数据出境FAQs（八）：如何识别与应对员工个人信息出境场景？

欢迎点击上方 TMT法律论坛 关注我们

专栏

Law

★

导读

★

随着《数据出境安全评估办法》生效及其指南的发布，触发申报门槛的企业大都在积极地推进着自评估和申报工作。鉴于申报工作是一项崭新的法律要求，企业和监管部门都在探索和积累经验，实操中难免会存在诸多不清晰的问题，我们将通过本FAQs系列栏目，基于法律法规理解、实践案例及多渠道的监管咨询，对焦点问题进行解读和分享。

本期为数据出境FAQs第八期“如何识别与应对员工个人信息出境场景？”

需要指出，本FAQs所有内容乃是一家之言，仅供参考，企业的具体行动应当以法律规定、监管要求为准。

往期回顾：

• “境外个人信息处理者（个保法第三条第二款）是否需申报安全评估？”

• 如何识别“重要数据”？

• 如何签署数据跨境传输协议？

• 如何处理申报安全评估与数据本地化的关系？

• 如何在自评估报告中描述境外数据保护法律环境？

• 如何理解数据出境风险自评估与个人信息保护影响评估（PIA）的关系？

• 如何理解境外接收方再转移？

如何识别与应对员工个人信息出境场景？

跨国企业往往涉及在多国设立分子公司，出于集团统一人力资源管理等目的，会面临员工个人信息出境场景下（以下或称“HR场景”）的数据合规问题，如境内实体向境外实体提供员工个人信息，或境内实体直接使用服务器位于境外的人力资源管理系统等。不同于外部用户或客户数据出境，员工个人信息出境有其特殊性，本篇FAQs将为企业如何识别需要申报数据出境安全评估的HR场景提供一些应对思路。

_____________    

FAQs

问：处理100万人以上个人信息的境内数据处理者，如仅HR场景涉及少量员工个人信息出境，是否需要申报？

答：根据《数据出境安全评估办法》（以下简称“《办法》”）第4条规定，对于处理100万人以上个人信息的数据处理者，向境外提供个人信息的，需要申报安全评估。法律上对HR场景下的个人信息出境没有例外规定，如仅涉及HR场景下少量员工个人信息出境，亦需要按规定进行申报。经咨询，某地方网信部门表示，员工个人信息出境作为企业个人信息出境的典型场景，需要严格参照《数据出境安全评估申报指南（第一版）》的要求完整、准确填写，没有豁免或简化处理的例外。

问：跨国公司境内多个关联公司之间如何确定HR场景下个人信息出境安全评估的申报实体？

答：根据行业实践并经咨询部分地方网信部门意见，在某些场景下，多个关联公司之间的员工个人信息出境场景可以合并申报。[注1]实践中，申报实体可参照如下场景确定：

1）若境内各关联公司（如下图A和B）将员工个人信息传输至拟申报实体（如下图C），或境内各关联公司使用该拟申报实体的人力资源管理系统，而由拟申报实体归口将该等员工个人信息传输至境外，则可以由拟申报实体合并申报。

Tips：经咨询地方网信部门，虽然涉及数据委托处理关系时，一般倾向于由数据出境需求方，即委托处理者进行申报，但在HR场景下，若某一关联公司受托作为员工个人信息管理的归口方，并由其实施出境行为，则建议由该归口方进行申报。

2）若境内各关联公司（如下图A和B）仅有本实体自身的人事管理权，而拟申报实体（如下图C）享有全部境内关联公司的人事管理权，并对境内各关联公司所处理的员工个人信息具有管控权限，则拟申报实体将构成相应关联公司员工个人信息的共同处理者，可以由拟申报实体合并申报。

3）若境内各关联公司均使用同一系统向境外传输员工个人信息，且各关联公司的员工个人信息出境场景具有高度一致性，即使各关联公司仅可访问、管理自身数据，也可确定由某一关联公司进行统一申报。

问：如涉及合并申报，如何签署HR场景下个人信息出境的数据处理协议？

答：据监管部门的咨询意见，其暂未对跨境数据处理协议签署主体提出特殊要求，而重点关注各方对于个人信息安全保护责任义务的约定。同时，有部分地方网信部门表示，跨境数据处理协议的签署主体需体现拟申报主体及境外接收方。此外，若拟申报主体因受托处理或享有境内关联公司的人事管理权限（构成共同处理者），而进行合并申报，则其余境内关联公司应：1）体现为跨境数据处理协议的共同签署方；或2）提供相关内部规章制度或关联公司之间签署的数据处理协议，以便于监管部门明晰数据传输链路并确保境内各关联公司落实其作为数据处理者的相应责任。

法律解读

根据《办法》第4条（三），自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，需要申报数据出境安全评估。该场景下，监管侧重点为企业累计向境外提供个人信息的量级达到了一定门槛，其对外提供数据的活动本身落入了监管关注范畴。若该等个人信息包含员工个人信息，则此等情形下需申报安全评估基本没有争议。

同时，根据《办法》第4条（二），处理100万人以上个人信息的数据处理者向境外提供个人信息，需要申报数据出境安全评估。其侧重点在于境内主体处理个人信息的总量达到了网信部门规定数量，而100万门槛标准的统计对象往往为企业的外部用户或客户，故此等情形下外部用户或客户数据出境需申报安全评估亦无争议，而对于该场景下的少量员工个人信息出境是否需申报安全评估一度存在争议。从近期各地申报实践及地方网信部门的回复口径来看，即使100万人数据处理者的HR场景仅涉及少量员工个人信息出境，亦需就该HR场景进行申报，体现了我国当前对于掌握大量个人信息企业的强监管态势。

相关规范

《数据出境安全评估办法》

第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

[注] 

[1] 根据咨询结果，亦有部分地方网信部门出于属地管理和责任落实考虑，建议在此场景下由各关联公司分别申报。鉴于实践中具体场景存在特殊性，且不排除各地网信部门随申报工作推进而调整申报要求，建议企业在申报前向境内各关联公司的属地网信部门进一步咨询确认。

重要提示：

本文仅作为信息性参考，不构成法律意见，不能作为任何行动的依赖。本文中的回复意见可能是不全面的，考虑到监管的不断实践，不排除后续的进一步变化。任何的行动，请以律师的正式意见和监管的意见为准。

作者往期文章推荐

中伦解读

• China’s 3 Data Cross-border Transfer Mechanisms In a Nutshell

• 欲知平直，则必准绳——《数据出境安全评估办法》十四个焦点问题的理解

• 一图读懂《数据出境安全评估办法》

• 网信办发布第一版指南，数据出境安全评估申报流程全梳理

• 首提重要数据识别标准！江苏发布数据出境安全评估申报工作指引

• 中国版标准合同条款揭开面纱，能否成为个人信息出境的通途（一）？

• 中国版标准合同条款揭开面纱，能否成为个人信息出境的通途（二）？

• 关于《个人信息跨境处理活动安全认证规范》十三个焦点问题的理

• 权知轻重，度知长短：如何开展《个人信息保护法》项下的合规审计？

• 数据安全，国之重器——《数据安全法》第三十六条的适用与合规应对

• 测绘合规四问四答：新《通知》下车企如何合规开展测绘活动

• 附导读 | 国标《信息安全技术 网络数据分类分级要求》征求意见

• 附全文及要点 |《医疗卫生机构网络安全管理办法》印发并实施

• 附导读及全文 | 三部门联合发布《互联网弹窗信息推送服务管理规定》

• 数据安全管理（DSM）认证该怎么做？

• 金融数据监管全景分析 | 2022年以来，一行两会都在罚什么？

• 附要点解读及立法趋势 | 修订版《移动互联网应用程序信息服务管理规定》发布

• 从“首例数据合规不起诉案”看企业数据合规风险防控

• 汽车OTA升级备案落地，OTA进入监管时代

• 《2022年钱伯斯全球法律实务指南-中国数据保护与隐私》发布

• “3·15”晚会曝光的四起信息安全案例及数据合规分析

• 《中国金融》刊发：网络安全立法对中概股的影响
  

• 算法推荐新规生效：五大视角厘清算法治理新格局

• 《中伦网络安全与数据保护法律评论2022》在线获取

• 《网络安全审查办法》尘埃落定，境外上市影响几何（上）

• 《网络安全审查办法》尘埃落定，境外上市影响几何（下）

• 网络安全与数据保护2021年度法律观察

• 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题（上）

• 关于《网络数据安全管理条例（征求意见稿）》的三十四个核心问题（下）

• 《网络数据安全管理条例（征求意见稿）》发布，赴港上市网络安全审查政策变了吗？

• 《个人信息保护法》正式生效，我们聊聊合规落地中的“五六七”

• 一图读懂《数据出境安全评估办法（征求意见稿）》

• 出版信息｜有关《数据安全法》解读的文章在国际刊物发表

• 网络空间治理升级——从数据治理迈向算法治理 

• 关于《汽车数据安全管理若干规定（试行）》的十个重要问题的理解

• 全景解构《个人信息保护法》，助力企业进入中国个人信息保护新纪元

• 中伦《人工智能知识产权保护和数据合规》文集正式发布

• 明晰人脸识别案件司法裁判规则，推动AI行业规范发展——最高院人脸识别司法解释解读

• 欧盟个人数据传输的两项新工具（SCCs）：历史演变、法律影响和应对策略

• China’s Data Security Law: Analysis and Compliance Guidance

• 九万里风鹏正举 |《数据安全法》已来 企业当如何乘风 —七大合规义务和六项应对策略

• 行业聚焦 | 工信部新规《智能网联汽车生产企业及产品准入管理指南（试行）》解读

• 中伦合伙人受邀撰写《Legal 500 比较法国别指南-中国数据保护与网络安全》（英文）

• 简评《网络直播营销管理办法（试行）》

• 中伦合伙人受邀撰写《2021年钱伯斯全球法律实务指南-中国数据保护与隐私》

• 健康医疗企业IPO数据合规重点问题与应对（上）

• 健康医疗企业IPO数据合规重点问题与应对（下）

• 解读《网络交易监督管理办法》

• 陈际红：数据和算法监管-平台反垄断的核心挑战

域外关注

• 他山之石：企业如何处理个人数据访问权行权请求？

• 系列解读之二：他山之石-如何处理个人数据访问权行权请求？

• 附全文 | 欧盟理事会通过《数字市场法》，强化大型互联网平台监管

• 附信息图 | 新加坡PDPC发布区块链应用和云平台的个人数据保护指引

• 附全文及摘要 | 美国两党两院首次提议联邦统一隐私立法草案

• 附全文及概要 | EDPB公开首个关于跨境认证的指南文本

• 如何识别数据控制者、处理者与共同控制者？法国CNIL发布指南

• 新加坡PDPC发布新工具，实践数据匿名化五步法

• 附问答全文 | 奥地利发布关于Cookie和数据保护的13个Q&A

• 附问答全文 | 欧盟委员会解答标准合同条款（SCCs）相关问题

• 附工具包｜英国ICO发布AI数据保护合规风险评估和管理工具

• 德国DSK发布指南：就电商遵循GDPR给出指引

• AI治理合规：法国发布面向人工智能技术的GDPR合规指南

• 新加坡发布《基础匿名化指南》，提出数据匿名化五步指引

• 美欧就跨大西洋数据隐私框架达成原则性协议（含监管历史演进梳理）

• 欧盟拟推《网络安全条例》和《信息安全条例》

• 欧洲互动广告局发布《后第三方cookie时代指南》：为cookie消亡做好准备

• SEC新规：上市公司信息安全事件应在4天内披露

• 欧盟公布《数据法》提案：旨在消除数据访问障碍、释放数据价值

• 日本个人信息保护委员会发布合规要点

• 欧洲数据监管机构：使用Google Analytics向美国传输数据违反GDPR

• 域外动态｜EDPB将发布访问权指南并就cookie同意设置作出统一解释

• 域外观察｜EDPB新发指南澄清域外适用与数据跨境传输条款间的相互作用

本期编辑：陈瑊 陈煜烺 张媛媛