違法收集員工信息零售巨頭H&M被罰3500萬歐元

白一方 周穎

H&M因何事實被罰3500萬歐元？

2020年10月1日，瑞典快銷零售業巨頭H&M因違規收集員工信息及內部數據泄露事件，被德國漢堡的數據保護機構“數據保護及信息自由委員會”（Commissioner?for?Data?Protection?and?Freedom?of?Information，即HmbBfDI）處以3526萬歐元，折合約4156萬美元的巨額罰款。該筆罰款是自歐盟2018年頒布《通用數據保護條例（GDPR）》以來，至今為止因違反該法導致的歐盟第二高額度、德國最高額度的確定處罰（歐盟最高額處罰是2019年法國對谷歌做出的5000萬歐元罰款，關于本案的分析請參閱筆者的文章《GDPR項下主營業地之爭塵埃落定，谷歌終局被裁5000萬歐元罰款》）。

這一處罰主要是針對在H&M德國子公司的數據違法行為做出的。該公司在漢堡注冊，并在紐倫堡設有服務中心。因此，漢堡數據保護機構HmbBfDI對該違規行為享有管轄權。HmbBfDI的調查顯示，H&M至少從2014年起，就開始對其服務中心的部分員工的隱私生活展開了密切的記錄和監控，并將生成的數據記錄永久保存在網絡服務器上。對員工數據的收集方式和途徑多種多樣，且大大超出了工作相關的范圍。例如，在員工休年假或病假，甚至短暫的事假之后，主管團隊就會與員工進行所謂“歡迎回歸談話（Welcome?Back?Talks）”，并在會談中記錄包括員工的假期經歷、生病癥狀及診斷在內的多項個人信息。另外，還會有些主管通過與員工的私人面談、閑聊等方式，獲取大規模、大范圍的隱私信息細節，其中甚至包括員工家庭情況、宗教信仰等敏感信息。對于這些員工信息的記錄可達到非常細節化的程度，且在相當長的時間內保持著對這些情況的持續性關注。其中一部分信息以數字化的方式被記錄和存儲，并可以被整個公司內多達50名的經理級別主管讀取。而公司收集這些信息的目的，除了對個人工作績效進行細致的評估之外，還被用以對員工進行個人側寫，以便有針對性的制定有關其工作的措施和決策。

在長達5年的期間內，員工在不知情的情況下被公司收集和儲存了大量個人隱私信息。直到2019年10月份，因為公司服務器的一次配置錯誤，這些數據在幾個小時的區間內打開對全公司的訪問權限，造成公司內部的數據泄露，這一違法收集員工隱私信息的惡性事件才東窗事發，為人所知，引發了媒體的報道及員工的投訴。HmbBfDI專員隨后凍結了涉案的網絡驅動器，并要求將其上交，以對該事件展開大規模調查。今年1月，H&M終于打破沉默，對外表示德國子公司10月份的數據泄露事件是“不可接受的（Unacceptable）”，當地團隊已經采取了系列行動，與所有同事保持密切對話，并將積極配合當地數據保護機構對此事的調查，向HmbBfDI提交了約60GB的數據記錄以供評估。而對這些數據的分析結果，也與多名證人的訊問證言相符，證實了事件的真實性和諸多細節。

HmbBfDI在為期一年的調查結束后，對H&M開出了巨額罰款，并明確表示違法收集員工私生活細節的行為以及記錄員工活動的行為兩者相加，已經極其嚴重地侵犯了員工的公民權利。專員?Johannes?Caspar教授則評論該案件表現出H&M的紐倫堡辦公室對員工數據保護的嚴重無視，必須以所判處的巨額罰金才能震懾公司，避免對員工隱私的侵犯。而具體的罰款金額，則是根據HmbBfDI針對判斷GDPR違規罰款金額所開發的一組標準，考慮到涉案公司的年收入額（annual?revenue）計算出的。這組標準對年收入較高的公司將計算出更高額的罰款，而H&M集團2019財年的收入高達243億美元。HmbBfDI表示，雖然目前該標準只在德國使用，但已經在歐盟整體協調層面進行引入和探討，不排除可能適用于更多國家和地區的可能。

除了罰款之外，HmbBfDI還提出了其他的要求、引入新的數據保護概念，以提升H&M紐倫堡辦公室的數據保護力度。包括新任命數據保護協調員（data?protection?coordinator）、月度數據保護狀態更新、加強對吹哨人的保護、以及數據主體訪問權限的整體協調。

在接受調查的過程中，H&M及時停止了違法行為，其管理層對受影響的員工進行了明確道歉，并對現有員工及2018年5月GDPR生效時至少入職一個月以上的員工進行了可觀的賠償。在制度上，H&M也采取了一系列全新措施，以加強內部審查，確保數據隱私合規，建立安全的工作環境。具體包括紐倫堡辦公室服務中心的管理層人員變動;對領導層數據隱私及勞動法的額外培訓;對經理級別的新規;設立專門負責審核、跟進、教育及持續改善數據隱私流程的數據保護協調員;加強數據清潔流程;完善內部IT系統，以規范的保存個人數據等。同時承諾將遵守HmbBfDI提出的月度更新、吹哨人保護等各項要求。

面對H&M良好的認錯態度，HmbBfDI也認可其補救措施是“企業在數據違規事件后，對其責任前所未有的承認”，并公開肯定了其管理層積極采取措施糾正錯誤和彌補傷害的行為。認為公司責任人透明開放的提供與事件相關的信息，并向受害員工做出經濟補償的行為，表明其希望員工得到日常工作中應有尊重的態度，以及恢復員工對公司信心的積極嘗試。而在H&M收到罰款后的官方聲明中，雖然沒有明確提出是否會對處罰結果進行上訴，但表示將會“嚴格遵守相關數據保護部門制定的法律法規，以及公司自身的高標準”。

H&M因違反何規定被罰？

縱觀整個案件，H&M對員工隱私信息的收集、處理及儲存毫無疑問是過于寬泛及侵入式的，違反了GDPR第5條與個人數據處理相關的多項原則以及第6條數據處理的合法性基礎。

第一，GDPR中規定的合法性基礎包括員工同意、履行合同所必要、服從法律義務的必要、保護數據主體重大利益的必要、處理公共領域任務的必要、數據控制者或他人合法利益的必要等，對于生物信息、宗教信息等敏感信息的處理，甚至有更高的要求，以禁止處理為原則，以個別情況為例外。而本案中，H&M的信息收集和存儲顯然未獲得員工的同意，也超出了任何一條必要的情況，況且所涉及的個人數據中還包括部分敏感信息。

第二，GDPR要求數據的收集和處理必須合法、公平、透明，而H&M收集員工信息是通過非正常的方式進行，也不符合任何合法性基礎。

清律律師事務所律師白一方

第三，目的限制原則，即只能為特定的、明確的、合法的目的進行收集，H&M的行為顯然不是為了任何合法目的，也不存在為了公共利益、科學、歷史研究或統計目的等特殊情況。

第四，數據最小化原則，必須根據其目的進行可收集數據范圍的最小化限制，H&M大大超出了最小范圍，即使我們認為其員工監控的目的合法，也很難說關于度假情況、家庭情況或宗教信息的收集與其目的緊密相關。

第五，儲存限制，個人數據的保留時間不應超過所需必要，而H&M對員工數據進行永久保存，不存在定期刪除的計劃。

此次H&M事件對企業的警示

需要注意的是，HmbBfDI的處罰并非基于2019年10月的內部數據泄露事件，而是對違法收集、處理、儲存員工數據的不當員工監控行為的不合規處罰。而數據泄露只是令HmbBfDI看到媒體信息、收到員工投訴，從而展開調查的導火索。事實上，與國內大多數企業相較，歐盟和美國企業向來比較重視員工個人信息保護，通常在員工手冊中會以專章說明如何保護員工的個人隱私，并事先獲得員工的相關許可和授權，以便在事件調查時查看員工工作郵箱中的工作郵件、檢查工作電腦和辦公場所，或向第三方服務機構如保險公司、人才服務中介等提供員工的身份、健康等隱私信息。而國內的大部分企業則缺乏此類向員工提供個人信息保護和從員工處獲得授權的意識。

在國內外對于個人信息保護的監管日益加強、宣傳力度加大以及用戶糾紛逐漸增多的整體大環境下，很多企業尤其是互聯網企業已經開始重視用戶個人信息保護，完善隱私政策和用戶數據的管理流程、機制，但對于企業內部的員工個人信息保護則未給予同等的重視。但無論是GDPR還是《中華人民共和國民法典》，抑或其他國家的信息保護監管規則，均強調的是“個人/自然人”的信息保護，“員工”顯然也在此范圍內，H&M的此次事件其實是一個警示，即如果企業未對員工個人信息予以保護，與用戶數據相比，員工信息泄露的概率并不更低，企業被投訴或舉報的可能性也不會更低，同時企業所需承擔的責任也并不會更小。

如果企業此前過度收集員工個人信息、未對員工個人信息加強保護，主要影響是，在員工違紀處分或解除勞動合同時，法院可能因企業的行為依據涉及員工的個人隱私，而不支持企業的相應決定或行為，企業需承擔敗訴的后果。那么現在，企業面臨違反個人信息保護的后果則嚴重得多，不僅僅是員工要求賠償損失的民事責任，還可能面臨高額罰款、被監管機關約談、責令整改，以及負面輿論風險和員工對企業的信任危機，甚至刑事責任。因此，企業應同等重視員工個人信息保護。

企業如何開展員工個人信息保護

在監管政策對個人信息保護提出了更高要求的情況下，企業以往通過員工手冊/規章制度來證明對員工信息提供了保護，通過授權書等免除企業責任的做法，顯然已不足以應對監管。企業應當按照監管政策的要求，對員工個人信息保護進行專項合規。

首先，與數據合規類似，數據應用是一個以數據為中心的收集、存儲和成果輸出的傳輸鏈條，只有在理解了數據從流入到輸出的全部情況，才能真正的理解和判斷法律風險點，并精準地予以風險防范和漏洞填補。企業應當對員工個人信息在企業的整體流轉過程進行全面梳理，需要注意的是，員工個人信息的流轉過程并不是簡單地與員工人事流轉過程的各環節一一對應，如果我們對這兩大過程的環節做簡要描述，則：

員工個人信息流轉環節：收集——處理——存儲——使用（內部使用、對外提供等）

員工人事流轉環節：招聘——入職——管理（合同、薪酬、崗位、培訓、獎勵、處罰等）——離職——離職后管理（競業限制、保密等離職后義務，以及勞動糾紛處理）

員工個人信息的收集實際貫穿了人事流轉的全部環節，而不僅僅限于招聘和入職環節。如在職管理階段，企業可能基于監管需求而額外收集員工信息，例如疫情防護期間，企業需收集每位員工動態實時的健康狀況、位置信息甚至行為軌跡等信息;離職后管理階段，企業要求員工在競業限制期限內，每月提供新工作單位的信息或者就業狀態。

相應地，員工從企業離職后的個人信息也并非即應立即刪除。除了上述存在離職后管理環節之外，通常勞動法下，企業有留存相關信息的義務，例如企業必須書面記錄支付勞動者工資的數額、時間、領取者的姓名以及簽字，并保存兩年以上備查。

由此，企業對員工個人信息的收集是動態的、不斷更新的，而這些不時收集的信息也在不斷進行后續的流轉，企業需要在員工人事流轉的全部環節中，動態地執行員工個人信息保護的合規要求。

其次，企業需要對員工個人信息進行分類，并明確在每一個人事流轉環節、每一次員工信息收集中，涉及了哪些類別的信息，并一一審查是否執行了最小必要等原則。例如，在招聘和入職環節，企業HR們相對熟悉的是，此前國內已有相應條例明確，企業不得強制要求員工在入職體檢中檢查乙肝，目前正規體檢機構基本已從入職體檢環節中撤除乙肝檢查此項;再如，已有相關司法判例認定，員工的婚姻狀況和生育狀況屬于個人隱私，企業如果強制要求員工入職時提供此類信息，并此后以員工隱瞞真實情況為由，解除勞動合同，法院不予支持。那么，現在需要對其他常用收集項，如民族、籍貫、戶口所在地等的合理性進行進一步審查。同理，員工個人信息的其他流轉環節均需一一進行風險評估和合規處理。

再次，員工個人信息保護的合規管理應當成體系，并落實至企業管理的全部環節;不能僅體現在員工手冊等規章制度中，還需要體現在人事管理的各個環節的實際操作中，如具體至如何向第三方即保險公司、人才服務中介提供員工個人信息;信息的保護與合規不能僅依賴書面規則，還需要依賴技術手段，需要與公司的技術管理密切結合。因此，員工個人信息保護需要法律、人事、技術各專業人士與業務部門配合開展，涉及企業多個部門的協調，需要高級別管理層統籌開展。

我們相信，隨著個人信息保護監管規則的不斷豐富與完善，個人信息保護在行業領域的不斷擴展，個人信息保護與勞動法的交叉監管也必然會加強，企業應未雨綢繆，積極應對，以避免出現類似此次H&M的慘痛教訓。

清律律師事務所律師周穎

?鏈接：

清律律師事務所，肇始于“清法律師團”，由一批畢業于清華大學的優秀律師創建，已成為一家特色鮮明、業務領域廣泛、成員背景多元的新銳律師事務所。目前在北京、上海兩地設有辦公室。

一直以來，清律均以高度審慎的標準來歡迎和接納新成員。律所成員背景全面，覆蓋常年顧問、投融資并購、民商事訴訟等主要法律服務領域，深諳各實體行業的商業規則，有豐富的為各行業提供定制化法律服務的經驗，具備為公私客戶提供全案的風險管控措施和糾紛解決的專業能力。

若干年來，清律秉持卓越的敬業精神和專業水準，為客戶提供定制、高效、務實、盡責的法律專業服務，贏得了客戶的信任和依賴，使得客戶能夠平穩、健康地實現商業目標并取得矚目的成績。