简体中文 English

菜单

您当前的位置:首页 > 新闻资讯 > 法务资讯

跨国企业个人信息出境合规要点

 作者:冯石律师

【问题缘起】
今日,笔者服务的一家跨国企业问到境外的母公司建立统一的人力资源管理系统,要求全球子公司将所有员工信息上传设在境外的服务器,是否可以这样操作?有无法律风险?
 
这一问题涉及跨境企业员工个人信息出境共享数据安全问题。笔者整理了相关的法律法规及征求意见草案,虽然目前关于个人信息出境没有正式的法律法规,但是国家互联网信息办公室等多部门发布的《个人信息和重要数据出境安全评估办法》等征求意见稿,可以作为跨国企业保护员工个人信息的参考依据。本文将相关征求意见稿中关于员工个人信息出境安全评估要求做一整理,供企业参考使用。
 
一、个人信息出境相关法律规定及草案
1.《中华人民共和国网络安全法》,2017年6月1日实施
2.《个人信息和重要数据出境安全评估办法(征求意见稿)》,2017年4月11日征求意见
3.《信息安全技术数据出境安全评估指南(征求意见稿)》,2017年08月30日征求意见
4.《数据安全管理办法(征求意见稿)》,2019年5月28日征求意见
5.《个人信息出境安全评估办法(征求意见稿)》,2019年06月13日征求意见
6.《信息安全技术个人信息安全规范(征求意见稿)》,2019年10月22日征求意见
7.《信息安全技术个人信息告知同意指南(征求意见稿)》,2020年1月20日征求意见
 
二、个人信息控制者范围
根据《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。该办法第十六条同时规定,其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照执行。
 
三、个人信息及个人敏感信息定义
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
 
个人信息举例

个人基本资料

个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮箱等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部

特征等

网络身份标识信息

个人信息主体账号、 IP 地址、邮箱地址及与前述有关的密码、口令、口令保护答案、 个人信息主体个人数字证书等

个人健康生理信息

个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息,及体重、身高、肺活量等

个人教育工作信息

个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等

个人财产信息

银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、 虚拟交易、 游戏类兑换码等虚拟财产信息

个人通信信息

通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等

联系人信息

通讯录、好友列表、群列表、电子邮件地址列表等

个人上网记录

指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录等

个人常用设备信息

指包括硬件序列号、设备 MAC 地址、软件列表、 唯一设备识别码(如IMEI/android ID/IDFA/OPENUDID/GUID、 SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息

个人位置信息

包括行踪轨迹、精准定位信息、住宿信息、经纬度等

其他信息

婚史、宗教信仰、 性取向、未公开的违法犯罪记录等

 

个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。

 

个人敏感信息举例 

个人财产信息

银行账号、 鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、 交易和消费记录、流水记录等,以及虚拟货币、 虚拟交易、 游戏类兑换码等虚拟财产信息

个人健康生理信息

个人因生病医

治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息等

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

个人身份信息

身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等

网络身份标识信息

个人信息主体账号、口令、口令保护答案、 个人信息主体个人数字证书等的组合

其他信息

性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、 通讯录、好友列表、群组列表、 行踪轨迹、 网页浏览记录、住宿信息、精准定位信息等

 

四、个人信息出境的定义

网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。

以下情形属于数据出境:

1.向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息;

2.数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);

3.网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。

以下情形不属于数据出境:

1.非在境内运营中收集和产生的个人信息经由本国出境,未经任何变动或加工处理的,不属于数据出境。

2.非在境内运营中收集和产生的个人信息在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息的,不属于数据出境。

 

五、个人信息出境安全评估要点

综合《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》的规定,个人信息出境安全评估需要考虑以下内容:

(一)数据出境的合法性合:

1.不属于法律法规明令禁止的;

2.不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

(二)数据出境的正当性:

1.个人信息主体已同意的。虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外;

2.不违反相关主管部门规定的。

(三)数据出境的必要性:

1.履行合同义务所必需的;

2.同一机构、组织内部开展业务所必需的;

3.我国政府部门履行公务所必需的;

4.履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需的;

5.其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。

(四)个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;

(五)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;

(六)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;

(七)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;

(八)其他需要评估的重要事项。

地址:江苏省无锡市建筑西路777号国家集成电路设计中心A3幢21层
电话:0510-82859168 传真:0510-82859161
邮件:yunya@yunya.com.cn 邮编:214072

页面版权所有:江苏云崖律师事务所
COPYRIGHT 2018 Jiang su Yun Ya Law Firm All Rights Reserved.
网站编号:苏ICP备11035178号 网站建设:定承网络