境内公司将员工信息传输至境外母公司,是否属于PIA评估范围?

2023 09/06

《个人信息出境标准合同办法》和《个人信息出境标准合同备案指南(第一版)》自2023年6月实施以来已有两个半月时间。在此期间内,笔者接到多家跨国企业关于个人信息保护影响评估(PIA)报告出具以及个人信息出境标准合同备案的咨询和委托。笔者发现,跨国企业均有一个特有但又普遍的现象即境外母公司会派遣与其建立劳动关系的人员(以下简称该等人员)到境内子公司任职,在此情形下,境内子公司基于人力资源管理的必要性收集该等人员信息,并传输给境外母公司。在进行个人保护影响评估前,境内子公司提出:境外母公司已收集该等人员信息,境内子公司在通过标准合同备案路径跨境提供该等人员信息至境外母公司的情形下,是否就不需要将该等人员信息列入评估范围?


首先,从《中华人民共和国个人信息保护法》(以下简称《个保法》)适用范围角度,在中华人民共和国境内处理自然人个人信息的活动,适用《个保法》的规定。《个保法》规定了个人信息处理者在个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理全生命周期的保护要求。境内子公司向境外传输在境内收集、存储的个人信息的,应遵守《个保法》的规定。


其次,从个人信息跨境提供的路径角度,《个保法》规定了国家网信办安全评估、个人信息保护认证以及标准合同备案三种路径。境内子公司若要将其收集的个人信息跨境传输的,应当根据自身的主体性质、处理个人信息的数量、类型确定出境的路径。未通过相应路径跨境传输个人信息的,构成对《个保法》的违反。


再次,从个人信息保护影响评估的内容角度,个人信息保护影响评估的内容包括处理活动是否合法合规、处理活动对个人信息主体合法权益造成损害的程度以及保护个人信息主体管理措施和技术措施的有效性。即触发个人信息保护影响评估的是个人信息处理者特定的处理活动,只要有特定的处理活动,就应当进行评估,而不考虑该等信息是否已被境外母公司所收集。境外母公司已收集该等人员信息并不等同于境内子公司跨境提供活动合法合规,采取的管理和技术措施能够保证个人信息在传输过程中不会遭受篡改、破坏、非法利用、泄露等风险。


最后,从责任承担主体角度,境内子公司系境内法人主体,应当受中国法律的约束,若其未经标准合同备案将在境内收集的个人信息跨境传输至境外的,可能面临承担民事侵权责任、行政责任、刑事责任以及信用惩戒等法律后果。


综上,笔者认为境内子公司将其收集的境外母公司派遣员工的信息跨境传输给境外母公司的,境内子公司应当将该等信息列入评估范围内。