作者:梁燕玲、刘畅  金杜律师事务所   商务合规部

万众瞩目的《中华人民共和国网络安全法》(“《网安法》”)已自2017年6月1日起生效。随着该法的施行,个人信息的跨境传输受到明确规制。

在实践中,许多跨国公司设置海外平台,对全球员工数据实行统一管理;还有些公司直接将HR系统服务器设立在中国境外。相较内资企业,跨国公司在用工管理中往往存在更多的信息跨境传输需求。在这一跨境传输过程中,网安法有何要求?企业有何法律风险?

本文将从企业管理员工个人信息的角度,与读者探讨数据跨境传输中需要注意的问题。

《网安法》为何会影响员工信息传输

《网安法》的适用情形是“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,适用对象是“网络运营者”,即“网络的所有者、管理者和网络服务提供者。”这一广泛概念将大多数企业都纳入了《网安法》的规范范畴。

在当今时代,网络是企业进行员工信息管理的重要工具与媒介,《网安法》的触角早已从企业的商业经营,延伸到员工信息管理及企业运营的其他各个方面。

 向境外传输信息,是否应先本地化存储

判断这一问题,首先需要明确企业的性质——是否属于关键信息基础设施运营者。

《网安法》下,关键信息基础设施是信息安全的重点保护对象,其相较一般的网络运营者承担更多义务,受到法律更严格的规范。因此,企业需要界定自身性质,才能充分知悉其应遵守的法定义务。

举例来说,银行作为关键信息基础设施运营者,对于其在境内运营中产生的个人信息和重要数据,首先应在境内存储;如确因业务需要将数据传输出境,应先根据相关办法进行安全评估。如果这类企业直接在境外服务器上存储境内员工个人信息,将违反本地化存储的相关规定,导致企业和相关直接责任人员面临被予以行政处罚的风险。

但是,对于一般的网络运营者而言,《网安法》并未对其设置上述“本地化存储”义务。换言之,如果企业不属于关键信息基础设施运营者,它们不对员工信息先行境内存储与备份,而直接将其传输到境外服务器,可能是现行法律所允许的。

如何界定关键信息基础设施运营者

关于关键信息基础设施运营者的定义——《网安法》第三十一条规定了关键信息基础设施涉及的领域,即“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”,其特点是“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。该条款采用了“归纳+不穷尽列举”的方式,使得关键信息基础设施的概念存在较大的解释空间,为企业进行合规化操作带来一定的不确定性。

在《网安法》的基础上,国家互联网信息办公室于2017年7月10日发布了《关键信息基础设施安全保护条例(征求意见稿)》。该文件第十八条在《网安法》的基础上对关键信息基础设施的范围进行了更详细的列举,但仍然沿用了《网安法》开放性定义的方式。这一核心概念的内涵,仍需要通过相关配套规定予以进一步明确。

关键信息基础设施运营者跨境传输员工信息前,切记安全评估

如上文所述,根据《网安法》,关键信息基础设施运营者在境内运营中收集和产生的个人信息必须先在境内存储,如因业务需要需向境外传输,则应满足“安全评估”的前提条件。

关于具体的安全评估流程,根据国家互联网信息办公室2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(“《评估办法》”)——在向境外传输个人信息或重要数据前,关键信息基础设施运营者应报请行业主管或监管部门组织安全评估。

一般的网络运营者跨境传输员工信息,可能需要自行组织安全评估

根据《评估办法》,所有网络运营者向境外提供境内收集的个人信息的,应履行数据出境安全评估。由此可见,《评估办法》显著扩大了上位法《网安法》所规定的适用数据出境安全评估的主体范围,该办法一经发布,就引起社会各界热议。

不过,不同于关键信息基础设施运营者应报请相关部门组织评估的义务,《评估办法》仅要求一般的网络运营者自行组织数据出境的安全评估,并对评估结果负责。

鉴于《评估办法》的正式文件尚未出台和生效,如果企业在当前阶段拟将员工个人信息传输出境,可以考虑自行组织安全评估,并留存记录备查。

跨境传输员工个人信息,需征得员工同意

《网安法》要求企业向信息个人信息主体明示使用信息的目的、方式和范围,并经其同意。关于数据出境安排,《评估办法》细化了企业的告知义务——应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。在实践中,企业可以就数据出境安排向员工出具说明,并要求员工书面确认,以履行上述义务。

在新时代背景下,在运用网络工具进行员工信息管理的过程中,企业不仅需要遵守劳动法律规范的相关规定,也需要特别关注《网安法》及其不断更新的配套规定向其提出的数据合规要求,升级数据合规体系,远离法律规定的红线。