案件介绍
亚马逊法国物流公司(AMAZON FRANCE LOGISTIQUE,以下简称为“亚马逊”)管理着亚马逊集团在法国的大型仓库,负责接收、储存货物和商品打包。该公司在法国有约 20,000 名员工,分布在八个大型配送中心。公司为每个在仓库工作的员工配备了扫描仪,用来实时记录员工的工作执行情况,如是否及时从货架上存放、包装或移除物品。员工进行的每次扫描行为都会被记录相关数据,成为计算员工指标的依据,用于计算员工的工作时长、质量和效率。在该仓库的员工监控行为见诸新闻报道后,CNIL 开始对其进行调查,并在调查期间收到了来自员工的数项投诉。
根据调查,CNIL 认为亚马逊监测雇员活动和绩效的制度已经超过了必要限度,以下是依据:
- 首先,亚马逊实施了监控员工扫描仪闲置时间的措施。CNIL 裁定,建立精确监测员工是否中断工作的系统是非法的,这一行为将导致员工被迫为每次工作中断提供合理解释。
- 其次,亚马逊设置了用于监测货物扫描速度是否过快的检测系统。为保证员工工作质量,亚马逊基于货物被过快扫描会增加出错风险的原则,设置了检测两个货物被扫描的间隔是否小于 1.25 秒的检测指标,如果扫描过快将被判定为不符合工作质量要求。CNIL 认为,对这一数据收集超出了必要限度。
- 最后,CNIL 还认为亚马逊保留系统收集的所有数据以及由此产生的统计指标的时间超出了 31 天,远超必要限度的,这些信息涉及所有正式员工和临时工。
CNIL 并不否认亚马逊为管理其业务而采用扫描仪系统的合理性。然而,扫描仪系统收集、保留的数据和由此生成的统计指标超出了其业务管理需要,由此产生的比例失衡不符合公平性原则和最小必要原则。
在决定罚款金额时,CNIL 考虑到使用扫描仪处理员工数据的方式与传统的活动监控方法不同。扫描仪收集数据具有规模大、信息详实、持续性高的特点,能够对员工工作进行非常密切、详细的监控。数千名员工在使用扫描仪的工作中承受着巨大的工作压力,这种监控员工行为与公司的经济收益增长和市场竞争优势增加存在直接关联。因此,CNIL 对亚马逊处以 3200 万欧元的罚款,相当于亚马逊法国物流业务年收入的 3%左右。正如监管机构所称,本次处罚的金额“几乎是史无前例的”。
针对本次执法案件,亚马逊发言人表示,该公司拒绝接受这一罚款决定,CNIL 的事实认定存在错误,亚马逊将保留上诉权。发言人称,仓库管理系统是一项行业标准,对于确保仓库运营的安全、质量和效率以及按时跟踪库存存储和处理订单包裹是必要的。亚马逊确信自己的商业模式和做法符合欧洲和法国相关法规,但仍会在整个调查程序中与 CNIL 建设性地合作,解决他们所提出的问题。
法律分析
GDPR 不仅适用于消费者个人数据保护,还适用于劳动关系中的个人数据保护。GDPR 第 88 条明确规定,成员国可以通过法律或通过集体协议制定特定规则,以确保在雇佣语境下处理雇员个人数据时保护其权利和自由。因此,企业管理、计划和组织工作的同时,必须兼顾员工个人信息的保护。
根据 CNIL 的调查结果,本案中亚马逊存在多项违反 GDPR 的行为,涉及库存及订单管理、员工考核、视频监控三个方面,触及了 GDPR 中数据最小化、合法透明等多项原则与具体规定,具体内容如下:
(一)未能遵守数据最小化原则
GDPR 第 5.1.(c)条规定了数据最小化原则,即数据控制者所收集或处理的个人数据必须限制在对达成目的足够且必要的范围内。
亚马逊将库存和订单管理流程拆分为接收货物、存储库存、准备和发送订单几项任务,并且对每个员工实施精准管理,以便在必要时为员工提供任务执行的帮助指导,或在必要时将他们重新分配到其他任务。此外,亚马逊还将收集的相关数据用于安排仓库工作时间表、进行员工培训。
但是 CNIL 认为,无论是向员工提供帮助或重新分配任务,还是进行员工考核培训,都不需要借助扫描仪收集的员工上个月工作质量效率的每个数据细节。主管已经可以依靠实时获取的数据来识别员工遇到的需要提供帮助的情形,或者在活动高峰期间重新给员工分配任务。除了实时数据之外,每周选择一些员工数据进行汇总,就能够满足评估员工对任务的掌握程度和安排工作时间表的要求。
因此,虽然亚马逊存在合理的企业管理需求,但是其采取的数据监控措施并不是实现这一目的所必须的唯一手段。CNIL 据此认为,亚马逊在库存及订单管理、员工考核培训中,通过扫描仪收取多项数据和指标并储存超过 31 天,违反了数据最小化原则的要求。
(二)未确保合法处理
GDPR 第 6 条规定,数据控制者和数据处理者必须有合法的基础,才可以处理个人数据。数据控制者或第三方的合理利益是合法基础之一。
CNIL 认为,亚马逊在库存和订单管理中收集信息生成以下三个指标,缺乏合法基础,这三个指标分别为:
- “收起扫描枪”指标:当员工“过快”扫描物品时(即在扫描前一个物品后不到 1.25 秒内扫描下一个物品)发出报错提示。
- “空闲时间”指标:扫描仪使用中断的时间为 10 分钟及更长时间
- “10分钟内延迟”指标:扫描仪使用中断的时间在 1 到 10 分钟之间。
CNIL 并没有质疑亚马逊需要通过监控员工工作情况确保仓库安全和服务质量。但是,CNIL 指出,对以上三个指标的信息收集处理,会导致对员工的过度监控,缺乏合法利益基础。
CNIL 认为,亚马逊可以实时访问许多其他指标,包括单个指标和汇总指标,以实现保证服务质量和仓库安全的目标。对“收起扫描枪”指标的监测将导致员工的快速理货行为被判定为错误行为,即使他并未真的犯错。而“空闲时间”和“10 分钟内延迟”指标意味着员工即使只是短时间中断扫描仪,也可能被要求证明其工作暂停的合理性。因此,对以上三个指标的处理无疑是过度侵入性的,不属于“合理利益”的范畴,违反了合法处理的要求。
(三)未能遵守告知义务和信息透明义务
GDPR 第 13 条是对告知义务的规定:控制者在获取个人信息时,应当向数据主体提供相应的信息以保障数据主体对数据控制者身份、个人信息处理目的及方式、权利维护途径等内容知情。GDPR 第 12 条则规定了信息透明要求:数据控制者应采取适当措施,以简洁、透明、易懂和易于访问的形式,通过清楚明确的语言向数据主体提供相关信息。
CNIL 在调查中发现,因为该公司没有在使用扫描仪收集员工的个人数据之前向员工提供隐私政策,截止 2020 年 4 月该公司的临时员工都没有被告知亚马逊使用扫描仪采集相关数据的行为。同时,亚马逊还采用视频监控系统监测仓库工作,但是相关信息并没有根据 GDPR 13 条的要求在相关政策、文件、通知中公示,员工和访客均未被妥善告知视频监控系统的使用。
亚马逊通过扫描仪和视频监控收集个人数据,但是未在隐私政策或其他通知公告中告知数据主体该数据收集行为的相关信息,违反了 GDPR 中关于数据控制者告知义务和信息透明义务的要求。
(四)未能履行数据安全义务的要求
GDPR 第 32 条规定:数据控制者和处理者应当实施适当的技术措施和组织措施,以保证能够合理应对风险的安全水平。
CNIL 指出,在视频监控软件的使用中,由于软件的访问密码不够强大,并且访问帐户在多个用户之间共享,因此亚马逊公司对视频监控软件的使用并不安全。由于这些安全缺陷的叠加,追踪视频图像的访问和识别在视频监控软件上执行操作的人也十分困难。亚马逊显然未能对视频监控软件收集的个人信息采取适当的技术或组织措施,防止数据被非法访问、破坏、丢失或泄漏,不符合 GDPR 第 32 条数据安全义务的要求。
启示
企业不仅需要关注消费者个人数据收集、处理的要求,对于在欧盟境内雇佣员工的个人数据处理也必须符合 GDPR 的相关合规要求。在员工入职、在职至离职阶段,企业都不可避免的涉及到对员工个人信息的处理。在日常工作中,企业甚至能够通过多种设备在工作场所内外对员工进行跟踪,定期或不定期监控或检查员工的行为和表现。这种监控行为一方面有助于提升员工工作效率,另一方面也可能导致企业对员工个人数据的过度收集。目前,欧盟各国数据保护机构已经做出多例对企业违规收集员工个人数据的执法裁决。如果对企业对员工的个人数据收集处理不加以限制和规范,很有可能会违反 GDPR 及其他数据保护法律的规定,甚至招致监管机构的巨额罚款,影响企业的日常经营和商业声誉。
首先,企业处理员工个人数据,应当基于员工的知情同意。企业应当通过合同、隐私政策或其他通知公告向员工清楚充分地说明其个人信息被收集的具体方式、目的和类型。在劳动关系履行的过程中企业也不能以解雇、降职等任何形式的压力要求员工同意数据处理。其次,员工数据的收集、处理均应当基于特定、明确且合法的目的,且企业不得擅自将收集的个人数据用于其他目的。此外,企业收集员工的个人数据应满足最小限度、成比例、必要性的要求,尽可能以侵入性最小的方式进行,如果存在更为温和的手段能达到数据处理目的,应尽可能使用温和手段。最后,企业应考虑到数据处理的性质、范围、内容和目的以及处理给员工带来的不同程度的风险,采取适当的技术性和组织性措施,以确保数据处理行为符合 GDPR 的规定,并保持对上述措施的审查和更新。
总之,企业应当重视经营管理中的员工个人数据保护问题,根据机构所在地的法律规范,设置完善的员工个人数据收集处理流程,在尊重员工人格尊严与隐私权利的同时,采用科学合理的监控手段满足业务管理需求,提升企业运行效率。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。