推广 - 传媒 2021-10-29T14:19:44 +08:00

《个人信息保护法》将施行,企业信息跨境流动有何影响

近期,上上签电子签约邀请世辉律师事务所合伙人王新锐律师、张洪源律师参加“企业数据合规体系建设分享会”,现场探讨了这样一个议题:个人信息的跨境流动。

经济全球化的今天,我国与世界经济紧密融合,有很多外企“走进来”在中国设立分部,也有国内企业“走出去”开展国际业务合作。在经济来往中,个人信息的跨境流动难以避免。随着《个人信息保护法》的出台,个人信息如何合规地出境呢?

员工信息出境的合规建议

分享会上,有企业负责人问:我们是跨国企业,人事系统的服务器在境外。当中涉及两个问题,一个是存有敏感信息,比如银行卡、体检报告;另外一个涉及跨境传输,要将个人信息提供给境外第三方(个人信息处理者)。如果涉及以上信息,应该如何操作?
另外,关于信息存储,有一条提到处理个人信息达到国家网信部门规定数量的,要储存在境内,如果出境则要满足一些要求。从《个人信息保护法》角度讲,它并没有明确具体的量级,这点该如何解读?

对此,王新锐律师给出的建议是:

我已经被超过50 家公司问到这样的问题,基本上全球跨国企业的员工管理都是一种天然的出境场景。

这个部分最后可能还要进行数据出境的备案,但是员工数据出境的情况比较容易通过。

在这种情况下,企业有两层义务:

一层是基于获得员工同意的环节,另一层将来会涉及政府,现在国家互联网研究中心有一个统一的系统,会在该系统中做备案。在备案以及中国的标准合同等事项落地之前,目前不用做太多工作。

但是建议在员工填入信息时,告知员工因为是在一家跨国公司,所以会对部分信息进行上传,刚才有提到员工处于哪个阶段,如果是企业员工,就会受制于该规则,如果还不是员工,就需要有告知的环节。

另外一个问题涉及对数据跨境的理解,目前关于数据本地化有多种理解。一种是数据只能存储在本地,境外不能访问;一种是存储在本地,境外也可以访问。

甚至在一些极端的情况下,我们跟监管讨论“一家跨国公司的CEO来中国访问,要求看数据,这种情况是否属于跨境?这种在广义上依然算跨境。”

所谓跨境是数据被境外的组织或个人所掌握到,虽然刚才这种情况是一种假想情况。当时听起来很奇怪,但确实曾经在会议中被拿来讨论过。

所以跨境是一种广义理解,通常如果我们提到数据出境或者跨境提供时,关注的是对境外组织或者个人能够接触到数据同时失去控制的问题。

跨境规则分为两种,一是个人信息,另一种是重要数据。个人信息出境原则上都是可以的,届时根据监管要求可能需要办理相关备案,重要数据出境则非常困难。

另外关于“敏感个人信息单独同意与前面的合法性事由是何关系”,在问过几位起草者后得出了一致的结论:前面的合法性事由贯穿始终,换言之如果走了合同流程就不用再说敏感个人信息需要单独同意。

无论是一般信息还是敏感信息,同意这条与合法性事由是并列关系,所以即使是敏感信息,仍然可以通过同意的方式,履行法律职责义务。并非任何情况下处理敏感信息都需要单独同意。以下7 个条款贯穿于《个人信息保护法》始终。

跨国业务合作的数据能否融合?

现场也有企业问:我们最近在做的项目是想要跟新加坡、日本的公司实现数据融合,特别是公司内部员工信息的数据融合。起初HR和IT部门的想法是非常美好的,但是现实非常骨感。这也是我们第一次尝试包括像GDPR在内的数据合规实践。

在这过程当中GDPR的要求很严格,不仅涉及张洪源律师刚刚分享的员工信息合规,在欧洲还会涉及工会。在这种情况下,特别是中国的企业要走出去,应该如何做?

王新锐律师认为:

目前从我们的监管趋势讲,这些数据是融合不了的,需要对数据进行割裂式的管理。最近在跟许多大公司IT部门人员讨论,大家也都感受到了这种变化。

以前我们希望将所有数据打通,让其流至一个池子,这时会涉及违反数据最小化利用的问题。以后这种数据深度融合的事情会变少,数据会根据法律和场景进行切割。在这当中,哪些数据可以融合,是另外一个问题。目前数据合规的力度很大,数据过度融合的风险还是非常高的。

相关话题

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,文章为企业广告宣传内容,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

推荐关键词

24小时热搜

查看更多内容

大家正在看

罗永浩被执行信息清零