数据隐私法如何引起人力资源和薪酬变革

随着新的全球数据保护法的实施，合规变得越来越复杂，犯错的代价也十分高昂。

2021 年，一家意大利公司因将包含员工数据的主硬盘放置在任何人都可进入的房间而被罚款 8,000 欧元（8,465 美元）。2022 年，一家西班牙公司因在发送包含个人员工数据的电子邮件时无意添加了额外的收件人，而被罚款 €2,000。

过去十年，数据隐私和保护法律已经不可逆转地改变了人力资源和薪酬部门处理员工数据的方式。

其核心是欧盟的 2016 年《一般数据保护条例》(GDPR)，该条例共有 99 条规定，覆盖全球，是欧盟有史以来最复杂的立法之一。

GDPR 的出台也推动了全球多部类似法律的出台。其中一些在精神上是相似的，例如中国和加利福尼亚州通过的立法，而韩国和巴西等其他国家/地区则直接采用了部分 GDPR 框架。

尽管存在差异，但所有这些数据隐私法都有两个共同点：都旨在管辖数据处理和传输方式，并且都大大增加了公司更谨慎处理数据的义务。

世界各地的公司都在争取合规，与此同时，数据保护监管机构累计开出了数百万美元的罚款。

“过去五年，数据保护意识普遍提高。其中有很大一部分是在 2018 年，即 GDPR 生效之前达成的。”PwC U.K. 数据保护律师 Sara Gee 如是说。

她的同事，PwC U.K. 数据保护战略联合负责人 Chris Cartmell 指出，处理大量数据的薪酬专业人员面临的风险尤为巨大。这意味着，薪酬服务提供商在供应商管理和网络安全方面正加强自身能力。

内部和外包

世界各地的大多数数据隐私规则都有相同的要求：任何关于员工的数据必须严格用于特定用途，且必须确保此类信息的机密性和安全性。 

对于通过内部职能处理薪酬或人力资源的公司而言，这意味着要确保基本安全措施。不少公司因为专家口中显而易见的错误付出了数十万欧元的代价。例如，2019 年，一家斯洛伐克公司因其人力资源部门将个人数据文件扔进垃圾堆而遭到罚款。

2020 年，德国隐私监管机构在调查一家服装零售公司的服务中心的数据泄漏时发现，该公司“过度”保留了有关员工疾病、宗教和家庭的记录。最后，该公司因侵犯员工隐私被罚 3,530 万欧元 。

将薪酬和其他人力资源职能外包给供应商意味着将您的数据安全托付给他们。尽管这种做法解决了一些确保数据隐私合规的难题，但在尽职调查方面带来更大的义务。 

公司必须确保供应商提供“足够的保障”以遵守数据保护法，Gee 说。这包括确认薪酬服务提供商是否采用了合适的安全工具和协议。

此外，还必须起草合同，涵盖广泛的问题，尤其是在基于云的人力资源和薪酬管理解决方案兴起的前提下。

例如，大多数数据保护法，包括中国、巴西、韩国和欧盟的在内，都要求公司（称为“数据控制方”）确保其供应商（由于由供应商处理数据，因此称为“处理方”）遵守特定的安全标准。这一要求通常会纳入控制方和处理方之间的合同。

但是，如果涉及分包或进一步外包，问题就会变得更加复杂。

Gee 表示：“假设薪酬处理外包给第三方，但如果该处理方将一部分工作（比如备份或 IT）再次外包……这就是为什么您需要确保整个供应链都落实数据保护措施。解决这个问题的最佳方式就是进行隐私影响或数据传送影响评估，这也是许多公司采取的做法。”

例如，ADP 就针对要求进行第三方影响评估的客户制定了流程。公司常常会选择成本最低的数据处理供应商，但在数据保护领域，常常是一分钱一分货。 

房间里的大象

2018 年之前，对于拥有具备数据隐私专业知识的内部法务团队的大型公司而言，GDPR 这样的法律主要是提供了一个将已有合规流程正式化的机会。而在薪酬方面，数据隐私法“更精确地定义了雇主和薪酬提供商之间的关系。”ADP 全球首席隐私官 Jason Albert 如是说。

问题常常出现在跨境数据传送方面。允许公司将数据从欧盟等严格管控地区传输到数据隐私要求较低的国家/地区的标准合同条款遭遇了大量司法审查。 

随后新的法律法规推出，例如中国的《个人信息保护法》(PIPL)，隐私专家认为这部法律比 GDPR 更为严格。 

要将中国居民的数据传输到境外，公司必须满足大量条件，包括：获得同意，与接收方签订标准合同条款或完成政府安全评估，并跟踪到其他实体的传输。

这已经成为许多拥有全球业务的公司持续关注的问题。许多跨国企业正通过将其全球数据流分离到多个系统，将中国的数据仅留在中国，来应对相关法规。 

印度也有一项新法律即将生效，美国有 12 个州也是如此， 加拿大等国家/地区也在持续更新其法律，ADP 的 Albert 说。 

“合规流程是一个持续的过程。”

PwC U.K. 数据保护律师 Sara Gee

ADP 应对全球各种法律法规的方式是，实施以 GDPR 要求为基础的全球隐私计划，并根据当地法律进行定制，从而使 ADP 履行其作为数据处理方的义务，客户也能够履行其在访问和删除请求方面的义务。 

“我们有一个针对所有情况的三步流程：评估、实施、展示。”Albert 说，“我们了解法律的新要求，分析了现有流程，并确定了行动计划。” 然后，公司密切合作，制定行动计划，弄清楚如何访问或删除数据，根据需要授予分包商访问权限，并测试计划。最后，“我们展示合规：与合规团队定期谈话，并留存好合规证据。该流程要求进行持续监管。”

解决员工问题

数据隐私法对员工争议解决也产生了深远影响。 

2023 年，某外国环境技术公司的一名中国员工因伪造病假和涉嫌挪用公款而被解雇。该员工在北京法院对公司提起诉讼，声称这是非法解雇。在辩护中，公司提交了从该员工的公司所有的设备中获取的微信消息记录。

令该公司感到意外的是，北京法院认为，只有在员工提供了“自愿且明确的”同意的情况下，公司才能恢复已删除的微信记录，即使设备归公司所有，因为反之就会违反个人数据保护的核心原则。该消息被法院拒绝采纳，员工在这场非法解雇诉讼中胜诉。

“北京法院最近的决定和意见表明，在未得到员工明确同意的情况下收集个人信息的风险增加，即使是从公司设备上收集也是如此。”法律公司 Morgan Lewis 合伙人 K. Lesli Ligorner 写道。“因此，公司应该谨慎对待这个问题，尽快审核其政策和员工实践，并落实相关机制，确保遵守中国和其他相关司法管辖区的数据保护和记录保留法律。”

“我认为，合规流程是一个持续的过程，并且是一个会随时间不断变化的过程。”Gee 说，“运营方式和流程发生变化，实现合规的方式也会随之改变。无论是通过新兴技术，还是其他方法。对于该组织而言，他们必须思考这对其而言意味着什么，并继续随着时间推进，构建自己的合规性级别。”

如何进行第三方隐私影响评估

• 与所有供应商和合作伙伴就数据隐私的高标准制定明确的预期。 
• 关注第三方固有风险，或公司不采取任何措施时面临的风险。了解第三方的业务，以及它接触贵组织数据和基础设施的方式，包括其业务韧性、打击贿赂和腐败的能力、其数据隐私计划是否符合相关组织的要求等。 
• 为第三方划分风险等级，第 1 级为最高风险，需要最严格的监管。确保第三方针对最可能出现的风险情况，制定了业务连续性计划。 
• 起草合同，将标准定在行业标准或以上。纳入允许在年度评估之外进行检查的条款，以监管第三方并确保其解决任何发现的问题。 
• 为减少远程工作产生的风险，请确保第三方仅允许员工使用专用工作设备工作。 
• 维护开放的沟通渠道。如果出现意外中断，确认业务连续性计划是否真的能继续保障运转。

本文中所含信息仅作教育用途，不应被视为法律意见。