- with readers working within the Retail & Leisure industries
- within Antitrust/Competition Law, Criminal Law and Tax topic(s)
- in United States
一、《数据跨境规定》下跨境人力资源管理豁免的适用条件
《数据跨境规定》第五条规定:“数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:...(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;...。”因此,企业适用跨国人力资源管理豁免,需满足以下条件:
1.劳动规章制度的合规性
《数据跨境规定》明确规定规定了适用跨境人力资源管理豁免对劳动规章制度合规性的要求,即必须是依法制定的劳动规章制度。具体而言,首先,在内容上,规章制度必须合法合规,遵守《劳动法》、《劳动合同法》等相关规定。其次,在制定程序上,制定过程应当遵循民主程序,经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定,确保制度的合理性和公正性,并保存制定过程的相关记录,如会议纪要、意见征集和公示证明等。此外,对于直接涉及劳动者切身利益的规章制度和重大事项决定,用人单位还应当予以公示或告知劳动者。最后,劳动规章制度发生变化时,用人单位应及时将变更内容告知劳动者。
2.集体合同
根据《数据跨境规定》,跨境人力资源管理豁免同样适用于依法签订的集体合同。首先,集体合同的内容必须符合法律规定,严格遵守《劳动法》、《劳动合同法》等相关规定。其次,订立集体合同应基于平等自愿的原则,企业应与工会或职工代表进行协商,充分听取员工的意见和建议。再次,集体合同草案需经职工代表大会或全体员工讨论,经全体职工(代表)的过半数同意,集体合同草案才能获得通过。最后,集体合同订立后,应当报送当地劳动行政部门备案。如无异议,集体合同在15日后生效。
3.同时满足还是择一满足?
《数据跨境规定》载明跨境人力资源管理豁免适用于“按照依法制定的劳动规章制度和依法签订的集体合同”的情形。有观点认为,跨国企业必须同时满足劳动规章制度及集体合同要求,才能适用该豁免。但笔者认为,这两项条件只需择一满足即可。实践中,跨国企业使用集体合同并不常见,如果要求企业必须同时满足依法制定劳动规章制度和与员工订立合法的集体合同,才能豁免确需出境的员工个人信息,不仅对企业而言过于苛刻,也不符合《数据跨境新规》旨在促进数据流动的立法初衷。因此,企业在依法制定的劳动规章制度或依法订立的集体合同这两项形式要件中,只需满足其一即可。
4.“确需”向境外提供
《数据跨境规定》将跨境人力资源管理豁免的适用限定在“确需向境外提供”的场景。目前,对于“确需”的解释还没有官方解读或形成普遍观点。作为参考,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)被公认为全球数据保护的高标准,在跨境传输个人数据方面,GDPR同样提供了豁免(克减条件)。根据GDPR第49(1)(b)条的规定,当数据跨境传输是为了履行员工与雇主之间的合同所必需时,可依据该豁免进行合法传输。
但在关于GDPR第49条克减条款的适用指南中,欧盟明确了一个较高的必要性要求,即要求数据传输与合同目的之间存在密切且实质性的关联。欧盟认为,当一个企业将其薪酬支付和员工管理职能集中在第三国时,即使企业认为此类传输是履行员工与数据控制者之间签订的雇佣合同所必需的,由于此类传输与雇佣关系之间不存在直接且客观的关联,仍然不能适用第49(1)(b)条的例外规定进行数据传输。
GDPR为理解《数据跨境规定》中的“确需”提供了一种解释路径,但需注意的是,欧盟在数据保护领域一直以“高标准”闻名。而回溯《数据跨境规定》的制定过程和出台背景,正式颁布的《数据跨境规定》将征求意见稿中的“必须”改为“确需”,也证明《数据跨境规定》的立法宗旨和立法趋向是为了减轻跨国企业人力资源管理的负担。因此,在跨境人力资源管理豁免上,“确需”可以理解为要求企业向境外提供员工信息与实施跨境人力资源管理之间存在一定的联系,但并未明确要求这种联系是“密切且实质性的”。
二、跨国企业开展员工信息出境合规的建议
1.企业内部梳理涉及员工信息的项目,并进行个人信息保护影响评估
企业可以从收集的员工信息种类、处理目的、处理方式、对个人权益的影响、采取的保护措施等方面,全面系统梳理所有涉及员工信息处理的项目,明确每个项目所适用的监管要求,同时依据《个人信息保护法》第五十五条规定,开展个人信息保护影响评估。
在评估过程中,企业应首先明确收集处理员工信息是否可以适用《个人信息保护法》第十三条第一款第(二)项规定作为合法性基础。例如,对于员工的婚姻状况、生育意愿、家庭条件、个人爱好等信息,一般认为这类信息与岗位职责和工作能力无直接关联,不属于为实施人力资源管理所必需的员工个人信息。因此,企业在收集和处理这些信息前,除非能够证明系人力资源管理所必需,否则应获得员工明确同意。而对于涉及员工信息出境的项目,企业应进一步分析是否可以适用跨境人力资源管理豁免,即是否满足相应条件。对于不符合豁免条件的项目,企业仍应遵循三条数据出境合规路径要求。
2.履行向员工告知的义务
《个人信息保护法》第三十九条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”因此,无论是否适用跨境人力资源管理豁免,对于向境外提供员工信息的,企业都应向员工履行告知义务,告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项。
3.梳理劳动制度文件
企业应根据相关法律规定,梳理已制定的劳动合同、劳动规章制度和集体合同,确保其符合《劳动法》和《劳动合同法》的要求。在完善劳动合同、规章制度和集体合同的过程中,企业可以将涉及员工个人信息处理和出境的条款纳入其中,并通过合法程序予以确认和公示。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
