违法收集员工信息零售巨头H&M被罚3500万欧元

白一方 周颖

H&M因何事实被罚3500万欧元？

2020年10月1日，瑞典快销零售业巨头H&M因违规收集员工信息及内部数据泄露事件，被德国汉堡的数据保护机构“数据保护及信息自由委员会”（Commissioner for Data Protection and Freedom of Information，即HmbBfDI）处以3526万欧元，折合约4156万美元的巨额罚款。该笔罚款是自欧盟2018年颁布《通用数据保护条例（GDPR）》以来，至今为止因违反该法导致的欧盟第二高额度、德国最高额度的确定处罚（欧盟最高额处罚是2019年法国对谷歌做出的5000万欧元罚款，关于本案的分析请参阅笔者的文章《GDPR项下主营业地之争尘埃落定，谷歌终局被裁5000万欧元罚款》）。

这一处罚主要是针对在H&M德国子公司的数据违法行为做出的。该公司在汉堡注册，并在纽伦堡设有服务中心。因此，汉堡数据保护机构HmbBfDI对该违规行为享有管辖权。HmbBfDI的调查显示，H&M至少从2014年起，就开始对其服务中心的部分员工的隐私生活展开了密切的记录和监控，并将生成的数据记录永久保存在网络服务器上。对员工数据的收集方式和途径多种多样，且大大超出了工作相关的范围。例如，在员工休年假或病假，甚至短暂的事假之后，主管团队就会与员工进行所谓“欢迎回归谈话（Welcome Back Talks）”，并在会谈中记录包括员工的假期经历、生病症状及诊断在内的多项个人信息。另外，还会有些主管通过与员工的私人面谈、闲聊等方式，获取大规模、大范围的隐私信息细节，其中甚至包括员工家庭情况、宗教信仰等敏感信息。对于这些员工信息的记录可达到非常细节化的程度，且在相当长的时间内保持着对这些情况的持续性关注。其中一部分信息以數字化的方式被记录和存储，并可以被整个公司内多达50名的经理级别主管读取。而公司收集这些信息的目的，除了对个人工作绩效进行细致的评估之外，还被用以对员工进行个人侧写，以便有针对性的制定有关其工作的措施和决策。

在长达5年的期间内，员工在不知情的情况下被公司收集和储存了大量个人隐私信息。直到2019年10月份，因为公司服务器的一次配置错误，这些数据在几个小时的区间内打开对全公司的访问权限，造成公司内部的数据泄露，这一违法收集员工隐私信息的恶性事件才东窗事发，为人所知，引发了媒体的报道及员工的投诉。HmbBfDI专员随后冻结了涉案的网络驱动器，并要求将其上交，以对该事件展开大规模调查。今年1月，H&M终于打破沉默，对外表示德国子公司10月份的数据泄露事件是“不可接受的（Unacceptable）”，当地团队已经采取了系列行动，与所有同事保持密切对话，并将积极配合当地数据保护机构对此事的调查，向HmbBfDI提交了约60GB的数据记录以供评估。而对这些数据的分析结果，也与多名证人的讯问证言相符，证实了事件的真实性和诸多细节。

HmbBfDI在为期一年的调查结束后，对H&M开出了巨额罚款，并明确表示违法收集员工私生活细节的行为以及记录员工活动的行为两者相加，已经极其严重地侵犯了员工的公民权利。专员 Johannes Caspar教授则评论该案件表现出H&M的纽伦堡办公室对员工数据保护的严重无视，必须以所判处的巨额罚金才能震慑公司，避免对员工隐私的侵犯。而具体的罚款金额，则是根据HmbBfDI针对判断GDPR违规罚款金额所开发的一组标准，考虑到涉案公司的年收入额（annual revenue）计算出的。这组标准对年收入较高的公司将计算出更高额的罚款，而H&M集团2019财年的收入高达243亿美元。HmbBfDI表示，虽然目前该标准只在德国使用，但已经在欧盟整体协调层面进行引入和探讨，不排除可能适用于更多国家和地区的可能。

除了罚款之外，HmbBfDI还提出了其他的要求、引入新的数据保护概念，以提升H&M纽伦堡办公室的数据保护力度。包括新任命数据保护协调员（data protection coordinator）、月度数据保护状态更新、加强对吹哨人的保护、以及数据主体访问权限的整体协调。

在接受调查的过程中，H&M及时停止了违法行为，其管理层对受影响的员工进行了明确道歉，并对现有员工及2018年5月GDPR生效时至少入职一个月以上的员工进行了可观的赔偿。在制度上，H&M也采取了一系列全新措施，以加强内部审查，确保数据隐私合规，建立安全的工作环境。具体包括纽伦堡办公室服务中心的管理层人员变动;对领导层数据隐私及劳动法的额外培训;对经理级别的新规;设立专门负责审核、跟进、教育及持续改善数据隐私流程的数据保护协调员;加强数据清洁流程;完善内部IT系统，以规范的保存个人数据等。同时承诺将遵守HmbBfDI提出的月度更新、吹哨人保护等各项要求。

面对H&M良好的认错态度，HmbBfDI也认可其补救措施是“企业在数据违规事件后，对其责任前所未有的承认”，并公开肯定了其管理层积极采取措施纠正错误和弥补伤害的行为。认为公司责任人透明开放的提供与事件相关的信息，并向受害员工做出经济补偿的行为，表明其希望员工得到日常工作中应有尊重的态度，以及恢复员工对公司信心的积极尝试。而在H&M收到罚款后的官方声明中，虽然没有明确提出是否会对处罚结果进行上诉，但表示将会“严格遵守相关数据保护部门制定的法律法规，以及公司自身的高标准”。

H&M因违反何规定被罚？

纵观整个案件，H&M对员工隐私信息的收集、处理及储存毫无疑问是过于宽泛及侵入式的，违反了GDPR第5条与个人数据处理相关的多项原则以及第6条数据处理的合法性基础。

第一，GDPR中规定的合法性基础包括员工同意、履行合同所必要、服从法律义务的必要、保护数据主体重大利益的必要、处理公共领域任务的必要、数据控制者或他人合法利益的必要等，对于生物信息、宗教信息等敏感信息的处理，甚至有更高的要求，以禁止处理为原则，以个别情况为例外。而本案中，H&M的信息收集和存储显然未获得员工的同意，也超出了任何一条必要的情况，况且所涉及的个人数据中还包括部分敏感信息。

第二，GDPR要求数据的收集和处理必须合法、公平、透明，而H&M收集员工信息是通过非正常的方式进行，也不符合任何合法性基础。

清律律师事务所律师白一方

第三，目的限制原则，即只能为特定的、明确的、合法的目的进行收集，H&M的行为显然不是为了任何合法目的，也不存在为了公共利益、科学、历史研究或统计目的等特殊情况。

第四，数据最小化原则，必须根据其目的进行可收集数据范围的最小化限制，H&M大大超出了最小范围，即使我们认为其员工监控的目的合法，也很难说关于度假情况、家庭情况或宗教信息的收集与其目的紧密相关。

第五，储存限制，个人数据的保留时间不应超过所需必要，而H&M对员工数据进行永久保存，不存在定期删除的计划。

此次H&M事件对企业的警示

需要注意的是，HmbBfDI的处罚并非基于2019年10月的内部数据泄露事件，而是对违法收集、处理、储存员工数据的不当员工监控行为的不合规处罚。而数据泄露只是令HmbBfDI看到媒体信息、收到员工投诉，从而展开调查的导火索。事实上，与国内大多数企业相较，欧盟和美国企业向来比较重视员工个人信息保护，通常在员工手册中会以专章说明如何保护员工的个人隐私，并事先获得员工的相关许可和授权，以便在事件调查时查看员工工作邮箱中的工作邮件、检查工作电脑和办公场所，或向第三方服务机构如保险公司、人才服务中介等提供员工的身份、健康等隐私信息。而国内的大部分企业则缺乏此类向员工提供个人信息保护和从员工处获得授权的意识。

在国内外对于个人信息保护的监管日益加强、宣传力度加大以及用户纠纷逐渐增多的整体大环境下，很多企业尤其是互联网企业已经开始重视用户个人信息保护，完善隐私政策和用户数据的管理流程、机制，但对于企业内部的员工个人信息保护则未给予同等的重视。但无论是GDPR还是《中华人民共和国民法典》，抑或其他国家的信息保护监管规则，均强调的是“个人/自然人”的信息保护，“员工”显然也在此范围内，H&M的此次事件其实是一个警示，即如果企業未对员工个人信息予以保护，与用户数据相比，员工信息泄露的概率并不更低，企业被投诉或举报的可能性也不会更低，同时企业所需承担的责任也并不会更小。

如果企业此前过度收集员工个人信息、未对员工个人信息加强保护，主要影响是，在员工违纪处分或解除劳动合同时，法院可能因企业的行为依据涉及员工的个人隐私，而不支持企业的相应决定或行为，企业需承担败诉的后果。那么现在，企业面临违反个人信息保护的后果则严重得多，不仅仅是员工要求赔偿损失的民事责任，还可能面临高额罚款、被监管机关约谈、责令整改，以及负面舆论风险和员工对企业的信任危机，甚至刑事责任。因此，企业应同等重视员工个人信息保护。

企业如何开展员工个人信息保护

在监管政策对个人信息保护提出了更高要求的情况下，企业以往通过员工手册/规章制度来证明对员工信息提供了保护，通过授权书等免除企业责任的做法，显然已不足以应对监管。企业应当按照监管政策的要求，对员工个人信息保护进行专项合规。

首先，与数据合规类似，数据应用是一个以数据为中心的收集、存储和成果输出的传输链条，只有在理解了数据从流入到输出的全部情况，才能真正的理解和判断法律风险点，并精准地予以风险防范和漏洞填补。企业应当对员工个人信息在企业的整体流转过程进行全面梳理，需要注意的是，员工个人信息的流转过程并不是简单地与员工人事流转过程的各环节一一对应，如果我们对这两大过程的环节做简要描述，则：

员工个人信息流转环节：收集——处理——存储——使用（内部使用、对外提供等）

员工人事流转环节：招聘——入职——管理（合同、薪酬、岗位、培训、奖励、处罚等）——离职——离职后管理（竞业限制、保密等离职后义务，以及劳动纠纷处理）

员工个人信息的收集实际贯穿了人事流转的全部环节，而不仅仅限于招聘和入职环节。如在职管理阶段，企业可能基于监管需求而额外收集员工信息，例如疫情防护期间，企业需收集每位员工动态实时的健康状况、位置信息甚至行为轨迹等信息;离职后管理阶段，企业要求员工在竞业限制期限内，每月提供新工作单位的信息或者就业状态。

相应地，员工从企业离职后的个人信息也并非即应立即删除。除了上述存在离职后管理环节之外，通常劳动法下，企业有留存相关信息的义务，例如企业必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字，并保存两年以上备查。

由此，企业对员工个人信息的收集是动态的、不断更新的，而这些不时收集的信息也在不断进行后续的流转，企业需要在员工人事流转的全部环节中，动态地执行员工个人信息保护的合规要求。

其次，企业需要对员工个人信息进行分类，并明确在每一个人事流转环节、每一次员工信息收集中，涉及了哪些类别的信息，并一一审查是否执行了最小必要等原则。例如，在招聘和入职环节，企业HR们相对熟悉的是，此前国内已有相应条例明确，企业不得强制要求员工在入职体检中检查乙肝，目前正规体检机构基本已从入职体检环节中撤除乙肝检查此项;再如，已有相关司法判例认定，员工的婚姻状况和生育状况属于个人隐私，企业如果强制要求员工入职时提供此类信息，并此后以员工隐瞒真实情况为由，解除劳动合同，法院不予支持。那么，现在需要对其他常用收集项，如民族、籍贯、户口所在地等的合理性进行进一步审查。同理，员工个人信息的其他流转环节均需一一进行风险评估和合规处理。

再次，员工个人信息保护的合规管理应当成体系，并落实至企业管理的全部环节;不能仅体现在员工手册等规章制度中，还需要体现在人事管理的各个环节的实际操作中，如具体至如何向第三方即保险公司、人才服务中介提供员工个人信息;信息的保护与合规不能仅依赖书面规则，还需要依赖技术手段，需要与公司的技术管理密切结合。因此，员工个人信息保护需要法律、人事、技术各专业人士与业务部门配合开展，涉及企业多个部门的协调，需要高级别管理层统筹开展。

我们相信，随着个人信息保护监管规则的不断丰富与完善，个人信息保护在行业领域的不断扩展，个人信息保护与劳动法的交叉监管也必然会加强，企业应未雨绸缪，积极应对，以避免出现类似此次H&M的惨痛教训。

清律律师事务所律师周颖

 链接：

清律律师事务所，肇始于“清法律师团”，由一批毕业于清华大学的优秀律师创建，已成为一家特色鲜明、业务领域广泛、成员背景多元的新锐律师事务所。目前在北京、上海两地设有办公室。

一直以来，清律均以高度审慎的标准来欢迎和接纳新成员。律所成员背景全面，覆盖常年顾问、投融资并购、民商事诉讼等主要法律服务领域，深谙各实体行业的商业规则，有丰富的为各行业提供定制化法律服务的经验，具备为公私客户提供全案的风险管控措施和纠纷解决的专业能力。

若干年来，清律秉持卓越的敬业精神和专业水准，为客户提供定制、高效、务实、尽责的法律专业服务，赢得了客户的信任和依赖，使得客户能够平稳、健康地实现商业目标并取得瞩目的成绩。