《个人信息保护法》生效后除了对个人有重大的影响，对于公司而言，会有什么样的影响呢？公司需要如何做到合规运营，才能避免踩到《个人信息保护法》的红线？公司现有的隐私文本是否需要更新升级？如何升级？

对灵魂问题的拷问，律师从来都不会缺位。上海格联律师事务所的夏海波律师团队结合实务经验，从个人信息的收集、存储、使用、加工、传输、公开、删除等环节，在公司制度完善层面，提出如下合规建设的建议供参考。

一、员工隐私政策

《个人信息保护法》明确规定，依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必须时，处理个人信息可以不需取得个人同意。该法也同时规定了处理员工个人信息的其它规定。为满足合规要求，建议公司就员工隐私政策单独制定相应的文本。对于隐私政策文本，需要注意以下内容：

1、隐私政策文本应满足易读性要求

《个人信息保护法》第17条规定，“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项……”。

部分外资企业的员工隐私政策系由英文版本翻译而来，整体表述较为拗口、晦涩，不符合中国人的阅读和理解习惯，显然不符合个人信息保护法的要求。我们建议，隐私政策文本按照中文的语言表达习惯进行制订、修改或完善，以达到清晰易懂的程度。

2、明确收集员工个人信息主体

鉴于有些集团公司下属有很多关联公司、子公司等，各子公司、控股公司或非控股投资公司均是独立的法人，如果员工的个人信息除了提供给受雇公司使用外，还需提供给集团公司或其他关联公司或总公司使用的，我们建议在员工隐私政策文本上加上附件，附件内容为集团内各公司个人信息处理者的名称及联系方式；如仅提供给受雇公司使用的，那么如果集团内每个公司都采用其特定的非统一的员工隐私政策，那么我们建议集团内各公司的隐私政策文本上增列各公司特定个人信息处理者的名称及联系方式。

3、明确数据收集范围

《个人信息保护法》的第4条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”（个人信息的定义），第28条规定“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”（敏感个人信息的定义）。

《劳动合同法》第8条规定“用人单位有权了解劳动者与劳动合同直接相关的基本情况，劳动者应当如实说明”，第17条规定“劳动合同中应当载明劳动者姓名、住址、身份证号码或其他有效身份证件号码等”。但是，除姓名、身份证号及住址外，对于其他哪些信息属于“与劳动合同直接相关”的个人信息，法律并未做具体规定。

比如“婚姻状况”是否属于与劳动合同直接相关的信息？我们认为答案是否定的。员工的婚姻、生育信息已被司法实践确认为不属于“履行合同所必需”的个人信息，如《关于进一步规范招聘行为促进妇女就业的通知》规定不得询问妇女婚育情况，不得将妊娠测试作为入职体检项目，不得将限制生育作为录用条件。

在制订隐私政策时应当考虑上述问题，同时在员工入职时填写相关入职信息栏目，收集员工个人信息时也应注意，婚姻状况不应被列为必填内容。

4、谨慎处理敏感个人信息处理

《个人信息保护法》第28条规定，“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”。那么问题来了，若公司的上班考勤系统为使用指纹、面容等，则收集的该部分信息属于生物识别信息，属于敏感个人信息。我们建议，公司在处理敏感个人信息时应坚持如下原则：1）具有特定的目的和充分的必要性；2）取得员工的单独同意；3）告知处理其敏感信息的必要性以及对个人的影响。

5、设置合理的信息存储时间

个人信息保护法中明确强调了存储个人信息要遵循必要性的原则，但未具体规定个人信息保存期间。根据《个人信息保护法》立法精神考虑，我们建议在员工隐私政策中增加对于信息存储时间的规定。

基于个人信息存储必要性与权利救济期限的综合考量，以及参考相关法律、法规（如《劳动合同法》第50条、《反洗钱法》第30条、《电子商务法》第31条等）的情况下，我们建议对员工个人信息保存期间设置为三年较为合理。三年的存储期间既符合个人信息存储必要性，又为员工提供了充足的救济准备时间。另请注意，按照国家标准《个人信息安全规范》6.1条的要求，个人信息存储期限届满后，应当对个人信息进行删除或匿名化处理。

6、设置个人信息保护责任人

《个人信息保护法》第52条规定，“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”。所谓处理个人信息达到国家网信部门规定的数量，在国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法（征求意见稿）》中是指“含有或累计含有50万人以上的个人信息或数据量超过1000GB。”。

我们建议，公司须注意若处理的个人信息数量达到了这一标准，那么应当在公司内部设立相应的部门，或成立专门的个人信息保护岗位，指定明确的负责人，并在公司内公开其联系方式，同时向履行个人信息保护职责的部门报送和备案。

7、与第三方共享个人信息的注意事项

公司在经营中，经常会存在向第三方共享本公司员工资料的情形。如果需向第三方共享的，我们建议在隐私政策文本中做出细化规定，同时在员工已签收本公司《隐私政策通知》的前提下，再次同意公司向《隐私政策通知》列明的第三方提供个人信息。公司也应遵循“必要原则”和“最小限度原则”，仅向第三方提供基于所办理事务需要的必要数据，而非向其开放某位员工登记在本公司的全部数据。若被共享的个人信息属于“敏感个人信息”的，公司需要取得员工的“单独同意”。如果接收信息一方属于境外主体的，公司除了需要取得员工的“单独同意”外，还需向员工告知其接收方的名称、联系方式、处理目的、处理方式和个人信息的种类。

二、个人信息出境

基于对员工信息的处理，公司将不可避免地成为“个人信息处理者”，进而受到《个人信息保护法》的规制，并且公司如是外资公司，难免出于人事管理的需要而向境外母公司、关联公司或合作伙伴提供员工的个人信息。《个人信息保护法》未明文排除个人信息出境不适用国内法，反而统一纳入本法的管辖范围，可能也是我国的长臂管辖是应用。因此，外资公司在处理员工信息时，除遵守法律的一般规定外，还应遵守《个人信息保护法》关于个人信息跨境提供的规则。

1、向境外提供员工个人信息，需获得员工单独同意

公司在向境外提供员工个人信息时，需遵守《个人信息保护法》第39条的规定，向员工个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及其权利行使的方式和程序等事项，并取得个人的单独同意。

2、向境外提供个人信息达到一定数量标准，必须通过主管部门的安全评估（即达到一定数量的，出境需强制安全评估）

对于需要向境外提供较大数量职工信息的，除获得员工本人同意外，还应获得主管部门的安全评估。《个人信息保护法》第40条规定，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”。此前，国家互联网信息办公室就《个人信息和重要数据出境安全评估办法（征求意见稿）》（“评估办法”）发出公开征求意见的通知，出境数据含有或累计含有50万人以上的个人信息的，即应报请行业主管或监管部门组织安全评估。但该文件还未正式颁布，我们建议公司对该《评估办法》的颁布情况保持密切关注，以便及时调整合规策略。

3、向境外提供个人信息未达到一定数量，需满足四选一

对出境数据未达到上文提及的必须开展安全评估的标准的，公司仍应确保满足《个人信息保护法》规定的其他条件。《个人信息保护法》第38条规定，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。”。根据前述规定，我们认为，公司与境外接收方签订中国国家网信部门制定的标准合同是一种相对便捷、高效且能够节约成本的数据出境合规方式。但国家网信部门尚未公布前述标准合同模板，我们建议持续关注网信部门对《个人信息保护法》配套文件的制定情况，待公布后及时与境外相关主体签署。

三、其他制度

公司应借助专业人士的力量，制定各类员工个人信息内部管理制度，包括员工个人信息保密制度、员工个人信息分类管理制度、员工个人信息调用制度、员工个人信息投诉、举报制度，员工个人信息处理安全事件应急制度等各类内部制度，对员工个人信息按个人信息保护法的要求进行规范处理，从而最大程度的合规运营。

上海格联律师事务所

2021年9月6日

附：格联所数据合规团队介绍

• 夏海波 律师（高级合伙人） 数据专家
• 张 宇 律师（高级合伙人）  合规专家
• 古 锐 律师（合伙人）      劳动法专家
• 郑泽爽 律师 数据专员
• 唐 娜 律师                合规专员
• 汪成杰 律师 劳动法专员
  

夏海波律师（Haibo Xia） 高级合伙人

复旦大学法律硕士，专利代理人资格，中级区块链应用管理师资格，14年执业经验。

夏海波律师专注于信息技术、网络安全与数据治理领域法律事务，曾为多家公司提供数据合规治理法律服务，在大数据法律业务领域不仅有理论功底，也积累了较为丰富的实务经验，包括医疗健康数据合规与治理、个人信息收集前的“增强式告知”和“即时提示”、数据采集和存储的基本规范、数据迁移、数据出境等一系列全方位法律服务。

| 社会职务

• 全国律师协会网络与高新技术委员会委员
• 上海市律协互联网与信息技术研究委员会副主任
• 上海交通大学法学院兼职硕士生实务导师
• 上海政法学院法学院客座教授
• 上海市浦东新区知识产权纠纷专家调解员。

| 专业著作

• 《大数据商业应用与法律实务》
• 《金融数据合规与治理白皮书（2020）》
• 《医疗数据合规与治理白皮书（2020）》
• 《数据处理协议法律合规审查要点分析》
• 《网络平台运用大数据杀熟的法律规制》
• 《互联网科技公司用户数据保护法律风险分析及解决方案》
• 《数据权利边界之廓清》

张宇律师（Yu Zhang） 高级合伙人

英国赫特福德法学硕士，20年执业经验。

张宇律师主要执业领域包括诉讼与仲裁、企业融资、私募股权/风险投资、数据治理，服务行业包括金融行业、化工、科技、现代制造业、零售、机场航空、电子与互联网、环保、能源、文化娱乐等。

张宇律师具有扎实的商事法律功底及丰富经验，曾为多家大型国企、外资公司提供常年顾问和专项事务法律服务，服务内容包括公司制度建立、公司法律文件起草审阅修改、为客户重大决策提供法律论证、为客户提供知识产权全面保护方案、参与专项投融资及收购兼并等。

| 社会职务

• 上海市松江区政府外聘法律服务专家库成员
• 上海市浦东新区东方调解中心法律专家调解员
• 上海市浦东新区知识产权局外聘律师调解员
  

古锐律师（Steven GU） 合伙人

华东政法大学法学学士，体育经纪人资质，13年执业经验。

古锐律师主要专注于争端解决和劳动法事务。在争议解决领域，代表国内外客户参与了各类民事、刑事诉讼、仲裁案件近百起，尤其在建筑房地产纠纷、商事合同纠纷、劳动人事争议、民事婚姻家庭继承等领域积累了丰富的经验，妥善地维护了客户的合法权益；在劳动法事务领域，包括指导规避劳动流程全风险，帮助企业审核劳动合同文本和企业规章制度，以及劳动工时、加班福利、三期员工管理及反舞弊调查，同时就工资假期、工伤社保等全领域纠纷提供专业法律服务并达到客户委托目标。

| 社会职务

• 上海市浦东新区专业人民调解中心特邀调解员
• 中国政法大学体育法研究所专家库律师

| 著述文章

• 劳务派遣的员工在用工单位发生工伤，谁来承担工伤责任？
• 新《行政处罚法》已生效，这10大亮点值得关注。
• 法务高阶修炼：加班、工时、假期的劳动法实务三件套

本文作者：夏海波  律师