员工的数据隐私,如何保障?
今天的组织比以往任何时候都有更多关于员工的数据,可访问信息的数量和种类也在不断增长。这一转变的背后有两个关键驱动因素。
首先,可获取的数据数量在过去几年里大大增加。组织在迅速转向远程或混合工作办公时,创造了新的可以监控和跟踪的数字工作渠道。(可以想想Slack上的消息,而不是走廊里的对话。)高德纳(Gartner)2022年的一项调查发现,51%的组织现在正在收集疫情前没有收集的数据:26%的组织在过去三年中开始记录电子邮件活动,21%的组织现在会处理员工最常谈论和工作使用的数据,15%的组织已经开始分析虚拟会议的数据。
其次,组织在2023年将面临更高水平的员工健康和福祉责任。例如,2019年时个人的健康数据可能被认为是非常隐私的,但到2021年,员工会定期分享有关新冠或疫苗接种的信息,这是一项基本的就业要求。
更广泛地说,高德纳的研究表明,82%的员工希望他们的组织把他们当作一个人,而不仅仅是员工来对待。从家庭和照顾责任,到心理健康需求,这些有效的个人支持需要数据可能会引发一些非常现实的隐私问题。
由于有更多获取个人数据的机制,和更多利用个人数据的动机,组织需要更好的指导方针,特别是在这种趋势已经引起越来越多监管审查的情况下。
但是公平、透明地处理员工数据不仅是一项合规要求,也是建立基于信任的伙伴关系的第一步,员工和雇主都需要在这个更复杂的数据环境中发展。高德纳2021年的一项分析显示,信任组织数据的员工,比不信任的员工表现要高出20%,而且更有可能留在工作岗位上。当员工在数据收集和使用方面成为合作伙伴而不仅仅是对象时,每个人都会更好地工作。
员工数据权利法为组织提供了一套基本原则,即便技术或业务需求发生变化,也可以指导企业收集和使用员工数据。虽然工作场所可能会受到不同的监管或技术限制,但对于如何利用有关员工的信息,企业可以遵循下面四个基本原则:
目的权:组织对收集的所有数据,要有合法和特定的商业目的。目的权意味着组织在实际收集数据前,明确定义了要求员工提供数据的原因。雇主应该思考为什么要收集新数据,将如何处理这些数据,以及为了实现核心目的,需要将这些数据保留多长时间。
明确目的权既能与员工建立信任,又能避免分析团队收集和存储没有实际价值的数据。这样还可以防止潜在的不道德使用情况。例如,如果组织在通过监控员工足迹保证办公空间的有效利用,那么如果与管理人员共享数据,根据员工离开办公桌的时间来评估绩效,就会违反目的权。组织可以重复利用已有数据,但新的目的应该明确定义,并与员工坦诚沟通。例如,一家公司最初开始监控员工的日历数据,是为了帮助他们确定何时开放办公空间,后面也可能会发现,同样的数据还可以帮助管理人员预防团队会议过载。
最小化权:组织只会收集为有效实现合法商业目的所需的数据。一旦定义了特定的商业目的,最小化权就会要求组织将收集的数据,限制在真正必要的范围内。这意味着要严格评估组织收集了多少数据,以及数据的敏感度。例如,如果组织想要跟踪远程工作员工的效率,可以利用核心工作应用程序的使用数据,而不是依赖于监控员工网络的摄像头等更有侵入性的方法。
要做到这一点,有时需要判断哪些数据“有了也不错”,哪些数据是成功的关键。随着依赖大量高质量数据的人工智能工具越来越普遍和强大,这个问题尤为重要。最小化权意味着考虑额外的信息是否会让你的组织更有效,以及这是否有超出员工信任的风险。
公平权:组织将以加强员工公平的方式使用数据。雇主和雇员间有效的数据合作关系的核心,是保证双方都能从收集的数据中受益。随着组织越来越多地使用包括与健康、家庭责任、地点、种族和性别认同等敏感数据,来更好地支持员工或实现多样性和包容性目标,决策过程中出现有意或无意识偏见的风险也在增加。组织可获得的新的大量数据应该加强——而不是限制——获取、机会和待遇的平等。
落实公平权最有效的方法,是从一开始就将其纳入决策过程。在我们合作的一家国际零售公司,人力资源部门不会等聘用后才评估员工的多样性。他们使用了强大的数据分析,来确保求职者的多样性,然后在候选人筛选、面试和选择阶段重新评估。组织还会培训领导者发现数据中可以体现偏见的地方,并为管理人员提供分析仪表板,以监控招聘和留职的持续趋势。
知情权:组织要向员工明确数据的使用目的。知情权是其他权利发挥作用的关键。这意味着员工要了解自己的哪些数据被收集,是如何被使用的,以及在可能的情况下如何访问这些信息。没有知情权,员工的信任程度和对公平的看法就不会改变。
也就是说,员工可以轻易明白自己的权利得到了尊重。企业要有一个可靠的沟通计划,包括量身定制的沟通,来保证信息与员工的职位及经历相关。例如,当出于多样性、平等和包容性(DEI)目的,收集潜在敏感的个人认知数据时,组织执行领导可能需要在全公司范围传达信息,以加强组织对DEI的承诺,并解释会如何使用数据,在员工资源部门进行更有针对性的沟通,说明基于数据的DEI决策,将如何使他们受益。所有关于员工数据的沟通都应该简单、及时,并通过易于访问和使用的沟通渠道进行传递。
反馈也是知情权的重要部分。员工应该有提出问题和报告担忧的机制。当然,在雇主与雇员的关系中,有些数据不应该被共享,比如绩效评估数据或健康记录。数据不共享时,也要明确这一点。
雇员数据权利法不应该是一个抽象原则。组织应该编纂并共享自己的员工数据使用权列表,并根据具体情况添加上述四个核心概念。对于相关做法,荷兰的乌得勒支市提供了一个范例。他们公开发布了自己的数字价值观,并承诺会通过政策维护这些价值观。
领导者还应负责落实员工数据权。与我们合作的一家金融服务组织建立了一个专门的内部任务小组,以确保在员工使用数据时,实现商业利益和个人隐私的适当平衡。其他组织也成立了数据道德委员会,其中包括了人力资源和员工代表,并会定期咨询内部专家,审核他们处理员工数据的方法。
随着技术的进步和员工期望的转变,个人数据和员工数据间的界限将继续模糊。始终如一地执行和透明地沟通员工数据权利法案,将帮助组织释放数据资源的全部潜力,给予员工个人支持,并实现其业务目标。
凯琳·洛马斯特(Kaelyn Lowmaster)、乔纳·谢普(Jonah Shepp)| 文
凯琳·洛马斯特是高德纳人力资源实践研究主管。她专注于未来工作,包括未来战略发展的所有领域,重点关注新兴技术对工作和劳动力的影响。乔纳·谢普是高德纳人力资源部门的高级负责人,是《高德纳人力资源领袖月刊》(Gartner HR Leaders Monthly)的编辑,杂志内容涵盖人力资源最佳实践,从人才获取和领导力到总奖励和未来工作。作为一名颇有成就的作家和编辑,他的作品曾出现在许多出版物上,包括《纽约杂志》(New York)、《政客杂志》(Politico Magazine)、《智族》(GQ)和Slate。
本文来自微信公众号“哈佛商业评论”(ID:hbrchinese),作者:HBRC-Lab,译:贾慧娟,校:时青靖,编辑:孙燕,36氪经授权发布。