對于《征求意見稿》的上述規(guī)定�,我們通過以下四個案例進一步分析新規(guī)的具體應用���,以便企業(yè)參考����。
(一)案例1:境外酒店預定場景
案例事實概況:某酒店位于中國境外��,通過官方網(wǎng)站及App等線上渠道����,面向全球(包括中國境內(nèi))的顧客提供酒店相關服務���,涉及中國境內(nèi)顧客超過100萬人���。
1. 境外處理者是否需要采取出境合規(guī)機制���?能否適用“境外收集”的豁免�?
《征求意見稿》提供了“境外收集”的豁免,即,不是在境內(nèi)收集產(chǎn)生的個人信息向境外提供�,則無需采取任何出境合規(guī)機制����。該豁免情形與2017年國家標準《信息安全技術 數(shù)據(jù)出境安全評估指南(征求意見稿)》中提到的如下兩種情形較為相似:(1)非在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)經(jīng)由本國出境���,未經(jīng)任何變動或加工處理的����,不屬于數(shù)據(jù)出境;(2)非在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)�����,在境內(nèi)存儲、加工處理后出境,不涉及境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)的���,不屬于數(shù)據(jù)出境�����。
在本案例中����,個人信息并非前述的先入境����、再出境(往往涉及境外個人的個人信息),而是由境外處理者從境外直接向境內(nèi)個人收集個人信息?!秱€人信息保護法》并未明確位于境外但受到域外管轄的個人信息處理者是否需要采取出境合規(guī)機制���,而網(wǎng)信部門在實踐中并未排除該等適用��,認為可通過境外處理者在境內(nèi)設立的專門機構或指定代表執(zhí)行出境合規(guī)機制。根據(jù)《征求意見稿》,該情形能否適用“境外收集”的豁免��,目前尚未可知�,有待網(wǎng)信部門予以澄清。
2. 境外酒店預定能否適用“個人合同所必需”的豁免��?
《征求意見稿》中提供了基于三種特定的合法性基礎的豁免�����,其中一種為:為訂立�����、履行個人作為一方當事人的合同所必需��,如跨境購物�����、跨境匯款�、機票酒店預訂�����、簽證辦理等���,必須向境外提供個人信息,則無需采取任何出境合規(guī)機制�����?!?/span>為訂立、履行個人作為一方當事人的合同所必需”這一合法性基礎已被《個人信息保護法》所認可����,而《征求意見稿》進一步列舉的典型合同場景均屬于客觀必要的場景����,即,不跨境傳輸相應的個人信息給境外服務提供方(如電商平臺及境外賣家�、支付平臺及境外銀行、境外航空公司���、境外酒店���、境外政府機構等)���,則個人無法進行跨境購物����、跨境匯款�����、預定機票酒店�、辦理簽證等活動��。該等列舉在一定程度上反映了網(wǎng)信辦對于該合法性基礎的謹慎立場���。
本案例屬于《征求意見稿》明確列舉的酒店預訂場景�����,境外酒店可以為訂立、履行個人合同所必需而出境個人信息,無需采取任何出境合規(guī)機制。但出境個人信息的類型、處理目的�����、處理方式仍受制于該合法性基礎以及企業(yè)的合理商業(yè)判斷�����。
(二)案例2:跨國公司人力資源管理場景
案例事實概況:某跨國公司的中國境內(nèi)子公司統(tǒng)一使用全球總部的人力資源系統(tǒng)處理中國境內(nèi)員工�、求職者的個人信息��,從而出境人力資源相關個人信息。
1. 出境員工個人信息能否適用“人力資源管理”的豁免?
《個人信息保護法》為人力資源管理場景提供了專門的合法性基礎�,《征求意見稿》也明確提出���,“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理��,必須向境外提供內(nèi)部員工個人信息的”����,無需采取任何出境合規(guī)機制。相較于求職者�,已經(jīng)入職跨國公司的員工顯然對于其個人信息出境至全球總部具備更為明確的預期,人力資源統(tǒng)一管理亦為跨國公司運作機制的應有之義�。
《征求意見稿》為員工個人信息出境場景提供了重大利好,同時需要關注以下兩方面的制約因素:
(1)程序要件:《征求意見稿》依然強調(diào)人力資源管理的依據(jù)為依法制定的勞動規(guī)章制度���、依法簽訂的集體合同�。根據(jù)《勞動合同法》,直接涉及勞動者切身利益的規(guī)章制度需要依法履行平等協(xié)商和公示程序,而集體合同需要依法履行平等協(xié)商和報送程序����。
(2)必要性的限制:《征求意見稿》依然強調(diào)出境員工個人信息的必要性��,可能涉及個人信息種類��、處理目的����、處理方式等方面����,且“出境”個人信息的必要性往往比“(境內(nèi))收集”個人信息更難論證。一方面���,《個人信息保護法》提出了“必要原則”��、“限于實現(xiàn)處理目的的最小范圍”����、“實現(xiàn)處理目的所必要的最短時間”�����、“采取對個人權益影響最小的方式”等指導原則�����;另一方面��,在實踐中�,企業(yè)應當對上述原則的具體應用享有合理的商業(yè)判斷與解釋空間。
2. 出境求職者個人信息能否適用“個人合同所必需”的豁免?
《征求意見稿》關于人力資源管理的豁免情形僅適用于員工���,不包括求職者��。公司收集��、處理求職者個人信息的目的為招聘員工、訂立求職者作為一方當事人的勞動合同����,可以考慮能否適用“個人合同所必需”這一豁免情形,關鍵在于如何解釋出境求職者個人信息的必要性��,即是否為實現(xiàn)前述目的“所必需”�����。
如前所述�,《征求意見稿》列舉的典型合同場景均服務于個人的跨境業(yè)務�����,個人亦對因參與該等業(yè)務而出境個人信息具備明確認知��。
本案例中���,即使求職者應聘境內(nèi)公司的職位,在某些情況下,公司如果不出境個人信息確實難以完成招聘流程����,例如:對于通過業(yè)務考核的求職者,全球總部為滿足監(jiān)管或內(nèi)控要求而需對求職者進行合規(guī)審查、背景調(diào)查,尤其對于強監(jiān)管行業(yè)的從業(yè)人員�;對于應聘高級職位的求職者��,全球總部需要直接對其進行考核��。但是�,在初步遴選階段���、普通職位應聘場景,出境求職者個人信息的必要性論證則存在不確定性�����,有可能無法適用豁免情形。
(三)案例3:跨國公司系統(tǒng)回遷場景
案例事實概況:某跨國公司的中國境內(nèi)子公司出境員工�����、消費者���、供應商聯(lián)系人的個人信息。該公司現(xiàn)有員工約1.5萬人����,每年平均新入職員工約1500人���。該公司每年平均出境約50萬消費者的個人信息���,但正在向境內(nèi)回遷消費者管理系統(tǒng),預計將于2023年年內(nèi)完成�。此外,該公司平均每年出境約100人供應商聯(lián)系人的個人信息�。
1. 公司能否因回遷大數(shù)量級的系統(tǒng)而豁免安全評估?
不同于《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》中“自上年1月1日起”面向過去的視角���,《征求意見稿》在計算人數(shù)時采取面向未來的視角�����,為數(shù)據(jù)處理者通過減少個人信息出境量而簡化、豁免出境合規(guī)機制提供可行路徑:預計一年內(nèi)向境外提供1萬人以上���、不滿100萬人個人信息���,數(shù)據(jù)處理者可以自行選擇合適的出境合規(guī)機制。
回遷系統(tǒng)(尤其是涉及大量個人信息的系統(tǒng))是降低出境量的典型方式��。本案例中����,公司出境個人信息的數(shù)量大部分落在消費者管理系統(tǒng)�����,如果公司能在短期內(nèi)完成該系統(tǒng)的回遷��,則可以大幅降低未來一年的出境量至遠低于100萬人,不會觸發(fā)強制安全評估��。
2. 如何計算1萬人��?公司能否因預計一年內(nèi)出境個人信息低于1萬人而豁免出境合規(guī)機制����?
根據(jù)《征求意見稿》���,預計一年內(nèi)向境外提供不滿1萬人個人信息的,不需要申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同�����、通過個人信息保護認證����。問題的關鍵在于����,如何預估一年內(nèi)個人信息的出境數(shù)量。
除了系統(tǒng)回遷,還有如下兩種計算口徑可以降低出境量,但尚不明確網(wǎng)信部門是否認可該等計算口徑。結合本案例分析如下:
(1)能否僅計算增量人員:公司每年的增量員工(即新員工)僅為1500人��,未達到1萬人����。但與此同時,還存在1.5萬現(xiàn)有員工,每年均可能發(fā)生信息變化或新增����,如在職時間、聯(lián)系方式、薪資獎金等����,從而出境存量人員的增量數(shù)據(jù)。在網(wǎng)信部門給出明確�����、相反的解釋之前��,建議公司從謹慎出發(fā)仍需計算現(xiàn)有員工的個人信息出境量���,從而難以將出境量下降至1萬人以下而豁免出境合規(guī)機制�。
(2)能否刨除已被豁免的出境信息:如果公司采用為實施人力資源管理所必需這一合法性基礎�����,且依法制定勞動規(guī)章制度�����、依法簽訂集體合同����,則出境員工個人信息無需采用任何出境合規(guī)機制。我們傾向于認為��,在計算1萬人時��,無需納入已被豁免監(jiān)管的個人信息���。此時���,公司每年僅出境約100人供應商聯(lián)系人的個人信息,從而無需采用任何出境合規(guī)機制���。
(四)案例4:科技公司出境潛在重要數(shù)據(jù)���、敏感個人信息場景
案例事實概況:某科技公司使用境外關聯(lián)公司統(tǒng)一部署的業(yè)務系統(tǒng),上年1月1日至今出境員工敏感個人信息超過1萬人�,但預計未來一年內(nèi)不會超過1萬人���;同時使用該系統(tǒng)處理研發(fā)數(shù)據(jù)����。公司自評估認為���,不排除研發(fā)數(shù)據(jù)中包含重要數(shù)據(jù)����,但尚未接收到任何關于重要數(shù)據(jù)的官方通知或公告��。
1. 針對潛在的重要數(shù)據(jù)出境����,公司是否需要申報安全評估����?
依據(jù)《數(shù)據(jù)出境安全評估辦法》,出境重要數(shù)據(jù)應當申報安全評估�����。目前,大部分行業(yè)、領域的重要數(shù)據(jù)目錄還處于空白狀態(tài),國家標準《重要數(shù)據(jù)識別規(guī)則》也尚未發(fā)布正式稿。《征求意見稿》明確規(guī)定���,“未被相關部門��、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的���,不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估”��。
基于此�����,即使公司自評估認為其出境的部分研發(fā)數(shù)據(jù)有可能構成重要數(shù)據(jù),只要公司沒有被告知其處理的數(shù)據(jù)涉及重要數(shù)據(jù),或落入正式發(fā)布的重要數(shù)據(jù)目錄范圍���,則無需考慮申報數(shù)據(jù)出境安全評估�。
2. 公司出境敏感個人信息����,是否仍可適用《征求意見稿》?
《征求意見稿》明確規(guī)定,《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》等相關規(guī)定與其不一致的,應按《征求意見稿》執(zhí)行�。此外���,《征求意見稿》第八條規(guī)定了排除其適用的特殊情形,其中包括:“向境外提供涉及黨政軍和涉密單位敏感信息����、敏感個人信息的�,依照有關法律、行政法規(guī)��、部門規(guī)章規(guī)定執(zhí)行”���。問題在于��,如何確定出境敏感個人信息的法律適用�。
僅字面理解��,確實可能存在如下解讀����,即:向境外提供敏感個人信息的���,應適用有關法律法規(guī)�����,如《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》��,而不適用《征求意見稿》。但從立法意圖理解���,第八條強調(diào)特殊主體(國家機關、關鍵信息基礎設施運營者)�����、或涉及特殊主體(黨政軍�����、涉密單位)的特殊數(shù)據(jù)(敏感信息、敏感個人信息)�,僅在該等特定情形下《征求意見稿》才會被排除適用�。
本案例中���,如果公司并非黨政軍和涉密單位、亦與該等單位無往來�����,且預計一年內(nèi)出境的個人信息(無論是否為敏感個人信息)不會超過1萬人�����,則可豁免數(shù)據(jù)出境合規(guī)機制��。
