上上签电子签约对话律师：《个人信息保护法》八问八答

“最近我的日程排得非常满，为什么？其中一个原因是大家最近都会问的一个问题：‘在11月1号之前我要做什么？’”这是世辉律师事务所合伙人王新锐律师在上上签电子签约“企业数据合规体系建设分享会”上的开场语。

也是从这段话中，我们意识到11月1号《个人信息保护法》施行的脚步近了。

在与企业的交流中我们发现，有关《个人信息保护法》，不同的行业、企业甚至岗位关注的问题和角度各不相同。

为能更好地帮助大家了解《个人信息保护法》的落地细节，我们整理了一些企业和世辉律师事务所合伙人王新锐律师、张洪源律师的互动答疑内容，其中涉及员工信息处理、信息跨境、车辆识别码、第三方数据源、企业与政府机构信息交互等企业关切的内容。

问题1 ：王律师您好，您刚才提到面对《个人信息保护法》，我们应该抓大放小，主动去识别哪些是和我们企业密切相关，有优先级地推动一些工作，对我很有启发。

我们是燃气行业，主管部门是住建部。关于关键信息基础设施（以下简称“关基”）运营者的认定规则，现在各个部门是否都在制定自己的认定规则，以及去公安部备案的工作，目前是怎样的情况？

王新锐律师：

基于我的经验，当你不知道自己是否是关基时，一般不是。

当你不知道是否属于个人信息，打算咨询一下律师时一般都是个人信息。

据我们所知，一批主要的关基企业已经都被约谈，被相应地接触过。像你们这样的企业可能会存在这种情况：你的甲方有可能是关基，我们遇到过有些客户比如给高铁、国家电网提供服务，高铁和国家电网本身是关基。这时是否要将合作的企业列入进去，要看情况。

个人觉得各位在关基问题上不用花太多精力，如果你是关基，基本上早就已经知道。

另外，补充一下关基意味着国家认为单靠企业的力量无法做到关基的一些义务，需要投入资源帮助你。这时国家会提出一些要求，同时会在一些方面给企业提供资源。

问题2：员工应聘时会填写一些信息表，比如以前的工作单位、月薪等信息，《个人信息保护法》生效之后，还能让员工填写吗？如果需要这些信息，企业应该做什么？

张洪源律师：

要分情况讨论，如果问了一些特别不该问的信息，比如女员工是否生育，一旦获取了信息，即使其同意了，如果最后没有录取这位员工，她可能会去劳动仲裁，诉讼的理由是就业歧视，尽管就业歧视在我们国家对责任的规定并不明确，但是对企业的声誉会有巨大影响。

根据《劳动合同法》的规定和劳动合同履行有关的信息，我认为您刚才提的那些信息没有问题。如果涉及一些与劳动合同履行无关的信息，比如家庭成员是谁，他们的姓名住址，这些可能属于敏感信息，即使取得了员工同意，我们也不建议收集。

在此提醒一点，员工在入职之前并非公司的员工，严格意义上员工手册并不适用于这些人员，只有当其签署劳动合同并且开始工作时，才是员工。

所以在其入职以后，如果想取得对方的个人同意，并且定义一下什么是人力资源管理所必须是没问题的。在此之前可能会有一些风险。

问题3：怎样才能有效地存储、传输、删除员工信息做到合规？

张洪源律师：

首先企业要能控制可以接触员工信息的内部员工的权限，这样就能够比较有效地防止风险发生。

比如财务员工，只能了解员工的一些财务信息；人力员工，只能看到人力相关的信息。我们一般建议企业设立申请机制，如果内部人员，因为工作需要希望看到其他员工的一些敏感信息，这时应该提交内部申请获得批准。这样可以有效减少对不必要信息的访问，再就是需要获得员工的同意。

另外，传输分为境内传输和境外传输。境内传输的场景有：

由人事代理公司发放工资时的信息共享，具体表现在：

如果企业找了另外一家人力资源公司代发工资，以企业的名义给员工缴纳社保，这时人力资源管理公司可能需要知道这些员工的信息。此时企业会将自己的员工信息给到另外一个实体，相应就会产生信息的境内传输。

我们一般建议企业在内部规章制度中写清楚，比如在员工手册中注明，因为我要给某某发工资、交社保，报销等，基于这些人力资源管理目的，需要知道你的某项信息。在员工同意的情况下，拿到个人信息是比较保险的。

关于境外传输，比如企业的一个服务器部署在国外，如果需要将员工个人信息从境内传到境外总部的服务器上，上述境内传输的原则也适用。

除此之外，《个人信息保护法》还规定了在境外传输时，企业需要满足一些额外条件。比如以下四点，企业可以任选其一进行：

1. 依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估；

2. 按照国家网信部门的规定经专业机构进行个人信息保护认证；

3. 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

4. 法律、行政法规或者国家网信部门规定的其他条件。

后续在员工离职阶段，主要涉及个人信息的删除及背景调查。

删除个人信息分为以下部分：

1. 明确可以保留的员工信息

根据《劳动合同法》，企业在与员工解除或终止劳动关系之后的两年之内可以继续保存其劳动合同文本，其中涉及员工的姓名、住址、户籍、联系方式等。

2. 建议删除的员工信息

包括为了考勤而设置的一些人脸、指纹识别信息，员工一旦离职，基于必要性原则应该马上将其删除。

其他信息，比如员工的绩效表现、奖惩记录、休假记录等，我们建议用人单位在员工离职之后保留至少一年的时间。

因为劳动仲裁有一年的诉讼时效，一年以后就不能再申请劳动仲裁，如果用人单位能够保留一年的时间，相对风险会小一些。

3. 特殊规定：针对特殊行业及人群

有些特殊规定是针对特殊行业的，比如根据《网络餐饮服务食品安全监督管理办法》，快递的送货信息：订货人是谁、订单地址、货物名称等需要保存6个月以上。

另外是背景调查，在背景调查当中，企业可以提供的信息非常有限。

通常企业可以帮助第三方核实当初员工离职证明上的信息，比如员工的姓名、身份证号码、职位、劳动合同期限等。

但是除此以外的信息，比如对员工的一些主观评价，绩效这些不建议向第三方提及，因为违反了必要性原则。

我们建议企业的相关人员在接受背调时，让第三方出示员工已经同意接受背调的文件，获得员工的同意，可以有效地降低风险。

问题4：我们是跨国企业，人事系统的服务器在境外。当中涉及两个问题，一个是存有敏感信息，比如银行卡、体检报告；另外一个涉及跨境传输，要将个人信息提供给境外第三方（个人信息处理者）。如果涉及以上信息，应该如何操作？

另外，关于信息存储，有一条提到处理个人信息达到国家网信部门规定数量的，要储存在境内，如果出境则要满足一些要求。从《个人信息保护法》角度讲，它并没有明确具体的量级，这点该如何解读？

王新锐律师：

我已经被超过50家公司问到这样的问题，基本上全球跨国企业的员工管理都是一种天然的出境场景。

这个部分最后可能还要进行数据出境的备案，但是员工数据出境的情况比较容易通过。

在这种情况下，企业有两层义务：

一层是基于获得员工同意的环节，另一层将来会涉及政府，现在国家互联网研究中心有一个统一的系统，会在该系统中做备案。在备案以及中国的标准合同等事项落地之前，目前不用做太多工作。

但是建议在员工填入信息时，告知员工因为是在一家跨国公司，所以会对部分信息进行上传，刚才有提到员工处于哪个阶段，如果是企业员工，就会受制于该规则，如果还不是员工，就需要有告知的环节。

另外一个问题涉及对数据跨境的理解，目前关于数据本地化有多种理解。一种是数据只能存储在本地，境外不能访问；一种是存储在本地，境外也可以访问。

甚至在一些极端的情况下，我们跟监管讨论“一家跨国公司的CEO来中国访问，要求看数据，这种情况是否属于跨境？这种在广义上依然算跨境。”

所谓跨境是数据被境外的组织或个人所掌握到，虽然刚才这种情况是一种假想情况。当时听起来很奇怪，但确实曾经在会议中被拿来讨论过。

所以跨境是一种广义理解，通常如果我们提到数据出境或者跨境提供时，关注的是对境外组织或者个人能够接触到数据同时失去控制的问题。

跨境规则分为两种，一是个人信息，另一种是重要数据。个人信息出境原则上都是可以的，届时根据监管要求可能需要办理相关备案，重要数据出境则非常困难。

另外关于“敏感个人信息单独同意与前面的合法性事由是何关系”，在问过几位起草者后得出了一致的结论：前面的合法性事由贯穿始终，换言之如果走了合同流程就不用再说敏感个人信息需要单独同意。

无论是一般信息还是敏感信息，同意这条与合法性事由是并列关系，所以即使是敏感信息，仍然可以通过同意的方式，履行法律职责义务。并非任何情况下处理敏感信息都需要单独同意。以下7个条款贯穿于《个人信息保护法》始终。

问题5：我们是一家智能网联汽车公司，涉及的数据交互场景非常繁杂。关于车辆的密码，是否属于个人信息。

现在密码属于车辆的唯一标识，通常法规要求需要将密码展示在车辆，一般是前挡风玻璃的下角方便拍照，但是这种和个人信息是否有关联，或者识别它是否属于个人信息。

王新锐律师：

关于车辆识别码是否属于个人信息，此外我们也会被问到一个类似问题，比如每户的用电数据是否算个人信息？这类似于一辆汽车，可以有一至三人使用。一户也有可能是一人、两人或者三人用电。

我们在与国际、国内相关专家讨论后认为，严格意义上讲，这类信息不算个人信息。因为车辆与人的对应关系没有那么清晰，但是从保护强度而言，要非常接近对个人信息的保护。

所以在法理上有一定论证的空间，这与手机的区别在于手机本身几乎不太可能共用。

在欧洲会倾向于将其处理为个人信息，他们考虑到总会有一个人开车。比如一位女士经常开这辆车，此时就非常接近于个人信息；或者这一户就我一人住，这时也非常接近个人信息。

我们注意到个人信息的概念既要关注学理法理，也要考虑到颗粒度的问题。

之前有家企业向我提出一个问题：

对方说某项信息在全广州也许只有10人或者5人满足，从法理上讲无法识别到人，但如果置于庞大的人口基数，5个人或者10个人就比较好定位。此时个人感受上会觉得那是在精确地针对我，这种情况企业想自证就非常困难。

所以当信息颗粒度非常小的时候，建议将其理解为接近于个人信息去保护。

问题6：我们的很多数据来源于第三方，跟第三方之间的合作，通过合同的关系是否就能完全做到数据的合规？

比如一手的个人信息来自于合作方，我们即便在合同中写明，个人信息要经过合法的授权，再有甚至我们会要求合作方征得信息主体的明确同意，告知他们知悉这是被小型汽车所使用的，这样是否已经避免了一些合规上的风险？

王新锐律师：

来源于第三方的数据，通过合同以外是否能够去限制，企业应该核查到何种程度，《个人信息保护法》之后，对其要求有了进一步提高。

我们基本的判断标准是表面原则：

首先要在合同中规定企业要有核查的权利，不只是陈述与保证个人信息是合法的，还要将企业具有核查的权利写入合同。

如果企业能定期进行抽查，就会分为以下情况：

比如第三方提出其获取的个人信息是通过隐私政策，或者用户协议等文件，我们要先看表面，通过第三方的陈述一般人是否会在那种情况下给到个人信息。

这时就形成了一个抗辩：一般人会通过隐私政策或者合同等方式将其个人信息给到第三方，这是符合常理的情况，我有理由相信合法性，同时做了一些查验。

如果可以查验，也要分情况：

当对方是一家大公司时，我有理由相信你提供给我的数据，或者跟我合作时你的数据应该是合法的，因为作为大企业应该受到许多监管。但如果是小公司，就要另行考量。所以在这过程中会存有不同考量的可能性。

问题7：我们最近在做的项目是想要跟新加坡、日本的公司实现数据融合，特别是公司内部员工信息的数据融合。起初HR和IT部门的想法是非常美好的，但是现实非常骨感。这也是我们第一次尝试包括像GDPR在内的数据合规实践。

在这过程当中GDPR的要求很严格，不仅涉及张洪源律师刚刚分享的员工信息合规，在欧洲还会涉及工会。在这种情况下，特别是中国的企业要走出去，应该如何做？

王新锐律师：

目前从我们的监管趋势讲，这些数据是融合不了的，需要对数据进行割裂式的管理。最近在跟许多大公司IT部门人员讨论，大家也都感受到了这种变化。

以前我们希望将所有数据打通，让其流至一个池子，这时会涉及违反数据最小化利用的问题。以后这种数据深度融合的事情会变少，数据会根据法律和场景进行切割。在这当中，哪些数据可以融合，是另外一个问题。目前数据合规的力度很大，数据过度融合的风险还是非常高的。

问题8：企业在将数据提供给包括政府机构、公权力机构的过程中，需要注意什么问题？

王新锐律师：建议是给政府等机构提供数据时，首先需要有一个基本流程，如果对方能够提供书面文件是最理想的。

另外我会再发邮件，尽量要有政府后缀“.gov.cn”，在邮件中将事件的前因后果说清楚，因为在发到一个政府的邮箱之后，本身可以给发件人提供抗辩，即使对方不回复邮件，本身也是一种方式。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005