跨国企业需要关注的员工个人信息出境合规要求及实践发展

引言

近年来，随着《个人信息保护法》以及一系列个人信息出境相关法律法规的相继出台并落地实施，加之跨国企业在全球运营背景下，对员工个人信息进行一致性、标准化管理的持续需求，员工个人信息出境合规已成为跨国企业个人信息合规体系中的关键环节之一。这一领域的合规与否，不仅关系到跨国企业在个人信息保护方面的合规性，更关乎其各类人力资源管理工作的有序推进和有效开展。本文将聚焦于员工个人信息出境的核心合规要求，并对当前跨国企业在员工个人信息出境合规实践进行探讨，旨在为那些计划建立或完善员工个人信息出境合规措施的企业以及相关机构提供参考。

一、 何为员工个人信息出境？

依据《中华人民共和国个人信息保护法》（以下简称 “个保法”）及相关法律法规规定，在司法实践及监管认定中，以下几种情形通常会被判定为 “向中国境外传输个人信息”：

1. 借助电子邮件或其他数据传输方式，直接将个人信息发送至位于中国境外的接收方；

2. 允许中国境外的任何个人或实体，通过特定的信息系统或平台，实现对个人信息的访问、读取或下载操作；

3. 向服务器位于中国境外的信息系统或平台，上传并处理个人信息数据。

在员工个人信息出境的实际场景中，上述信息跨境传输的情形均较为普遍。特别是跨国企业的全球化统一管理中上述第3种情形尤为突出，即使用服务器位于中国境外的各类信息系统或平台，例如人事管理、财务管理、业务流程管理系统以及IT 基础设施相关的系统或软件等。以上场景均应将其纳入员工个人信息出境合规管理的范畴之内。

二、 员工个人信息出境是否需要经过向网信部门的申报程序？

根据个保法第38条规定，用人单位确需向中国境外提供个人信息的，应至少满足以下出境合规机制之一：（1）通过国家互联网信息办公室（以下简称 “国家网信办”）组织的安全评估（以下简称“安全评估”）；（2）按照国家网信办的规定经专业机构进行个人信息保护认证（以下简称“安全认证”）；或（3）按照国家网信办制定的标准合同（以下简称“标准合同”）与境外接收方订立合同，并向省级网信部门备案。于2024 年 3 月发布并正式施行的《促进和规范数据跨境流动规定》（以下简称 “数据跨境规定”），一定程度上放宽了对用人单位将员工个人信息向境外传输的上述出境合规机制要求。倘若用人单位向境外传输员工个人信息符合以下两种例外情形之一，则可豁免经由上述安全评估、标准合同以及安全认证程序的出境合规机制：

• 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的（以下简称 “实施跨境人力资源管理”）；或者

• 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的（以下简称 “累计提供不满10万人个人信息”）。

目前尚无法规或官方指引对“实施跨境人力资源管理” “确需向境外提供员工个人信息” 的情形进行定义或解释。就当前的理解而言，这一表述很可能涵盖跨国公司中的与员工日常人事管理及常规业务管理密切相关的个人信息出境场景，例如员工入职流程中的信息提交、薪酬福利管理、绩效评估中的信息传输，以及内部员工合规管理所涉及的信息跨境流动等。

所谓 “依法制定的劳动规章制度”，是指用人单位依照劳动法所规定的民主程序及公示程序（即向全体员工征求意见、与工会或员工代表协商讨论及向全体员工公示发布）制定的公司规章制度。在实务操作中，我们建议企业对于其自行制定或本地化的员工隐私政策或员工个人信息保护相关政策，遵循法定民主程序及公示程序进行制定、修订以及发布，以确保出境合规机制的豁免情形的有效适用。

此外，通过观察我们发现，主管部门目前的立场倾向于认定非员工（如求职者、候选人、外包员工以及员工家属等）的个人信息，可能不属于 “实施跨境人力资源管理” 的范畴。因此，企业能否利用上述豁免情形来实现该类人员个人信息的出境，仍然存在不确定性。若不涉及敏感个人信息的跨境传输，非员工的个人信息出境可依据“累计提供不满10万人个人信息”这一豁免情形来操作。鉴于此，我们建议企业对于非员工的敏感个人信息尽可能在中国境内进行处理和存储，以降低和控制潜在的合规风险。

三、 员工个人信息出境还需满足哪些合规要求？

尽管数据跨境规定在前述的个人信息出境的合规机制方面，为作为用人单位的跨国企业减轻了一定的合规负担，但该规定并未改变用人单位在向境外传输员工个人信息时，仍需满足的其他法定合规要求。数据跨境规定重申了该等合规要求。这些要求具体涵盖如下方面：

• 履行告知义务并获取员工单独同意：根据个保法第39条的规定，在跨境传输个人信息时，应当向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使个保法权利的方式和程序等事项，并取得个人的单独同意；

• 履行个人信息保护影响评估程序：根据个保法第55条的规定，在跨境传输个人信息时，用人单位应当进行事前的个人信息保护影响评估，并对处理情况进行记录。根据个保法第56条的要求，影响评估的内容应当包括（1）个人信息的处理目的、方式是否合法、正当、必要；（2）对个人权益的影响及安全风险；以及（3）所采取的保护措施是否合法、有效且与风险相适应。该等影响评估的报告和处理情况记录应保存至少三年；以及

• 采取必要保障措施：根据个保法第38条的规定，用人单位应当采取必要措施，例如与境外接收方签订数据传输协议，以此确保境外接收方在处理个人信息的过程中遵循中国法律所规定的个人信息保护标准。

四、 我们的观察与建议

个保法目前已经生效实施3周年，个人信息出境相关立法已全面落地，市场实践操作也逐步趋于成熟与稳定。近期个保法的重要配套文件之一《个人信息保护合规审计管理办法》也已出台并将自2025年5月1日起正式施行。基于此，对于那些计划建立或完善员工个人信息出境合规措施的企业以及相关机构，我们建议密切关注并切实采取以下措施，从而有效降低潜在的合规风险：

1. 根据最新个人信息出境法规及实践进展，对员工隐私政策/个人信息保护政策、应聘者隐私政策进行制定和更新；以及对相关的劳动文件进行相应修订和执行；

2. 尽早完成人力资源相关个人信息出境的个人信息保护影响评估及相关报告，其中应包括对于人力资源相关个人信息出境场景可否豁免标准合同等出境合规机制的评估事项； 如经企业自行评估标准合同等出境合规机制仍然无法豁免的，则应计划开展相关出境合规机制的程序；

3. 与境外接收方（通常包括境内公司的境外母公司、境外关联公司及相关方）签订与员工个人信息出境相关数据处理协议；以及

4. 逐步建立在人力资源管理流程中个人信息处理和出境的实操合规指引和培训，促进企业相关个人信息处理和出境的长效合规。

注：本文同时供稿于《上海律师劳动法讯》

* 实习生林雾对本文亦有贡献