个保法如何影响公司合规调查？

为了进一步履行保护个人信息的承诺，中国内地颁布了新的《个人信息保护法》，该法赋予个人相关权利，以控制和决定以何种方式、与哪些主体、以及出于何种目的而共享、分析或处理其个人信息。

典型的合规调查很可能会涉及获取和分析员工的个人信息。此外，公司的内部调查团队还可能会聘请外部专业人士协助，或与位于中国内地境外的总部共享有关信息。根据《个人信息保护法》，这些活动需要个人信息主体的一般或单独同意，而鉴于调查的敏感性和机密性，获取相应的同意可能难以实现。因此，《个人信息保护法》中的新义务，将会对企业在落实公司合规和内控制度过程中所进行的内部调查带来实际挑战。

这些涉及个人信息的调查活动包括：收集员工的个人信息（如学历和工作经验等），审查有可能违反合规活动或事项之工作邮件记录，以及利用举报者所提供的信息。此外，这一过程亦包括获取员工的敏感信息，如银行帐户、费用和报销记录及其在相关时期所处位置，存取及处理包括商业伙伴与客户的个人信息。

一旦调查开始，要获得被调查的当事人对提供个人信息之明确同意，就会变得困难重重。除了须获取明确同意外，《个人信息保护法》第十三条还规定在处理个人信息时，有六种情况可豁免获取明确同意的情况，当中有三项豁免情况与合规调查相关。虽则如此，我们认为这些豁免存在一定的局限。

根据现行规则，内部调查中何时必须征得当事人的明确同意，以及何时才可获得豁免，在实际情况下难以划定两者之间的界限。展开内部调查的公司需要了解豁免情形的限制，而不应完全依赖上述情况，以规避《个人信息保护法》述明的义务。如果未能提前解决这些问题，内部调查报告的可信度可能会受到影响。在最坏的情况下，甚至可能会导致调查无法继续。