工具箱中的工具 - 管理保密箱中的机密信息

当今，人力资源专业人员面临的最令人担忧的挑战之一，就是如何在机密的员工数据与联邦合同合规项目办公室（OFCCP）不断增加的执法要求之间取得平衡。随着公司向求职者索取残疾信息的额外义务、修订后的排班信所要求的额外数据以及 OFCCP 获取详细薪酬信息的决心的颁布，这一斗争变得更加扑朔迷离。在人力资源专业人员过渡到向潜在和在职员工索取大量非常私人信息的系统时，重要的是要了解他们不仅有义务索取这些信息，还有义务保护这些信息。熟悉相关规则非常重要，这样，作为人力资源专业人士，你就能了解合规性的细微差别，以及合规性与数据保密之间的冲突。

作为一个机密数据频繁易手的领域的从业者，了解保护公司数据的义务以及责任的终点非常重要。当数据在自己的办公室时，界限比较清晰；但当需要发布数据或获得协助准备材料时，界限就变得模糊得多。在向 OFCCP 发布数据时，我们几乎无能为力。由于人为失误，联邦政府内部出现过违反协议的情况，个人数据也曾被泄露。不过，就政府可以访问的数据量而言，违规事件并不经常发生。这是因为事实上，政府已经制定了协议、加密方法，并经常对工作人员进行培训。这一点非常重要，每一家可能接触到贵公司敏感数据的公司都必须做到这一点。

对于那些不喜欢按照 OFCCP 的要求索取和公布自我身份信息，特别是医疗信息（无论是残疾信息、住宿需求还是伤残退伍军人身份）的人，尤其是申请人，这是有道理的。1990 年《美国残疾人法案》（Americans with Disabilities Act，ADA）规定，一般不允许索取此类信息。1996 年《健康保险可携性与责任法案》（HIPAA）一般规定不得共享医疗信息。这些都是从冗长而复杂的法律中概括出来的，但它们共同告诉人力资源专业人员，不要询问医疗信息和其他机密信息，即使询问了，也要严密保管这些机密信息。相反，OFCCP 法规要求人力资源专业人员在决定是否给潜在员工一份工作之前，多次询问他们的残疾状况，然后将这些信息写入年度报告（AAP）并向政府公布。这似乎违背了你们所学到的关于征求医疗信息和保密性的所有知识。

......询问个人健康状况的例外情况仅适用于平权行动和平等就业目的。

极为重要的一点是，要明白 OFCCP 的规定要求是我们的就业系统通常处理医疗信息方式的一个例外，而且是一个非常狭窄的例外。为了让 OFCCP 确定残疾人和伤残退伍军人作为申请人和在工作场所是否受到公平对待，它需要数据作为分析的基础。因此，OFCCP 要求申请人提供自我认同信息的规定扩大到了申请阶段，而询问个人医疗状况的例外情况只允许用于平权行动和平等就业目的。如果不收集自我鉴定数据，确实没有其他办法来确定是否存在对残疾人和残疾退伍军人的差别影响（即无意歧视）。这是一个非常狭窄的例外情况，严格遵守这一要求极为重要。法律本身有一条规定指出，人力资源专业人员对这些非常个人化的信息进行保密的责任并没有改变。换句话说，人力资源专业人员仍然有义务对任何医疗数据保密。

第 60-741 节的规定至少在三个不同的章节中重申了对医疗记录保密的重要性。
 

正如使用雇佣服务并不能免除贵公司保存记录的义务一样，使用第三方服务也不能自动保护贵公司的隐私不受侵犯，因此，对贵公司使用的任何访问贵公司机密数据的服务、承包商或临时帮助进行适当审查是谨慎之举。就像雇用员工一样，最好对可能使用的任何个人或公司进行面试，以确保他们的做法与贵公司的做法一致。通过几个简单的问题，很容易确定员工是如何接受人力资源保密义务培训的，从而更好地保护自己和公司在发布机密信息时免于承担潜在责任。

一些重要因素可能包括：员工接受过哪种类型的保密或人力资源管理培训？电脑是由公司提供还是使用个人电脑？是否对员工、承包商或有访问权限的人员进行背景调查？任何可以访问数据的人是否被判犯有相关重罪？在考虑应向谁发布敏感的员工数据时，欺诈或暴力犯罪等定罪肯定是相关的。公司数据是否通过个人（本身就不安全）电子邮件传输？公司中究竟有哪些人会访问您的数据？如果制定了相关协议，那么发生数据泄露的可能性就会大大降低，这些非常敏感的个人信息也不会泄露。

需要注意的是，"特权"（如律师客户特权）与 "保密 "在法律上是有区别的。特权由客户持有。如果律师公开客户提供的数据，无论该数据是否具有保密性质，律师都可能面临道德指控，并有可能被吊销律师执业资格。特权的存在是为了鼓励客户与律师畅所欲言。它与数据或信息的性质无关。除非在非常有限的情况下，否则即使法院也不能强迫律师公开享有特权的信息。

"机密 "则没有同样的法律保护。根据职位性质，可能有义务对记录进行保密，例如人力资源专业人员可查阅的雇员私人记录。这可能进一步受到公司内部政策的保护。在其他情况下，"保密 "一词没有法律意义，只是一种无法执行的声明。举个例子，人力资源专业人员在未经适当审查的情况下，使用外部来源协助确定加薪。此人声称自己是专家，会对数据保密，或者会像 "为每一位客户 "那样提供一份保密报告。这些保密承诺很可能在法律上无法执行，该专业人士可能已经发布了敏感信息，违反了隐私法和保密要求。很有可能什么事都不会发生，但在一些案例中，此类信息的发布导致了身份盗用和其他类似的员工问题。

持有者（即人力资源专业人员）有义务保持信任。

保密数据（即不受特权保护的数据）可以强制公开，例如在 OFCCP 审计中，只需提出数据要求或在现场公开即可。当信息不受保密特权保护时，数据保密的义务并不与信息同时存在。持有者（即人力资源专业人员）有义务保密。如果信息被透露给第三方，官员就失去了对记录的控制，除非对记录持有者（如 OFCCP 合规官）也有义务。例如，在第 11246 号行政命令的薪酬透明度修正案中，如果人力资源专业人员有意、无意或无意识地发布了薪酬信息，就可能违反了法规和公司政策，但却几乎无法阻止被发布信息的个人或第三方与任何人（包括其他员工、竞争对手、家庭成员或他或她觉得合适的任何人）公开讨论这些信息。如果机密记录被泄露到公司外部，还必须采取其他措施确保机密记录的保密性。

在一个完美的世界里，我们有时间处理合规义务，确保履行保密义务，并处理所有其他责任。然而，我们都知道，审计信是在最糟糕的时候发出的，而且通常还有其他事情要做，也许没有足够的时间做好准备。不过，只要提前了解相关规则，在这种性质的投诉中处于守势是比较容易避免的。在保护你必须收集的敏感数据方面，你的直觉很可能是正确的，但要确保你不会为了遵守 OFCCP 的规定而无意中不适当地公布这些数据。只有当你确信数据已得到充分保护时，才可以打开盒子。

本文仅供参考。本文并非法律建议，不应作为法律建议依赖。如需了解更多信息，请联系 Lisa Kaiser，电子邮件：[email protected]。

编者按：本文最初发表于 Circaworks.com。2023 年 4 月，Mitratech 收购了包容性招聘和 OFCCP 合规软件的领先供应商 Circa。此后，我们对内容进行了更新，以反映我们扩大的产品范围、不断发展的人才招聘合规法规以及人力资源管理的最佳实践。