《个人信息保护法》下企业内部调查的合规路径

2021年11月1日施行的《个人信息保护法》在其他法律的基础上，聚焦个人信息保护领域的突出问题，进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则。在信息化时代的背景下，个人信息保护是每一个富有社会责任感的企业所不可忽视的命题，也是遵守相关法律法规的必然课题。作为企业合规体系第三道防线，企业内部合规调查中不可避免地涉及到个人信息的处理。企业应当结合内部调查的需要，谨遵《个人信息保护法》相关要求，在合法合规的前提下开展内部合规调查。

一、处理个人信息的合法性基础

随着企业内部合规调查的开展，对个人信息的处理是在证据收集、处理，或是访谈等进程中不可绕过的一个环节。《个人信息保护法》第二章“个人信息处理原则”中第十三条规定了个人信息处理者可以处理个人信息的七种情形，即处理个人信息的七种合法性基础。企业在布局该场景下的个人信息处理路径时，首先需充分理解《个人信息保护法》中所设置的合法性基础。在企业主动开展内部调查的场景中，一般可援引的合法性基础主要为第十三条第一款“个人同意”、第十三条第二款“实施人力资源管理所必需”，以及第十三条第六款“已合法公开的个人信息”。

1. 个人同意

《个人信息保护法》第十三条第一款规定，在取得个人同意的情况下，个人信息处理者可以处理个人信息。但在企业内部调查的场景下，适用“个人同意”作为处理个人信息的前提，也有一些值得企业进行法理沉淀及制度思考的地方。

关于“个人同意”的法律性质，学理上存在不同的理解。以合同法视角来看，“个人同意”属于法律行为的一种，因为部分场景下的同意“也可能产生变更权利义务内容的效果”。但根据《个人信息保护法释义》的理解，尽管可能存在意思表示的表象，但这种场景下的同意，更接近于侵权法上的违法阻却事由。因为在特定场景中，如企业内部调查的开展过程中，企业员工同意企业对其个人信息进行公开、披露或使用，主要是基于法律的直接规定，员工的这种同意产生的效果是，在个人信息处理活动中排除企业行为不法性。这种效果并非来源于个人的意思表示，而是法律的直接规定。因此，“其与以意思表示为核心要素的法律行为并不相同，更接近于准法律行为”。因此，适用个人同意作为企业内部调查处理个人信息的合法性基础，应对获取个人同意的形式要件应提出更高要求（详见下文第二章分析）。

2. 与人力资源管理相关的一般例外

依据对《个人信息保护法》第十三条第二款的理解，为履行合同或为实现人力资源管理所必需，可以成为《个人信息保护法》下的一种豁免条件。值得企业关注的重点是，目前看来，在内部调查中能否援引人力资源管理作为一般例外场景存在较大的理论争议。一些观点认为，“为反商业贿赂或反舞弊而展开的企业内部调查应可以被认为是与企业进行工作考核相关的工作，从而获得处理个人信息的合法性基础”[1]。另一些观点认为，由于企业内部合规调查这一场景并非《个人信息保护法》第十三条第二款的典型场景，因此，从立法或司法的角度来说，不能简单地得出定论[2]，由于国内目前此类案件较少，可能需要后续更多的司法解释或是案例数据对该条的具体适用提供支持。企业在援引该条款作为在内部合规调查中处理个人信息的法律基础时，还是应该依照不同场景进行审慎处理。

3. 已合法公开的个人信息

根据对《个人信息保护法》第十三条第六款的理解，个人信息处理者可以在合理范围内处理个人自行公开或者其他已经合法公开的信息。但是这种例外豁免的适用不是没有边界的，必须结合第二十七条对该豁免情形进行理解。根据相关条款的理解，企业在适用该合法性基础时，应对该情形下个人信息主体的拒绝权予以充足的重视。首先，个人信息主体的明确拒绝是个人信息处理者对已公开个人信息进行处理的合法阻断事由，甚至在合理范围情形下，这种拒绝仍可产生阻却的效力。换言之，对于个人信息主体明确拒绝个人信息处理者处理的个人信息，即使该个人信息已公开，个人信息处理者也不得处理。而在企业内部调查中，被调查对象或是调查相关人员往往具有天然的敌意，经常出现个人信息主体拒绝个人信息处理者对其任何个人信息进行处理的情况。因此，企业在内部调查中援引该条款需对个人信息主体的拒绝权予以充分关注。再次，即使在个人信息主体未行使拒绝权，如果针对个人信息的处理方式将会对个人权益有重大影响，个人信息处理者需主动获取个人信息主体的同意，否则也不能处理个人信息。

二、可借鉴的总体应对思路

根据前文对《个人信息保护法》相关条款的解读，在实践中，企业在可以优先援引第十三条第二款“实施人力资源管理所必需”，以及第十三条第六款“已合法公开的个人信息”作为合法性基础时，可优先适用；无法适用时，可以考虑适用第十三条第一款的“个人同意”。对企业而言，因为在实践操作中，可能会经常产生三种合法性基础混同的情况，很难界定他们的使用边界。企业可以通过构建配套的合规政策以应对这种实践中的模糊，一方面应当注重与同意相关的配套措施，另一方面应当将豁免条件结合到内部合规政策中。

1. 关于“个人同意”作为合法基础的适用。

基于对《个人信息保护法》下“个人同意”的理解，企业需要充分重视对员工同意的程序性和实体性保障。劳动者与用人单位本身就具有一定的不平衡性，信息被非法获取、隐私被非法让渡的感受普遍存在[3]。如果个人受到胁迫或拒绝导致不公平待遇或不利影响，自愿的认定通常存在瑕疵。特别在内部调查的背景下，确定员工是否真正自愿同意企业对其个人信息进行处理可能更具有挑战性。因此，企业应当从人力资源的角度，进行综合考虑，例如，企业在制定与“个人同意”相关的配套具体合规政策，需要从《个人信息保护法》视角下去考虑与同意配套的告知制度，如收集个人信息前，应向涉案员工发送隐私通知书明确说明个人信息收集范围、处理情况、处理行为对数据主体权利可能产生的不利影响、数据主体行权路径等内容并获取员工同意；对于员工撤回同意的行权请求应及时响应，停止相关处理行为。

同时，基于前文对“个人同意”的法律性质的分析，民事法律行为下的撤回所产生的效力是使得未发生效力的意思表示不发生效力，且撤回需在意思表示到达相对人之前作出。但《个人信息保护法》对撤回所产生的效力是明显不同的。同意撤回所产生的效力是使得个人信息处理者不得再继续处理个人信息，还应当主动删除个人信息，且对同意的撤回并无时间限制。在合规调查案件中，企业应当充分理解该特性。在具体案件的调查中，企业仍应积极就个案向案件相关人员获取同意，因同意的撤回其实并没有溯及力，不影响撤回前基于个人同意已进行的个人信息处理活动的效力，调查人员妥善利用在个案中个人同意下获取的个人信息，及时转化案件成果，将极大地有利于调查案件的推进。企业也可以尝试采取变通方式，例如请员工向调查人员展示与调查内容相关的邮件、内部聊天记录，避免直接调取员工的邮件、内部聊天记录。同时，在日常的合规文化倡导中，企业应当注重向员工强调在调查案件中积极配合所能获取的正向激励，以长期合规文化共建的方式引导员工对合规域的相关工作产生共鸣及认同感，从而在面对合规调查时能够主动配合。

2. 关于“人力资源管理所必需”作为合法基础的适用。

鉴于企业和员工之间的地位不平等性在企业内部合规调查中更为显著，因此选择同意作为处理个人信息的合法基础，通常存在一定瑕疵。如前文所述，与人力资源管理相关的一般例外可以成为企业在内部调查场景下优先考虑的路径选择。建议企业注重结合《劳动合同法》的相关规定，例如关于集体合同的相关规定，《劳动合同法》对于集体合同的条款议定进行了规定，在程序上更能够保障条款的公平，议定过程也充分体现了对于员工权利的尊重。为应对《个人信息保护法》的新要求，企业需要考虑的是将与个人信息处理的相关要求充分融入到原有的制度中，以工会组织作为《劳动合同法》一方当事人与企业达成关于个人信息处理的约定，以制度保障充分协商的具体实施落地，并做好相关的记录保存工作，可避免用人单位与单一劳动者之间的地位不平衡性。同时，企业可以保留在劳动合同和员工手册等官方指南和文件中明确引用“人力资源管理”作为处理员工个人信息的依据，并将内部合规调查作为其中的一部分进行描述[4]，以使得内部合规调查作为人力资源管理的一个具体场景得以运用。在实施内部调查时，企业应按照企业调查相关制度正式内部立案，以案件的调查形式进行“实施人力资源管理所必需”的合法性加固；并尽量通过模糊检索发现线索，避免直接调取原文或获取大量不相关数据，将个人信息处理控制在最小必要范围内。

3. 关于以“已合法公开的个人信息”作为合法基础的适用。

针对已合法公开的个人信息，企业也不能理所当然地认为该类信息就可以完全直接适用到合规调查案件中，其仍需要受到“在合理范围内处理”的限制。个人信息之上不仅附属着人格权益，而且对个人信息的处理往往牵涉到个人信息处理者的经济利益和社会公共利益。个人信息的合理使用是一个根据其场景不同而动态变化的问题。通常认为，“在合理范围内处理”要求个人信息处理者的处理行为“不得违反法律法规和公序良俗，也不得对个人权益造成重大影响”。而内部合规调查往往可能对个人信息主体产生的潜在负面影响，显然在内部合规调查中对个人信息处理行为往往超出了个人信息被初始公开时个人信息主体的预期[5]。综合分析，建议企业在合规调查中审慎使用第十三条第六款作为处理个人信息的合法性基础。

三、内部合规调查中的特殊场景分析

在全面考虑处理个人信息的合法性基础的前提下，企业在布局个人信息处理的合规路径时，还需考虑内部合规调查中的特殊、边缘场景。在对内部调查进行场景化分析的基础上，针对各场景的特性，结合《个人信息保护法》的要求，对合规策略进行场景化的思考。

1. 举报场景下的个人信息处理

由于举报线索中所包含的信息难免涉及到个人信息，例如员工、客户、销售商、代理商等的姓名、名称、邮箱等，也有可能包含敏感个人信息，例如婚姻状况、消费记录等，甚至可能会附有即时通讯软件的聊天记录等。目前企业内部合规调查所涉及的举报并非《个人信息保护法》下的一个典型场景，因此，可供企业参考的有关举报的代表性规定包括欧洲数据保护监管机构（European Data Protection Supervisor）对于企业内部举报问题相关指引的规定。针对举报线索的管理，企业应当考虑在举报渠道的管理中，适度采取组织和技术上的措施，以保证这一场景下的个人信息能够得到妥善处理。实际上，第三方独立举报平台是一个有效隔离企业风险的选择。在第三方举报平台的管理中，企业作为第三方独立举报平台的采购方，需特别关注该平台是否配置隐私政策和数据主体响应途径，以确保企业从该平台所获数据的合法性。如果该平台的相关配置能够满足以个人同意为合法性基础的要求，则企业可以依赖该平台处理与举报相关的个人信息。在合法性基础之外，企业也同样需要与供应商签订数据保护协议明确约定双方数据保护义务，并关注举报平台的数据接收地的地理位置及所属司法管辖区的相关规定，避免存在数据跨境的合规风险。

2. 数据跨境中的个人信息处理

在企业内部调查这个场景下，企业的合规调查人员在考虑个人信息处理的要求前，还需要针对数据跨境进行场景化分析，可能存在的场景包括但不限于：

（1）对于跨国企业而言，难免会在内部调查中存在总部、子公司，子公司之间等场景下的数据交互。

（2）对于雇佣了境外律所的企业而言，他们会根据合规调查案件的具体需求，向律所提供与内部调查相关的资料，以使得律所了解案情并提供相应法律服务。

（3）对于涉及外国监管应对场景下的企业内部调查，不论是调查过程中，或是调查结束后，出于向监管机构进行自我披露或是配合外部监管调查的需求，企业可能会向相关监管机构提供相应文件。

针对场景一、场景二，企业需要梳理各具体场景，根据数据跨境的具体情况进行区分。例如，中国子公司/总部把个人信息传输给境外总部/子公司，适用中国个保法；境外子公司/总部把个人信息传输给中国总部/子公司，适用境外数据保护法；同时存在（1）和（2），适用中国个保法和境外数据保护法。在各法域下，分别考虑适用问题。而场景三因涉及到监管机构，特别是在涉及到海外监管机构的情形下，处理会比较复杂。因此，企业在进行场景化的适用时，除考虑处理数据的合法性基础本身，还需考虑《个人信息保护法》对于数据跨境传输的相关规定。比如针对跨境传输的文件所涉及的个人信息问题，可以采取尽量简化证明材料，或者使用转述证据等方式对外提供，以减少或避免跨境传输个人信息；也可以考虑在不影响文件完整性的情况下，采取高度去标识化、屏蔽等方式隐去个人信息后传输。必要情况下，企业也需要注意《数据出境安全评估办法》等相关法律的规定，做好数据出境风险自评估、数据出境安全评估申报等工作。

3. 法律冲突下的个人信息处理

对于出海企业来说，在适用《个人信息保护法》的同时，可能需要考虑所开展业务的司法管辖区的法律规定，或者某些具有域外效力的法律法规的相关要求。在考虑不同司法管辖区的具体要求时，这些企业可能会发现，他们时常需要面对一些法律冲突的困境。

与《反海外腐败法》（Foreign Corrupt Practices Act，FCPA）相关的企业内部合规调查就是一个典型的示例。一般的FCPA案件调查中，基于获取证据的需求，调查人员可能会对涉案员工的工作邮箱等所保存的通讯记录，企业设备、系统所记载的数据等进行收集、分析等处理。在处理上述数据的过程中，可能会同时获取到，例如客户、合作伙伴、供应商等第三方的个人信息。在特定案件中，还可能会处理员工的敏感个人数据，例如银行账户、费用和报销记录，差旅期间的地理位置信息等。基于处理此类个人信息对FCPA案件调查的必要性，对于这些个人信息的处理，企业需考虑适用相应的合法性基础来进行处理。

企业也会发现，FCPA对于企业的要求在不断更新。2023年3月，更新后的《企业合规计划评估》（Evaluation of Corporate Compliance Programs）阐明了企业针对个人设备、通讯平台，以及消息应用程序所应采取的原则性要求。根据《企业合规计划评估》的要求，企业应当“根据企业的风险状况和具体业务需求进行定制，并确保在适当的情况下，在最大程度上，与业务相关的电子数据和通信可供企业访问和保存”[6]。结合该政策的具体要求，有FCPA风险考量的中国企业可能会发现，FCPA的语境下要求企业对员工的即时通讯软件等载体所承载的信息进行访问与保存，此要求可能会与《个人信息保护法》等相关法律产生潜在冲突。这对企业的数据合规政策提出了更高的挑战。

针对以上情况，企业在处理个人信息的全流程中，应当对信息进行分级分类管理。涉及到敏感信息、第三方个人信息的，需注意与内部调查的相关性。同时，为保证调查结果的公正性，在对风险进行了解及评估的前提下，企业可以设置一定的风险偏好，在具体调查案件中接受适度风险，以推进合规案件的调查进程。企业可以采取的具体策略包括：

（1）企业应当协同反商业贿赂合规、数据安全合规以及IT等相关部门的资源，对企业获取相关通讯的合法性、合理性途径予以设置及监控。

（2）在预算允许的情况下，企业可以考虑针对敏感岗位、关键岗位等相关人员提供业务专用设备，通过区分员工的生活设备和业务专用设备，避免员工个人隐私与业务信息的混淆。此外，还需在合规政策中针对该类业务专用设备的使用限制、记录保存、处理政策等作出进一步规定。

（3）在合规调查案件中，如果需要提取员工的个人信息，必须在事前单独获得员工的同意。同时，可以考虑聘请专业的第三方机构对电子设备中的员工个人信息进行技术处理，例如通过电脑镜像获取信息，或者采取关键词检索抽取案件所需证据。

脚注：

[1] 内部调查与个人信息保护：初探公司内部调查在个保法体系下的合规路径，参见网址https://www.zhonglun.com/research/articles/9380.html

[2] 中国：中国新个人信息保护法下公司合规调查所面临的新挑战，参见网址https://insightplus.bakermckenzie.com/bm/investigations-compliance-ethics/china-new-challenges-ahead-for-corporate-compliance-investigations-under-chinas-new-personal-information-protection-law

[3] 罗陈鑫，《个人信息保护法》背景下告知同意规则的检视与改进，网络安全与数据治理，2023,42 (6) : 30 - 36.

[4] 中国：中国内部调查的跨境挑战，参见网址https://www.mondaq.com/china/data-protection/1376612/cross-border-challenges-for-internal-investigations-in-china

[5] 赵树坤，邓晋，如何理解已合法公开的个人信息保护规则，人民法院报，参见网址https://www.chinacourt.org/article/detail/2023/10/id/7571816.shtml

[6] 具体可参考本公众号2023年12月14日发布的《FCPA视角下即时通讯软件相关的执法政策》。

本文作者：F.JY，L.YSh

免责声明

本文所述信息均来自合法公开渠道，我们不对信息的真实性、完整性或准确性作出任何形式的明示或暗示的保证。本文内容仅供分享、交流和学习之用，任何人不应将本文的全部或部分内容作为决策依据。因依赖本文内容所造成的任何后果，由行为人自行承担全部责任。本免责声明不构成法律、财务、医疗或其他专业建议，建议在做出任何决定前咨询相关专业人士。

声明：本文来自合规小叨客，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。