电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   律师视点  >  
陈国彧、唐欢 | Case Study: H&M 违规收集员工隐私遭3526万欧元重罚
发布日期:2020-10-15
陈国彧

北京德和衡(上海)律师事务所

高级联席合伙人


唐  欢

北京德和衡律师事务所

执业律师






一、 案例背景


近日,瑞典快时尚集团H&M因其在德国纽伦堡服务中心非法监视员工而受到了3526万欧元的“破纪录”罚款。


根据汉堡数据保护局(HmbBfDI)的声明,其非法监视方式为广泛记录数百名员工的个人信息。


至少自2014年以来,部分H&M员工已经公司大量记录有关其私人生活的详细信息。


在员工休年假、病假甚至短暂休假后,公司管理人员会与员工进行“欢迎回来谈话”。通过这些返工式访谈或非正式聊天,管理人员记录员工的假期详细信息、疾病和诊断的详细信息以及特定的家庭问题和宗教信仰等信息。


管理人员不仅对员工的私生活建立了“广泛的知识“,还定期对其进行更新并以数字方式进行永久存储。公司多达50位其他管理人员可以访问这些被非法收集记录的员工隐私信息。


公司收集员工隐私信息的目的旨在对员工绩效做“细致”分析,同时指导雇佣决策。


上述违法事项一直持续至2019年10月。由于IT系统出现配置错误,在数小时之内,这些员工记录在整个公司处于可公开访问状态。H&M此项非法监视行为才得以揭露。


按照汉堡数据保护局(HmbBfDI)的指令,H&M立即冻结了网络驱动器,并将大约60GB的数据交付给汉堡数据保护局(HmbBfDI)。汉堡数据保护局(HmbBfDI)对H&M的违法行为做详细调查,并询问相关证人,对H&M做出3,526万欧元的罚款。





二、 案例分析


(一)违法事实


综合上述背景情况,我们认为H&M公司的违法监视员工的行为,存在以下违法事实。


01

非法收集




首先,H&M在收集信息时,并未明确告知员工收集的相关情况并获取员工事先同意。员工无法知悉信息已被收集,从而主张自己的权利。这明显违背了欧盟《通用数据保护条例》(GDPR)第5条所要求的合法性、合理性和透明性原则。


其次,H&M收集的信息超出日常运营的需要,获取的信息不止于与工作相关,还涉及员工的隐私信息。H&M完全无视了GDPR第5条所确定的“目的限制”和“数据最小化”原则。


此外,自然人健康、宗教信仰、政治观念等相关信息属于特殊类型个人数据,H&M收集和处理这些个人敏感信息还应当满足GDPR的特别要求。但从此次意外泄露事件来看,H&M对这些个人敏感信息的收集并不满足GDPR的合规要求。


02

非法存储




涉及储存之时,H&M并未告知员工关于其广泛个人信息的存储位置,如存储目的、存储期限等。H&M未经员工同意即对其个人信息不加区分地且永久性地进行储存。


GDPR第五条规定了对个人信息的“限期储存”,要求储存时间不得超过实现其处理目的所必需的时间。


此外,H&M收集、储存和处理这些员工信息,仅出于最大化公司利益,故其目的也并未落入实现公共利益、科学或历史研究目的或统计目的等可超过限定期限的例外情况。


03

人为过失导致的泄露




此次违法监视员工的事件是由公司发生IT系统配置错误导致员工隐私大范围泄露而暴露。


此次泄露暴露了H&M并未设置有效的技术手段和组织措施来保护其员工的个人信息。


对员工的个人信息公司内部并未设定有限接触。最明显的即是可访问接入的管理人员过多,在出现IT系统配置错误时亦无相应的内部安全控制机制,致使员工的个人信息在较大范围内被迅速扩散。


而GDPR第五条则要求:“处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。”


(二)该案中应关注的重点问题


01

员工在工作场所的个人隐私应受到保护




公司通常关注的是客户数据的保护,一定程度上漠视了员工数据的保护。但员工在工作场所也产生了大量的私人信息,H&M即不加限制地利用这些隐私信息用于企业管理,除用于评估工作绩效外,还利用这些数据做出有关就业、雇佣的决定。


公司出于合同义务及法律义务可以收集、存储、处理员工的个人信息,这有利于公司及个人的双赢。但公司收集、存储、处理员工的个人信息应当限定在合法需求范围之内,而不能一味地追逐企业的商业利益。公司应当进行平衡测试:公司的(财务)利益不得凌驾于员工的隐私利益上。


02

配置错误的技术原因导致泄露



H&M广泛的数据收集于2019年10月暴露,当时由于配置错误,此类数据在公司范围内可访问数小时。汉堡负责数据保护和信息自由的专员约翰内斯·卡斯珀(Johannes Casper)博士表示,此案证明H&M公司采取这种过度做法严重忽视了纽伦堡H&M员工的数据保护。


公司从文化层面不重视员工隐私保护;从技术手段和内部合规控制方面无适当的架构以控制系统错误或人为失误等风险的产生和扩散。


这也是汉堡数据保护局(HmbBfDI)所无法容忍的。


03

合法公平的调查




在H&M数据泄露当天被汉堡数据保护和信息自由专员知晓时,专员即指令H&M向其移交了大约60G的数据,开始对H&M涉嫌特别严重侵害雇员民事权利的行为进行长达一年的调查。


为确保合法公平,汉堡数据保护局(HmbBfDI)采取的调查方式也是多种多样的,并未局限在对数据的分析,亦实地走访、深入访谈了部分卷入事件漩涡的管理人员和员工,从他们口中还原了事件过程,并获取了大量的事实证据以夯实作出高额罚款的合法合理性。


04

威慑性的处罚意义




H&M此次被罚是继欧盟于2018年出台新的《通用数据保护条例》之后对单一公司因数据泄露而处罚的第二大罚款;仅次于2019年法国数据主管部门(CNIL)对法国Google因精准营销行为缺乏透明度和缺乏有效同意处以5000万欧元的罚款。


汉堡数据保护局(HmbBfDI)一向以对个人数据保护采取严格立场而闻名,近年来倾向于高额罚款,以打击不负责任的数据收集和管理。欧盟其它地区亦有此趋势,如柏林数据保护和信息自由专员于2019年10月对德国房地产公司Deutsche Wohnen处以1,450万欧元的罚款。





三、 案例启示


(一)工作场所对员工监控的边界


01

区分工作场景与个人场景




公司对员工的监控是存在边界的,应注意在工作场所之下有必要区分工作场景与个人场景。在收集、储存、处理员工隐私信息之时,必须要谨遵以下几大原则:


(1)透明性原则


公司在一定程度上可以对员工的隐私信息进行收集、储存、处理,但如此行动的一大前提即是取得员工的明确同意,且此项同意应当出于员工自愿,员工拥有提出反对的权利,员工在行使反对权利时不会遭致公司后续各种形式的歧视、区别对待或惩罚。


(2)合理性原则


正如GDPR“目的限制”及“数据最小化”原则的应有之义,公司在行动之时应当时刻牢记将收集、储存、处理员工隐私信息之目的限缩在建立及履行劳动关系的合理范围之内,而不应当无限扩大信息范围。例如收集员工的紧急联系人信息即是合理,但收集员工所有家庭成员的姓名、性别、年龄、工作单位、联系方式等信息即是很大可能超出合理范围。


(3)合法性原则


一方面,公司收集、储存、处理员工隐私信息是出于履行法定义务的需要,比如为员工纳税、缴纳社会保险时需要获取员工及部分家庭成员的隐私信息。


另一方面,公司在履行以上法定义务之时,亦应充分重视员工的个人权利,在公司的合法需求及员工的个人权利之间寻求平衡地带。公司的监控行为并非完全不可行,但必须以保障员工的个人权利为前提。现在公司的监控主要集中于三类信息:地理信息、电子数据、时间信息。


关于地理信息,监控之时应当局限在特定区域之内,有关员工的个人敏感轨迹活动(如医院、宗教场所、政治集会等)应该被及时排除;关于电子数据,应当限定在工作相关的信息,如工作成果、工作电话、工作邮件等,有关员工的个人通讯设备不应当成为监控目标;关于时间信息,应当是出于适当选定一定时间点作为样本进行记录,而不是持续监控。[1]


02

区分工作必要




社会日益发展,科技手段日渐精进。公司对员工可采取的监测手段越来越先进,这种先进亦导致了边界更容易被侵犯被突破,如“一体化办公”的模式推出,很大程度上使得公司可以监测工作场所的所有信息流,而工作场所的模糊性又进一步使得公司可以监测到员工的更多隐私信息。


由此,公司文化非常重要,而公司文化应当内化为具有相称性、可知性及必要性的规章制度。这种相称性体现在,监测技术手段与监测目的是相称的,没有超过合理范围,数据收集、存储、处理皆遵循最小化原则,有设置一定的措施来防范数据相关行为的扩大化。可知性体现在,监测技术手段应该是明确的、适当的,并已充分向员工说明,员工亦可随时了解监测最新政策及监测更新手段。


必要性体现在,必须有一块儿私人领域是不可侵犯的,只有允许这个禁行领域的存在,其他的措施才可以良好推行;员工有权利明确某些特定的私人空间,如无涉及重大特殊情况,公司不得监测该特定空间。


(二)人为失误是造成公司直接损失的主要原因


根据Willis Towers Watson韦莱韬悦发布的《网络安全保险理赔分析报告》,“人为失误是导致数据泄露的最常见根本原因,这通常与员工点击了网络钓鱼电子邮件中的链接或回复了欺骗性电子邮件有关。在防止此类损失方式进行员工培训和教育具有重要意义。”[2]


虽根据目前可知信息,H&M的泄漏是由IT系统配置错误导致,但可访问和可接入管理人员的众多也是配置错误的一个催化剂。即使配置错误暂时不出现,但H&M仍然背负着人为失误的较大风险。人员数量的可控应当由公司相对完备的技术手段和组织措施达成,而人员素质的提升有赖于公司整体文化的培育以及各项教育措施的跟进。


(三)欠缺内部控制


公司内部不仅需要重视对消费者信息的保护,还必须重视员工个人信息安全和隐私保护问题。公司应建立符合GDPR员工数据隐私保护的组织架构,如数据保护官(DPO),其主要责任包括对员工个人数据的合规性监测、内部数据相关人员的培训和及时向管理层汇报数据保护进程等。


除此之外,还应当采取合理必要的技术安全和法律合规措施切实保护员工隐私,在员工个人信息的准入设置必要的门槛和访问权限,将信息的利用限制在必要的范围,并提高系统的安全系数和保护措施,并通过技术和法律两方面审计数据合规。


(四)中国公司国际化过程中须特别注意国外对员工隐私保护强于国内立法与实践


在员工隐私保护这一方面,我国立法与实践尚处于启蒙及摸索阶段。


对于已出海或拟出海的中国公司,应在国际化的进程中充分重视国际数据隐私保护的立法与执法。


此外,企业数字化进程也不可避免会有大量经营数据、客户数据以及雇员数据存储在境内外。对上述数据进行合规审查,以避免遭受巨额违法成本,保持业务的连续性、保护企业商誉,也是目前通行的做法。


为此,我们将四个主要国家和地区在员工数据保护方面的法律规定整理如下,以供参考。


主要国家地区数据保护立法一览表


项目

欧盟GDPR

美国CCPA

新加坡PDPA

香港PDPO

保护范围

已识别或可识别的自然人的任何数据

直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息

关于个人(无论在世或近期已故)的数据(无论真实与否),该数据需单独或者与机构已获取或可能获取的其他信息关联后识别出个人。

任何直接或间接与活着的个人有关,并可切实可行地用于确定该个人的身分,并且是可取得的和可处理的资料。

收集使用原则

自由的、特定的、知晓的以及明确的、不含糊的同意;

基于其他合法性事由(处理是为履行雇员参与合同的必要行为 / 处理是为履行法律义务的必要)

收集数据时通知;

对个人信息采取合理的保护措施。

以求职的形式自愿提供视为同意;

被雇佣时,继续使用个人数据系合理;

与第三方商业交易时使用,需告知。

自愿和明确的同意;

基于有关且合法的目的;

采取合法且公平的方法;

告知收集目的等信息;

告知可能分享的第三方;

告知其有要求查阅资料及改正该资料的权利。

适用范围

适用雇佣场景

适用雇佣场景

适用雇佣场景,“雇员”的定义中包括志愿人员

适用雇佣场景

备注

根据GDPR第88条,成员国可通过法律或通过协定制定特定规则,以保证在雇佣场景下处理员工数据的同时保证员工的权利与自由。

除特殊规定外(见后页),公司对雇员、应聘者个人数据的处理行为将被豁免至2021年1月1日。

如所收集、使用或披露的信息是以评价为目的而收集、使用或披露的,即(除其他事项外)确定个人是否适合就业、在就业中晋升或继续就业的目的、资格证书等,则无须经过个人的同意。

香港个人资料私隐专员公署依法出台《雇主监察雇员工作活动须知》,对雇主在工作场所对雇员进行监控给出了具体的指引。


员工隐私保护是企业文化的重要内容,也是增加员工对企业归属感的方式。从H&M因违法监测员工遭受重罚的案例我们看到,尊重员工个人隐私的企业价值观是目前国外立法执法的趋势之一。中国企业应对国外立法执法环境保持关注,对一些可能明显在工作场所侵犯员工个人隐私的行为及早纠正,避免高额罚款风险。

[注释]

[1]冯坚坚、张波等,《GDPR下的员工个人数据保护问题》。

[2]Willis Towers Watson韦莱韬悦,《网络安全保险理赔分析报告》,P6。


(实习生杨育新对本文亦有贡献)




或许您还想看

【律师视点】陈国彧、姚雨飞:美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗?

【律师视点】陈国彧、姚雨飞:危机管理 | 企业在疫情中确保业务持续性的简要法律指引

【律师视点】陈国彧:雅诗兰黛惊爆客户信息泄露疑云 ——零售行业成为个人信息保护的下一个高危目标

【律师视点】陈国彧:从微盟员工“删库跑路”看SaaS企业的数据安全治理

【律师视点】陈国彧:危机管理 | 疫情下的员工关系管理

【律师视点】陈国彧:工作场所的员工隐私受保护吗?——雇员工作场所隐私保护法律和实践

【律师视点】陈国彧、姚雨飞 | 营销线上化:消费者隐私的泄露风险分析与防范

【律师视点】娄鹤、陈国彧 | 营销线上化:企业经销商体系变革的法律问题

【律师视点】娄鹤、陈国彧:《民法典》隐私权与疫情期间个人健康数据保护

【律师视点】陈国彧、娄鹤:医疗数据与个人信息保护



作者简介

陈国彧

北京德和衡(上海)律师事务所高级联席合伙人

陈国彧律师,北京德和衡(上海)律师事务所高级联席合伙人、国际隐私保护协会专家会员、上海律协法律合规业务研究委员会委员。执业领域:数据隐私保护、跨境投资、公司合规、危机管理。陈国彧律师分别于2005年及1999年在上海华东政法学院和北京中国人民大学获得法学学位及历史学学位。陈律师于2019年加入北京德和衡(上海)律师事务所,此前服务于上海市海华永泰律师事务所及北京市大成律师事务所。她在公司治理及合规、数字资产合规管理及商业应用、中国企业境外投资、企业员工关系管理方面拥有丰富的实务经验。服务的客户行业领域包括:高科技企业、公共交通、房地产、私募基金、证券类基金、重型制造、健康生活、新能源等。


手机:13795200212

邮箱:chenguoyu@deheng.com

唐欢

北京德和衡律师事务所执业律师

唐欢,北京德和衡律师事务所执业律师,专业领域:私募基金、风险投资、公司上市、公司法律顾问、争议解决。


电话:13031061063

邮件:tanghuan-bj@deheng.com


质控人简介

辛小天

集团合伙人

互联网与TMT业务中心总监

xinxiaotian@deheng.com


本文仅代表作者观点,如需转载、节选,请在后台留言

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计