2021年11月1日《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）正式实施。《个人信息保护法》因对企业违法处理个人信息的行为规定最高可处5000万元或企业上一年度营业额百分之五的罚款，同时企业的负责人等最高可能会被科以10万元以上100万元以下罚款等处罚，而被称为史上最严格的数据保护法案。由于自身独特的属性，外商投资企业对个人信息的跨境传输有先天的客观需要。对于《个人信息保护法》的实施，外商投资企业尤其需要注意做好相应的合规应对措施。本文将从实务视角对外商投资企业需要关注的方面进行分析,并提出相应具体合规应对建议。

根据笔者的实务经验，外商投资企业目前主要关注如下几个问题：1.企业在并未收集公司外部人员信息的情况下，是否需要进行合规应对？2.企业并非是专业的数据处理企业，在日常生产经营过程中基本上不收集交易对象的个人信息，收集员工个人信息也是基于履行劳动合同及人力资源管理目的。在这种情况下是否需要进行合规应对？

对此，笔者认为在这两种情况下企业都需要进行合规应对。对于第一个问题，根据《个人信息保护法》第三条的规定，《个人信息保护法》适用于处理个人信息的活动，对于个人信息是公司内部人员信息还是外部人员信息并未进行区分，也就是说就算该企业并未收集公司外部人员信息，收集的只是公司内部人员信息仍然需要根据《个人信息保护法》的要求进行合规应对。对于第二个问题，根据《个人信息保护法》第十三条第二项的规定，若是基于履行劳动合同及人力资源管理目的收集员工个人信息是无需获得个人的同意，但是适用该条规定需要满足一定条件，即企业需要证明收集员工的个人信息是企业履行劳动合同所必需以及企业应当是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需，这一证明责任的难点在于，目前对何为“履行劳动合同所必需”并无明确的法律界限。另外该企业就算是非专业的个人信息处理企业，在日常经营活动中只要有个人信息的处理行为，其仍然需要按照《个人信息保护法》的要求进行合规应对。一般来说，企业处理员工的个人信息包括对个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等行为。对于个人信息的处理原则上是需要取得个人的同意，但是《个人信息保护法》的第十三条第二项至第七项规定了六种不需要个人同意即可处理个人信息的法定许可情形。对于外商投资企业来说，其在日常经营活动中处理个人信息比如处理员工敏感个人信息、跨境传输员工的个人信息等活动很多时候都是属于法定许可以外的情形，需要按照《个人信息保护法》的规定取得员工的单独同意，并且做好个人信息保护影响评估。

《个人信息保护法》的实施会对外商投资企业产生深远的影响，外商投资企业必须要引起高度重视并且重点关注如下几个方面。

其一、员工在履行劳动合同的过程中，企业会获得员工的身份证信息、银行账户信息、民族宗教信息、婚史信息、生育信息、员工指纹信息等个人敏感信息。对于个人敏感信息的处理，《个人信息保护法》要求需要获得员工的单独同意，并且企业应当在事前进行个人信息保护影响评估。

其二、外商投资企业习惯事无巨细地在人事或财务系统当中录入员工的个人信息。这些系统可能由其外国母公司或统括公司所控制，甚至服务器也存放在国外。在这种情形下，当企业在录入员工个人信息的同时就发生了个人信息的跨境传输。对于个人信息的跨境传输，《个人信息保护法》同样要求需要获得员工的单独同意，并且企业应当在事前进行个人信息保护影响评估。

其三，在华外商投资企业，根据企业生产经营管理的需要，一般也存在需要将员工个人信息批量的提供给第三方企业的场景。比如提供给外服公司处理员工的个税及社保申报；提供给旅游代理公司处理员工团建或旅游事项；提供给签证代理公司进行驻在员以及赴海外研修员工的签证代办；提供给会计审计单位进行年度或专项的财务审计；提供给商业保险公司进行商业保险投保事项；其他还有诸如名片制作公司、大楼物业公司等等。对于该等个人信息处理者向其他个人信息处理者提供其处理的个人信息的情形的，同样《个人信息保护法》也要求需要获得员工的单独同意。

关于同意与单独同意的关系，目前仍存在争议，有观点认为《个人信息保护法》第十四条所述单独同意已包含在“同意”之中，是其下位概念。对此，笔者认为“单独同意”并非是一揽子同意，《个人信息保护法》在第十四条设置单独同意的目的，就是要区别于第十三条的概括性同意，企业应当就需要取得个人同意的事项与员工单独书面签订个人信息处理同意书。当然，关于这一点，还有待国家立法机关出台细则具体进行明确。而正是因为目前对于同意与单独同意的关系仍存在争议，从合规角度来看，还是重新取得员工的单独同意更为妥当。

对于个人信息保护影响评估，根据《个人信息保护法》第五十六条的规定，企业应关注三个要点，首先要对收集员工敏感个人信息或者对员工个人信息进行跨境传输的目的以及处理方式等是否合法、正当、必要做出评估。其次，企业应评估收集员工敏感个人信息或者对员工个人信息进行跨境传输可能对员工的个人权益带来的影响及引发的安全风险。最后，评估企业所采取的安全保护措施是否合法、有效并与风险程度相适应。

如前文所述，外商投资企业由于其自身独特的属性，对个人信息的跨境传输有先天的客观需要。对于个人信息的跨境传输，在获得员工的个人同意及进行个人信息保护影响评估之后，根据《个人信息保护法》第三十八条第一款的规定外商投资企业还需要具备一定条件即需要按照国家网信部门的规定经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务。其中，按照国家网信部门制定的标准合同与境外接收方订立合同最为简便且成本最小。目前，国家网信部门的标准合同尚未出台，但参考欧盟的标准合同条款，笔者预测国家网信部门未来出台的标准合同内容很可能与标准合同条款相似，也会包括数据保护保障措施、分包处理者的作用、数据主体权利、责任、监管等内容。此外，根据《个人信息保护法》第三十八条第三款的规定，外商投资企业需要采取必要措施，保障境外接收方处理个人信息的活动达到规定的个人信息保护标准，对于不能达到标准的，则不应当向其提供个人信息。这里的必要措施通常包括各种内部和外部的措施，内部的措施是指当接收方与提供方存在法律或经济上的关联时，如跨国企业集团内部的公司可以通过规定有约束力的公司规则来确保达到相应的保护水平，也可以通过派遣相应的专家进行指导等。外部的措施则是通过相互之间签订的更细致、更有约束力的合同条款来实行。

以上主要是对在境内处理自然人个人信息的活动时外商投资企业需要关注的方面做了分析。实际上根据《个人信息保护法》第三条的规定，对于在境外处理中国境内自然人个人信息的活动，若是存在以向境内自然人提供产品或者服务为目的、分析评估境内自然人的行为、法律行政法规规定的其他情形时，该处理行为仍然需要受到《个人信息保护法》的规制。

实务中很多外商投资企业的母公司会在中国境外设立全球合规投诉热线窗口，该窗口为外部委托企业负责受理包括中国在内的关联公司的全部合规投诉举报事项。此时，根据《个人信息保护法》第三条第二款的规定，该境外合规窗口企业属于境外的个人信息处理者。又依据第五十三条的规定，该境外合规窗口企业需要在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门（如网安部门）。

为了避免《个人信息保护法》实施后给外商投资企业带来的风险，外商投资企业应当做好个人信息保护的合规应对。但是对于外商投资企业来说个人信息保护的合规应对是一个系统工程，不可能一蹴而就。笔者建议企业可以从这两条路径来进行合规应对。

1、制定企业内部的合规制度

合规制度应当结合企业的实际情况制定。鉴于各企业的实际情况不同，在起草制作书面的合规制度前，企业应当先按照《个人信息保护法》的各项合规要求对企业目前处理个人信息的各个环节进行排查，确认企业目前在个人信息处理活动的具体情况。之后企业再结合这些具体情况制定内部的合规制度包括个人信息跨境传输制度、个人信息安全事件应急制度、个人信息保护影响评估制度等。

2、对企业内部有关人员进行定期的合规培训

外商投资企业处理个人信息是否符合《个人信息保护法》的规定，关键还是要靠正确实施企业内部相关的合规制度。对于企业内部相关人员，企业应当对其进行定期的合规培训。持续定期开展合规培训，有利于使其树立安全意识，明确各自权限及边界，使处理个人信息的行为符合法律的规定。