第一,需取得个人的单独同意。《个人信息保护法》第39条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”
第二,确需向境外提供的,应通过国家网信部门组织的安全评估。《个人信息保护法》第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
员工的哪些个人信息应该受到保护?
外商投资企业HR如何遵守《个人信息保护法》?
一、事前预防
1、制定内部管理制度和操作规范、指引等文件。此项要求可以结合企业规模及性质,采取一些变通的方式。如果企业规模不大,个人信息搜集和使用不多的,可以在现有规章制度、员工手册等内部规范文件中修订。内容至少应当包括:个人信息搜集和处理的原则、信息保护负责人、搜集和使用的范围、操作权限、安全保护措施、保管期限和销毁、信息安全事件的应急预案、违规责任等。
2、采取必要的安全技术措施。除常见的签订《保密协议》外,建议采取如:文件加密、限制传播途径和范围(禁止拷贝和修改等)、去标识化(隐藏部分信息)、匿名化(不可逆的删除部分信息)等安全技术措施。
如存在与境外公司共用人事管理系统时,建议对境内员工个人信息传输的内容范围、查阅权限和限制、信息储存位置等,进行一定的梳理和规范。
3、明确个人信息操作权限,定期进行安全培训。例如,在现有岗位职责中,对涉及个人信息操作的人员增加相应的权限约定和设置;定期委托安全专家或律师对公司IT、人资及中高层管理人员进行个人信息保护的培训。
4、个人知情同意的确认。无论是针对员工、客户还是供应商等,在签订的书面文件中建议增加个人信息搜集和使用的知情同意确认。该确认可以是单独的确认书,也可以是合同中增加的同意条款,或者其他能够证明是信息提供者本人同意的方式。
二、事中监管
1. 应由企业外部成员组成独立机构进行监督,建立健全个人信息保护合规体系;
2. 事前进行个人信息保护影响评估,并至少保存三年;
3. 对外公开公布个人信息处理的规范文件;
4. 定期发布个人信息保护社会责任报告等。
三、事后免责
1. 及时将事件情况通报个人和监管部门;
2. 立即采取补救措施,避免事件影响进一步扩大;
3. 指导受影响的个人减少损失、积极维权等。
违反《个人信息保护法》的法律责任
该法将于2021年11月1日实施。
贝斯哲法律财税事业群
电话:021-64881926
E-mail:main@bestchoiceco.com
联系地址:
上海市闵行区顾戴路2988号赢嘉广场A座7C
上海市静安区万航渡路778号金融街静安中心2号楼1002单元
原文始发于微信公众号(贝斯哲):外商投资企业如何合法跨境使用员工个人信息? | 贝斯哲
