数据合规是跨国企业合规管理中最重要的合规部分。《个人信息保护法》（以下简称“《个保法》”）自2021年11月1日实施以来，受到了企业的广泛关注，尤其是境内的外商投资企业。

张扬律师团队服务的诸多外商投资企业中，常见诸多外商投资企业、分支机构等基于境外母公司的全球信息管理的统一要求，需要通过办公自动化OA系统等途径，向境外母公司提供境内员工的姓名、性别、学历、联系方式等员工个人信息。对此，本文结合《个保法》、《数据出境安全评估办法》及其他相关规定，就员工个人信息的跨境传输的合规要点进行解析，以供企业在员工个人信息的跨境传输的实务中提供一些参考。 

一、关于员工个人信息的跨境传输

个人信息跨境，是指个人信息处理者向中华人民共和国境外提供个人信息的行为。根据《个人信息保护法》第四条的规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

实务当中，企业收集的关于员工的国籍、籍贯、身份证号码、联系方式、学历背景等个人基本信息均属于员工一般个人信息。企业基于日常管理所需，可能还会收集到员工的生物识别信息、医疗健康、行踪轨迹等员工个人敏感信息。

员工个人信息的跨境传输，实践中主要表现为两种，一是通过外包协议将其收集的员工个人信息直接传输至境外服务器并交由其他境外集团公司处理的行为；二是将在境内收集的员工个人信息传输至境外母公司数据中心服务器或者是通过母子公司之间共享的计算机系统来实现数据传输的行为。伴随经济全球化及互联网经济的蓬勃发展，企业将员工个人信息跨境传输至境外的场景非常多，因此，对于员工个人信息的跨境传输，需根据相关法律法规及行业标准关于“个人信息跨传输”的内涵与外延，同时结合具体的应用场景来界定。

二、员工个人信息跨境传输的合规流程要点

根据《个保法》第三十八条规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”同时，结合2022年9月1日起施行的《数据出境安全评估办法》以及其他相关法律法规，为企业跨境传输员工个人。

1.履行告知义务

企业跨境传输员工的个人信息前，应向员工履行告知义务，具体告知的内容包括：境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个保法》规定权利的方式和程序等事项。

2.取得员工个人的单独同意

企业跨境传输员工个人信息的，在向员工履行充分告知义务后，还应就员工个人信息跨境传输的相关事项取得员工个人的单独同意。

3.出境数据类型判断 

“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

因此，若企业跨境传输的员工个人信息中包含重要数据，则企业应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

4.企业所属行业的属性判断 

“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

因此，若企业属于关键信息基础设施运营者（“CIIO”），则企业跨境传输员工个人信息应当通过企业所在地省级网信部门向国家网信部门申报数据出境安全评估。

5.出境数据数量的判断

若企业虽不属于CIIO，但企业跨境传输的员工个人信息达到100万以上的，或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的，企业也需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

6.个人信息保护认证和个人信息出境标准合同

若企业跨境传输的员工个人信息不属于重要数据，且企业不属于CIIO，同时未达到上述出境个人信息主体数量的，则可以考虑通过个人信息保护认证或签订《个人信息出境标准合同》的方式满足合规要求。

目前，个人信息保护认证的具体操作、标准等没有任何参考指南，因此仍有待国家网信部门等权威部门进一步明确。

鉴于国家互联网信息办公室2022年6月30日发布的《个人信息出境标准合同规定（征求意见稿）》中附件的《个人信息出境标准合同》（草案），同时可考虑参考欧盟《通用数据保护条例》的标准合同，与境外母公司签署相签订《个人信息出境标准合同》，以约定双方的权利义务。

杨雪 | 广东诺臣律师事务所张扬律师团队

曾任职于某知名日资银行，为诸多在华日资企业提供投融资及金融服务，熟悉外商企业运营中涉及的劳动、外汇、海关、跨境融资并购等一系列公司合规法律问题。

杨雪精通日语，可以用日语作为工作语言。

张扬律师团队劳动与雇佣法律服务

劳动与雇佣法律服务，是张扬律师团队业务的重要组成部分，也是团队深具社会影响力的专业品牌服务之一。张扬律师团队一直致力于针对客户的不同需求，提供差异化的、具有实操性的劳动人事专项法律服务方案。

企业在劳动纠纷诉讼中败诉的主要原因，主要在于：1.使用的文件和表单不符合法律规范；2.处理与员工关系的过程中缺乏风险防范意识。

广东诺臣律师事务所张扬律师团队在为企业提供法律顾问服务的过程中，经常代表企业处理与员工之间就解雇、薪酬待遇方面的纠纷，对公司人力资源管理方面的流程及劳动合同、规章制度等文件加以完善，为企业分析从员工入职、在职以及离职三大环节中的常见法律风险，为企业解读在每一个发生纠纷的风险点上应该做出怎样的风险防范。针对有特殊需求的企业，团队律师还可以为其提供HR岗位提升计划以及企业薪酬优化改革等专项法律服务。

法律服务内容：

劳动用工管理的法律风险点梳理与剖析

HR管理流程法律设计

管理制度的制定与规范

关键性表单及范本文件的提供

企业内部劳动人事座谈培训

日常劳动用工管理法律咨询

企业裁员专项

劳务派遣、劳务外包的方案设计实施专项

企业薪酬福利方案设计与实施专项

商业秘密保护及竞业限制方案设计与实施专项

大湾区跨境用工安排专项

广东诺臣律师事务所张扬律师团队在商事法律服务领域深耕细作。团队律师洞悉经济态势，以法律思维和商业智慧在商事领域为众多知名企业提供法律顾问和争议解决服务，受到了企业界的广泛好评。

联系电话：13535300238（黄女士）