前言
当前,我国个人信息出境主要分为三大路径,分别为数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案。而在跨国集团企业中,在全球范围内的关联公司中共享员工通讯录信息(“企业内部通讯录”)是跨国公司基于用工管理、企业内部加强业务沟通与协作需求非常普遍的做法。然而在个人信息出境合规监管趋严的背景下,该等场景可能被视为跨境传输个人信息。跨国集团企业如何平衡企业用工管理效率、集团内部各企业互联互通与员工个人信息合规出境之间的风险,是跨国用工场景下难以回避的问题。
01 “企业内部通讯录”可能涉及哪些信息的共享?
企业内部通讯录,通常而言仅在集团中关联企业内部流通共享,其中包含的员工信息主要包括员工姓名、照片、工号、职称、办公地点、工位、企业邮箱、工作电子账号(如工作所用的钉钉账号、微信或企业微信账号)、工作电话、手机号等联系方式。
出于企业内部员工互通互联、业务信息共享、工作履职等需要,跨国集团企业可能通过内网、内部管理系统、内部通讯程序(如企业微信等)等方式共享企业内部通讯录。集团任一员工均可以通过访问花名册/通讯录的方式在权限范围内获知其他员工的姓名、照片、工号、联系方式等信息。不同的部门及其员工,由于权限范围的不同,通讯录所展示的信息范围或不相同。
02 企业内部通讯录是否属于员工“个人信息”?
1. 企业内部通讯录是否属于个人信息?
各国对企业通讯录所载信息是否属于员工个人信息存在不同的规定及理解,有些国家因该等信息的企业属性较强而将其排除在个人信息范畴之外,有些国家则基于该等信息可以识别到特定的自然人而仍然将其认定为个人信息。我们总结了部分较为典型的规定及观点如下:
我国现行的境内个人信息保护法律法规项下,对于企业内部通讯录是否属于个人信息,目前也存在以下两种争议观点:
(1)观点一:与特定员工并无直接关联部分信息,不属于个人信息
一种观点认为,企业内部通讯录中的信息,具有较强的企业属性,与员工履职信息紧密相关,其虽然可以反映员工的相关情况,但是与特定员工并无直接关联,不属于其个人信息。此类观点的主要依据为我国《征信业管理条例》以及最高院、最高检关于办理侵犯公民个人信息刑事案件的相关解释和指引文件。
我国2013年《征信业管理条例》明确规定“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息”,[3]对于非董监高的普通员工与履行职务相关的信息是否属于个人信息,该条例未作明确规定。
2017年我国发布《中华人民共和国网络安全法》(下称“网安法”),明确以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息皆属于“个人信息”。[4]同年,最高人民法院和最高人民检察院在网安法的基础上,将“公民个人信息”进一步界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,明确“能够反映特定自然人活动情况的”也属于“个人信息”。[5]
在前述网安法和两高解释的背景下,2018年最高人民检察院在《检察机关办理侵犯公民个人信息案件指引》明确“经过处理无法识别特定自然人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴”,明确指出“对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴”,并要求对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途,严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形,前者并不属于个人信息范畴,后者则属于个人信息的范畴。
因此,根据该种观点,企业内部通讯录中,如果员工的某些信息由企业产生、使用并与员工履行职务紧密相关,如其企业邮箱、工作电话或手机号码、员工工号、职称、办公地点等信息,则不属于个人信息范畴。
(2)观点二:具有识别性与相关性,属于员工个人信息
另一种观点则认为,企业内部通讯录中的员工姓名、照片、工号、职称、办公地点、企业邮箱、办公电话、企业提供的手机号码等,只要与已识别或者可识别的员工有关,则应当属于员工的个人信息。
2021年实施的《中华人民共和国民法典》规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。[6]同年,《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)出台,将前述以“识别性”作为核心要素的个人信息范畴,进一步拓展到“关联性”,明确“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,[7]至此,一切与已识别或可识别的自然人有关的各种信息都可能落入到个人信息的范畴。
《个人信息保护法》对个人信息的强保护之下,根据前述规定,则企业内部通讯录中的员工姓名、照片、工号、职称、办公电脑、企业邮箱、办公电话、企业提供的手机号码等,由于与可识别的特定员工有关,或都将落入个人信息的范畴。而根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中对个人信息的列举,则个人姓名、个人职业、职位、工作单位、工作证等都属于个人信息。同时,由于照片中包括了员工的人脸信息,或办公地点精确到员工办公的详细地点甚至可定位到工位,则企业内部通讯录中员工照片、办公地点还可能属于敏感个人信息。
2. 企业内部通讯录属于企业组织数据并不排除其个人信息属性
在数据分级分类的法定要求下,企业内部通讯录则可能同时落入员工个人信息和企业“组织数据”的范畴。员工个人信息并非与企业信息/企业组织数据的概念相互排斥的并列概念,二者概念相互重叠而为不完全交叉概念。
根据全国信息安全标准化技术委员会2021年12月发布的《网络安全标准实践指南——网络数据分类分级指引》(TC260-PG-20212A),“组织数据”指的是组织在自身的业务生产、经营管理和信息系统运维过程中收集和产生的数据,按照组织经营维度可分为用户数据、业务数据、经营管理数据、系统运行和安全数据;而参考《金融数据安全 数据安全分级指南》(JR/T 0197—2020)的规定,员工信息则属于其中的经营管理数据。
因此,企业内部通讯录属于企业组织数据,并不绝对排斥其对员工这一个人信息主体的识别性和关联性,其亦可同时属于员工个人信息。
03 跨国企业内部通讯录的共享是否属于个人信息“出境”?
跨国集团企业共享企业内部通讯录是否属于个人信息出境行为,需要结合不同的共享场景及其共享方式进行分析。
1. 存储于跨国集团的境外服务器并向全球员工共享
当含有中国境内员工的企业内部通讯录信息,存储于跨国企业境外服务器,并向全球员工进行不同程度的信息展示,全球员工依据自身权限获取到中国境内员工的姓名、职称、邮箱等通讯录信息时,则可能构成“数据处理者/个人信息处理者将在境内运营中收集和产生的数据传输、存储至境外”的数据出境行为。[8]
2. 存储于跨国集团的境内服务器且仅向境内员工共享
当含有中国境内员工的企业内部通讯录信息,存储于跨国企业位于中国境内的服务器,且仅向中国境内员工开放查阅权限,境外员工依据自身权限无法获取到中国境内员工的姓名、职称、邮箱等通讯录信息时,由于信息的流转就仅限于境内,且境外员工无法查阅下载,则一般而言不构成“出境”。
3. 存储于跨国集团的境内服务器但向全球员工共享
若跨国集团企业通过内部通讯软件、内网呈现企业内部通讯录,全球员工均可以查询任一员工的信息,且该等网站、内部通讯软件的服务器部署在境内、相关信息也存储在境内,是否构成“出境”?
根据2017年8月25日发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》,数据转移存储在我国境内,境外的机构、组织、个人对公开信息、网页的访问查看不属于数据出境。但是,该征求意见稿发布于2017年且至今仍未正式生效。而根据最新发布的《数据出境安全评估申报指南(第一版)》《个人信息出境标准合同备案指南(第一版)》第一条的规定,该情形则极大可能属于“数据处理者/个人信息处理者收集和产生的个人信息存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出”的个人信息/数据出境情形,因此严格而言仍需满足数据出境的相关监管要求。
4. 对员工主动公开或共享的通讯信息进行全球共享
当中国境内员工因为工作履职需要或内部业务合作需要,主动通过邮箱、电话或企业内部系统向境外其他同事提供或公开自己的姓名、邮箱、手机号码等通讯录信息时,或者企业内部通讯录仅共享了员工已经通过企业内外部网站或系统主动公开的姓名、职称、工作地点、手机号码、电子邮箱等信息时,由于前述企业通讯录或属于员工个人已自行公开的个人信息,跨国企业若是仅在企业内部等合理范围内进行共享,则或可根据《个人信息保护法》第十三条第(六)项的规定而豁免取得员工的单独同意。而参考《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)的规定,如果用人单位提前告知填写内部通讯录或相关行为将会导致个人信息的收集和内部共享,员工仍主动填写了内部通讯录或继续提供相关信息,则通常推定员工已对内部通讯录的收集和内部共享表示了同意。
当然,由于仍然涉及全球范围内的共享,该行为则仍可能构成个人信息出境行为,根据现行法律要求仍然需要根据所涉及的个人信息主体数量、敏感程序、企业性质等具体情况,依法开展数据出境安全评估、个人信息保护认证或个人信息出境标准合同备案。
结语
对跨国集团企业而言,集团内企业间的数据跨境流动尤为常见,企业内部通讯录等信息的全球共享更是业务合作往来、人力资源管理、凝聚企业文化的常见操作。如前所述,由于法律和监管实践对企业收集、共享员工个人信息提出了更高的合规要求,企业内部通讯录即为企业组织数据,也可能同时属于我国项下的员工个人信息,企业内部通讯录的全球共享也极可能属于个人信息出境行为。因此,我们建议企业:
尽量由员工根据实际业务需要,主动填写或提供内部通讯录信息,在员工填写或提供之前告知员工其操作将导致个人信息的收集和内部共享;
非前述员工主动共享或公开的企业内部通讯录,若需在企业内部全球共享,应事先获得员工的单独同意;
企业内部通讯录的内部共享,应针对不同的部门及员工而设置不同的权限等级,有效区分不同员工可获取的信息范围,避免内部通讯录的共享超出合理必要范围;
通过公司规章制度,明确告知员工企业内部通讯录的全球共享情况,并要求员工依权限合规使用内部通讯录,不得对外泄露或超范围使用内部通讯录;
梳理企业内部通讯录的共享情况,在依法开展数据出境相关的安全评估、个人信息保护认证或个人信息出境标准合同备案过程中,将该等数据出境的场景纳入考量范围,实现企业内部通讯录的合规出境。
从长远来看,跨国集团企业在中国开展业务,需有效平衡员工个人信息保护与集团企业内部信息高效共享,构建兼容中国个人信息保护要求的企业全球数据治理体系,方能行久致远。
本文作者
刘婷
合伙人
合规业务部
liuting@cn.kwm.com
业务领域:公司合规、劳动法
刘婷律师在公司合规、内部调查及涉及合规方面的政府调查、危机处理等方面拥有丰富的经验。刘律师帮助客户处理涉及反腐败、反商业贿赂、食品安全管理流程、公司内部控制体系等大型合规项目,为客户的内部控制体系建设、风险管理、以及公司内部违规员工的处理等方面提供法律意见。
潘芳
合伙人
合规业务部
panfang@cn.kwm.com
业务领域:公司合规、劳动法
潘芳律师在公司合规、内部调查、员工违规处理等方面拥有丰富的经验,长期协助国内外企业处理多起涉及商业秘密、竞业限制、反腐败及反商业贿赂、FCPA调查、协助企业进行整体及专项合规体系建设等大型合规项目,为客户提供全面的合规领域法律服务。潘律师在劳动和雇佣领域也具有丰富的经验,为多家大型跨国企业、国有企业提供劳动法律服务,参与竞业限制、股权激励及员工安置、劳动关系处理等。
王漩
律师助理
合规业务部
谭梦妮
律师助理
合规业务部
感谢实习生曹润青对本文作出的贡献。
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。