达到 PDPL 标准的 HR 档案存储与删除指南：优化 HR 并避免十亿罚款

浏览量: 76

在数字时代，个人数据被视为企业的“石油”，带来巨大的竞争优势。但同时，如果管理和保护不当，它也是一颗“定时炸弹”。特别是，有关隐私保护的新法律框架的出台，彻底改变了越南企业的运营方式。

随着《个人数据保护法》（PDPL）的正式通过并于2026年1月1日起生效（由第13/2023/NĐ-CP号法令升级而来），行政处罚机制变得前所未有的严格。此时，掌握海量数据的人力资源（HR）部门正面临着巨大的合规压力。

“无限期存储”求职者和前员工档案的习惯不再是行政人员的谨慎表现，而是构成了具有巨大潜在财务风险的违法行为。这篇来自 ALTAS Law 的深度文章将详细分析 PDPL 下的 HR 档案存储流程，帮助企业在遵守法律的同时优化内部运营。

按照 PDPL 2025 标准的 HR 档案存储和删除指南帮助企业优化 HR。

1. 数据保护法律框架（PDPL）的全景图

在深入探讨 HR 业务之前，我们需要清楚地了解企业面临的法律背景。从法令到法律级别的转变，标志着国家对数字空间管理思维的转折点。

1.1. 《个人数据保护法》（PDPL）的出台

PDPL (Personal Data Protection Law) 是越南第一部全面规定数字时代隐私和个人数据保护的法律文本。该法于2025年6月26日由国会通过，并于2026年1月1日正式生效，取代并继承了之前第 13/2023/NĐ-CP 号法令的规定。

此次升级不仅规范了术语，还增加了许多更严格的监督机制，使越南更接近欧洲的 GDPR (General Data Protection Regulation) 等国际标准。所有处理越南公民数据的国内外组织和个人都在其管辖范围内。（根据 Thư viện Pháp luật）。

1.2. 按照新标准进行数据分类

该法将个人数据分为两大核心类别，需要不同的安全措施：

基本个人数据：包括姓名、出生年月日、性别、国籍、电话号码、地址、身份证/公民身份证号码、个人税号、婚姻状况等。
敏感个人数据：这是需要“铁甲”保护的类别，包括：健康状况（病历）、生物识别特征（指纹、虹膜、面部）、政治观点、宗教、性取向、犯罪数据、位置数据和财务银行数据。

1.3. “数据主体 (Data Subject)”的新权力

公民（包括求职者和员工）现在被赋予了对其自身数据的强大权利：

知情权（公司保留了什么信息，用它做什么）。
随时同意或撤回同意的权利。
访问和要求更正错误数据的权利。
要求删除数据的权利（被遗忘权）。
反对为广告/营销目的处理数据的权利。

2. 为什么人力资源（HR）部门是合规的“中心”？

将 PDPL 应用于企业环境时，HR 部门不再仅仅执行文书管理、考勤或计算薪酬的业务。他们正式成为个人数据控制者/处理者（Data Controllers/Processors）。

2.1. HR 掌握的数据量和性质

从求职者提交 CV（简历）到员工离职（甚至此后多年），HR 会持续收集、存储和处理信息。他们不仅保留身份证/公民身份证，还保留体检报告（敏感数据）、考勤指纹（生物识别）、银行账户信息（财务数据）以及家属（配偶/子女）信息。

这使得 HR 成为在发生数据泄露事件时承担最高法律风险的部门。

2.2. HR 必须遵守的三个核心原则

为了不越过违法的界限，所有 HR 流程必须围绕 3 个原则：

同意（Consent）：只有在透明地通知员工并获得其书面同意后，才能收集和处理数据。
目的限制（Purpose Limitation）：仅收集劳动关系真正需要的信息。（例如：招聘会计师不允许要求他们提供个人网页浏览记录或宗教信仰）。
存储限制（Storage Limitation）：数据不得永久存储。当目的完成时（例如：员工离职且会计法规定的存储期限已过），必须安全销毁数据。

3. HR 数据处理中的四大法律支柱

为了避免处罚和诉讼风险，企业需要建立基于以下 4 个坚实法律支柱的 HR 管理系统。

支柱 1：数据处理的法律依据（Legal Basis）

许多企业误以为“劳动合同”是免死金牌，允许 HR 自由收集任何信息。实际上，PDPL 的要求更为严格：

同意（Consent）为王：必须有书面或电子表格来验证自愿、具体的同意。员工必须清楚公司存储什么、存储在哪里、存储多久以及转移给谁。
无需同意的例外情况：企业仅在少数特殊情况下被允许在未经同意的情况下处理数据：
- 履行法定责任（如缴纳税款、社会保险、工会费）。
- 紧急情况下保护生命和健康（例如：员工发生工伤时向医院提供血型）。
- 配合主管国家机关的调查要求。

支柱 2：个人数据处理影响评估档案（DPIA/TIA）

数据保护影响评估（Data Protection Impact Assessment - DPIA）对所有企业来说都是一项繁重且强制性的法律义务。

建立和保存：企业必须从开始处理数据时就建立 DPIA。
向相关部门报告：必须在 60 天内将 DPIA 档案的正本一份发送至公安部网络安全和预防高科技犯罪局（A05）。（参考来源：公安部电子信息门户网站）。
内容：档案必须详细说明收集的数据类型、目的、存储流程，最重要的是防范黑客和防止内部人员窃取数据的技术方案。

支柱 3：严格管理“敏感数据”

敏感数据需要第二层保护屏障。

独立同意：员工签署劳动合同并不意味着他们允许公司提取指纹。需要一个独立的同意表格，明确强调收集生物识别数据仅用于考勤。
指定人员（DPO）：企业（特别是大型企业）必须任命数据保护官（Data Protection Officer - DPO）并向公安部报告 DPO 的联系方式。

支柱 4：数据跨境转移（Cross-border Transfer）

如果您的公司是 FDI（外商直接投资）企业，或使用服务器位于海外的云端 HR 软件（SaaS）（如 Workday、SAP、Oracle、Zoho）：

必须额外建立一份数据跨境转移影响评估档案。
海外母公司可以是存储单位，但如果发生涉及越南公民的泄露事件，驻越南的法人实体仍必须承担最高的法律责任。

4. 违反 PDPL 的处罚风险和后果

新法律不仅具有纸面上的威慑力。其制裁措施旨在重罚忽视安全的组织。

4.1. 巨额行政罚款

违反数据买卖、泄露规定：罚款金额最高可达违规收入的 10 倍，或根据性质固定罚款最高 30 亿越南盾。
违规非法跨境转移数据：罚款最高可达企业上一财年总收入的 5%。（数据参考相关制裁草案）。

未建立 DPIA 档案、遭受网络攻击时不通知（在 72 小时内）等错误也将面临数亿越南盾的罚款。

4.2. HR 日常的“致命”错误

许多 HR 每天都在不知不觉中通过以下习惯违反 PDPL：

内部随意分享：拍摄全公司的工资表、电话号码、银行账户，并在没有密码的情况下发送到 Zalo/Skype 公共聊天群中。
未经许可使用旧 CV：将求职者两年前提交的 CV 交给另一个合作伙伴进行招聘评估。
签署 Outsource 合同不够严谨：聘请第三方组织 Teambuilding 团建或提供薪酬计算服务（Payroll），并将所有 HR 数据发送给他们，但没有“数据保密承诺”条款（NDA & Data Processing Agreement）。

5. 解决难题：存储还是删除？

面对严格的规定，HR 需要有对每个具体的档案群体进行分类和处理的策略。

5.1. 管理未录用求职者档案（Talent Pool）

许多公司习惯将成千上万的 CV 收集到“人才库”中以备后用。然而，当求职者提交“Marketing 专员”职位的 CV 时，目的仅限于那次招聘。招聘结束后，如果未被录用，目的已完成，该 CV 必须被删除。

合法做法：你想保留 CV 吗？请重新设计申请表格。添加一个复选框（不能默认勾选 - unchecked）：“我同意公司将我的档案保存 12 个月，以便在未来考虑合适的职位。”
在拒绝信（Rejection Email）中：加入内容：“我们希望保留您的信息 6 个月，以便在有机会时与您联系。如果您不同意，我们将在 72 小时内删除您的档案。”

5.2. 离职员工档案及法律冲突

当员工离职并要求行使“被遗忘权”（删除所有数据）时。HR 该怎么办？

这是 PDPL、劳动法和会计法的交汇点。

不得删除的数据（必须存储）：与税务决算、社会保险、劳动合同、原始工资单相关的凭证。根据会计法，这些文件通常需要保存 5 - 10 年以备检查。HR 有权以“履行法律义务”为由拒绝员工针对此类数据的删除请求。
必须删除的数据：离职后不再具有法律价值的信息，例如：考勤指纹、保存在内部系统上的个人照片、自传体简历、定期体检结果。此类数据需要定期删除。