《個人信息保護法》也規定，假如說同意是為了實現目的所必需的。當然跨境傳輸比較特殊，如果傳輸給我們的境外的母公司，比如股權激勵，它一般涉及到好幾方，員工相關的這些信息，比如銀行賬戶，做外匯登記，可能涉及到境外代理機構，也涉及到境外公司數理股權激勵的這樣的主體。如果他撤回同意的話，一方面，我們可以解釋成這是履行境外公司跟勞動者的這樣股權激勵協議所必需，意思是屬於豁免的情形。當然，它涉及到跨境傳輸，是必須取得單獨同意的。但是，我們認為單獨同意，如果是屬於第二款情形，也是屬於可豁免情形的。所以在我們的建議文件中讓他確認做跨境傳輸是履行這樣的股權協議所必須的。

從我們合規的角度，我們一般建議要求背調公司提供一致員工的授權的文件，假如說員工授權背調公司向公司來調查。說的非常明確，我們完全有合法的理由拒絕。因為我們提供了之後可能被認為侵犯了離職員工的個人隱私。

關於《個人信息保護法》，我們建議把它放在同意的範圍內。因為現在好多公司，是允許個人使用個人電腦用來辦公的。我們建議還是要有這樣的條款，讓員工同意公司對於這樣的一些設備中的一些信息進行處理。同時也是確認這樣的行為，是屬於人力資源管理所必需。

不過，假如說你真正涉及到非常隱私的個人內容的話，最後就就會又涉及到我們分享個人案例，就是個人隱私跟用人單位的知情權的邊界在哪？上海有一個案例，就是因為單位給員工發放手機，員工交上了以後，因為單位在手機中發現了一通錄音是員工跟經銷商的一些溝通內容，錄音的內容能夠證明員工是存在違紀情形的。證據當時被認為是非法的證據。上海法院認為雖然手機是公司發的，但是這裡邊的內容是涉及到通信自由，涉及到個人的隱私。所以從我們的角度，《個人信息保護法》出來以後，確實是對我們新的一些挑戰。我們之前有些證據能用，可能現在不能用了。

為了增加這些證據能夠繼續被使用，被認為是合法證據這樣的可能性，我們能做的就是完善這樣的一些法律文件，去做信息的處理，滿足要麼是同意，要麼是確認必須這樣的情形問題。

就是在入職的時候，我們可以提。假如說我們那時已經確認有一些工作的軟件和一些工作的系統的使用。另外，我們對於這些系統的使用有一些專門的政策。比如，我有客戶，他們有專門的資產使用的政策。你只要接入到公司的系統中，比如你用自己的電腦去接入公司的系統或處理的業務。你所用的設備，都有權供我們做調查的使用。如果你個人去進行這樣操作，就視為你放棄設備中的這些隱私的可能。我之前有客戶關於資產使用政策，是這樣的一些規定，但是在《個人信息保護法》出來以後，他們也已經在做完善和一些調整。假如說我們公司對於郵件，使用有相應的一些政策為建議是指向性上要明確一些，另外就是說我們員工離職的時候，通常也會簽不少的離職須知，等等。

我們建議，不管是從指向性，還是從實效性上，都要做了一些合理性的提示。這樣講來，我們使用的話，被認為是有權使用的合法使用的概率更高。

境外傳輸達到了多少的數量，就應該去做出境的評估。標準目前還沒有公布，一方面建議你們關注行業動態。大家都有一些感覺，就是你們公司是不是這種強監管的領域，然後你們的數據，在三價值追求中，涉及到哪個層面，會不會涉及到國家主權，國家安全，公共利益層面。如果涉及到的話，建議你們做數據的合規的體系的完整的建設。

我們前面也介紹過了，不需要單獨的文件，而是需要對於單獨的內容有單獨的同意，可以體現在整體的文件中，但是要有一塊內容是專門講需要單獨同意的這部分的信息的情況問題。

第一，你要求他提供是否是履行勞動合同直接相關的，我們見到過要求提供微信號、qq 號的，比如，他崗位是反洗錢的崗位，或者是他是職業的遊戲玩家，簽署的這樣的法律文件中，它是綜合性質的法律關系。對這種遊戲電競選手，他的公開發言，實際上是有一些限制的。所以，我不知道你們公司的性質，要求他提供的目的是什麼？就我們開始講的，在招聘環節中一般可以問的，一般不可以問的，必須要問的。微信號 qq 號不屬於一般可以問和可以要求提供的，所以假如說你們公司要求他提供的話，我們建議是要明確使用的目的。

剛才我沒有專門講，跟與背調公司合作不一樣，因為與獵頭公司合作的話，獵頭公司是我們收集信息的直接方，會有一些不同。但是從原則上講，根據合同相對性，不管是獵頭還是使用第三方，其實都是三方之間兩兩存在法律關系。這裡邊會涉及到個人信息的一些處理，我們建議是根據不同的法律關系下《個保法》的一些要求，以及我們在這種法律關系上，我們主體責任是什麼，進行相應的法律文件的起草或者完善。

形式上，我們認為如果你本身就是表格，表格顯得更直觀，更容易被我們閱讀。這樣的話，是沒有問題的。然後法律剛才我們也講了，就是以什麼樣的方式告知履行人單位的告知義務，法律是沒有明文規定必須要用表格，或者是加粗斜體黑體這種方式，它的要求是以這種明顯的種方式就可以。其他的形式只要滿足這種我們比較明顯的方式執行的告知義務，就是符合《個人信息保護法》的規定的問題。

看你們的目的，你們的目的如果是公共安全的話，現在比較常見的說你已進入監控區域等等就可以了，但假如店鋪內的員工當時跟顧客有爭吵，或者是有什麼行為要使用監控視頻，用作公共安全以外的目的的話，根據《個人信息保護法》是需要取得勞動者個人的單獨同意的。當然，單獨同意也並不一定是單獨的表格，因為我們平時在人力資源管理的過程中，本身就需要員工簽署很多的文件，在簽署中加入這樣的內容就可以。

本身召開年會是沒有問題的，向某些工作人員提供禮品，如果僅僅是年會上的活動，提供禮品並不必然不合規。但是回到第 7 條第 1 款，交易相對方的工作人員，本身是作為商業賄賂適用對象之一，如果提供禮品的目的，是因為這些工作人員在工作過程中給到企業好處，或者期望這些工作人員能夠給企業一些不基於客觀、不正當競爭的利益，是一種商業賄賂。在公開場合，個人不建議對某一些針對性的提供禮品。

本人並不贊同，研究者應該包括藥物試驗本身責任，還包括醫療數據的責任，試驗數據並不會排除研究者責任。問題援引的前提不太成立。

這方面未見法律明確規定，申辦方作為投保人為研究機構購買的醫療責任險，是否應該由申辦方來買，個案可以討論。

從新 GCP 規定來看，有關 SUSAR 的規定表述不是很清晰。不同條款對研究者和申辦方在發生 SUSAR時研究者和申辦方的不同義務還有不同個人理解，各個機構都應該有判斷。在爭議協商角度，根據申辦方和保險人之間的溝通，根據保險人的文件和資料的要求，雙方對有可能最後承擔的比例即相關性做出判斷。法院訴訟、仲裁可能依賴有權機關提供的中文證明文件或者法院委托的鑒定機構的鑒定意見。

研究者還是有這方面的要求，SAE 一般的操作規範中會有相關內容，這也是很重要的。在賠償階段去了解保險人的可行性、可能性和責任比例的依據。