第一章 总则
为了合理管理企业薪资信息,维护劳动者个人隐私,保证薪资资料在采集、保管、应用、流转及处置等环节的安全、机密和合法,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法规,并考虑公司具体状况,特制定此办法。
本制度涵盖公司所有职员,以及所有与薪资信息处理相关的部门及人员,具体包含人力资源部门、财务部门、信息技术部门,还有各个层级的管理者。
第三条 本制度所指薪酬资料涵盖但不限于:职员收入、额外奖励、各类补助、福利发放、工作表现评估、社会保险及住房公积金的申报数额与记录、个人所得税缴纳记录、资金接收账户详情等所有涉及薪酬的个人核心资料。
第四条 公司薪酬数据处理遵循以下原则:
依法依规管理薪资信息,清楚表明运用意图、操作手法和涉及界限。
(二)最小必要原则:只收集那些对薪酬管理目标有直接作用的必要信息,并且限定在最小的数据范围内。
(三)安全保密原则:必须运用严密的技术手段,同时配合周全的管理方法,以此保障资料安全,避免信息外泄、内容被更改或数据遗失。
(四)责任对应原则:清晰界定各组织单元及职务在薪资信息保密方面的职责与要求。
第二章 职责分工
第五条 人力资源部是薪酬数据管理的归口部门,负责:
(一)薪酬数据的收集、核定与变更管理。
(二)依据权限审批流程提供薪酬数据查询与使用服务。
(三)协同信息技术部落实薪酬数据安全保护措施。
第六条 财务部负责:
(一)根据核定后的薪酬数据进行发放操作。
(二)确保薪酬发放过程中银行传输数据的安全加密。
(三)保管薪酬财务账册及凭证,确保物理安全。
第七条 信息技术部负责:
(一)薪酬管理信息系统的安全运维与技术防护。
(二)建立薪酬数据加密存储与安全传输机制。
(三)定期进行安全风险评估与漏洞排查。
(四)日志审计与安全事件应急响应。
第八条 所有层级的管理者必须认真遵守保密规定,不可以私下里去搜集、审阅、 duplication、散播其管理职责之外的其他员工的薪资信息。
第三章 薪酬数据全生命周期管理
第九条 数据收集
在采集职员薪资信息之前,必须清楚说明采集意图、应用途径以及可访问程度,同时要取得职员的许可。
(二)严禁超范围收集与薪酬管理无直接关联的个人信息。
第十条 数据存储
所有电子形式的薪资记录必须保存在企业指定的安全服务器或加密数据存储里,同时要执行访问权限管理。
(二)实体形态的薪资凭证、数据统计文件以及相关资料,应该置放于设有锁具的存储箱内,并且由特定人员负责看管。
不允许把薪资信息保存在没有许可的手机上,也不得存放在共享的网络硬盘或者个人用机上。
第十一条 数据使用与访问
必须严谨落实等级授权制度,依照“最少必要”标准授予操作许可。
(二)因工作需要访问薪酬数据,须经人力资源部门负责人审批。
(三)所有数据访问操作须留有日志记录,定期审计。
第十二条 数据传输
在利用互联网或外部网络传送薪资信息时,务必借助加密路径,例如虚拟专用网络、SSL协议等。
(二)内部传输应通过公司内部加密邮件或安全办公系统进行。
禁止借助私人邮箱、即时通讯软件等不安全途径传送薪资信息。
第十三条 数据销毁
(一)超出保存期限的薪酬数据须及时安全销毁。
(二)电子数据应采用不可恢复的方式删除。
(三)纸质资料须使用碎纸机销毁或交由专业保密机构处理。
第四章 员工隐私权保护
公司珍视并维护员工个人隐私,非经员工许可或法律规范规定,不得向其他任何机构或个人透露其薪资信息。
员工有权利了解自己的工资信息,如果发现有不准确的地方,可以请求人力资源部门进行调整。
员工非自愿离开组织后,企业会依照法律规定时限保存其薪资记录,期限一到便进行彻底清除。
第五章 安全事件应急处理
出现薪酬信息被窃取、遗失、胡乱使用等风险状况时,必须马上向人力资源管理部门和信息技术管理部门进行通报。
公司一旦发生安全事件,会立刻启动应急方案,运用适当手段遏制事态发展,同时依照相关制度向更高层级的单位及监察部门进行通报。
第十九条 需要查明事件具体情况,明确相关人员的责任,然后按照公司的规章制度对应当承担责任的个人实施相应处置。
第六章 培训与责任追究
公司周期性开展薪酬信息安全与个人隐私维护学习,增强职员安全认知及防范技巧。
违反本制度的行为,根据情节严重程度,将受到批评教育、公开批评、调离原职等处罚;如果行为触犯法律,将移交相关司法机构追究相应法律责任。
第七章 附则
第二十二条 本制度由公司人力资源部负责解释与修订。
第二十三条 本制度自发布之日起施行。
