《个人信息保护法》也规定，假如说同意是为了实现目的所必需的。当然跨境传输比较特殊，如果传输给我们的境外的母公司，比如股权激励，它一般涉及到好几方，员工相关的这些信息，比如银行账户，做外汇登记，可能涉及到境外代理机构，也涉及到境外公司数理股权激励的这样的主体。如果他撤回同意的话，一方面，我们可以解释成这是履行境外公司跟劳动者的这样股权激励协议所必需，意思是属于豁免的情形。当然，它涉及到跨境传输，是必须取得单独同意的。但是，我们认为单独同意，如果是属于第二款情形，也是属于可豁免情形的。所以在我们的建议文件中让他确认做跨境传输是履行这样的股权协议所必须的。

从我们合规的角度，我们一般建议要求背调公司提供一致员工的授权的文件，假如说员工授权背调公司向公司来调查。说的非常明确，我们完全有合法的理由拒绝。因为我们提供了之后可能被认为侵犯了离职员工的个人隐私。

关于《个人信息保护法》，我们建议把它放在同意的范围内。因为现在好多公司，是允许个人使用个人电脑用来办公的。我们建议还是要有这样的条款，让员工同意公司对于这样的一些设备中的一些信息进行处理。同时也是确认这样的行为，是属于人力资源管理所必需。

不过，假如说你真正涉及到非常隐私的个人内容的话，最后就就会又涉及到我们分享个人案例，就是个人隐私跟用人单位的知情权的边界在哪？上海有一个案例，就是因为单位给员工发放手机，员工交上了以后，因为单位在手机中发现了一通录音是员工跟经销商的一些沟通内容，录音的内容能够证明员工是存在违纪情形的。证据当时被认为是非法的证据。上海法院认为虽然手机是公司发的，但是这里边的内容是涉及到通信自由，涉及到个人的隐私。所以从我们的角度，《个人信息保护法》出来以后，确实是对我们新的一些挑战。我们之前有些证据能用，可能现在不能用了。

为了增加这些证据能够继续被使用，被认为是合法证据这样的可能性，我们能做的就是完善这样的一些法律文件，去做信息的处理，满足要么是同意，要么是确认必须这样的情形问题。

就是在入职的时候，我们可以提。假如说我们那时已经确认有一些工作的软件和一些工作的系统的使用。另外，我们对于这些系统的使用有一些专门的政策。比如，我有客户，他们有专门的资产使用的政策。你只要接入到公司的系统中，比如你用自己的电脑去接入公司的系统或处理的业务。你所用的设备，都有权供我们做调查的使用。如果你个人去进行这样操作，就视为你放弃设备中的这些隐私的可能。我之前有客户关于资产使用政策，是这样的一些规定，但是在《个人信息保护法》出来以后，他们也已经在做完善和一些调整。假如说我们公司对于邮件，使用有相应的一些政策为建议是指向性上要明确一些，另外就是说我们员工离职的时候，通常也会签不少的离职须知，等等。

我们建议，不管是从指向性，还是从实效性上，都要做了一些合理性的提示。这样讲来，我们使用的话，被认为是有权使用的合法使用的概率更高。

境外传输达到了多少的数量，就应该去做出境的评估。标准目前还没有公布，一方面建议你们关注行业动态。大家都有一些感觉，就是你们公司是不是这种强监管的领域，然后你们的数据，在三价值追求中，涉及到哪个层面，会不会涉及到国家主权，国家安全，公共利益层面。如果涉及到的话，建议你们做数据的合规的体系的完整的建设。

我们前面也介绍过了，不需要单独的文件，而是需要对于单独的内容有单独的同意，可以体现在整体的文件中，但是要有一块内容是专门讲需要单独同意的这部分的信息的情况问题。

第一，你要求他提供是否是履行劳动合同直接相关的，我们见到过要求提供微信号、qq 号的，比如，他岗位是反洗钱的岗位，或者是他是职业的游戏玩家，签署的这样的法律文件中，它是综合性质的法律关系。对这种游戏电竞选手，他的公开发言，实际上是有一些限制的。所以，我不知道你们公司的性质，要求他提供的目的是什么？就我们开始讲的，在招聘环节中一般可以问的，一般不可以问的，必须要问的。微信号 qq 号不属于一般可以问和可以要求提供的，所以假如说你们公司要求他提供的话，我们建议是要明确使用的目的。

刚才我没有专门讲，跟与背调公司合作不一样，因为与猎头公司合作的话，猎头公司是我们收集信息的直接方，会有一些不同。但是从原则上讲，根据合同相对性，不管是猎头还是使用第三方，其实都是三方之间两两存在法律关系。这里边会涉及到个人信息的一些处理，我们建议是根据不同的法律关系下《个保法》的一些要求，以及我们在这种法律关系上，我们主体责任是什么，进行相应的法律文件的起草或者完善。

形式上，我们认为如果你本身就是表格，表格显得更直观，更容易被我们阅读。这样的话，是没有问题的。然后法律刚才我们也讲了，就是以什么样的方式告知履行人单位的告知义务，法律是没有明文规定必须要用表格，或者是加粗斜体黑体这种方式，它的要求是以这种明显的种方式就可以。其他的形式只要满足这种我们比较明显的方式执行的告知义务，就是符合《个人信息保护法》的规定的问题。

看你们的目的，你们的目的如果是公共安全的话，现在比较常见的说你已进入监控区域等等就可以了，但假如店铺内的员工当时跟顾客有争吵，或者是有什么行为要使用监控视频，用作公共安全以外的目的的话，根据《个人信息保护法》是需要取得劳动者个人的单独同意的。当然，单独同意也并不一定是单独的表格，因为我们平时在人力资源管理的过程中，本身就需要员工签署很多的文件，在签署中加入这样的内容就可以。

本身召开年会是没有问题的，向某些工作人员提供礼品，如果仅仅是年会上的活动，提供礼品并不必然不合规。但是回到第 7 条第 1 款，交易相对方的工作人员，本身是作为商业贿赂适用对象之一，如果提供礼品的目的，是因为这些工作人员在工作过程中给到企业好处，或者期望这些工作人员能够给企业一些不基于客观、不正当竞争的利益，是一种商业贿赂。在公开场合，个人不建议对某一些针对性的提供礼品。

本人并不赞同，研究者应该包括药物试验本身责任，还包括医疗数据的责任，试验数据并不会排除研究者责任。问题援引的前提不太成立。

这方面未见法律明确规定，申办方作为投保人为研究机构购买的医疗责任险，是否应该由申办方来买，个案可以讨论。

从新 GCP 规定来看，有关 SUSAR 的规定表述不是很清晰。不同条款对研究者和申办方在发生 SUSAR时研究者和申办方的不同义务还有不同个人理解，各个机构都应该有判断。在争议协商角度，根据申办方和保险人之间的沟通，根据保险人的文件和资料的要求，双方对有可能最后承担的比例即相关性做出判断。法院诉讼、仲裁可能依赖有权机关提供的中文证明文件或者法院委托的鉴定机构的鉴定意见。

研究者还是有这方面的要求，SAE 一般的操作规范中会有相关内容，这也是很重要的。在赔偿阶段去了解保险人的可行性、可能性和责任比例的依据。