我們查閱了《個保法》歷次草案、《個人信息保護法釋義》（"《釋義》"）、《個人信息保護法手冊條文梳理與立法素材》（"《素材》"）和《個人信息保護法條文理解與適用》（"《適用》"）等與《個保法》立法背景相關(guān)的書籍和文章，并將《個保法》相關(guān)的條款對照應(yīng)用于內(nèi)部調(diào)查（包括跨境提供個人信息）的相關(guān)環(huán)節(jié)。我們傾向于認為立法者并未將此問題作為一個典型的場景加以考慮。

?

首先，內(nèi)部調(diào)查或類似的字樣并未出現(xiàn)在《個保法》條文之中，而與之相關(guān)的上位的概念——現(xiàn)行《個保法》第13條提及的"人力資源管理"在第三次審議草案中才出現(xiàn)。[1]而此時《個保法》條款和框架已經(jīng)基本定型。其次，內(nèi)部調(diào)查涉及的各個階段，包括舉報人提供信息，收集被舉報人信息，分析研判材料，訪談和調(diào)查，與境外律師和跨國合規(guī)總部溝通形成結(jié)論和處理結(jié)果等均或多或少與《個保法》的告知、同意、敏感信息處理、跨境提供、個人權(quán)利主張等規(guī)定有所沖突。內(nèi)部調(diào)查所代表的是公司一方利益，與被調(diào)查對象的利益是不一致的，甚至可能是完全對立的。內(nèi)部調(diào)查的一些要求，比如保密性（不驚動被調(diào)查對象，不對公司經(jīng)營造成負面影響），全面性（有限條件和有限手段下搜集盡可能多的證實和證偽的有用信息），內(nèi)部評估和決策（調(diào)查團隊之間內(nèi)部信息溝通以及決策層評估決定相應(yīng)措施所需的完整信息量）等也相對較難融入《個保法》設(shè)定的普遍場景中。

?

綜上，對于公司內(nèi)部調(diào)查和相關(guān)個人信息出境的問題，并非立法時關(guān)注的普遍情形，因此在現(xiàn)階段只能在現(xiàn)有法律框架內(nèi)尋求可行的解決方式，以盡可能減少合規(guī)風險。

《個保法》第13條共列舉了7項處理個人信息的合法性基礎(chǔ)，即以同意為原則加上其他一些豁免條件。內(nèi)部調(diào)查涉及的信息處理是否可以符合豁免條件有一定的適用空間，其中最有可能的是于"按照依法制定的勞動規(guī)章制度實施人力資源管理"這一項。

?

《釋義》中提到"用人單位與勞動者在勞動合同簽訂、工作考核、離職后的競業(yè)限制管理等場景中處理勞動者個人信息有其合理性和必要性，在一些情況下也很難獲得個人的同意。因此，本法將實施人力資源管理所必需作為處理個人信息的一項合法性基礎(chǔ)" 。[2]根據(jù)通常的理解，內(nèi)部調(diào)查也可以歸入到工作考核的范疇之中。此外，《個保法》第38條將向境外提供個人信息的條件限定在"因業(yè)務(wù)等需要"?！哆m用》認為，"因業(yè)務(wù)等需要"中的"等"意味著個人信息出境還可以出于業(yè)務(wù)需要之外的其他合法性與正當性的目的，其中公司內(nèi)部管理涉及的內(nèi)部調(diào)查和境外提供數(shù)據(jù)就是其中之一，典型的情景即為境外公司總部對于境內(nèi)子公司的行為進行反商業(yè)賄賂或者反舞弊等合規(guī)調(diào)查工作，要求境內(nèi)子公司向母公司提供相關(guān)個人信息。[3]綜上，筆者認為，為反商業(yè)賄賂或反舞弊而展開的公司內(nèi)部調(diào)查應(yīng)可以被認為是與公司進行工作考核相關(guān)的工作，從而獲得處理個人信息的合法性基礎(chǔ)。

?

依據(jù)個人同意而進行信息處理的做法雖然最為直接，但并不建議援引。以個人同意作為合法性基礎(chǔ)的帶來的問題之一是《個保法》規(guī)定的個人撤回同意的權(quán)利以及在個人撤回同意之后，個人信息處理者應(yīng)主動刪除個人信息的義務(wù)。問題之二是在人力資源管理的場景中很難界定用人單位所獲得的"個人同意"是否是個人真正"自愿"作出的。我們注意到在《釋義》中，立法者對"‘個人同意’是否是個人真正‘自愿’"這一難點在實踐中的認定，也持懷疑的態(tài)度，具體而言，立法者認為"本法規(guī)定的同意應(yīng)當由個人自愿作出，所謂的自愿要求處理者賦予個人真正的選擇權(quán)和決定權(quán)，如果個人被迫同意或者不同意將承擔負面后果，則同意無效。在人力資源管理中，由于勞動者和用人單位之間關(guān)系不對等，勞動者不同意公司處理個人信息很可能會換來不公平的對待，或面臨不利后果，[4]因此立法者認為此時的同意不能認為是真正"自愿"作出的，其效力存在瑕疵"。

?

同時，與跨境提供信息有兩個相關(guān)前提，一個是"因業(yè)務(wù)等需要"，另一個是個人的單獨同意（或符合豁免）。結(jié)合上文《適用》中的觀點，跨境提供信息落入因"業(yè)務(wù)等"需要中的"等"的范圍，不再展開討論。而單獨同意是否能適用個保法第13條一般同意的豁免有一些爭議。

?

目前主流的觀點認為，如果個人信息處理符合13條中的豁免，則在數(shù)據(jù)出境傳輸?shù)臅r候也不需要獲取單獨的同意。《釋義》持此觀點，《適用》在討論敏感信息的單獨同意中也有類似觀點。另一些觀點認為，單獨同意是更高標準的同意，而不是一般同意的"子集"。因此，第13條規(guī)定的不需要個人同意的情形不能免除個人單獨同意的義務(wù)。如果細查《個保法》的上下文行文和用語，似乎第二種觀點更有說服力。另外，單獨同意適用的情景也是潛在風險更高的情景，例如向其他個人信息處理者提供個人信息、公開個人信息、處理敏感個人信息以及向境外傳輸個人信息等，而對于更高風險的場景，法律上提出更高的要求也是應(yīng)有之義，雖然實操中確實會增加更多障礙。但是，無論如何，在有關(guān)部門頒布實施條例、細則或法院發(fā)布權(quán)威案例前，第13條的普適的豁免觀點目前仍是主流。

《個保法》第17條規(guī)定了個人信息處理者的告知義務(wù)，即個人信息處理者在處理個人信息之前應(yīng)當告知個人：（1）個人信息處理者的名稱及聯(lián)系方式；（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個人行使與個人信息有關(guān)的權(quán)利的方式和程序；（4）其他事項。此外，該條第三款中進一步規(guī)定，上述告知義務(wù)可以通過公開的個人信息處理規(guī)則的方式完成上述向個人告知的義務(wù)。也即，除了在處理個人信息之前向個人"逐一告知"之外，個人信息處理者也可以選擇"統(tǒng)一告知"的方式。"統(tǒng)一告知"的方式是在自動化處理個人信息時使用，主要表現(xiàn)為通過"隱私政策"來明確個人信息處理規(guī)則。[5]雖然沒有更多權(quán)威的觀點，但筆者理解，似乎公司也可以通過在隱私政策中"統(tǒng)一告知"員工有關(guān)內(nèi)部調(diào)查的信息處理事宜；需要關(guān)注的是，按照此思路，需要嚴格按照法律規(guī)定列明所告知的細節(jié)信息。

?

更為模糊的問題是，在開展一項具體內(nèi)部調(diào)查或者某一項調(diào)查的信息出境時是否仍需要開展專項告知。上述"統(tǒng)一告知"更適用于大范圍的或者自動化信息處理的情形，例如登錄某網(wǎng)站或在網(wǎng)上辦理業(yè)務(wù)時該網(wǎng)站會告知個人將會收集必要的信息，但難以提前向個人告知某一特定的個人信息處理情況；而內(nèi)部調(diào)查會有特定的對象，不同的參與角色和不同的行為，統(tǒng)一告知中的內(nèi)容可能沒有普遍適用性。

?

另一方面，逐一告知也缺乏可操作性。如果要求公司在每次開展調(diào)查前都向個人告知相關(guān)情況，將給公司帶來工作上的極度困難，例如，盡管調(diào)查對象是特定的員工，但在調(diào)查過程中可能收集到許多不特定人員的個人信息，如果在調(diào)查的過程中遇到新的個人信息就要中斷調(diào)查程序向該個人告知相關(guān)情況，會顯著擾亂內(nèi)部調(diào)查的進展；再比如，通常內(nèi)部調(diào)查前期甚至全過程都在保密的狀態(tài)下完成，如果需要向員工逐一告知當前公司正在或即將進行的內(nèi)部調(diào)查，無疑將實質(zhì)性影響調(diào)查的進展和最終結(jié)果。

?

目前《個保法》將可不予告知的情形規(guī)定在第18條，主要情形包括法律法規(guī)規(guī)定應(yīng)當保密的或不需要告知的情形?！夺屃x》進一步明確，不需要告知的情形主要包括：國家機關(guān)為履行法定職責處理個人信息，告知將妨礙國家機關(guān)履職的；在合理的范圍內(nèi)處理已公開的個人信息；以及其他情形。內(nèi)部調(diào)查似乎并不落入上述范圍之內(nèi)。而歐盟《通用數(shù)據(jù)保護條例》（"GDPR"）第14（5）條中規(guī)定的例外情形中似乎也未對內(nèi)部調(diào)查中的告知義務(wù)作出明確的豁免。對此問題有待于立法機關(guān)或執(zhí)法機構(gòu)進一步明確和補強。

?

目前可供參考的是，歐盟個人信息保護執(zhí)法機構(gòu)歐盟數(shù)據(jù)保護監(jiān)管主管（"EDPS"）對于公司內(nèi)部舉報（Whistleblowing）處理個人信息問題的指引，根據(jù)該指引，在是否應(yīng)當告知被舉報人的問題上，EDPS給予公司一定的決定權(quán)，公司應(yīng)當根據(jù)具體情況進行決定，EDPS列舉的理由包括如果告知被舉報人將存在阻礙調(diào)查進展或危害其他人的權(quán)利或自由的情況。如果公司決定不告知被舉報人，應(yīng)當記錄在案以備EDPS事后審查。[6]

《個保法》主要通過第四章專章規(guī)定了個人在個人信息處理活動中的權(quán)利。其中第44條是總括性的規(guī)定，《個保法》將知情權(quán)和決定權(quán)作為個人在個人信息處理活動中的基礎(chǔ)性、概括性權(quán)利，其中知情權(quán)包括處理個人信息前告知、要求個人信息處理者公開處理規(guī)則、查閱復制權(quán)、規(guī)則解釋說明權(quán)等權(quán)利；決定權(quán)包括對個人信息處理的同意和拒絕同意權(quán)、同意的撤回權(quán)、可攜帶權(quán)、更正補充權(quán)、刪除權(quán)等權(quán)利。在公司內(nèi)部調(diào)查的場景中，受調(diào)查對象理論上可依據(jù)《個保法》行使查閱復制權(quán)，向公司要求查閱甚至復制被處理的個人信息。該條同時也規(guī)定了例外情形，即涉及保密或不需要告知的情形或告知將妨礙國家機關(guān)履行法定職責的情況作為例外。

?

我們理解，從《個保法》條文邏輯來看，查閱復制權(quán)是告知規(guī)則的延續(xù)，因此就查閱復制權(quán)，同樣存在與告知義務(wù)相似的例外情形（參見上文關(guān)于告知義務(wù)部分的探討）。另外在國家推薦性標準《信息安全技術(shù)? 個人信息安全規(guī)范》（GB/T 35273-2020）第8.7（e）項中設(shè)定8種信息主體免于響應(yīng)個人查詢或復制要求的情形，在一些方面超出《個保法》中明確規(guī)定的情形，包括"個人信息控制者有充分證據(jù)表明個人信息主體存在主觀惡意或濫用權(quán)力的"、"出于維護個人信息主體或其他個人生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的"、"響應(yīng)個人信息主體的請求將導致個人信息主體或其他個人、組織的合法權(quán)益受到嚴重損害的"以及"涉及商業(yè)秘密的"等。

?

在內(nèi)部調(diào)查的場景之下，調(diào)查的方向和內(nèi)容或多或少會包含上述的要素，例如調(diào)查內(nèi)容涉及商業(yè)秘密、信息主體存在主觀惡意、如果披露信息將會使公司合法權(quán)益遭受嚴重損害等問題。我們注意到上述推薦標準中的免于告知/響應(yīng)的情形較《個保法》的規(guī)定更加廣泛，而在實際應(yīng)用中如何協(xié)調(diào)《個保法》和上述規(guī)范，該規(guī)范是否擴展了《個保法》免于告知的情形值得進一步研究。

很多公司為了加強內(nèi)部合規(guī)管理均設(shè)有內(nèi)部舉報的渠道，有些跨國公司的舉報熱線或郵箱直接設(shè)置在境外，或者由境外統(tǒng)一的服務(wù)商進行接報。在境外舉報渠道收到含有個人信息的舉報的情景下，此時境內(nèi)的舉報人是否應(yīng)當被認為是個人信息處理者，同時進行了信息的跨境傳輸？

?

《個保法》第73條中對于"個人信息處理者"作出了明確的定義，即"在個人信息處理活動中自主決定處理目的、處理方式的組織、個人"，結(jié)合《個保法》第72條關(guān)于自然人因個人或者家庭事務(wù)處理個人信息不適用《個保法》的規(guī)定，我們傾向于認為舉報人屬于《個保法》定義下的個人信息處理者。

?

首先，舉報信息勢必會含有包括被舉報人，可能存在的證人或與舉報事項存在關(guān)聯(lián)的人相關(guān)的信息；其次，舉報人向境外傳輸個人信息的目的顯然并非處理個人或家庭事務(wù)。而接受舉報的公司，則符合《個保法》第3條第2款中在境外分析、評估境內(nèi)自然人行為的情形，也會被認定為個人信息處理者。

?

以上問題所衍生出的問題包括：舉報人將舉報信息提供給境外，是否適用目前跨境傳輸?shù)姆ǘㄒ?？公司對于舉報人提供信息是否應(yīng)有所要求或者提示？或者公司舉報系統(tǒng)設(shè)置的地點本身是否應(yīng)有所考量？歐盟數(shù)據(jù)保護監(jiān)管主管（EDPS）對于公司內(nèi)部舉報問題相關(guān)指引認為，公司應(yīng)該采用措施：（1）保證對于舉報人以及其他有關(guān)人員的信息的保密；（2）對相關(guān)數(shù)據(jù)的處理采取充分、相關(guān)和必要原則；（3）保證個人對于信息的相關(guān)權(quán)利，但可以采用適當?shù)南拗疲唬?）對可能的數(shù)據(jù)傳輸進行評估，僅對法定之下的數(shù)據(jù)有限開放；（5）根據(jù)內(nèi)部調(diào)查結(jié)果確定個人信息保存的實現(xiàn)，并及時刪除；（6）采取組織上和技術(shù)上的措施保證合法和安全地處理個人信息。[7]

對此，法律有明確規(guī)定?！稊?shù)據(jù)安全法》第36條禁止境內(nèi)組織、個人未經(jīng)批準向境外司法或執(zhí)法機關(guān)提供數(shù)據(jù)。[8]《個保法》第41條也有相同的規(guī)定，禁止個人信息處理者未經(jīng)主管機關(guān)批準向境外司法或者執(zhí)法機構(gòu)提供存儲于境內(nèi)的個人信息。

?

一個相關(guān)的問題是當外國母公司已經(jīng)通過合法的途徑獲取了出境的信息，則是否仍受到上述條款的限制？我們認為答案應(yīng)是肯定的。此時如擬將出境的信息提交給境外監(jiān)管或者司法部門，則已不符合原出境設(shè)定的條件和目的，也不符合評估、認證和雙方合同的基礎(chǔ)和相應(yīng)的條款。同時，也不符合《個保法》和《數(shù)據(jù)安全法》上述條款的立法本意。

今年4月，美國一家法院要求一家中國企業(yè)限期交付位于中國境內(nèi)的24臺電腦以供檢查時判定，《個保法》第13條中的合法基礎(chǔ)（此處為"為履行法定職責或者法定義務(wù)所必需"）使得個人信息出境免于個人的再次單獨同意，進一步的，《個保法》中"法定義務(wù)"并不僅限于中國法義務(wù)，美國法院認為《個保法》沒有任何規(guī)定"明顯"將這一條款限制在中國法規(guī)定的義務(wù)。因此美國法院認為其命令構(gòu)成中國公司應(yīng)當遵守的一項法律義務(wù)，足以構(gòu)成《個保法》第13條處理個人信息的合法基礎(chǔ)，進而在出境時免于個人的單獨同意。

?

對于上述案例，不難看出是美國司法體系為了完成其跨境長臂管轄的目的對于中國法律條文進行附會的解釋。無論如何，在《個保法》的立法本意中，"法定的義務(wù)"僅僅指中國法項下的義務(wù)?！夺屃x》中在解釋"為履行法定職責或者法定義務(wù)所必需"的情形時列舉了我國《稅收征收管理法》、《出境入境管理法》、《居民身份證法》等法律中規(guī)定國家機關(guān)履行法定職責處理個人信息的情形，顯然"國家機關(guān)"僅指中國的國家機關(guān)，并非境外國家的機關(guān)，[9]《適用》中對于該條的解讀同樣將適用范圍限定在個人信息處理者在我國法律法規(guī)的規(guī)定而負有的義務(wù)。[10]綜上我們認為，境外監(jiān)管或司法部門的要求并不構(gòu)成《個保法》規(guī)定的獲取同意的豁免。

總結(jié)和思考