違法收集員工信息零售巨頭H&M被罰3500萬歐元

2021-03-15 06:02:50白一方周穎

中關(guān)村 2021年2期

白一方周穎

H&M因何事實被罰3500萬歐元？

2020年10月1日，瑞典快銷零售業(yè)巨頭H&M因違規(guī)收集員工信息及內(nèi)部數(shù)據(jù)泄露事件，被德國漢堡的數(shù)據(jù)保護機構(gòu)“數(shù)據(jù)保護及信息自由委員會”（Commissioner?for?Data?Protection?and?Freedom?of?Information，即HmbBfDI）處以3526萬歐元，折合約4156萬美元的巨額罰款。該筆罰款是自歐盟2018年頒布《通用數(shù)據(jù)保護條例（GDPR）》以來，至今為止因違反該法導(dǎo)致的歐盟第二高額度、德國最高額度的確定處罰（歐盟最高額處罰是2019年法國對谷歌做出的5000萬歐元罰款，關(guān)于本案的分析請參閱筆者的文章《GDPR項下主營業(yè)地之爭塵埃落定，谷歌終局被裁5000萬歐元罰款》）。

這一處罰主要是針對在H&M德國子公司的數(shù)據(jù)違法行為做出的。該公司在漢堡注冊，并在紐倫堡設(shè)有服務(wù)中心。因此，漢堡數(shù)據(jù)保護機構(gòu)HmbBfDI對該違規(guī)行為享有管轄權(quán)。HmbBfDI的調(diào)查顯示，H&M至少從2014年起，就開始對其服務(wù)中心的部分員工的隱私生活展開了密切的記錄和監(jiān)控，并將生成的數(shù)據(jù)記錄永久保存在網(wǎng)絡(luò)服務(wù)器上。對員工數(shù)據(jù)的收集方式和途徑多種多樣，且大大超出了工作相關(guān)的范圍。例如，在員工休年假或病假，甚至短暫的事假之后，主管團隊就會與員工進行所謂“歡迎回歸談話（Welcome?Back?Talks）”，并在會談中記錄包括員工的假期經(jīng)歷、生病癥狀及診斷在內(nèi)的多項個人信息。另外，還會有些主管通過與員工的私人面談、閑聊等方式，獲取大規(guī)模、大范圍的隱私信息細節(jié)，其中甚至包括員工家庭情況、宗教信仰等敏感信息。對于這些員工信息的記錄可達到非常細節(jié)化的程度，且在相當(dāng)長的時間內(nèi)保持著對這些情況的持續(xù)性關(guān)注。其中一部分信息以數(shù)字化的方式被記錄和存儲，并可以被整個公司內(nèi)多達50名的經(jīng)理級別主管讀取。而公司收集這些信息的目的，除了對個人工作績效進行細致的評估之外，還被用以對員工進行個人側(cè)寫，以便有針對性的制定有關(guān)其工作的措施和決策。

在長達5年的期間內(nèi)，員工在不知情的情況下被公司收集和儲存了大量個人隱私信息。直到2019年10月份，因為公司服務(wù)器的一次配置錯誤，這些數(shù)據(jù)在幾個小時的區(qū)間內(nèi)打開對全公司的訪問權(quán)限，造成公司內(nèi)部的數(shù)據(jù)泄露，這一違法收集員工隱私信息的惡性事件才東窗事發(fā)，為人所知，引發(fā)了媒體的報道及員工的投訴。HmbBfDI專員隨后凍結(jié)了涉案的網(wǎng)絡(luò)驅(qū)動器，并要求將其上交，以對該事件展開大規(guī)模調(diào)查。今年1月，H&M終于打破沉默，對外表示德國子公司10月份的數(shù)據(jù)泄露事件是“不可接受的（Unacceptable）”，當(dāng)?shù)貓F隊已經(jīng)采取了系列行動，與所有同事保持密切對話，并將積極配合當(dāng)?shù)財?shù)據(jù)保護機構(gòu)對此事的調(diào)查，向HmbBfDI提交了約60GB的數(shù)據(jù)記錄以供評估。而對這些數(shù)據(jù)的分析結(jié)果，也與多名證人的訊問證言相符，證實了事件的真實性和諸多細節(jié)。

HmbBfDI在為期一年的調(diào)查結(jié)束后，對H&M開出了巨額罰款，并明確表示違法收集員工私生活細節(jié)的行為以及記錄員工活動的行為兩者相加，已經(jīng)極其嚴重地侵犯了員工的公民權(quán)利。專員?Johannes?Caspar教授則評論該案件表現(xiàn)出H&M的紐倫堡辦公室對員工數(shù)據(jù)保護的嚴重?zé)o視，必須以所判處的巨額罰金才能震懾公司，避免對員工隱私的侵犯。而具體的罰款金額，則是根據(jù)HmbBfDI針對判斷GDPR違規(guī)罰款金額所開發(fā)的一組標(biāo)準(zhǔn)，考慮到涉案公司的年收入額（annual?revenue）計算出的。這組標(biāo)準(zhǔn)對年收入較高的公司將計算出更高額的罰款，而H&M集團2019財年的收入高達243億美元。HmbBfDI表示，雖然目前該標(biāo)準(zhǔn)只在德國使用，但已經(jīng)在歐盟整體協(xié)調(diào)層面進行引入和探討，不排除可能適用于更多國家和地區(qū)的可能。

除了罰款之外，HmbBfDI還提出了其他的要求、引入新的數(shù)據(jù)保護概念，以提升H&M紐倫堡辦公室的數(shù)據(jù)保護力度。包括新任命數(shù)據(jù)保護協(xié)調(diào)員（data?protection?coordinator）、月度數(shù)據(jù)保護狀態(tài)更新、加強對吹哨人的保護、以及數(shù)據(jù)主體訪問權(quán)限的整體協(xié)調(diào)。

在接受調(diào)查的過程中，H&M及時停止了違法行為，其管理層對受影響的員工進行了明確道歉，并對現(xiàn)有員工及2018年5月GDPR生效時至少入職一個月以上的員工進行了可觀的賠償。在制度上，H&M也采取了一系列全新措施，以加強內(nèi)部審查，確保數(shù)據(jù)隱私合規(guī)，建立安全的工作環(huán)境。具體包括紐倫堡辦公室服務(wù)中心的管理層人員變動;對領(lǐng)導(dǎo)層數(shù)據(jù)隱私及勞動法的額外培訓(xùn);對經(jīng)理級別的新規(guī);設(shè)立專門負責(zé)審核、跟進、教育及持續(xù)改善數(shù)據(jù)隱私流程的數(shù)據(jù)保護協(xié)調(diào)員;加強數(shù)據(jù)清潔流程;完善內(nèi)部IT系統(tǒng)，以規(guī)范的保存?zhèn)€人數(shù)據(jù)等。同時承諾將遵守HmbBfDI提出的月度更新、吹哨人保護等各項要求。

面對H&M良好的認錯態(tài)度，HmbBfDI也認可其補救措施是“企業(yè)在數(shù)據(jù)違規(guī)事件后，對其責(zé)任前所未有的承認”，并公開肯定了其管理層積極采取措施糾正錯誤和彌補傷害的行為。認為公司責(zé)任人透明開放的提供與事件相關(guān)的信息，并向受害員工做出經(jīng)濟補償?shù)男袨?，表明其希望員工得到日常工作中應(yīng)有尊重的態(tài)度，以及恢復(fù)員工對公司信心的積極嘗試。而在H&M收到罰款后的官方聲明中，雖然沒有明確提出是否會對處罰結(jié)果進行上訴，但表示將會“嚴格遵守相關(guān)數(shù)據(jù)保護部門制定的法律法規(guī)，以及公司自身的高標(biāo)準(zhǔn)”。

H&M因違反何規(guī)定被罰？

縱觀整個案件，H&M對員工隱私信息的收集、處理及儲存毫無疑問是過于寬泛及侵入式的，違反了GDPR第5條與個人數(shù)據(jù)處理相關(guān)的多項原則以及第6條數(shù)據(jù)處理的合法性基礎(chǔ)。

第一，GDPR中規(guī)定的合法性基礎(chǔ)包括員工同意、履行合同所必要、服從法律義務(wù)的必要、保護數(shù)據(jù)主體重大利益的必要、處理公共領(lǐng)域任務(wù)的必要、數(shù)據(jù)控制者或他人合法利益的必要等，對于生物信息、宗教信息等敏感信息的處理，甚至有更高的要求，以禁止處理為原則，以個別情況為例外。而本案中，H&M的信息收集和存儲顯然未獲得員工的同意，也超出了任何一條必要的情況，況且所涉及的個人數(shù)據(jù)中還包括部分敏感信息。

第二，GDPR要求數(shù)據(jù)的收集和處理必須合法、公平、透明，而H&M收集員工信息是通過非正常的方式進行，也不符合任何合法性基礎(chǔ)。

清律律師事務(wù)所律師白一方

第三，目的限制原則，即只能為特定的、明確的、合法的目的進行收集，H&M的行為顯然不是為了任何合法目的，也不存在為了公共利益、科學(xué)、歷史研究或統(tǒng)計目的等特殊情況。

第四，數(shù)據(jù)最小化原則，必須根據(jù)其目的進行可收集數(shù)據(jù)范圍的最小化限制，H&M大大超出了最小范圍，即使我們認為其員工監(jiān)控的目的合法，也很難說關(guān)于度假情況、家庭情況或宗教信息的收集與其目的緊密相關(guān)。

第五，儲存限制，個人數(shù)據(jù)的保留時間不應(yīng)超過所需必要，而H&M對員工數(shù)據(jù)進行永久保存，不存在定期刪除的計劃。

此次H&M事件對企業(yè)的警示

需要注意的是，HmbBfDI的處罰并非基于2019年10月的內(nèi)部數(shù)據(jù)泄露事件，而是對違法收集、處理、儲存員工數(shù)據(jù)的不當(dāng)員工監(jiān)控行為的不合規(guī)處罰。而數(shù)據(jù)泄露只是令HmbBfDI看到媒體信息、收到員工投訴，從而展開調(diào)查的導(dǎo)火索。事實上，與國內(nèi)大多數(shù)企業(yè)相較，歐盟和美國企業(yè)向來比較重視員工個人信息保護，通常在員工手冊中會以專章說明如何保護員工的個人隱私，并事先獲得員工的相關(guān)許可和授權(quán)，以便在事件調(diào)查時查看員工工作郵箱中的工作郵件、檢查工作電腦和辦公場所，或向第三方服務(wù)機構(gòu)如保險公司、人才服務(wù)中介等提供員工的身份、健康等隱私信息。而國內(nèi)的大部分企業(yè)則缺乏此類向員工提供個人信息保護和從員工處獲得授權(quán)的意識。

在國內(nèi)外對于個人信息保護的監(jiān)管日益加強、宣傳力度加大以及用戶糾紛逐漸增多的整體大環(huán)境下，很多企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)已經(jīng)開始重視用戶個人信息保護，完善隱私政策和用戶數(shù)據(jù)的管理流程、機制，但對于企業(yè)內(nèi)部的員工個人信息保護則未給予同等的重視。但無論是GDPR還是《中華人民共和國民法典》，抑或其他國家的信息保護監(jiān)管規(guī)則，均強調(diào)的是“個人/自然人”的信息保護，“員工”顯然也在此范圍內(nèi)，H&M的此次事件其實是一個警示，即如果企業(yè)未對員工個人信息予以保護，與用戶數(shù)據(jù)相比，員工信息泄露的概率并不更低，企業(yè)被投訴或舉報的可能性也不會更低，同時企業(yè)所需承擔(dān)的責(zé)任也并不會更小。

如果企業(yè)此前過度收集員工個人信息、未對員工個人信息加強保護，主要影響是，在員工違紀處分或解除勞動合同時，法院可能因企業(yè)的行為依據(jù)涉及員工的個人隱私，而不支持企業(yè)的相應(yīng)決定或行為，企業(yè)需承擔(dān)敗訴的后果。那么現(xiàn)在，企業(yè)面臨違反個人信息保護的后果則嚴重得多，不僅僅是員工要求賠償損失的民事責(zé)任，還可能面臨高額罰款、被監(jiān)管機關(guān)約談、責(zé)令整改，以及負面輿論風(fēng)險和員工對企業(yè)的信任危機，甚至刑事責(zé)任。因此，企業(yè)應(yīng)同等重視員工個人信息保護。

企業(yè)如何開展員工個人信息保護

在監(jiān)管政策對個人信息保護提出了更高要求的情況下，企業(yè)以往通過員工手冊/規(guī)章制度來證明對員工信息提供了保護，通過授權(quán)書等免除企業(yè)責(zé)任的做法，顯然已不足以應(yīng)對監(jiān)管。企業(yè)應(yīng)當(dāng)按照監(jiān)管政策的要求，對員工個人信息保護進行專項合規(guī)。

首先，與數(shù)據(jù)合規(guī)類似，數(shù)據(jù)應(yīng)用是一個以數(shù)據(jù)為中心的收集、存儲和成果輸出的傳輸鏈條，只有在理解了數(shù)據(jù)從流入到輸出的全部情況，才能真正的理解和判斷法律風(fēng)險點，并精準(zhǔn)地予以風(fēng)險防范和漏洞填補。企業(yè)應(yīng)當(dāng)對員工個人信息在企業(yè)的整體流轉(zhuǎn)過程進行全面梳理，需要注意的是，員工個人信息的流轉(zhuǎn)過程并不是簡單地與員工人事流轉(zhuǎn)過程的各環(huán)節(jié)一一對應(yīng)，如果我們對這兩大過程的環(huán)節(jié)做簡要描述，則：

員工個人信息流轉(zhuǎn)環(huán)節(jié)：收集——處理——存儲——使用（內(nèi)部使用、對外提供等）

員工人事流轉(zhuǎn)環(huán)節(jié)：招聘——入職——管理（合同、薪酬、崗位、培訓(xùn)、獎勵、處罰等）——離職——離職后管理（競業(yè)限制、保密等離職后義務(wù)，以及勞動糾紛處理）

員工個人信息的收集實際貫穿了人事流轉(zhuǎn)的全部環(huán)節(jié)，而不僅僅限于招聘和入職環(huán)節(jié)。如在職管理階段，企業(yè)可能基于監(jiān)管需求而額外收集員工信息，例如疫情防護期間，企業(yè)需收集每位員工動態(tài)實時的健康狀況、位置信息甚至行為軌跡等信息;離職后管理階段，企業(yè)要求員工在競業(yè)限制期限內(nèi)，每月提供新工作單位的信息或者就業(yè)狀態(tài)。

相應(yīng)地，員工從企業(yè)離職后的個人信息也并非即應(yīng)立即刪除。除了上述存在離職后管理環(huán)節(jié)之外，通常勞動法下，企業(yè)有留存相關(guān)信息的義務(wù)，例如企業(yè)必須書面記錄支付勞動者工資的數(shù)額、時間、領(lǐng)取者的姓名以及簽字，并保存兩年以上備查。

由此，企業(yè)對員工個人信息的收集是動態(tài)的、不斷更新的，而這些不時收集的信息也在不斷進行后續(xù)的流轉(zhuǎn)，企業(yè)需要在員工人事流轉(zhuǎn)的全部環(huán)節(jié)中，動態(tài)地執(zhí)行員工個人信息保護的合規(guī)要求。

其次，企業(yè)需要對員工個人信息進行分類，并明確在每一個人事流轉(zhuǎn)環(huán)節(jié)、每一次員工信息收集中，涉及了哪些類別的信息，并一一審查是否執(zhí)行了最小必要等原則。例如，在招聘和入職環(huán)節(jié)，企業(yè)HR們相對熟悉的是，此前國內(nèi)已有相應(yīng)條例明確，企業(yè)不得強制要求員工在入職體檢中檢查乙肝，目前正規(guī)體檢機構(gòu)基本已從入職體檢環(huán)節(jié)中撤除乙肝檢查此項;再如，已有相關(guān)司法判例認定，員工的婚姻狀況和生育狀況屬于個人隱私，企業(yè)如果強制要求員工入職時提供此類信息，并此后以員工隱瞞真實情況為由，解除勞動合同，法院不予支持。那么，現(xiàn)在需要對其他常用收集項，如民族、籍貫、戶口所在地等的合理性進行進一步審查。同理，員工個人信息的其他流轉(zhuǎn)環(huán)節(jié)均需一一進行風(fēng)險評估和合規(guī)處理。

再次，員工個人信息保護的合規(guī)管理應(yīng)當(dāng)成體系，并落實至企業(yè)管理的全部環(huán)節(jié);不能僅體現(xiàn)在員工手冊等規(guī)章制度中，還需要體現(xiàn)在人事管理的各個環(huán)節(jié)的實際操作中，如具體至如何向第三方即保險公司、人才服務(wù)中介提供員工個人信息;信息的保護與合規(guī)不能僅依賴書面規(guī)則，還需要依賴技術(shù)手段，需要與公司的技術(shù)管理密切結(jié)合。因此，員工個人信息保護需要法律、人事、技術(shù)各專業(yè)人士與業(yè)務(wù)部門配合開展，涉及企業(yè)多個部門的協(xié)調(diào)，需要高級別管理層統(tǒng)籌開展。

我們相信，隨著個人信息保護監(jiān)管規(guī)則的不斷豐富與完善，個人信息保護在行業(yè)領(lǐng)域的不斷擴展，個人信息保護與勞動法的交叉監(jiān)管也必然會加強，企業(yè)應(yīng)未雨綢繆，積極應(yīng)對，以避免出現(xiàn)類似此次H&M的慘痛教訓(xùn)。

清律律師事務(wù)所律師周穎

?鏈接：

清律律師事務(wù)所，肇始于“清法律師團”，由一批畢業(yè)于清華大學(xué)的優(yōu)秀律師創(chuàng)建，已成為一家特色鮮明、業(yè)務(wù)領(lǐng)域廣泛、成員背景多元的新銳律師事務(wù)所。目前在北京、上海兩地設(shè)有辦公室。

一直以來，清律均以高度審慎的標(biāo)準(zhǔn)來歡迎和接納新成員。律所成員背景全面，覆蓋常年顧問、投融資并購、民商事訴訟等主要法律服務(wù)領(lǐng)域，深諳各實體行業(yè)的商業(yè)規(guī)則，有豐富的為各行業(yè)提供定制化法律服務(wù)的經(jīng)驗，具備為公私客戶提供全案的風(fēng)險管控措施和糾紛解決的專業(yè)能力。