(一)人力资源数据出境场景
1. 公司招聘(应聘者个人信息出境)
以外企为例,在公司招聘的过程中,可能被认定为涉及数据出境的典型场景如下:
a) 境外总部企业官网统一招聘员工,由应聘人员直接访问境外网站填写个人信息(图 1)
b) 境内企业将境内收集的招聘相关个人信息上传至境内服务器,由境外母公司直接访问、调取境内服务器上的数据(图 2)
c) 境内企业聘请第三方机构收集候选人信息,并由第三方机构将收集的数据同步传输至境外(图 3)
此外,值得注意的是,企业在招聘时通常会收集应聘者的姓名、性别、联系方式、学历、工作经验等个人信息。但是,由于企业尚未与应聘者签署劳动合同,所以此时《个人信息保护法》第十三条第一款第二项规定的“为按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的情形”并不能作为收集个人信息的合法性依据。因此,在这种情形下,处理个人信息的合法性基础为《个人信息保护法》第十三条第一款第一项下的“取得个人的同意”。企业应首先告知应聘者处理其个人信息的目的,并在依法获得个人信息主体的明确授权(包括单独同意)后,方可进行收集、向境外提供个人信息等一系列处理活动。
2. 员工数据出境
在公司人力资源管理的过程中,可能被认定涉及数据出境的典型场景如下:
a) HR 等相关人员通过邮件或特定形式定期向境外主体传输员工数据(图4)
b) HR 等相关人员在境内系统上传员工数据,境外主体于境外远程访问或境外员工出差至境内访问该境内系统(图 5)
c) 境外主体直接通过全球人力资源管理系统收集境内员工数据(图6)
3. 业务数据出境场景
业务活动开展过程中可能涉及的数据出境场景主要包括三种:
一是境内企业通过 ToB 和 ToC 业务收集用户个人信息,并将个人信息传输至境外或者允许境外访问存储在境内的数据;
二是企业应境外总部要求将自身运营过程中产生的数据(比如生产、技术、经营业务数据、重要/核心数据等)直接存储在部署于海外的服务器上,或者存储在境内服务器上但允许境外主体查询、调取、下载、导出存储于境内服务器的上述数据;
三是设立在中国境外的企业直接收集境内用户的个人信息(如图 7)。
值得注意的是,在以上场景中,企业均有可能引入第三方供应商并委托其处理数据(比如引入薪酬管理机构处理员工个人信息),此时企业仍是跨境传输场景中的数据处理者/数据提供方,而供应商仅为受托方或技术提供方。
来源:环球律师事务所等团队
