濮某某是某丰运输有限公司的员工，因其将涉及客户隐私的投诉工单截图发到微信群，公司以违反员工保密承诺书，泄露公司保密信息为由，根据公司《奖励与处罚管理规定》将其开除。濮某某提起劳动仲裁，要求公司支付违法解除劳动合同经济赔偿金及未休年休假工资等。

　　 一审法院认为濮某某转发涉及客户隐私的投诉工单行为虽有不当，但由于该工单截图系他人转发后濮某某又转发至公司内部群，且不能苛求普通员工对转发信息的性质有高度识别能力。其次，虽然公司相关文件明确了投诉工单属于绝密信息，但公司提交的而证据不足以证明有关该中信息的密级已经向普通员工作了说明。公司对工作微信群负有监督管理职责，应当及时发现员工的不当言行并予以制止。最后，公司开除员工时未给予充分的申辩机会，亦存在不当，故认定公司单方开除濮某某属于违法解除劳动合同，应当支付赔偿金。

　　某丰运输有限公司不服，提起上诉。二审法院认为本案争议焦点之一是濮某某的违规行为是否达到用人单位可单方解除的严重程度。本案中某濮某某的行为虽违反公司《奖励与处罚管理规定》规定的保密义务，但将已经流传在外的信息转发到群中的行为，与故意泄露公司信息的严重程度不能等同。公司虽提交了公司制定的《数据资产密级划分、标识及处置管理制度》，但该规定在工作APP中需要搜索获得，且员工保密承诺书中对保密信息的定义为“原则上公司的任何信息均属于保密的范围“，该规定过于宽泛，《奖励与处罚管理规定》中也未定义公司绝密信息的范围，作为普通员工不清楚转发的信息是否属于绝密信息具有合理性。故一审认定公司违法解除并无不当。

企业数据保护，特别是对客户个人信息的保护已经上升为企业的法律义务。我国《个人信息保护法》第十条规定：“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人信息。”第五十一条中明确了包括去哦也在内的个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等采取保护措施，防止未经授权的访问及个人信息的泄露、篡改、丢失。要求采取的措施包括：1.制定内部管理制度和操作规程；2.对个人信息实行分类管理；3.采取相应的加密、去标识化安全技术措施；4.合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；5.制定并组织实施个人信息安全事件应急预案。泄露个人信息造成严重后果的，企业和负责人都可能面临刑事处罚。为提高企业履行个人信息保护义务的能力，国家工信部推出的《信息安全技术公共及商用服务信息系统个人信息保护指南》 对企业获取、存储、处理个人信息规范化提出了合规指导。

　　企业从劳动用工方面采取数据保护措施十分必要，事先采取合规措施能将员工行为与企业责任脱离，万一触发刑事程序时能够为企业及负责人争取刑事不起诉。本案中某丰运输有限公司虽有数据安全保护意识，但在落实过程中存在以下几点疏漏：1.公司各规章制度对保密信息的定义和范围表述不明确、不一致，导致规章制度的落实缺乏可操作性。2.众多规范仅仅通知员工而未帮助员工理解。数据保密分级属于专业性较强的知识，并非普通员工可以轻易理解知晓，需要通过培训、企业微信推送等方式就企业数据中哪些信息属于不可传播的信息进行说明。3.对客户重要信息在技术上未进行加密处理，任何等级的员工都能轻易获得。个人信息保护法对客户原始信息有去可识别化的要求。4.客户个人信息传播后缺少及时发现、管控、处理的应急措施，一旦被犯罪分子利用将要承担刑事责任，事发后公司仅仅辞退违规员工不足以免除刑事责任。个人信息保护的合规并非通过员工签订保密协议或公司规章等纸面化文件即可完成，而应当建立具有可操作性的预防和处理措施体系。

本文为原创作品，未经作者同意请勿转载！