01

如何识别所处理的数据

是不是《个保法》下的“个人信息”？

《个人信息保护法》提出，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

根据《个人信息保护法》对个人信息分为三类，不同类型的信息有对应的处理规则，见下表：

由此可知，企业收集的员工个人信息都属于《个人信息保护法》规定的“个人信息”的范畴，如果涉及到了个人身份信息、健康和财产信息的还可能属于“个人敏感信息”。请企业注意，通话记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息或精准定位信息等个人信息也属于个人敏感信息。

如果企业收集员工的家庭成员信息，特别是未成年人的个人信息，就属于“特殊敏感信息”。

02

个人信息出境的条件

一、个人信息出境的常见情形：

就员工个人信息处理而言，目前国内的跨国企业，一般有两种模式储存员工个人信息，都会涉及个人信息的跨境传输：

（1）IT服务器在中国境内，将员工个人信息数据存储于位于境内的服务器，需要时再将数据传输至境外。

（2）IT服务器设在境外的集团总部，中国的子公司使用集团统一的人力资源管理系统，在国内收集到的员工数据也存储在境外的服务器上。

//

二、允许向境外提供个人信息的情形：

（1）根据《个人信息保护法》的规定，非关键信息基础设施运营者，且处理个人信息未达国家网信部门规定数量的企业，在满足相应条件的情况下，可以向境外提供个人信息。

（点击图片即可查看原图）

//

（2）特殊企业仅能适用“安全评估”要件办理信息出境

根据《个人信息保护法》规定，如果企业为：1)关键信息基础设施运营者，或  2)处理个人信息达到国家网信部门规定数量的个人信息处理者，则应当将在中华人民共和国境内收集和产生的个人信息存储在境内。

但对于国家网信部门组织的安全评估将如何进行，其所依据的标准是什么？有待网信部门的进一步澄清和说明。

03

企业向境外提供个人信息前应遵循的步骤

一、个人信息保护影响评估

 完成个人信息保护影响评估是个人信息出境前的必经程序，根据《个人信息保护法》规定，向境外提供个人信息的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。

评估的内容应包括：

（1）个人信息的处理目的、处理方式等是否合法、正当、必要；

（2）对个人权益的影响及安全风险；

（3）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。

//

二、个人知情+同意

《个人信息保护法》还明确规定，个人信息需要向境外提供的，个人信息处理者要向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并且还要取得个人的单独同意。

因此，只有在满足个人“知情+同意”的条件后，企业方可向境外提供个人信息。以后凡是涉及企业可能要向境外提供个人信息的，建议企业通过用户协议和隐私政策等路径，单独列明信息出境的细节，并取得个人的明确授权。

//

三、跨境传输前后个人信息的保存期限应当为实现处理目的所必要的最短时间等。

四、向外国执法机构提供个人信息的，要经批准

有时外国的执法或司法机构，在执法中会要求公司向其提供包含员工个人信息在内的文件。但是根据《个人信息保护法》第41条的规定，公司不得擅自向外国的执法或司法机构提供存储于境内的个人信息，此时必须事先获得中国主管机关的批准。

04

 个人信息违法出境的法律责任

一、行政处罚力度大，最高可以罚款五千万，甚至吊销营业执照。

例如，违反《个人信息保护法》规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。

//

二、企业征信受影响。

《个人信息保护法》还明确增加了“记入信用档案”的处罚机制。

05

法律顾问精细化指引

我们建议企业，在员工个人信息跨境合规管理中应当注意：

一、对员工个人信息进行分级分类处理

（1）若公司在收集的员工个人信息中包含个人敏感信息，或将要收集这类个人敏感信息，则需要在公司内部建立员工个人信息分级分类处理机制。

建议公司制定分级信息保护制度，充分考虑对于敏感个人信息的区分，并且根据不同种类的敏感个人信息，采取充分的保护措施。

（2）在处理个人信息时，遵守“告知-同意”规则，并设置合理的保存期限。

//

二、 在对外合作时，加强对合作方的个人信息保护制度进行评估，尤其是跨境提供信息的，应当与境外接收方订立合同，合同中应当明确接收者承担以下责任和义务：

（1）为个人信息主体提供访问其个人信息的途径，个人信息主体要求更正或者删除其个人信息时，应在合理的代价和时限内予以响应、更正或者删除。

（2）按照合同约定的目的使用个人信息，个人信息的境外保存期限不得超出合同约定的时限。

//

（3）确认签署合同及履行合同义务不会违背双方所在国家的法律要求，当接收者所在国家和地区法律环境发生变化可能影响合同执行时，应当及时通知企业，并通过企业报告网络运营者所在地省级网信部门。

三、其他审批要求。如果企业收集员工的家庭成员信息，特别是未成年人的个人信息，则要遵守《儿童个人信息网络保护规定》有关儿童信息出境的特别要求。

//

商业精英和企业需要的法律顾问，并不是平时出现法律问题，就咨询一下、审改文件；而是需要与法律顾问一起构建合规，包括基础性合规功课和企业的合规文化。

这也是我们大摩律师长期倡导并践行的【常法五步防控】，精细化作业，全面助力商业精英和企业实现合规规范、防范法律风险、构建安全保障、高效解决个案，甚至创造商业价值，具体内容如下：