跨国企业员工信息出境合规要点分析（上）

一、员工信息出境的监管要求

根据法律规定，企业员工信息出境必须满足以下要求：

1. 取得员工单独同意或其他合法性基础，并履行告知义务

如果企业根据《个人信息保护法》第十三条第一款第一项规定，基于员工同意处理员工信息，那么根据《个人信息保护法》第三十九条规定，企业向境外提供员工信息必须取得员工单独同意。而企业如根据《个人信息保护法》第十三条第一款第（二）至（七）项规定处理员工信息，则无需再取得单独同意。但无论基于何种合法性基础处理员工信息，企业向境外提供员工信息都应履行告知义务，向员工告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项。

2. 员工信息出境合规路径要求

《个人信息保护法》第三十八条规定，个人信息出境需满足三种合规路径之一，即通过国家网信部门组织的安全评估；按照国家网信部门的规定经专业机构进行个人信息保护认证；或订立个人信息出境标准合同。在此基础上，《数据跨境规定》根据出境信息规模，进一步细化信息出境合规路径要求，同时增加了豁免规定，具体而言：

1. 不满10万人个人信息且不含敏感个人信息

根据《数据跨境规定》第五条第一款第（四）项，关键信息基础设施运营者以外的数据处理者当年累计向境外提供不满10万人个人信息且不含敏感个人信息的，豁免信息出境合规路径要求。

2. 10万人以上、不满100万人个人信息且不含敏感个人信息，或者不满1万人敏感个人信息

根据《数据跨境规定》第八条，关键信息基础设施运营者以外的数据处理者当年累计向境外提供10万人以上、不满100万人个人信息且不含敏感个人信息，或提供不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同，或者通过个人信息保护认证。

3. 当年累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息

根据《数据跨境规定》第七条，关键信息基础设施运营者以外的数据处理者当年累计向境外提供100万人以上个人信息且不含敏感个人信息，或提供1万人以上敏感个人信息的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

4. 为实施跨境人力资源管理确需向境外提供员工信息

根据《数据跨境规定》第五条第一款第（二）项规定，企业符合“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”之情形的，可以豁免数据出境路径合规要求。同时，《数据跨境规定》第七、八条第二款均规定：“属于本规定第三条、第四条、第五条、第六条规定情形的，从其规定。”因此在符合第五条规定的适用条件之前提下，无论员工信息规模如何，企业均可以获得豁免。

需要注意的是，《数据跨境规定》第五条规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”，虽然用语与《个人信息保护法》第十三条第一款第（二）项规定的“...或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”相似，但二者分别指向不同维度的条件：前者规定的是豁免数据出境合规路径的条件，而后者是处理个人信息的合法性依据。只有企业为实施跨境人力资源管理确需向境外提供员工信息的情形下，才符合《数据跨境规定》的豁免条件。但如果企业向境外提供员工信息并非出于人力资源管理需要，即使其处理员工信息是人力资源管理所必需，依然要符合前述数据出境合规路径要求。

3. 个人信息保护影响评估

根据《个人信息保护法》第五十五条规定，企业向境外提供员工信息的，除满足上述条件外，还应当事前进行个人信息保护影响评估，并对处理情况进行记录。

结合《个人信息保护法》、《数据跨境规定》等规定，我们梳理企业员工信息出境的监管要求如下：

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.