,企业向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。此项义务不会随着“三条数据出境路径”的豁免而免除,因此,企业仍需要梳理员工个人信息的出境场景、处理目的、出境个人信息字段等详情,并按照《个保法》第55条及相关规范性文件提供的维度进行评估,如评估结果为通过方可开展员工个人信息出境活动。

,

五、

下一步工作建议

,

综合上述,我们建议企业开展以下员工个人信息出境适用豁免情形的准备工作:

 

1.梳理各类涉及出境的员工个人信息处理场景、字段、处理目的。

 

2.梳理当前已制定的劳动合同、劳动规章制度或集体合同,并判断程序和内容是否合法、有效。

 

3.核对第1阶段梳理出的出境场景及字段是否全部可以已制定的劳动合同、劳动规章制度或集体合同作为处理的合法性基础,如不能覆盖,进一步论证是否补充/修订相应文件,或另行起草相关文件。

 

4.起草/修订《员工个人信息处理规则》,就包括个人信息出境在内的全部个人信息处理事项履行对员工的告知义务。

 

5.进行员工个人信息出境活动前开展个人信息保护影响评估,形成个人信息保护影响评估报告和处理情况记录,并至少保存三年。

 

6.不能适用豁免情形的场景和字段(如有)需确定适用的其他合法性基础,并论证数据出境的必要性和实施方案。

,

 注释 

 

[1] 《公司法》第18条规定,公司工会代表职工就职工的劳动报酬、工作时间、福利、保险和劳动安全卫生等事项依法与公司签订集体合同。其中对集体合同范围的界定与《劳动合同法》一致。

[2] 《集体合同规定》中明确,集体合同是指用人单位与本单位职工根据法律、法规、规章的规定,就劳动报酬、工作时间、休息休假、劳动安全卫生、职业培训、保险福利等事项,通过集体协商签订的书面协议;专项集体合同是指用人单位与本单位职工根据法律、法规、规章的规定,就集体协商的某项内容签订的专项书面协议。

[3] 根据《最高人民法院关于审理劳动争议案件适用法律问题的解释(一)》第五十条规定,用人单位根据劳动合同法第四条规定,通过民主程序制定的规章制度,不违反国家法律、行政法规及政策规定,并已向劳动者公示的,可以作为确定双方权利义务的依据。

邵阳劳动工伤律师事务所(www.tieqiaolawyer.com/laodonggongshang)提供邵阳市劳动工伤24小时在线免费咨询


标签:

部分文章来源于网络,无法查证出处,我们只做学习使用,如不同意收录请联系网站马上删除