自8月20日《个人信息保护法》(以下简称《个保法》)在第十三届全国人大常委会第三十次会议表决通过后，企业在人力资源管理合规方面迎来的变化引起普遍关注。

基于《个保法》将于2021年11月1日施行，对在中国运营的跨国企业来说，企业将员工的个人信息共享给海外总部时，需要按照网信部门的有关规定经专业机构进行个人信息保护认证。

一位供职在“四大”的法务人员告诉《中国经营报》记者，按照政策要求，跨国企业可以向境外提供员工信息，但当企业处理的个人信息达到网信部门规定的限制数量时，除通过国家网信部门组织的安全评估外，否则将不得向境外提供。

这意味着，当《个保法》实施后，企业对个人信息跨境处理的监管也将越来越严格，随之而来的是，跨国企业对员工个人信息的跨境传输也面临新的调整。

根据《个保法》的规定，在中国境外处理中国境内自然人个人信息的活动，符合特定情形后，将受到该法的保护。这些情形包括，以向境内自然人提供产品或者服务为目的;分析、评估境内自然人的行为;以及法律、行政法规规定的其他情形。

记者了解到，目前个人信息跨境流动主要包括两种情况。一是境内员工个人信息存储在境外服务器上，由境外母公司统一管理;二是境外个人及家庭成员的信息提供给境内实体处理或委托境内供应商处理。

上述法务人员介绍，个人信息跨境流动的两种情况都属于《个保法》的管辖范围，因此企业如果向境外提供个人信息，首先必须满足法定条件，比如说通过相关机构的评估认证，或与境外接收方签订标准合同等。

在此要求下，自然人的一般个人信息和敏感个人信息也都将受法律保护。

根据规定，员工一般个人信息主要是个人的基本信息，比如姓名、出生日期、身份证、住址、电话、教育背景、工作经验等内容。敏感个人信息则包括员工的体检报告、员工未成年子女信息、医疗就诊记录、指纹或者面部识别信息，以及因远程办公而搜集的员工行踪轨迹等内容。

瑞栢律师事务所劳动法高级律师张晶晶认为，《个保法》正式实施后，用人单位处理个人信息须有法律基础，“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”是该法最终颁布版本中新增加的处理个人信息的法律基础。

“从实践操作角度看，新增加的法律基础条款，很大程度上减轻了用人单位处理个人信息时获得员工同意的时间成本和管理负担。”张晶晶说。

《个保法》中提及的“处理”个人信息，主要是指收集、存储、使用、加工、传输、提供、公开、删除等一系列行为和动作。

不过随着《个保法》的落地实施，政策对企业处理敏感个人信息也提出了更高要求，比如企业要采取严格保护措施以及履行单独的“告知-同意”程序等内容。

在法律人士看来，从操作层面看，用人单位在使用员工信息时，在必要和适当的场景应该增加专门针对敏感个人信息的“告知-同意”环节，这将有效保护个人信息的安全。

不仅如此，在处理敏感个人信息时，用人单位还应事前进行个人信息保护影响评估，并对处理情况进行记录。

根据普华永道的调研，个人信息保护影响评估一般包括：个人信息的处理目的、处理方式是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效，并与风险程度相适应等内容。

张晶晶对此建议称，在《个保法》实施之际，当前用人单位应结合本企业员工个人信息跨境处理的具体情景制定对应的合规计划，以确保境内和境外实体均符合本国和境外地区的数据安全和个人信息保护要求。

事实上，在《网络安全法》及《数据安全法》对向境外提供个人信息的限制主要针对关键信息基础设施的运营者后，《个保法》将个人信息跨境提供的限制扩展到了所有的个人信息处理者，这把个人信息保护提升到新的高度。

与此同时，作为中国第一部专门保护个人信息的法律，《个保法》的实施对个人信息安全也具有重要意义。

(本报记者 杜丽娟 北京报道)