内部调查与个人信息保护:初探公司内部调查在个保法体系下的合规路径
内部调查与个人信息保护:初探公司内部调查在个保法体系下的合规路径
当前,中国个人信息保护的法律体系已经基本成型。公司在进行必要的内部调查时是否存在应当注意的合规风险?由于与该话题相关的素材和讨论目前较少,本文观点仅为笔者基于对法律的理解和实务经验的总结,实属一家之言,难免有所疏漏,仅供参考。
1.《个保法》在制定过程中是否考虑到了公司内部调查和相关个人信息出境的场景?
我们查阅了《个保法》历次草案、《个人信息保护法释义》(“《释义》”)、《个人信息保护法手册条文梳理与立法素材》(“《素材》”)和《个人信息保护法条文理解与适用》(“《适用》”)等与《个保法》立法背景相关的书籍和文章,并将《个保法》相关的条款对照应用于内部调查(包括跨境提供个人信息)的相关环节。我们倾向于认为立法者并未将此问题作为一个典型的场景加以考虑。
首先,内部调查或类似的字样并未出现在《个保法》条文之中,而与之相关的上位的概念——现行《个保法》第13条提及的“人力资源管理”在第三次审议草案中才出现。[1]而此时《个保法》条款和框架已经基本定型。其次,内部调查涉及的各个阶段,包括举报人提供信息,收集被举报人信息,分析研判材料,访谈和调查,与境外律师和跨国合规总部沟通形成结论和处理结果等均或多或少与《个保法》的告知、同意、敏感信息处理、跨境提供、个人权利主张等规定有所冲突。内部调查所代表的是公司一方利益,与被调查对象的利益是不一致的,甚至可能是完全对立的。内部调查的一些要求,比如保密性(不惊动被调查对象,不对公司经营造成负面影响),全面性(有限条件和有限手段下搜集尽可能多的证实和证伪的有用信息),内部评估和决策(调查团队之间内部信息沟通以及决策层评估决定相应措施所需的完整信息量)等也相对较难融入《个保法》设定的普遍场景中。
综上,对于公司内部调查和相关个人信息出境的问题,并非立法时关注的普遍情形,因此在现阶段只能在现有法律框架内寻求可行的解决方式,以尽可能减少合规风险。
2. 内部调查以及涉及的跨境提供信息是否可豁免个人同意或单独同意?
《个保法》第13条共列举了7项处理个人信息的合法性基础,即以同意为原则加上其他一些豁免条件。内部调查涉及的信息处理是否可以符合豁免条件有一定的适用空间,其中最有可能的是于“按照依法制定的劳动规章制度实施人力资源管理”这一项。
《释义》中提到“用人单位与劳动者在劳动合同签订、工作考核、离职后的竞业限制管理等场景中处理劳动者个人信息有其合理性和必要性,在一些情况下也很难获得个人的同意。因此,本法将实施人力资源管理所必需作为处理个人信息的一项合法性基础” 。[2]根据通常的理解,内部调查也可以归入到工作考核的范畴之中。此外,《个保法》第38条将向境外提供个人信息的条件限定在“因业务等需要”。《适用》认为,“因业务等需要”中的“等”意味着个人信息出境还可以出于业务需要之外的其他合法性与正当性的目的,其中公司内部管理涉及的内部调查和境外提供数据就是其中之一,典型的情景即为境外公司总部对于境内子公司的行为进行反商业贿赂或者反舞弊等合规调查工作,要求境内子公司向母公司提供相关个人信息。[3]综上,笔者认为,为反商业贿赂或反舞弊而展开的公司内部调查应可以被认为是与公司进行工作考核相关的工作,从而获得处理个人信息的合法性基础。
依据个人同意而进行信息处理的做法虽然最为直接,但并不建议援引。以个人同意作为合法性基础的带来的问题之一是《个保法》规定的个人撤回同意的权利以及在个人撤回同意之后,个人信息处理者应主动删除个人信息的义务。问题之二是在人力资源管理的场景中很难界定用人单位所获得的“个人同意”是否是个人真正“自愿”作出的。我们注意到在《释义》中,立法者对“‘个人同意’是否是个人真正‘自愿’”这一难点在实践中的认定,也持怀疑的态度,具体而言,立法者认为“本法规定的同意应当由个人自愿作出,所谓的自愿要求处理者赋予个人真正的选择权和决定权,如果个人被迫同意或者不同意将承担负面后果,则同意无效。在人力资源管理中,由于劳动者和用人单位之间关系不对等,劳动者不同意公司处理个人信息很可能会换来不公平的对待,或面临不利后果,[4]因此立法者认为此时的同意不能认为是真正“自愿”作出的,其效力存在瑕疵”。
同时,与跨境提供信息有两个相关前提,一个是“因业务等需要”,另一个是个人的单独同意(或符合豁免)。结合上文《适用》中的观点,跨境提供信息落入因“业务等”需要中的“等”的范围,不再展开讨论。而单独同意是否能适用个保法第13条一般同意的豁免有一些争议。
目前主流的观点认为,如果个人信息处理符合13条中的豁免,则在数据出境传输的时候也不需要获取单独的同意。《释义》持此观点,《适用》在讨论敏感信息的单独同意中也有类似观点。另一些观点认为,单独同意是更高标准的同意,而不是一般同意的“子集“。因此,第13条规定的不需要个人同意的情形不能免除个人单独同意的义务。如果细查《个保法》的上下文行文和用语,似乎第二种观点更有说服力。另外,单独同意适用的情景也是潜在风险更高的情景,例如向其他个人信息处理者提供个人信息、公开个人信息、处理敏感个人信息以及向境外传输个人信息等,而对于更高风险的场景,法律上提出更高的要求也是应有之义,虽然实操中确实会增加更多障碍。但是,无论如何,在有关部门颁布实施条例、细则或法院发布权威案例前,第13条的普适的豁免观点目前仍是主流。
3. 公司在内部调查中如何处理告知义务?
《个保法》第17条规定了个人信息处理者的告知义务,即个人信息处理者在处理个人信息之前应当告知个人:(1)个人信息处理者的名称及联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使与个人信息有关的权利的方式和程序;(4)其他事项。此外,该条第三款中进一步规定,上述告知义务可以通过公开的个人信息处理规则的方式完成上述向个人告知的义务。也即,除了在处理个人信息之前向个人“逐一告知”之外,个人信息处理者也可以选择“统一告知”的方式。“统一告知”的方式是在自动化处理个人信息时使用,主要表现为通过“隐私政策”来明确个人信息处理规则。[5]虽然没有更多权威的观点,但笔者理解,似乎公司也可以通过在隐私政策中“统一告知”员工有关内部调查的信息处理事宜;需要关注的是,按照此思路,需要严格按照法律规定列明所告知的细节信息。
更为模糊的问题是,在开展一项具体内部调查或者某一项调查的信息出境时是否仍需要开展专项告知。上述“统一告知”更适用于大范围的或者自动化信息处理的情形,例如登录某网站或在网上办理业务时该网站会告知个人将会收集必要的信息,但难以提前向个人告知某一特定的个人信息处理情况;而内部调查会有特定的对象,不同的参与角色和不同的行为,统一告知中的内容可能没有普遍适用性。
另一方面,逐一告知也缺乏可操作性。如果要求公司在每次开展调查前都向个人告知相关情况,将给公司带来工作上的极度困难,例如,尽管调查对象是特定的员工,但在调查过程中可能收集到许多不特定人员的个人信息,如果在调查的过程中遇到新的个人信息就要中断调查程序向该个人告知相关情况,会显著扰乱内部调查的进展;再比如,通常内部调查前期甚至全过程都在保密的状态下完成,如果需要向员工逐一告知当前公司正在或即将进行的内部调查,无疑将实质性影响调查的进展和最终结果。
目前《个保法》将可不予告知的情形规定在第18条,主要情形包括法律法规规定应当保密的或不需要告知的情形。《释义》进一步明确,不需要告知的情形主要包括:国家机关为履行法定职责处理个人信息,告知将妨碍国家机关履职的;在合理的范围内处理已公开的个人信息;以及其他情形。内部调查似乎并不落入上述范围之内。而欧盟《通用数据保护条例》(“GDPR”)第14(5)条中规定的例外情形中似乎也未对内部调查中的告知义务作出明确的豁免。对此问题有待于立法机关或执法机构进一步明确和补强。
目前可供参考的是,欧盟个人信息保护执法机构欧盟数据保护监管主管(“EDPS”)对于公司内部举报(Whistleblowing)处理个人信息问题的指引,根据该指引,在是否应当告知被举报人的问题上,EDPS给予公司一定的决定权,公司应当根据具体情况进行决定,EDPS列举的理由包括如果告知被举报人将存在阻碍调查进展或危害其他人的权利或自由的情况。如果公司决定不告知被举报人,应当记录在案以备EDPS事后审查。[6]
4. 如何理解个人在个人信息处理中的各项权利?
《个保法》主要通过第四章专章规定了个人在个人信息处理活动中的权利。其中第44条是总括性的规定,《个保法》将知情权和决定权作为个人在个人信息处理活动中的基础性、概括性权利,其中知情权包括处理个人信息前告知、要求个人信息处理者公开处理规则、查阅复制权、规则解释说明权等权利;决定权包括对个人信息处理的同意和拒绝同意权、同意的撤回权、可携带权、更正补充权、删除权等权利。在公司内部调查的场景中,受调查对象理论上可依据《个保法》行使查阅复制权,向公司要求查阅甚至复制被处理的个人信息。该条同时也规定了例外情形,即涉及保密或不需要告知的情形或告知将妨碍国家机关履行法定职责的情况作为例外。
我们理解,从《个保法》条文逻辑来看,查阅复制权是告知规则的延续,因此就查阅复制权,同样存在与告知义务相似的例外情形(参见上文关于告知义务部分的探讨)。另外在国家推荐性标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第8.7(e)项中设定8种信息主体免于响应个人查询或复制要求的情形,在一些方面超出《个保法》中明确规定的情形,包括“个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权力的”、“出于维护个人信息主体或其他个人生命、财产等重大合法权益但又很难得到本人授权同意的”、“响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的”以及“涉及商业秘密的”等。
在内部调查的场景之下,调查的方向和内容或多或少会包含上述的要素,例如调查内容涉及商业秘密、信息主体存在主观恶意、如果披露信息将会使公司合法权益遭受严重损害等问题。我们注意到上述推荐标准中的免于告知/响应的情形较《个保法》的规定更加广泛,而在实际应用中如何协调《个保法》和上述规范,该规范是否扩展了《个保法》免于告知的情形值得进一步研究。
5. 涉及跨境举报的场景中,如何处理举报人提供的信息?
很多公司为了加强内部合规管理均设有内部举报的渠道,有些跨国公司的举报热线或邮箱直接设置在境外,或者由境外统一的服务商进行接报。在境外举报渠道收到含有个人信息的举报的情景下,此时境内的举报人是否应当被认为是个人信息处理者,同时进行了信息的跨境传输?
《个保法》第73条中对于“个人信息处理者”作出了明确的定义,即“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”,结合《个保法》第72条关于自然人因个人或者家庭事务处理个人信息不适用《个保法》的规定,我们倾向于认为举报人属于《个保法》定义下的个人信息处理者。
首先,举报信息势必会含有包括被举报人,可能存在的证人或与举报事项存在关联的人相关的信息;其次,举报人向境外传输个人信息的目的显然并非处理个人或家庭事务。而接受举报的公司,则符合《个保法》第3条第2款中在境外分析、评估境内自然人行为的情形,也会被认定为个人信息处理者。
以上问题所衍生出的问题包括:举报人将举报信息提供给境外,是否适用目前跨境传输的法定要求?公司对于举报人提供信息是否应有所要求或者提示?或者公司举报系统设置的地点本身是否应有所考量?欧盟数据保护监管主管(EDPS)对于公司内部举报问题相关指引认为,公司应该采用措施:(1)保证对于举报人以及其他有关人员的信息的保密;(2)对相关数据的处理采取充分、相关和必要原则;(3)保证个人对于信息的相关权利,但可以采用适当的限制;(4)对可能的数据传输进行评估,仅对法定之下的数据有限开放;(5)根据内部调查结果确定个人信息保存的实现,并及时删除;(6)采取组织上和技术上的措施保证合法和安全地处理个人信息。[7]
6. 已经过出境评估认证等手续传输境外的材料是否可以递交给境外监管部门?
对此,法律有明确规定。《数据安全法》第36条禁止境内组织、个人未经批准向境外司法或执法机关提供数据。[8]《个保法》第41条也有相同的规定,禁止个人信息处理者未经主管机关批准向境外司法或者执法机构提供存储于境内的个人信息。
一个相关的问题是当外国母公司已经通过合法的途径获取了出境的信息,则是否仍受到上述条款的限制?我们认为答案应是肯定的。此时如拟将出境的信息提交给境外监管或者司法部门,则已不符合原出境设定的条件和目的,也不符合评估、认证和双方合同的基础和相应的条款。同时,也不符合《个保法》和《数据安全法》上述条款的立法本意。
7. 境外监管或司法部门的要求是否属于个保法规定的就获取同意的豁免?
今年4月,美国一家法院要求一家中国企业限期交付位于中国境内的24台电脑以供检查时判定,《个保法》第13条中的合法基础(此处为“为履行法定职责或者法定义务所必需”)使得个人信息出境免于个人的再次单独同意,进一步的,《个保法》中“法定义务”并不仅限于中国法义务,美国法院认为《个保法》没有任何规定“明显”将这一条款限制在中国法规定的义务。因此美国法院认为其命令构成中国公司应当遵守的一项法律义务,足以构成《个保法》第13条处理个人信息的合法基础,进而在出境时免于个人的单独同意。
对于上述案例,不难看出是美国司法体系为了完成其跨境长臂管辖的目的对于中国法律条文进行附会的解释。无论如何,在《个保法》的立法本意中,“法定的义务”仅仅指中国法项下的义务。《释义》中在解释“为履行法定职责或者法定义务所必需”的情形时列举了我国《税收征收管理法》、《出境入境管理法》、《居民身份证法》等法律中规定国家机关履行法定职责处理个人信息的情形,显然“国家机关”仅指中国的国家机关,并非境外国家的机关,[9]《适用》中对于该条的解读同样将适用范围限定在个人信息处理者在我国法律法规的规定而负有的义务。[10]综上我们认为,境外监管或司法部门的要求并不构成《个保法》规定的获取同意的豁免。
总结和思考
在个人信息保护的背景下,以更合规的方式开展合规调查是新的挑战也是大势所趋。我们试图从法律规定、立法背景、场景分析、实践中的突出的问题等方面分析公司内部调查中涉及的个人信息与出境的合规途径。
从全面合规的角度来看,公司应当采取多种措施以最大程度符合中国个人信息保护的法律法规的要求,包括重新梳理规章制度;通过《个保法》第13条结合公司实际情况进行个人信息出境安全评估,个人信息保护认证或与境外接收方签订标准合同等方式完成合规流程;完善内部举报机制,并对举报人提供的信息进行合规处理;在规章制度和隐私政策中列明内部调查和相关出境的信息处理事宜;视具体情况,在调查之初考虑通过Withhold Notice等方式再次明确告知被调查员工的个人信息处理相关事项等;同时综合评估,平衡和应对被调查员工可能提出的就其个人信息的要求;为减少合规风险,公司应考虑对出境的信息进行高度去标识化处理,以及对敏感信息仍保留在境内进行分析处理。
[注]