《个人信息保护法》出台,外企跨境信息管理,特别是个人信息处理如何做才能合规?近期,上上签电子签约邀请了世辉律师事务所合伙人王新锐就此进行了详细解读。
一、如何解读电子合同中的个人信息保护?
上上签电子签约:这次增加了一条很重要的条款,“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。”这一条应该跟劳动合同相关,该如何解读?
王新锐律师:相信大家都非常关注这一条款,这一条款实际上是在最后三审稿中加入的。
条款包括两部分:第一部分是为履行普通的民事合同所必需。
为履行民事合同所必需是我们在个人信息处理规则中,世界范围内最常见的一个合法性基础,在几乎所有的立法中都会提到。
第二部分则是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,第二部分非常有特色,据我所知,这也算是在最后一刻加上的,背景是一些大公司跟立法者就此做过沟通。
公司跟员工之间存在隶属关系,因此,公司在管理过程中通过员工的同意去获得合法性基础,会有所不妥;同时,立法者考虑到,如果企业随意在劳动制度中添加一些跟个人信息处理有关的内容,对员工不公平。因此,最后条款的起草考虑了两种观点:
一种观点是认为企业可以基于人力资源管理的目的进行个人信息处理,另外一种观点是认为要在这个过程中限制大的公司利用优势地位获得个人信息。所以最后制定出来的条款特别强调要按照依法制定的劳动规章制度和依法签订的集体劳动合同进行个人信息处理。
不管是劳动规章制度还是劳动合同,都要确保其符合《劳动合同法》,并且保证整个制度制定以及合同签署过程的公平性、保证员工对个人信息的处理是知情的,公司也需要通过告知员工相关事宜以保障员工知情的权利。
二、外企跨境信息如何规范处理?
上上签电子签约:《个人信息保护法》特别用了一章提到跨境规则,上上签服务了很多知名外企,他们多数会在国内成立一些机构,我们在服务这些外企客户时应该注意些什么?
电子合同签完就会是文件形式,有一些外企客户的文件存储器可能放在国外,这种文件存储器放置国外的情况下,我们又应该如何去做?
王新锐律师:这个问题大家非常关注,也有很多跨国公司过来咨询。关于数据跨境,我们要分阶段来看。
我们看到《个人信息保护法》虽然出台了,但是关于数据跨境具体的落地配套措施还没有完全固定下来。
目前的阶段首先要实现合规,需要考虑“单独同意”和“事前风险评估”的问题,这在《个人信息保护法》中写得非常清楚,也有相应的制度建设要求。我们认为企业可以参考个人信息安全影响评估的国家标准,做相应的风险评估,这个阶段更多的是先落实单独同意和事前风险评估的规定。
第二阶段,就是涉及《个人信息保护法》中还提到的,按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同这几种跨境传输的路径;或根据《个人信息保护法》,如果是企业构成关键信息基础设施,还要有相应的审批流程才能进行数据跨境。立法部门后续会出台相应的配套规则,届时,企业可以根据相应规则去考虑如何满足合规要求。
我们了解到,这些配套规则下的制度其实还是会符合企业大多数日常需求,我自己觉得不用特别担心。
对于服务器的选择是经常被问到的问题,中国有一类数据是需要境内存储的,这类往往是非常敏感的数据,比如健康医疗大数据,金融类数据、网约车相关数据、征信相关数据这些数据需要进行本地化存储。
除此以外,我们对于数据的存储地本身是没有要求的,但是如果是个人信息出境,则要符合刚才提到的要求。
我相信面对员工管理中出现的个人信息跨境的情况,后续国家层面会有一个相对统一的确定性方案,让大家的需求可以得到满足。现在来说我们更多需要做的是在签约的过程中做好留痕工作。
上上签电子签约:您刚才提到风险提前告知是需要企业对其个人用户或者员工进行一些风险的提示是吗?
王新锐律师:对,比如现阶段《个人信息保护法》出台之后,我看到一些企业在修改自己的劳动合同。
告诉员工“因为我们是一家全球化企业,所以我们需要把你的信息 Transfer(转移)到总部去。”类似这样的明确的告知。
而且我们还发现像这种数据跨境,不只是涉及员工的个人信息,还会涉及员工的家人的信息,比如企业为其员工的未成年人子女购买保险等情况。这些信息的处理本身都要进行明确的书面告知。
以上这些如果是通过电子签约的方式去签署,也要做好存储和留痕的工作。我觉得这也恰恰是电子合同的一个优势。
声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容由客户提供,仅供参考,读者据此操作,风险自担。