Back
Featured image of post 跨国公司员工信息传输至境外公司的合规注意事项

跨国公司员工信息传输至境外公司的合规注意事项

境内公司要注意的4条合规事项。

跨国公司员工信息传输至境外公司,境内公司要注意以下4条合规注意事项:

  1. 认定关键信息基础设施
  2. 征得员工同意
  3. 传输合规要求
  4. 待生效法律《个人信息安全出境评估办法》

认定关键信息基础设施

判断当前储存数据的系统是否为“关键信息基础设施”,“关键信息基础设施”的认定主要看以下2点:

  1. 特定领域:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
  2. 重大危害:设施遭到破坏将造成重大社会危害。 如果当前储存系统能够被认定或有较大可能被认定为关键信息基础设施,那么就应当报网信办进行审批才可转移。

法律依据

《网络安全法》第37条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

征得员工同意

判断签订的《劳动合同》或软件《用户许可协议》中,是否包含数据储存的条款,例如数据将被传输至境外,如果没有此类条款,应取员工同意。

法律依据

《网络安全法》第41条,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

传输合规要求

数据在向境外传输时,公司还须遵守《信息安全技术个人信息安全规范》9.2条的要求,包括必要性、合法性的评估,告知义务,签订合同义务等等。

法律依据

《信息安全技术个人信息安全规范》9.2 个人信息共享、转让,

个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:

a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;

c) 共享、转让个人敏感信息前,除 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;

d) 通过合同等方式规定数据接收方的责任和义务;

e) 准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;

f) 个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息;

g) 因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任;

h) 帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;

i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的, 应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。

待生效法律《个人信息安全出境评估办法》

《个人信息安全出境评估办法》即将生效,所以,在传输过程中,该办法一旦生效,则必须终止传输。该办法扩大了《网络安全法》的审查评估范围,要求所有个人信息向境外传输都必须向有关部门进行安全评估。

法律依据

《个人信息出境安全评估办法》第2条,网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。

沪ICP备20004885号-2
jonathan.nuance@outlook.com
Built with Hugo
Theme Stack designed by Jimmy