数据出境之“跨境人力资源管理”豁免规则的理解与适用

来源:数据何规

文章摘要
作为广受跨国企业期待的数据出境监管政策重大转变之一,《促进和规范数据跨境流动规定》(下称“《新规》”)规定了“跨境人力资源管理”豁免规则,即根据《新规》第五条第(二)款之规定,以下情形豁免申报安全评估

作为广受跨国企业期待的数据出境监管政策重大转变之一,《促进和规范数据跨境流动规定》(下称“《新规》”)规定了“跨境人力资源管理”豁免规则,即根据《新规》第五条第(二)款之规定,以下情形豁免申报安全评估、签订标准合同及保护认证(以下统称“豁免申报”):
“按照【依法制定的劳动规章制度和依法签订的集体合同】实施跨境人力资源管理,(必须)确需向境外提供(内部)员工个人信息的”。
“跨境人力资源管理”豁免规则的理解和适用,是能否真正落实国务院“支持外商投资企业与总部数据流动”政策的重要风向标,也关乎外资企业对于新政的获得感。结合有关监管趋势及项目实践,综合应用体系、文义、目的和历史解释等多种法律解释方法,就“跨境人力资源管理”豁免规则的理解和适用,汇业律师事务所黄春林律师团队分析如下,仅供参考。
01、跨境人力资源管理”豁免规则的法源基础是什么?
因为《新规》第五条与《个人信息保护法》(以下简称“PIPL”)第十三条实在“长得很像”,以至于很多人误以为“跨境人力资源管理”豁免规则的法源基础是PIPL第十三条。实际上,PIPL第十三条规范的是合法性基础,即满足“人力资源管理”必需的,可以不需走“同意”条件,这主要着眼的是“权益”维度;而《新规》第五条规范的是出境路径,即满足“跨境人力资源管理”必需的,可以豁免申报,这主要着眼的是“安全”维度。
从体系解释的角度,既然两者的着眼维度不一样,就决定了《新规》第五条的法律解释不能生搬PIPL第十三条的文义、逻辑。《新规》第五条真正的法源基础是PIPL第三十八条的规定,因此应当按照该条的文义、价值等来解释“跨境人力资源管理”豁免规则,具体详见后文分析。
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
《个人信息保护法》第三十八条第一款
02、“人力资源管理”可以覆盖哪些子场景?

《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)中说明PIPL第十三条免于同意之“人力资源管理”必需时,列举的是“用人单位因与个人订立劳动合同而收集姓名、联系方式、学历、工作履历等必要的个人信息”。这里将“人力资源管理”必需狭义解释为“订立劳动合同”必要,显然有悖立法文义。若比照将《新规》第五条的“人力资源管理”仅限定在“订立劳动合同”,则既错解了原文文义,更是搞错了法源(详见第一部分)。
诚然,之前的数据出境安全评估实践中,确实存在部分项目中狭义理解“人力资源管理”为“订立劳动合同”必需,从而可能导致人力资源管理相关的部分子场景(例如休假管理、员工保险、员工考勤、员工绩效、合规管理、离职管理、退休福利等)及其相关的字段被拒的情形(通常所说的“部分不通过”),因此限制了外资企业向总部传输的人力资源数据范围和规模。
从文义解释的角度,既然立法用的是“人力资源管理”必需,就不同于“订立劳动合同”必需。“订立劳动合同”仅仅是“人力资源管理”一环。我们建议,参照《劳动法》篇章结构及《劳动合同法》第四条关于规章制度的范围,“人力资源管理” 应当涵盖从入职到离职再到退休的员工用工全生命周期和全管理场景,其中就包括劳动合同子场景、工资福利子场景、职业培训子场景、保险福利子场景、考勤休假子场景、合规管理子场景,等等。因此,这些子场景必需的一些个人信息处理活动,都可以解释为“人力资源管理”必需。
03、跨境人力资源管理”等于“跨境用工”吗?
有观点认为,《新规》正式版在《征求意见稿》的基础上,将“人力资源管理”修改为“跨境人力资源管理”,意在限缩该豁免规则的适用场景为“跨境用工”,即,豁免规则只适用于那些拿globalpay的国际员工,最多也就放宽到具有实际跨境工作需求的部分员工,因此得出结论,员工个人信息“全量出境不具有必要性”。这种理解,似乎表面上也符合法律解释之限缩解释方法。
但是,撇开“跨境用工”的申报主体适当性问题,我们认为,前述理解不仅脱离了作为法源基础的PIPL第三十八条之“因业务等需要”的应用场景,也脱离了《新规》出台的国际经济环境和政策背景。从目的解释的角度,《新规》的出台目的之一,旨在适当放宽数据跨境流动条件,合理回应跨国公司正常的经营管理需求。
因此,应当正确理解“跨境”的宣示意义。即,那些资本、运营、管理等具有跨境属性的跨国公司,他们人力资源管理数据的跨境需求具有现实的应用场景,因此应当得到支持,从而真正落实国务院“支持外商投资企业与总部数据流动”的政策导向。这就是我们通常说的“数据跨境要有合理的应用场景”,一切不带应用场景的数据跨境都是“耍流氓”。
04、如何理解“确需”的尺度?
为了确保与其法源PIPL第三十八条的表述一致性和第三十九条的逻辑一致性(如果出境都满足“必须”了,还要啥“同意”甚至“单独同意”?), 征求意见过程中有人建议应当将“必须”改为“确需”,《新规》正式版采纳了这一建议。
我们认为,这一变化,充分体现了从“必须”到 “确需”的必要性强度变化,也印证了监管实践中关于人力资源管理场景数据出境审查尺度的前后变化。
在安全评估实践中,收集必要性不等于出境必要性,而对于出境必要性的审查主要体现在如下几个层面:场景必要性、主体必要性、字段必要性等。例如,员工的家庭住址、政府任职经历、社保记录等字段可能不具有出境必要性,求职者、员工家属等主体可能不具有出境必要性,会员管理场景可能不具有出境必要性。
《新政》实施后,考虑到人力资源管理相关的数据规模较小、国家安全风险较低,同时考虑到人力资源数据兼具员工个人权益与企业自主经营权的双重属性,以及跨国公司人事管理的实际业务需要及网络系统部署现状等因素,我们建议坚持包容审慎原则,适度放宽跨国公司人力资源管理场景(尤其是订立劳动合同以外的一些子场景)的“确需”出境认定标准,提高跨国公司人力资源管理数据跨境流动的便利性和系统部署的灵活性,实质降低在华跨国公司的人力资源管理成本。
05、如何理解“员工”的范围?
考虑到人力资源数据基本都是放在同一套网络系统上(例如Workday、SuccessFactors等),为了避免因为少数主体、个别字段整改而牵连整个网络系统落地或更换,导致企业不成比例的合规投入,征求意见过程中有人建议应当将《征求意见稿》的“内部员工”扩大到候选人、正式员工、非正式员工(例如劳务派遣、外包工等)、退休人员以及与其相关的人员(例如家属、紧急联络人等)。
但是,在《新规》正式版中,仅将“内部员工”修改为“员工”。我们认为,从历史解释的角度,既然有如此刻意而为之的变化,就意味着豁免规则不限于“内部员工”。“内部员工”不是一个标准的劳动法术语,当初立法者想表达的意思可能就是“正式员工”。之前的部分数据出境安全评估实践中,申报者被要求在数据资产情况中,分开列支正式员工、非正式员工及其他人员的各自数量,亦有认定非正式员工的个人信息出境不具有必要性的案例。
令人略有遗憾的是,《新规》没有将求职者、家属等纳入豁免规则适用范畴,这就意味着该部分人力资源数据可能要么本地化,要么与其他场景一起额外走出境申报或备案(若总体数量达到阈值的)。申报时,我们建议企业根据年限、匹配度等维度压缩求职者规模后形成候选人池(建议不高于2万人),在求职者与候选人之间形成“剪刀差”,突出候选人池的人力资源属性和价值,进而提高候选人出境申报成功率。
06、“和”的意思是“and”还是“or”?
如何理解“按照依法制定的劳动规章制度和依法签订的集体合同”中的“和”的意思,是实务中一个略有争议的话题。有观点认为,这里用的“和”而不是“或”,文义解释应该就是“and”的意思,即企业既要依法制定劳动规章制度,还要依法签订集体合同。
我们认为,这种观点在劳动法上不具有可落地性(目前能够依法签订集体合同的企业只是少数,用某劳动法律师的调侃,“不信我们劳动法解决不了的问题,你们个保法能解决了?!”),同时也不符合法律解释之当然解释、类推解释方法。我们认为,这里的“和”是 “and/or”的意思,理由如下:
(1)立法技术上,“和”有时是 “and”的意思,有时是“or”的意思,但通常在【,或者……(M和N)】的立法句式中,“和”是“and/or”的意思。《新规》这条是“硬搬”的PIPL第十三条第(二)款,丢掉了“或者”前半结构,但保留了“和”后半结构,因此可以类推适用。除了第(二)款外,PIPL第十三条第(四)款也是这个句式:
“(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”
显然,同样的,该款的“和”是 “and/or”的意思,就是说要么“生命健康或财产安全”择其一, 要么“生命健康和财产安全”二者兼得。类似的立法技术,在《电子商务法》、《密码法》中也有,例如:
第七十九条 ……,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的……
第四十条……,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。
那么,有人或许要问,如果【,或者……(M和N)】句式要表达“and”的意思,怎么办呢?我们注意到,立法技术上通常采用【,或者……(M并N)】、【,或者……(M且N)】的结构,例如《网络安全法》、《民法典》中的如下条款:
第六十条……,或者未按照规定及时告知用户并向有关主管部门报告的……
第三十六条……,或者无法履行监护职责且拒绝将监护职责部分或者全部委托给他人……
(2)当然,从劳动法落地实践的角度,也说的过去。因为确实有部分企业可以做到“依法制定的劳动规章制度”and“依法签订的集体合同”,当然立法者也不排除 “依法制定的劳动规章制度”or“依法签订的集体合同”的现实情况。
(3)我们也注意到,全国人大法工委杨合庆主编的《个人信息保护法释义》持“or”的观点,详见第47页。
用人单位应当按照《劳动合同法》的规定,在与劳动者充分协商基础上建立劳动规章制度,在规章制度中对为实施人力资源管理所必需处理个人信息的规则作出规定。同时,用人单位还可以与劳动者签订集体合同,并在集体合同中对处理劳动者个人信息的规则作出约定。用人单位在劳动规章制度和集体合同中对个人信息处理规则作出规定和约定,也应当遵守个人信息处理的原则和规则,特别是要符合必要、目的明确、最小化处理等原则,只能处理与实施人力资源管理目的直接相关的个人信息,采取对个人权益影响最小的方式。
杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年2月版,第47页。
07、结语
《新规》制定过程中,为了降低企业合规成本、提高数据跨境便利度,各界都认识到数据出境监管政策调整的紧迫性,但是调整的方式却有两种观点:一种认为,应当通过执法端改革,即放松安全评估尺度的方式(例如初期安全评估实践);另一种认为,应当通过立法端打补丁,即放宽安全评估阈值的方式(例如新政)。最终,由于种种原因,后一种观点成为现实。
实际上,任何一种政策,都是立法与执法“双向奔赴”的过程。即便现在《新规》补丁实施了,我们仍然期待监管执法实践中,坚持以国家数据安全风险为导向,更加科学灵活、包容审慎的理解和适用“跨境人力资源管理”豁免规则,让跨国企业真真切切的感受到新政获得感,从而回归本次政策调整的初心——“便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放”。
当然,企业在适用“跨境人力资源管理”豁免规则时也不能躺平。毕竟,豁免申报并不等于豁免合规,企业仍应当针对跨境人力资源管理依法开展规章制度更新、增强告知与单独同意落地、个人信息保护影响评估、跨境数据处理协议签署、安全保护措施到位、事件响应合规,等等。
正所谓,“法律的生命力在于施行。”

技术驱动法律,专业成就未来