数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「HR确需出境的理解」
「履行合同所必需的理解」
「一个APK同时境内外上架」
「重要数据翻译」
「用户数据训练大模型」
HR确需出境的理解
-问:按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,这里的“和”是and还是or呀。
-答1:OR,官方释义明确说了。
用人单位应当按照《劳动合同法》的规定,在与劳动者充分协商基础上建立劳动规章制度,在规章制度中对为实施人力资源管理所必需处理个人信息的规则作出规定。同时,用人单位还可以与劳动者签订集体合同,并在集体合同中对处理劳动者个人信息的规则作出约定。用人单位在劳动规章制度和集体合同中对个人信息处理规则作出规定和约定,也应当遵守个人信息处理的原则和规则,特别是要符合必要、目的明确、最小化处理等原则,只能处理与实施人力资源管理目的直接相关的个人信息,采取对个人权益影响最小的方式。
杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年2月版,第47页。
-答2:因为PIPL13条是典型的『,或者……(M和N)』结构,这种结构,通常=『,或者……(M or N)』。同时,还有劳动法的问题,因为有些企业是可以 规章制度 and 集体合同(很少)的,所以立法上也不排斥 and的情形。因此,这里的『和』,同时具有 和/或 的意思。此外,PIPL 13-4 (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;这里的兼具有 和/或 的意思,比照解释。详见:数据出境之“跨境人力资源管理”豁免规则的理解与适用
-答3:实践角度,一些公司依据制度如填写入职登记表,载明了员工信息,工作岗位,薪酬,时间,社保等,已具备劳动合同的要素了,即使未签订合同,视为《劳动合同法》第17条规定的书面劳动合同。我理解“或”也考虑了此种情况的。
-答4:国内绝大多数企业,绝绝大多数企业,连集体合同是什么都不知道。能做到涉及员工切身利益的劳动管理制度具备稳固合法性的企业都已经十分优秀,且稀有了,集体合同,基本就是一个可以被忽略的法条理想境界。制定规则的同志估计是认为既然是法定的一个劳动保障要求,各单位一定早已践行多年。
-追问:探讨一下,员工diversity&inclusion(性别种族 LGBTQ)的场景是不是很不“人力资源管理”?
-答5:这方面的管理,好像会尽量避免收集个人信息,尤其是还个人隐私和敏感个人信息,一般不能向员工收集。
-答6:员工自愿的,主动加入这样的项目、组织。强制必然违反最小必要了。
-答7:国内收集的时候肯定是选的员工单独同意的合法性基础。但把信息给到境外总部出境真的没想到“确需”的场景。比如发福利 这个我觉得不构成出境的确需 国外总部知道个统计数字比如残障人士福利 知道多少人 批预算就行了。还得看具体场景 一点点缕。如果说收集 残障信息 种族信息 宗教 党派之类的 1万以下还是走标准合同吧 而且保留好单独同意记录。出境目的方面要特别说明是为了保护员工的利益 员工的自愿选择,不能说为了人力资源管理需要,这行不通的。
-答8:种族、宗教、党派,还是不要收了,没必要性。
-答9:同意,之前疫情期间我司统计中招同事来发放补给,是总部赞助。也是最后从合规层面给了建议去遵循最小必要原则,没有给人员明细,只报了总数。
-答10:个人信息安全规范里有提到这里有些是“不宜收集”。
-答11:“确需”不能要求太高,不能解释为“必须”。
-答12:对于外资企业来说,一般是全球用一个HR管理系统,如果中国的HR管理不能统一用全球系统,等于境内要新做一个HR管理系统,企业成本和合规负担就比较高了。特别那些中国境内业务很少人员很少的外资企业。再有更多境内工作人员的汇报线直接在境外的,境内甚至可能没有企业内部HR部门的。所谓特定字段不出境,就是说HR管理需要这个字段,但是出境不需要,那境内就要有系统去存这些字段。
-追问:“确需跨境HR”,我是否可以理解,之前cac评估不单看安全也会看必要性,被拒的字段要么是因为安全,要么是觉得没必要,或者二者兼有。那么基于报告结果,我理解,过了字段就是网信办也认可了“确需”?
-答13:考察安全性更像是走形式,对安全性的描述要求一般外企都能满足。被拒字段,表面原因是缺乏必要性,但背后原因是这些字段的敏感性。但是这个尺怎么衡量比较抽象。
-答13:个人理解,字段层面主要考虑敏感度,主体层面主要考虑数据量,场景层面主要考虑必要性,实体层面主要考虑…
-答14:HR的场景,论证“确需”了,就豁免。论证不了“确需”,就不能跨境。不存在“非确需”但签署SCC、CAC、certificate的跨境合规性吧?所以能做到就是大胆的论述吧。
-答15:不能出境字段感觉也不是绝对的,有的场景可能也能出,只是以前论证要求高。
-答16:经咨询,监管对hr场景的说明是,如果劳动规章制度里有写,那就叫确需(每个公司的确需不一样)。至于写一个名词(场景)还是写完整的场景+字段,他们的答复是尽量细。
-答17:这个思路有点意思 把制度写的全一点。
-答18:现在整体的趋势就是,HR场景非必要就别限制,毕竟一个公司几百几千就算几万人信息出境到境外关联方,对国家安全到底能有多大影响哪?
-答19:安全评估主要考虑国家安全,但也要考虑个人权益的影响和安全(安全评估外的机制),所以即使是HR也有必要性的限制。
-答20:有关必要性,想起一年多前还被问过类似的问题。多做一套系统的成本确实很难取舍。以前还写过其他两个侧面的补充文章。一是刚性的必要性判断实际可以视为对数字交易的价格管制。二是也关系到绿色环保的问题。
总结:撸起袖子加油干,大胆论证吧。
履行合同所必需的理解
-问:“为订立、履行个人作为一方当事人的合同”这个豁免情形中,一定要“出境方”与个人均为合同的当事人吗?还是说只要个人为一方当事人就可以,另一方当事人可以为出境方的经销商、代理等。
-答1: 官方释义说得比较明确。
为订立、履行个人作为一方当事人的合同所必需,是指个人信息处理者与个人分别为合同双方当事人,而信息处理行为属于为订立和履行合同义务所必需。
杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年2月版。
-答2:看看下图。
-答3:曾得到官方口头答复:SCC可以是与境内代理方签署(在境外接收方确实不提供直接签约模式下),但境外接收方必须是代理关系的直接授权方,且有境外接收方明确清晰的书面代理授权附上、一并提交。
实践中备案审核是否照此执行,还不确定。
-答4:分别都是当事人的话,那这条的适用范围就很窄了。像是物流行业里,快递公司揽件,但是很多时候做数据出境的是下游其他物流商或者货代。但是这时候下游也很难找到寄件人拿同意啥的。
-答5:快递我觉得是这样,把后面的都包装成委托处理好了。合同就是,寄件人和快递公司。快递公司后面怎么委托处理,出境,反正对寄件人而言,出事了只找签了合同的人。寄件人和后面的人也没有法律关系。要做PIA或者相关申报也是应该快递公司做。
-答6:道理我赞同,不过很多时候上游是强势的那几家大快递公司,和下游合同里都把下游定义为单独的控制者,自己承担责任,拿着这个下游就很难说事儿了。
-答7:商业世界就复杂好多了。如果真的要打官司,还是要回归本源吧,下游是否自主决定处理目的呢。
-追问:在不良资产债权转让的情况下,可以依据履行合同所必需,无需取得个人同意即可处理个人信息;但是在不良资产债权收益权转让的情况下,除获得同意外是否有其他个人信息处理的合法性基础?
-答8:债权转让有这个规则:《中国银保监会办公厅关于开展第二批不良贷款转让试点工作的通知》。
-答9:收益权转让和债权转让还不太一样,只检索到《关于规范银行业金融机构信贷资产收益权转让业务的通知》(银监办发〔2016〕82号)规定了出让方的信息披露义务,即出让方银行和其他相关交易主体应当按照有关要求,向投资者及时、准确、完整地披露拟转让收益权的信贷资产相关情况。
-答10:收益权是债权的权能之一,举重以明轻,我觉得可以类推解释。
-答11:九民纪要认为收益权让与实质等于债权让与,德国民法上承认有独特的收益权让与,即 Abtretung der Einziehungsbefugnis。我认为举轻以明重。但是透明性原则不能少,实际仍应加黑加粗告知。
-答12:但是我看到一些不良资产处置的书、文章的观点,是认为,收益权受让人获得的只是一种对价,不能直接向债务人主张权利
。看起来更像是民事法律关系上的向第三人(收益权人)履行债务。
-答13:银行打包给AMC或自家信托实现出表,但仍保留催收权利。
总结:胆子大点 ,论证吧。
一个APK同时境内外上架
-问:产品部门为了减轻维护人力,想只做一款APP,然后上架国内应用商店和海外应用商店。APP会通过用户的DNS判断用户是国内用户还是海外用户,然后来区分使用国内和国外的服务器存储海内外用户的数据,区分使用不同的海内外域名。我感觉合规上没问题,但是会不会存在应用商店上架过程的一些别的阻碍之类的?我好像目前也没见过哪个APP会通过这种方式来同时上架海内外的应用商店。
-答1:那你就让他们去上架呗,能上去就行。
-答2:淘宝就是这么搞得。
-答3:建议区分开 app 通过 DNS 来判断用户是境内还是境外会出现误判 误判情况下导致本属于国内的用户存储到海外服务器(哪怕只是传输) 如果被网信办监测到 会被监管约谈。
-答4:注册怎么注册?需要手机号么?让用户选一下呗 海外版的话 需要本地手机号注册?
总结:稳妥点还是算了。
重要数据翻译
-问:重要数据的英文,是important data, critical data还是key data呢?好像每个国标都不一样。
-答1:刚发的分级分类国标是Key,已经生效了,不是征求意见稿。
-答2:可以用important data,我觉得critical有点太重要了哈哈。
-答3:翻译还是要看国外读者的接受程度,像国标里把“数据处理者”翻译成“data processor”就没法直接用啊。我们大概统计过,国际所还是用important data的最多。Critical一般还是对应着关键,毕竟有CIIO这个词在。key做形容词的英文解释是most important; essential,比important程度要深一些。不过我觉得这俩哪个都可以。
总结:key和important都可。
用户数据训练大模型
-问:国内大模型有拿用户输入的记录去训练模型的吗?
-答1: 你去看看各个大模型的用户协议?比如通义自己都这么写了…它会不用吗。
4.6.您确认并同意,通过本服务及相关配套服务上传、生成、发布或传播的所有信息内容,您特此赋予我们和/或关联公司一项全球范围、永久有效、免费的许可权,允许我们在优化模型和服务的过程中使用您的信息内容。该许可不仅包括直接使用权,还涵盖可转让性、以及向第三方分许可或再许可的权利。此外,对于您经由本服务及关联服务输入并传播的任何部分信息内容,您明确授权我们和/或关联方有权使用这些内容,以用于与我们品牌相关的市场营销、推广活动、学术研究及其他相关用途。
《通义千问服务协议》
-答2:豆包也写了,调优模型。
-答3:他们的套路是:在服务协议里先提示用户输入的内容不要包含个人信息。据此——平台认为用户输入的内容不是个人信息,因此不存在滥用个人信息的行为;其次,在协议里再说明授权上传和产出的内容用户模型调优。如果让我写这个条款,我不会这样写,这个成格式条款了,只给了平台权利,没给用户权利或拒绝的路径。我会加一个“除非有相反情况证明”。给自己留个解释的空间,真被较起真儿来,还可以说平台提供了反馈和投诉的通道,依据服务协议,用户是可以在平台内要求不处理的。
-答5:那个不用于训练的入口,感觉还挺难做的。
-答6:实践中企业们感觉也不会做,做了基本上都拒绝了。但协议里得留个口子,需求用现有的各种反馈路径来承接。它协议里不留口子,那这个就真成格式条款了…辩无可辩。我感觉这个可能以后会成强制要求的……就看监管会不会出类似于个保合规检查的文儿了。跟隐私政策和客服路径必须得几步里找到一样。
-答7:还有不拿的吗?
-答8:端侧部署,不联网的,不拿。
-答9:行业通行做法是“默认用于训练模型、在隐私政策中一揽子告知/同意”、允许用户行权要求退出,但退出路径不尽相同,提供在线关闭面板的很少——open ai太高配、很少有人抄这样的作业。倾向于还是应该优先关注产业发展,现阶段不要以过高且难以落地的权利保护要求来限制技术创新啊。简单把既往的做法和框架套在新技术身上时,高举权利保护的大旗以彰显“正确与正当”是很容易的,但是不是真正帮助产业发展、真的能保护权利,就不一定了。
-答10:有的模型训练是不使用真实用户交互数据的,可能是考虑到质量不高,清洗标注太麻烦了、成本太高了;也可能就是不需要,模型开发和调优都给到第三方或其他团队了,运营环节的数据处理就另一个工作,不管模型开发和调优了。而且哪怕隐私政策中写了会用用户数据进行模型优化,也未必是所有时刻、所有用户数据都拿来这样用了。感觉落地到这点“用or没用”,服务提供方的律师在举证上要累死了。
-追问:这个条款是放在隐私政策好还是用户协议好呢?放在隐私政策似乎默认了用户输入的信息都是个人信息,这从主体行权的角度是不是也会有加重企业合规成本的风险?
-答11:AIGC服务中行业内对用户数据(无论是否匿名化、可识别)的使用还都是普遍放在隐私政策中描述的,而且用户输入信息和用户ID、日志记录等结合构成用户个人信息(用户端的合理隐私期待也是认为inputs、outputs是个人信息啊),不过可以描述为会匿名化后再使用用户的交互数据来优化模型。
如果写用户协议里,不仅不符合用户和监管方查找习惯,而且还会被认为隐私政策中对用户数据的使用场景披露不完整、告知义务未尽到,比较有风险啊。
说到底,需要站在用户视角体会在哪里“告知”最合适。别隐私律师干完活了,还被用户抱怨和投诉。
-答12:一般放在大模型对应的隐私政策里。
-答13:他那个隐私协议要叫服务协议,我也是很难受。
-答14:同难受。服务协议和隐私政策通常都是两个文件。
-答15:不过,相对的是在用户协议里面很多大模型会约定输出内容归属于平台,是给用户非商业的授权,那这样子的话,这里面也是一个矛盾。
-答16:IP和其他权益归属与数据使用,是两个问题、两个法律领域和不同请求权基础呀,分别描述清楚使用和归属,不冲突的呀。
总结:立法过早,对产业是促进还阻碍?
HR管理确需出境的理解
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。