外资企业用工管理中应当注意的中国信息和数据管控立法 - 首页 > 文章案例 > 劳动法专栏文章
广东瀚诚律师事务所 彭小坤
曾几何时,人类为全球化而欢呼,为共同的社会发展与文明进步而振奋。未曾料到,局势竟然以令人惊愕的方式转向。如果说几年前“中美脱钩”只是停留在政治层面,外资企业还可以期待中美双方通过谈判来管控风险,现在则已经有了非常明确的答案:无论任何人担任美国总统,“中美脱钩”已经是全方位的趋势,而且不可更改。受此影响,中国已经通过立法来加强信息管控,既是因应电子信息时代来临的管理要求,也是“中美脱钩”背景下的法律竞争手段。作为外资企业,一方面既可能受到美国“长臂管辖”的困扰,另一方面又必须遵守中国的法律规定,相关问题同样影响劳动用工管理,需要高度重视。
一、《中华人民共和国个人信息保护法》相关立法
无论是否是关键信息基础设施运营商,作为用人单位,外资企业都需要全面遵守《中华人民共和国个人信息保护法》(2021年11月1日生效,以下简称《个保法》)。《个保法》规定个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”同时通过界定“个人信息的处理”的范围来极大地扩张对个人信息的保护:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
《个保法》虽然规定了为订立、履行个人作为一方当事人的合同所必需或按照依法制定的劳动规章制度、集体合同实施人力资源管理所必需时,用人单位可以处理个人信息,甚至无需个人另行同意,但是,因为用工管理过程中可能涉及敏感个人信息,仍建议用人单位取得劳动者同意乃至单独同意,以符合法律相关要求。而外资企业更需要注意的是,如果涉及跨境提供个人信息,必须满足特定的法律要求:要么通过国家网信部门组织的安全评估,要么按照国家网信部门的规定经专业机构进行个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。要是涉及境外司法或执行机构,更要遵守中国的规则:非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
二、《中华人民共和国数据安全法》相关立法
除了《个保法》外,2021年9月1日生效的《中华人民共和国数据安全法》(以下简称《数安法》)同样要引起重视。这部法律对数据进行了定义:数据是指任何以电子或者其他方式对信息的记录;对数据处理的范围也做了相关规定:数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。
《数安法》与美国的“长臂管辖”针锋相对,其中第26条明确规定:“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”第36条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”第48条第2款规定:“违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。”即便不是关键信息基础设施运营商,外资企业也仍务必小心,因为劳动者各类信息多以数据形式体现,也涉及数据处理,在管理过程中不要触碰了这些法律底线,否则不只会有麻烦,更会有风险。
三、《中华人民共和国网络安全法》相关立法
2017年6月1日生效的《中华人民共和国网络安全法》(以下简称《网安法》)也涉及信息和数据管控问题。《网安法》将网络运营者定义为网络的所有者、管理者和网络服务提供者,现在的用人单位,尤其是外资企业,基本上都会有自己的网络,也通过网络进行招聘、获取信息,也需要适用这部法律。《网安法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”并在第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”这些内容此后为《数安法》和《个保法》所吸收,而且《数安法》和《个保法》明显强化了相关法律责任。
四、《中华人民共和国反外国制裁法》相关立法
《中华人民共和国反外国制裁法》(以下简称《反制裁法》)是2021年6月10日通过的另外一部值得关注的法律。《反制裁法》虽然与信息或数据管控没有直接关系,但也间接涉及信息、数据出境等问题,而且强烈反制美国的“长臂管辖”。《反制裁法》第3条规定:“中华人民共和国反对霸权主义和强权政治,反对任何国家以任何借口、任何方式干涉中国内政。”“外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。”该法第11条规定:“我国境内的组织和个人应当执行国务院有关部门采取的反制措施。”“对违反前款规定的组织和个人,国务院有关部门依法予以处理,限制或者禁止其从事相关活动。”后一款规定看似轻描淡写,但随时可能产生严重后果。该法第12条还规定:“任何组织和个人均不得执行或者协助执行外国国家对我国公民、组织采取的歧视性限制措施。”“组织和个人违反前款规定,侵害我国公民、组织合法权益的,我国公民、组织可以依法向人民法院提起诉讼,要求其停止侵害、赔偿损失。”外资企业虽然母公司为境外机构,但是也是依法注册在中国境内的机构,均应当执行这一要求,否则不仅国家会予以处罚,境内公民、组织还可以通过起诉要求赔偿损失。在“中美脱钩”的背景下,外资企业确实处境窘迫。
