海外员工数据可驻留海外节点
通过 Multi-Geo,将海外员工个人信息、员工名下内容按用户 Geo 标签落到对应海外节点;租户组织、权限、后台配置等保留在租户 Geo。
给沪硅的核心结论
一句话:MG 不是“把所有责任转给飞书”,而是用产品、合同和证据链,帮助企业把跨境协同的风险降到可解释、可审计、可管控。
争议发生时,有材料可解释
围绕 DPA、TIA、数据流说明、认证资质、产品配置说明,帮助客户把“是否合规”的讨论转化为有证据的判断。
客户为控制者,飞书为处理方
沪硅承担自身业务和员工数据的合规主体责任;飞书提供产品事实、证明材料、DPA/TIA 模板及事件配合。
沪硅当前最关心的 5 件事
来自会议纪要与逐字稿提炼,建议后续材料和专项会围绕这五个问题组织。
1. MG 服务值不值得买
客户要知道付费获得的不是抽象承诺,而是数据驻留、合规证明、争议响应配合和可复用的对内解释材料。
2. 出现合规投诉时谁来做什么
比如芬兰员工、工会、DPO 或监管机构提出质询时,沪硅如何答复,飞书能提供哪些证据和技术说明。
3. 出差、外籍员工、海外子公司的规则怎么区分
长期驻留海外员工、短期差旅员工、国内主体员工和海外子公司员工,需要用不同口径解释,不宜混成一个问题。
4. 飞书在争议中到底做什么
飞书不是替代沪硅法务直接对监管作法律意见,而是提供产品事实、协议文本、数据流说明、认证材料和会议答疑支持。
5. 怎么让领导层判断“值不值”
需要把 MG 的价值讲成风险降低、争议响应、全球统一协同和员工接受度提升,而不是单纯讲功能开关。
建议沟通口径
“MG 解决的不是所有法律问题,而是把跨境协同中最容易被质疑的数据驻留、处理边界和证明材料先准备好。”
飞书 MG 跨境合规方案
面向沪硅这种“国内总部 + 海外子公司 + 外籍员工 + 多国差旅”的全球协作场景。
Step 1
按人员归属打 Geo 标签
芬兰、欧盟、北美等长期驻留员工配置海外 Base 地;短期差旅不等同于长期驻留,可按实际场景评估。
Step 2
按数据类型决定存储逻辑
个人信息存用户 Geo;消息/日程/任务/邮件按参与者双边存储;云文档/文件原则上存创建者 Geo。
Step 3
形成可解释的合规证据链
围绕数据存储位置、处理主体、协议文本、认证资质和评估模板,形成可给法务、DPO、工会或管理层解释的材料。
| 数据类别 | 推荐处理 | 给沪硅的解释 |
|---|---|---|
| 组织架构、权限、管理后台、基础配置 | 存储在租户 Geo | 属于企业统一管理基础数据,支撑总部统一治理。 |
| 员工头像、手机号、设备信息等个人信息 | 存储在用户 Geo | 海外员工个人信息按海外节点驻留,降低个人信息跨境传输压力。 |
| 消息、会议元信息、日程、任务、邮件 | 参与者 Geo 双边存储 | 跨境协作时双方节点各留一份,保证协作体验与证据留存。 |
| 云文档、文件、妙记、表格 | 创建者 Geo 单边存储 | 谁创建,主要存谁所在节点;访问权限由创建者和企业策略管控。 |
| 高度敏感的经营资料 | 由沪硅自行做业务分级判断 | MG 重点解释个人信息和协作数据的跨境合规,不替代企业对自身商业秘密的管理判断。 |
责任边界与飞书支持范围
这部分建议作为给沪硅法务和 IT 的重点页,避免后续误解为“买 MG 就由飞书承担全部法律责任”。
| 事项 | 沪硅集团 | 飞书/Lark |
|---|---|---|
| 合规主体责任 | 作为数据控制者,决定收集、使用、共享数据的目的和方式。 | 作为数据处理方,按 DPA 和产品配置处理客户数据。 |
| 法律判断 | 由沪硅法务、外部律师、DPO 给出具体场景的法律判断。 | 不提供法律执业意见,但可提供产品事实、资质与证明材料。 |
| 审计/投诉响应 | 作为被投诉或被审计主体进行正式答复。 | 配合提供 TIA 模板、DPA、日志、认证、数据流说明、技术证明。 |
| 争议应对材料 | 组织内部法务、DPO、HR、IT 形成正式答复口径。 | 提供产品说明、数据流说明、认证材料、DPA/TIA 模板,并参加专项解释会。 |
建议话术:飞书能提供“可证明的产品事实”和“可复用的合规材料”,但不替代沪硅自己的合规主体责任;双方通过 DPA 明确权利义务,通过 TIA、数据流说明和认证材料支撑监管、DPO、工会或员工质询。
监管机构介入型案例库
以下选取与沪硅“海外员工、跨境传输、员工告知、协作数据、外部问询”最相关的监管问询类型,说明若沪硅遇到类似问题,飞书可以提供哪些事实材料和协同支持。
企业客户监管问询案例
某零售企业:员工个人信息被质疑过度收集
事件背景:某企业在欧洲门店管理中记录了较多员工沟通、健康请假、家庭情况等信息,被当地机构要求解释哪些数据属于工作必要处理。
- 机构可能要求:说明处理目的、数据类别、保留期限、访问范围,并删除不必要数据或调整内部流程。
- 沪硅相似风险:芬兰员工认为协同平台沉淀了过多个人协作痕迹,要求公司解释哪些属于工作必要数据。
- 飞书可协助:提供飞书/Lark 中员工相关数据类别、产品默认处理逻辑、可配置项和数据导出/管理说明,帮助沪硅形成员工数据清单。
- 飞书边界:是否“过度收集”、哪些数据应删除,由沪硅法务和 DPO 结合本公司管理目的判断。
某平台企业:跨境传输依据被监管质疑
事件背景:某企业将欧洲用户或员工数据传输到欧盟以外区域,监管机构要求其证明传输依据、补充保护措施和传输影响评估是否充分。
- 机构可能要求:提交跨境传输路径、传输依据、补充保护措施、TIA 评估;必要时暂停特定传输或迁移数据。
- 沪硅相似风险:芬兰员工或 DPO 追问员工数据是否会流向中国大陆、日本、新加坡或其他区域。
- 飞书可协助:提供 MG 数据驻留说明、Lark 服务主体、海外节点说明、DPA/TIA 模板、认证材料和产品事实答疑。
- 飞书边界:跨境传输合法性结论由沪硅法务/DPO 作出;飞书提供的是系统事实和合同/认证材料。
某互联网企业:告知与同意机制被要求整改
事件背景:某企业面向欧洲用户提供在线入口时,监管机构认为其隐私告知不够清晰,用户拒绝非必要追踪不如接受方便。
- 机构可能要求:修改告知文本、同意/拒绝机制、记录同意证据,并停止未经同意的非必要追踪。
- 沪硅相似风险:如果沪硅面向海外员工或外部访客发布表单、知识库、应用入口,可能被问到是否有充分告知和同意。
- 飞书可协助:说明飞书表单、开放页面、应用入口中可配置的隐私告知、收集字段、访问范围和记录方式。
- 飞书边界:告知文案、同意范围、是否需要单独 consent,由沪硅结合具体业务场景决定。
某航空服务企业:数据泄露后被要求说明处置过程
事件背景:某企业发生个人数据泄露后,监管机构要求其说明受影响数据类别、发现时间、处置时间线和补救措施。
- 机构可能要求:说明泄露影响范围、受影响数据类别、发现和处置时间线、已采取的补救措施。
- 沪硅相似风险:如果海外员工质疑某份文档、会议纪要或人员名单被不当共享,沪硅需要快速说明范围和处置动作。
- 飞书可协助:提供相关产品的权限、分享、访问记录、导出或操作留痕能力说明,协助客户定位和形成事件说明。
- 飞书边界:是否构成需通报监管的数据泄露、是否通知员工,由沪硅法务/DPO 决定。
某线上平台企业:高风险群体数据处理被要求影响评估
事件背景:某企业处理较敏感人群或特殊类别数据时,被监管机构要求证明是否做过 DPIA、是否采取默认最小化和充分告知。
- 机构可能要求:证明是否做过 DPIA、是否采用默认最小化、是否充分告知、是否限制不必要可见性。
- 沪硅相似风险:如果涉及实习生、候选人、员工家属、健康信息等更敏感群体或信息,普通协作方案可能不够。
- 飞书可协助:提供产品处理事实、字段收集方式、权限配置能力、数据驻留和 DPA/TIA 材料,供客户完成 DPIA。
- 飞书边界:哪些人群或数据属于高风险处理、是否必须 DPIA,由沪硅 DPO/法务判断。
某制造企业:被要求提交处理活动记录
事件背景:某企业在欧洲接受监管问询时,被要求提交处理活动记录、处理方清单、数据类别和跨境传输路径,但内部系统台账不完整。
- 机构可能要求:提交 ROPA、处理目的、数据主体类别、个人数据类别、接收方、跨境传输、保留期限等信息。
- 沪硅相似风险:如果芬兰或欧盟监管抽查,沪硅需要能说明飞书/Lark 在自身处理活动台账中的位置。
- 飞书可协助:提供可填入 ROPA 的事实信息,包括产品处理范围、数据类别、处理者角色、存储节点、DPA 和认证材料链接。
- 飞书边界:ROPA 是沪硅作为控制者的台账,飞书只能提供自身产品事实,不能替沪硅维护全部台账。