向境外集团提供人力资源管理数据(下称“HR数据”),是在华外企最常见、最迫切的数据跨境需求。无论是早期HR数据出境安全评估的审查尺度及评估结论,还是近期HR数据出境相关的立法及政策动向,一直是在华外企及境外集团最关注的问题之一。

为了满足在华外企数据跨境的合理需求,国务院及网信办发布了一系列旨在提高数据跨境便利性的政策,其中就包括今年3月22日发布的《促进和规范数据跨境流动规定》(下称“《促进规定》”)。这些政策的最大亮点之一,就是明确“支持外商投资企业与总部数据流动”,回应了业界关于HR数据出境便利性的政策期待,从立法层面规定了“跨境人力资源管理”场景下的豁免申报规则。

然而,无论是立法还是监管层面,豁免申报义务并不等于豁免合规责任。当前立法及监管环境下,针对HR数据出境场景,在华外企如何开展data flow及data mapping等工作?豁免申报后,在华外企还需履行哪些合规责任?同行有哪些最佳实践?结合相关法律理解及实践经验,汇业律师事务所黄春林律师团队总结如下,仅供参考。

一、HR数据调研

为了理清企业HR系统链路及数据资源,准确适用《促进规定》等法规,建议企业应开展HR场景的数据出境情况调研;此前已经开展调研的,应根据《促进规定》的统计口径再次更新。相关调研工作应至少包含以下维度:

子场景:行业实践中,一般是按照处理目的划分为不同的子场景,例如招聘、劳动合同、工资福利、股权激励、绩效、培训、出勤、行政管理、差旅、保险、亲友关怀、安全、合规及争议,等等。根据行业实践及企业实际,理清该等子场景下数据出境的目的,应准确识别哪些子场景可以划入“跨境人力资源管理”母场景。

系统及链路:通过穿行测试、访谈及问卷等方式,全面调研前述子场景的上下游系统,根据系统holder、系统部署及运维方式、是否出境及其方式、是否含有个人信息、出境链路情况等,分别绘制网络系统资源表及data flow等。

数据主体:行业实践中,一般是按照身份类型划分数据主体,例如求职者、候选人、正式员工、非正式员工(例如实习生、劳务派遣、外包工等)、退休人员以及其他人员(如家属、紧急联络人等)。根据监管意见及主流行业实践,应准确理解《促进规定》关于“员工”的定性规定。

个人信息:全面调研所有子场景下的个人信息字段及数量,重点关注SPI、非员工PI等。根据监管意见及主流行业实践,应合理界定统计区间及非结构化数据统计口径等。

前述调研工作形成的data mapping,不仅有利于准确识别出境合规路径,也是企业推进数据分类分级工作的一部分,并可以作为后续合规差距分析及整改的工作底稿。

二、HR数据出境合规路径识别

根据前期调研情况,企业应准确理解和适用《促进规定》,明确哪些属于法律及监管认可的豁免申报情形,并由专业人士出具结论性法律意见,以备合规留痕。此外,为了确保路径识别阈值的适用准确性,还建议企业此后每年定期开展一次符合性识别。

例如,行政管理、亲友关怀、股权激励、安全等子场景是否属于“跨境人力资源管理”,以及候选人、求职者、家属、非正式员工等是否属于“员工”,跨境运维的本地化系统是否属于“数据出境”等,都应结合企业实际情况、合规风险偏好、行业合规水位及监管意见等统筹考虑。对于存在法律理解或适用争议的情形,建议采取分步推进机制,不宜贸然定论,以免后续执法挑战。

《促进规定》发布前已经递交了安全评估或标准合同备案的,企业还应根据同业实践、相关程序所处的阶段,以及《促进规定》出台后相关法律文件的效力,综合评估进一步行动方案,例如是否撤回申报,是否重新备案,是否继续出境某个字段,等等。

三、HR数据出境豁免申报后的主要合规责任

在华外企向境外集团提供HR数据符合《促进规定》等规定的豁免情形的,可以豁免申报。但同时,仍应遵守PIPL及《促进规定》第十、十一条等规定,依法履行相关的合规义务。对此,汇业黄春林律师团队认为,豁免申报的HR数据出境的主要合规责任包括:

(一)基础合规责任

准确判断相关HR系统、HR数据的法域适用情况。属于中国法管辖的,仍应遵守CSL、DSL、PIPL、《密码法》、《档案法》、《电信条例》、《互联网信息服务管理办法》等法律法规,履行包括但不限于MLPS、ICP备案、联网备案、算法备案、加密及去标识化、分类管理、教育培训等基础合规责任。

(二)履行告知同意义务

《促进规定》第五条第(二)款的出境行为“确需”不等于PIPL第十三条第(二)款的处理行为“必需”;同时,参考《促进规定》第十条规定及前期安全评估实践,豁免申报的,仍建议对HR数据出境场景履行告知同意义务。

因此,建议企业更新员工手册、劳动合同中的个人信息保护条款,制定、更新员工隐私政策或相关同意函,确保充分履行HR数据出境的告知同意义务。

实践中,考虑到在HR大场景下,子场景及处理目的多样,处理方式和范围可能会受集团政策及系统架构等动态变化,因此部分企业根据前述data mapping工作,编制独立的“HR数据出境清单” 附件。为了方便附件调用、更新及查阅等,企业可充分利用在线表单等方式,通过URL链接、二维码、企业微信或MS Forms等方式发布或签署。

(三)完善劳动规章制度

根据《促进规定》第五条第(二)款等规定,适用豁免申报的前提,是“依法制定的劳动规章制度和依法签订的集体合同”。考虑到集体合同的实践困难,通常建议企业依法更新劳动规章制度,增加HR数据出境有关的规定。

考虑到全面更新劳动规章制度牵涉面较广,实践中,企业一般是采用“补丁模式”,即制定单独的员工数据出境安全管理制度,并履行民主程序。数据量较大、出境场景复杂的企业,还建议采取“数据安全制度-数据出境管理办法-员工数据出境管理规范”三层架构,平衡制度稳定性与灵活性。

通常,在员工数据出境管理规范中,应明确所有子场景数据出境的目的及必要性、管理职责、安全措施、权利保障、阈值动态识别SOP等内容,并将前述“HR数据出境清单”作为附件嵌套。

(四)签署个人信息跨境法律文件

即使豁免申报的,企业仍需依据PIPL第21或23条,及第38条等规定,通过签署法律文件等方式,明确与境外接收方的权利义务,保障接收方处理个人信息的活动达到PIPL等规定的保护标准。

企业还有其他数据出境场景的,可以通过“主文+场景附件”等形式,一套法律文件解决不同出境场景的合规问题,从而降低合规成本。HR数据出境的场景附件,可以嵌套前述“HR数据出境清单”。

(五)制定并实施数据出境安全事件应急预案

考虑到豁免场景由国家事前评估转换为“事前事中事后全链条全领域监管”,因此事后安全事件管理就是企业数据出境安全管理的重点环节之一,从而有效减少风险暴露面并提高事后风险事件处置合规性。

因此,企业应根据PIPL第51条及《促进规定》第十一条等规定,制定并实施数据出境安全事件应急预案,确保潜在的安全事件发生后的基本形式合规。

(六)开展HR数据出境PIA

即使豁免申报的,企业仍需依据PIPL第55条及《促进规定》第十条等规定,依法开展个人信息保护影响评估(PIA)。

评估策略上,企业可以在前述调研的基础上,针对HR数据出境豁免申报的所有场景集中开展PIA,不必拘泥于PIPL第55条规定的几种具体处理情形;报告内容上,针对HR数据出境,企业可参考《个人信息出境标准合同备案指南(第二版)》中的报告模板(可将“HR数据出境清单”作为其附件),不宜使用常规简式模板;评估资源上,为了确保评估意见符合行业合规水位,同时避免跨部门扯皮,建议寻求外部专业机构开展PIA工作。

此外,关于评估尺度(例如主体及字段必要性尺度、存储期限要求、权利保障机制、接收方正当性等等),仍然建议企业follow之前监管部门的审查尺度,以免后续监管执法挑战及内部担责。此外,为了确保报告的清洁性,建议在调研及差距分析后,先行开展整改工作。

综上所述,在华外企应全面、准确理解《促进规定》等规定的数据出境监管政策。即便跨境人力资源管理相关的HR数据确实可以依法豁免申报的,也不意味着可以就此躺平。在数据出境的“事前事中事后全链条全领域监管”机制下,在享受数据出境便利性的同时,在华外企仍应依法履行相关合规责任,切实保护出境数据安全,依法保障相关主体的合法权益。

毕竟,HR数据不是“法外之地”,境外集团的管理需求也不是“免死金牌”。

声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。