跨境人力资源管理——数据出境新规的理解与适用
2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,拟对数据跨境传输的一些具体场景做出了豁免,释放了绿色通道的积极信号。作为HCM系统供应商,我司也密切关注该征求意见稿的正式颁布。
今年3月22日,国家互联网信息办公室终于正式公布了《促进和规范数据跨境流动规定》(以下简称《规定》),明确了对一些跨国企业日常生产活动中常见的数据出境场景的豁免,对出境个人信息的数量计算规则进行了调整和优化,为在华跨国企业的系统数据出境提供了明确的指导,同时也强调了用户个人信息保护的重要性。
随着全球化和数字化的深入发展,跨国企业在华的业务日益增多,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。数据出境不仅涉及企业的运营效率,更关乎个人信息保护和国家安全。
根据2021年颁布的《个人信息保护法》(“《个保法》”)第三十八条规定,企业如需向境外传输个人信息,必须采取以下三种合规程序(“合规程序”)之一:
(1) 通过国家网信部门组织的安全评估(“安全评估”);
(2) 按照国家网信部门的规定经专业机构进行个人信息保护认证(“认证”);
(3) 按照国家网信部门制定的标准合同(“标准合同”)与境外接收方订立合同。
在《规定》正式颁布前,原有合规程序下企业的合规义务总体上较为繁重,无论是安全评估、认证还是标准合同程序,都需要企业进行数据盘点、撰写评估报告等,且都需要国家网信部门或专业机构的审核、备案等,整个流程需要耗费大量的人力和时间,使得很多心仪海外HCM系统的企业因此采取了观望的态度。而此次《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。
出境个人信息数量计算方式的变化
在新《规定》的背景下,跨国企业在处理数据出境问题上,首先需要确保出境的信息不包含被相关部门、地区告知或者公开发布为重要数据的信息。对于非关键信息基础设施运营者,如普通的跨国企业,如数据出境符合实施跨境人力资源管理所必须的条件,可直接豁免合规义务,对于人力资源管理之外的个人信息出境,如不满10万人的个人信息且不含敏感个人信息的也可以豁免。
起算时间点的变化
在判断适用的合规程序时,累计出境个人信息的数量是一个重要的影响因素。《数据出境安全评估办法》、《个人信息出境标准合同办法》均将企业出境个人信息数量统计的起算时间定为“上年1月1日”,而《规定》则将这一时间点改为了“当年1月1日”。
起算时间点的推后将导致累计出境个人信息数量的最大统计周期由2年缩短至1年。这一改动对相关企业的影响主要有两个方面:1)统计周期内个人信息出境数量将大幅减少,达到合规程序触发门槛的可能性也会大幅降低;2)从实际操作的角度来看,统计周期的缩短将减轻企业的工作量,有助于减少统计重复、遗漏等错误,从而有利于提高统计结果的准确性。
个人信息类型的区分
另一点需要注意的是,《规定》特别强调了对于一般个人信息和敏感个人信息的区分和单独计算,明确表示一般个人信息不含敏感个人信息。企业未来在计算出境个人信息数量时,应当注意这一规定,避免影响对于适用合规程序的判断。
免于采取合规程序的情形
跨国企业在中国境内的公司经常会因为使用集团统一的人力资源系统而需要向集团境外公司提供员工个人信息,这是跨国企业较为常见的个人信息出境场景。这一条豁免场景将会使得跨国企业在选择合适的HCM系统时不再需要顾虑员工个人信息数据出境的繁琐申报、备案流程,完全从安全评估申报、订立标准合同工作中解放出来,且该条豁免没有个人信息的数量限制,即使企业员工人数超过10万人,也可以在该使用场景下豁免申报流程。
此外,企业最为关注的是《规定》对特定场景个人信息出境活动免于全部合规程序的一些“豁免”情形,企业如满足“豁免”相关条件,则无需采取任何一项前述合规程序(即申报安全评估、订立标准合同、通过认证)。这些豁免情形集中在《规定》的第三条至第六条,包括:
跨国企业需要及时地对涉及数据出境的信息进行分类,比如是否涉及重要数据、个人敏感信息等,且每年需要做好当年的出境数据统计。通过建立完善的个人信息保护制度、采用先进的技术手段、加强员工教育和培训等措施,企业可以有效防范数据风险,保障用户权益,同时提升企业的竞争力和可持续发展能力。
ataway于2000年在法国巴黎成立,目前在35个国家和地区设有办事机构,公司一直致力服务于跨国公司以及国内大中型企业的信息化和数字化解决方案,包括人力资源管理系统, 财务管理系统, 供应链系统的实施、运维、托管等专业服务。安塔卫拥有包括SAP、UKG、Oracle,Automation anywhere、Uipath等解决方案厂商的认证合作伙伴资质。目前全球拥有近500名专业咨询顾问团队,覆盖多国家、地区和行业,专注于为全球客户提供专业的企业管理咨询服务,帮助企业实现卓越的管理与追求。