经过历时近一年的审议之后，2021年8月20日，第十三届全国人大常委会第三十次会议表决通过了《个人信息保护法》（“《个保法》”）。自此，万众瞩目的《个保法》作为数字时代的重要基本法之一，终于尘埃落定。《个保法》旨在保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用，其对于个人信息保护的深远影响不言自明，进而也对涉及员工个人信息处理的公司内部调查，特别是信息处理中的跨境场景提出了更多挑战。本文将针对与跨境场景相关的事项展开探讨，以期提示一些潜在的合规风险并尝试给予一些应对建议。但受制于法律法规快速迭代，实践中又缺乏司法等层面统一的规范指引，不少新的挑战在当下似乎并没有能兼顾各方利益的妥善解决方案。

      对于公司尤其是跨国公司而言，开展内部调查是合规风险管理体系中的必备组成部分。内部调查的启动往往源自内外部举报或者公司的定期审计线索，由公司内部合规部门或者聘请外部第三方推进。在内部调查的过程中，为了查证潜在不合规事项，公司不可避免地需要处理员工个人信息（也包括处理第三方如客户员工的个人信息的情况，但本文不作重点讨论）。常见的情形例如查看相关员工入职时提交的个人基本资料、教育和工作经历，收集与潜在不合规事项相关的工作邮件记录，使用外部举报人提供的材料，从外部相关方（例如业务伙伴）处了解情况，搜集一些已公开的个人信息等。如果开展员工访谈，则可能会更多地涉及一些较敏感的个人信息，例如相关员工的银行账户、消费记录、潜在不合规事项发生期间的行踪情况等。而在内部调查的过程中，还会伴随着潜在的个人信息出境的情况。境内的调查团队往往需要和境外总部以及律师讨论调查策略并定期汇报阶段性进展。在一些情况下，内部调查可能由境外团队直接负责，包括由境外合规官或律师直接对接境内的举报人并搜集材料。

      此外，公司还可能主动选择向境外监管机构披露，或者境外监管/司法机构主动介入调查。例如《反海外腐败法》（Foreign Corrupt Practices Act）下，公司向监管机构（包括美国证券交易委员会和美国司法部）自我披露不当行为，会成为监管机构决定是否从宽处理以及从宽处理程度的一个重要考量因素。在这种情况下，对外提供或披露内部调查材料比一般的个人信息出境情形更加严肃，公司相应需要采取更为审慎的做法。

      内部调查中员工个人信息的跨境传输属于《个保法》定义的“个人信息的处理”的一种类型。除了第一章“总则”和第二章“个人信息处理规则”的整体性规定以外，第三章还专门规定了“个人信息跨境提供的规则”，给公司在内部调查中处理员工个人信息特别是出境方面的合规工作带来了诸多新挑战。我们将就其中比较重要的关注点在本部分展开讨论。

      “个人信息”的概念是包括《个保法》在内的个人信息保护法律体系的基础。相较于之前《民法典》、《网络安全法》等数据安全相关的法规和标准中对于个人信息以“识别特定自然人”为落脚点的界定，[1]《个保法》第四条采取的“识别+关联”原则进一步扩张了个人信息的范围。[2]这意味着在内部调查中会有更多的信息落入个人信息的范畴。

      实际上“识别+关联”原则并非在《个保法》中首次亮相，其与欧盟《通用数据保护条例》（General Data Protection Regulation）中对于个人信息的界定思路不谋而合，[3]在之前国内的司法实践中也有迹可循。对于该原则的理解可以参考（2019）京0491民初16142号案件中北京互联网法院的裁判思路，其认为“判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人……二是关联，即从个人到信息”。因此，公司在内部调查中务必要注意避免与员工个人信息“对面不相识”的情况，在充分理解个人信息概念和范围的基础上，审慎地进行包括信息出境在内的个人信息处理活动。

      《个保法》第三十九条明确要求在个人信息处理者向境外提供个人信息的情况下，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个保法》规定权利的方式和程序等事项，并取得个人的单独同意。

      虽然《个保法》第十三条的第（二）至（七）项情形规定了无需个人“同意”的其他情况，但是我们理解可以为内部调查场景下个人信息出境所用的空间和程度可能较为有限。比如，六项规定中较可能为公司所用的两项情形分别是第（二）项“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，以及第（六）项“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。其中第（六）项将在下文展开分析，而对于第（二）项，在内部调查中向境外总部提供，或境外总部通过后台直接收集境内员工工作中的邮件/电脑资料备份等是否可以解释为“实施人力资源管理所必需”，需要进一步探讨。

      实践中还有较为复杂的情况，比如部分员工已经离职，或者原“同意”所针对的信息出境场景的任一重要元素变化（包括个人信息的处理目的、处理方式、处理的个人信息种类和个人信息接收方发生变化），公司可能都需要考虑重新取得相关个人的同意。[4]这无疑增加了公司在取得个人同意方面的合规成本和违规风险。此外，如果仅依赖告知同意的基础处理个人信息，还可能会引发潜在的后果，因为员工有撤回同意的权利，虽然根据《个保法》的规定，撤回同意并不影响撤回前基于个人同意已进行的个人信息处理活动的效力，但撤回同意后，公司作为个人信息处理者原则上应当主动删除个人信息。[5]

      根据《个保法》第十三条第一款第（六）项的规定，在遵守《个保法》相应规定的前提下，如果在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息，不需要另行取得个人同意。对此《民法典》和《GB/T 35273-2020 信息安全技术 个人信息安全规范》中也有相似规定。[6]但是在内部调查中，如公司拟依据上述条款处理包括向境外提供员工的个人信息，仍需仔细区分场景并慎重处理。

      其一，“公开”的程度需要区分。比如是个人自行向社会不特定的公众公开，还是在特定范围内（例如朋友圈）或特定的平台公开。根据《民法典人格权编理解与适用》，[7]“合法公开的信息”通常指“权利人自行向社会公众公开，已经经过权利人对个人信息利益的权衡，或是由于涉及公共利益而为特定机构或组织公开，例如通过合法的新闻报道……再比如依据网络报道、企事业单位依法公示等方式获得的个人信息”。而《GB/T 35273-2020 信息安全技术 个人信息安全规范》也使用了类似的措辞，即“所涉及的个人信息是个人信息主体自行向社会公众公开的”。从上述的理解与适用和国标的措辞看，“公开”似乎更倾向于严格的解释。

      其二，“在合理的范围内”需要判别。考量点可能主要有以下两项：首先，处理公开信息应当符合个人信息被公开时的用途或该个人的期待。虽然最终通过的《个保法》删去了二次审议稿中关于超出个人信息被公开时的用途，应当取得个人同意的要求。[8]但从审慎的角度出发，公司仍需避免超越原先的公开用途去处理个人信息。并且，处理公开信息对个人信息权益不会产生重大影响。如同《个保法》第二十七条的规定，[9]个人信息处理者处理已公开的个人信息，如果对个人权益有重大影响，则应当回归《个保法》关于取得个人同意的要求。

      《个保法》同时对出境的情形规定了必备的要件（必须符合其一），即通过安全评估、进行个人信息保护认证、签署标准合同，或符合法律法规或者国家网信部门规定的其他条件。[10]

      其中个人信息出境应当安全评估的情形主要包括三种[11]：（1）关键信息基础设施运营者（“CIIO”）在境内收集和产生的个人信息出境，（2）处理个人信息达到国家网信部门规定数量的个人信息处理者在境内收集和产生的个人信息出境，（3）国家机关处理的个人信息出境（这种情况不属于本文的讨论范围）。那么公司在内部调查中，如涉及个人信息出境，应当首先确定公司是否落入CIIO的范围。根据《关键信息基础设施安全保护条例》的规定，[12]关键信息基础设施的认定结果将通知运营者。如公司并非CIIO，还应当评估公司处理个人信息的数量。对于《个保法》中“国家网信部门规定数量”的含义，我们理解尚有待立法进一步明确。（参考《个人信息和重要数据出境安全评估办法（征求意见稿）》的相关规定，“含有或累计含有50万人以上的个人信息”出境应当进行安全评估。[13]同时，《网络安全审查办法（修订草案征求意见稿）》在赴国外上市的场景下，要求掌握超过100万用户个人信息的运营者事先向网络安全审查办公室申报网络安全审查。[14]）

      除安全评估外，个人信息保护认证的专业机构有待进一步明确。实践中为了出境的需要，也有一些境内主体与境外接收方制备过相关协议，但似乎并非针对跨境内部调查项目，有待实践中进一步探索和统一做法。

      《个保法》第四条明确规定个人信息不包括匿名化处理后的信息。所谓匿名化，即指“个人信息经过处理无法识别特定自然人且不能复原的过程”。相比于去标识化，[15]匿名化作为个人信息出境的安全港，实质上是要求处理后的信息即使在借助额外信息的情况下，也无法识别特定自然人。如果在内部调查中，出于审慎角度考量或其他种种原因，公司无法就拟安排出境的员工个人信息满足《个保法》的要求，例如无法取得相关员工的同意，不满足《个保法》出境必备的要求等等，但是为内部调查之目的，相关文件出境又有高度的必要性，那么公司就需要考虑对个人信息做匿名化处理以尽量避免违反《个保法》的法律风险。

      但严格而言，在内部调查中实现文件完全的匿名化是异常困难的。在大数据时代，利用先进的数据处理技术从动态的数据海洋中抓取和整合相关信息，从而与原有的信息结合以识别特定自然人并非难事。并且，即使公司尽力删除有助于识别特定自然人的信息，继而在此基础上进行所谓匿名化处理，可能最终实现的只是高度的“去标识化”。由于个人信息宽泛的范畴，任何与识别该个人有关的信息都有可能构成个人信息。比如最极端的情况，某员工发邮件自带特色的行文风格和用词。此情况下，即使删除了邮件全部内容中的姓名、职务等信息，邮件整体仍有可能构成可识别到该员工的个人信息。难道邮件整体都需要删除才能做到匿名化？但该文件本身在全篇删除后又有何证据意义？

      “个人信息保护影响评估”是最终通过的《个保法》新增的内容，根据《个保法》第五十五条的规定，如果公司拟向境外提供员工的个人信息，那么应当事先进行个人信息保护影响评估，并对处理情况进行记录。

      《个保法》第五十六条要求个人信息保护影响评估报告和处理情况记录至少保存三年，并规定了个人信息保护影响评估应当包括的内容，结合内部调查中员工个人信息出境的场景，我们理解其分别是（1）拟出境的员工个人信息的出境目的、出境方式等是否合法、正当、必要；（2）对所涉员工个人权益的影响及安全风险；（3）公司和境外接收方所采取的保护措施是否合法、有效并与风险程度相适应。

      跨国公司的内部调查如涉及严重不合规或需要披露的情况，则内部调查可能升级为外部调查，引发境外的行政或司法程序。在这种情况下，外国的执法或司法机构往往会要求公司向其提供包含员工个人信息在内的文件以查明事实和定罪定罚。根据《个保法》第四十一条的规定，公司不得擅自向外国的执法或司法机构提供存储于境内的个人信息，而必须事先获得中国主管机关的批准。

      除了上述讨论的境内收集和产生的个人信息出境的情况外，还有一些特殊的情形，包括但不限于（1）二次出境，例如境外总部在内部调查开展前已经收集和备份了境内员工的一些邮件等文件，调查中境内公司可能又向境外总部调取相关的信息，经过调查，在后续的汇报中再次向境外的总部提供信息。对于这种个人信息已经存在于境外但经过境内调查使用后二次出境的情况，结合《GB/T XXXX—XXXX 信息安全技术 数据出境安全评估指南（征求意见稿）》（“《数据出境安全评估指南 》”）中对于数据出境的定义，[16]这种情况可能仍属于数据出境；（2）境内开示，向身处境内的外籍人士展示在境内收集和产生的个人信息是否构成信息出境，《个保法》对此并未给出明确的答案；（3）对于“数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）”的情况，例如内部调查中境外总部通过内网链接查看境内公司的文件，《数据出境安全评估指南》提示该情形构成出境。但此情况如果被严格认定为“出境”，可能会给内部调查中境外总部和律师的参与构成更多障碍。

      结合上文讨论的公司在《个保法》下面临的个人信息处理特别是出境方面的新挑战以及我们对于《个保法》的理解和办理内部调查案件的经验，以下方面值得进一步关注。

      内部调查是公司尤其是跨国公司日常合规管理工作中的常见动作，除非内部调查全部在境内完成，相关员工个人信息的出境可能在所难免。此外，公司运营的其他场景中（例如跨国商业谈判和业务合作等）也常常涉及员工个人信息的出境。因此，制定员工个人信息识别和处理的管理政策和标准流程，有利于从顶层制度的层面管控包括出境在内的个人信息处理活动的违规风险，也有助于构建和强化全体公司员工的数据合规意识。此外，此类内部制度的制定还应当遵守劳动法的相关规定，例如经过公司内部的民主程序等。[17]

      不仅仅是个人信息的出境，公司在收集内部调查所需的个人信息，以及在后续使用此类个人信息以查明调查事项，支持调查结论的过程中，一定要合法合规地处理个人信息。

      我们注意到近期上海某法院审理的一起劳动合同纠纷案件中，法院认为虽然案涉公司享有案涉员工工作手机的所有权，但就案涉公司对工作手机中的数据进行恢复后提取电话录音的行为，未事先取得员工同意，涉及窃听他人私密活动、处理他人私密信息，因此法院对于该录音证据的合法性不予认可。可见如果公司在内部调查中基于不合规手段获取的此类信息得出不利于员工的判断并对员工采取处罚措施，在员工后续提起劳动仲裁/民事诉讼的情况下，相关证据存在不被支持和认可的风险。（在《个保法》生效后，如公司从实施人力资源管理的抗辩角度出发，类似案件是否仍会沿用该案审判思路值得观察。）

      《个保法》对于信息出境取得个人同意的要求是“单独同意”，但目前《个保法》和数据安全相关法规尚未对“单独同意”作出具体解释，我们理解如果仅在公司政策（如员工手册、行为指南）中加入类似“员工同意为内部调查之目的向境外相关方提供个人信息”的条款，然后取得员工对于该政策规定事宜的一揽子同意，可能不足以达到“单独同意”所要求的程度。因此我们建议公司可以采取更为稳妥的做法，例如要求员工签署个人信息出境同意书，在Document Hold Notice 中加入出境条款，考虑在员工访谈前再次告知等。

      如上述分析，公司需要对照安全评估、个人信息保护认证、签署标准合同或法律法规或国家网信部门规定的其他条件，满足其中至少一项要求。

      特别对于处理个人信息达到国家网信部门规定数量的个人信息处理者，原则上应当将在境内收集和产生的个人信息存储在境内，如果确需出境，则应当通过安全评估。因此不仅限于内部调查引发个人信息出境需求的情形，在公司的日常运营中，也有必要持续监控和定期评估处理数量，以确定公司运营中是否能与总部联网或是应当尽可能将个人信息存储在境内，并依据《个保法》规定在应当进行安全评估的情形下及时完成评估。

      根据《关键信息基础设施安全保护条例》，该条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门（“保护工作部门”）。保护工作部门负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。因此建议公司与保护工作部门保持良好沟通，以及时了解自身是否被定性为CIIO从而应遵守相应的法规要求。

      针对员工个人信息的高度去标识化，首先在遵守个人信息保护相关法规要求的基础上，可以充分利用公司制定的个人信息处理操作规程；同时，考虑到不同的内部调查中拟出境的个人信息的类型和载体往往千变万化，因此公司可以考虑设置专门的内部文件审阅人员或是聘请外部第三方，协助公司完成个人信息的去标识化工作。

      结合我们办理内部调查案件的经验，境外公司总部或者总部聘请的外国律师在内部调查中根据不同的情况担任不同的角色，有时仅仅是进行指导和监督，而在另一些情形下可能会实质参与，特别是涉及到外国法的适用和处罚。但由于《个保法》在内的相关法规所体现的中国个人信息保护趋严的趋势，公司需要考虑是否应主要在境内完成内部调查。对于向总部汇报调查结果中所涉及的个人信息出境问题，可以采取尽量简化或转述证明材料的方式，同时高度去标识化其中包含的个人信息，以减弱信息出境的不合规风险。 

      如第二部分所述，接收个人信息的对象若是外国的执法或司法机构，务必要事先取得主管机关的批准。这里需要提请公司注意的是，如果出境的文件中不仅含有个人信息，还涉及其他类型的数据，公司还需结合自身所处行业的特别规定查看是否存在其他审批要求，例如《证券法》即明确要求“未经国务院证券监督管理机构和国务院有关主管部门同意，任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料”；而《网络安全法》和《数据安全法》也对于重要数据的出境作出了限制。此外，数据出境还可能涉及国家秘密等方面的合规问题，公司也应当予以关注。

      大数据时代下个人信息的流动愈加广泛和频繁，传统的个人信息保护模式受到了巨大的冲击和挑战。各国正在陆续构建和完善自身的个人信息保护法律体系，以实现个人信息的有序流动，同时维护本国的信息主权。在此背景下，对于员工个人信息的合规处理，特别是个人信息出境合规工作，既要顺势而为，又应有所不为。在关注和把握个人信息相关法规新动态的同时，迎接和化解随之而来的新挑战，方能通过包括内部调查在内的公司合规管理措施有效地管控法律风险，维护员工的个人信息权益，实现公司合规管理工作的可持续发展。（李嵘辉 陈梦雅等 金杜研究院）