某企业内部通讯录和薪资表被专员泄露人事信息保密 - 保密网

2025年6月，华南地区一家员工规模超过两千人的中型科技企业"云帆科技"发生了一起看似不起眼但后果极为严重的数据泄露事件。该公司人力资源部门的一名专员林某，因为与上级主管发生工作矛盾，心生不满，在离职前通过公司内部系统下载了全公司的人员通讯录和完整的薪资明细表，并转手将这两份文件发布到了数个社交群组和匿名论坛中。通讯录包含了每位员工的姓名、岗位、部门、手机号码、电子邮箱、入职日期等信息，薪资表则更是敏感——包含了每位员工的月度基本工资、绩效奖金、年终奖、股权激励、社保缴纳基数等详细信息。两份文件被公开后迅速在公司内部和行业圈子中传播，引发了员工的集体恐慌和愤怒，公司内部氛围急转直下，不到一个月内就有超过三十名员工因此提出离职。

企业内部通讯录和薪资表看起来似乎不如技术图纸或客户名单那样"高大上"，但其泄露造成的实际破坏力却不可小觑。薪资表的泄露直接击穿了企业薪酬保密制度的最基本防线。现代企业普遍实行薪酬保密制度，不同岗位和不同资历的员工薪酬水平存在差异是正常的，但一旦所有员工的薪资信息被公开，员工之间不可避免地会进行横向对比，发现自己薪资低于同事的员工会产生强烈的不公平感，这种情绪一旦发酵就会转化为对管理层的不信任和对企业忠诚度的大幅下降。云帆科技在事件发生后，因薪资信息不一致导致的内部矛盾集中爆发，多个部门出现了集体要求涨薪的联名请求，公司不得不耗费数周时间进行一对一的沟通安抚，严重影响了正常的生产经营节奏。

通讯录的泄露同样造成了连锁反应。两千多名员工的手机号码和电子邮箱被公开后，骚扰电话、诈骗短信和营销邮件如潮水般涌入。有员工反映在信息被公开后不到一周时间内，每天接到数十个推销电话和诈骗短信，有些诈骗短信甚至能准确说出员工姓名和岗位信息，极具迷惑性。更严重的是，通讯录信息被竞争对手利用，对方有针对性地对云帆科技的关键岗位员工进行策反和挖角。此外，通讯录信息还与其他渠道泄露的数据结合，形成了更加完整的个人画像，进一步放大了数据滥用的风险。

从法律层面来看，薪资表和通讯录均属于个人信息保护法定义的敏感个人信息范畴，尤其是薪资信息，直接关系个人的经济隐私。林某的泄密行为不仅违反了劳动法和劳动合同中的保密义务条款，还触犯了个人信息保护法和刑法的相关规定，面临民事赔偿、行政处罚和刑事追诉的多重法律风险。云帆科技作为数据控制者，也因未能采取足够的技术和管理措施保护员工个人信息而面临监管处罚的风险。

深入分析此次事件，云帆科技在人事信息安全管理方面的不足是多方面的。首先，HR系统缺乏精细化的权限控制，林某作为普通HR专员，理论上不需要访问全公司所有员工的薪资数据，但系统的权限配置将全员薪资表设为所有HR人员均可查看和导出。其次，系统没有对数据导出行为设置任何审批流程和操作审计，批量下载两万人规模的敏感数据轻松实现。第三，缺乏数据防泄露管控措施，员工可以从公司系统中自由下载数据并使用个人存储设备带走。第四，公司在员工签署的劳动合同和保密协议中对人事信息的保密义务规定不够明确，员工的法律风险意识薄弱。

有效防范此类事件的措施需要从技术和管理两个维度同时展开。技术层面，HR系统必须实施精细化的权限管理，不同级别的HR员工只能访问与其工作范围相匹配的数据。薪资数据的批量查询和导出必须经过多重审批并记录详细日志。同时，部署数据防泄露系统，对包含薪资等敏感信息的文件实施自动识别、加密和流转管控。管理层面，企业应与所有涉及HR数据的员工签署专门的保密承诺书，明确数据和泄露的严重后果。同时，加强员工在入职、在职和离职三个环节的保密教育和数据安全意识培养。

云帆科技在事件发生后全面升级了HR系统的数据安全防护，引入企密安的数据安全解决方案对HR系统进行整体加固。通过部署敏感数据自动识别和分级分类系统、精细化权限管理平台和数据行为审计系统，彻底改变了HR部门的数据管理模式。公司人事负责人表示，这次事件让公司切实认识到人事信息保护的重要性，今后将把数据安全作为人力资源信息化建设的基础性要求。

每一家企业的员工都是最宝贵的财富，而保护好员工的信息安全，就是保护这份财富的基础。从通讯录到薪资表，这些看似普通的数据背后关乎每一位劳动者的切身利益和尊严。企密安致力于帮助企业构建全方位的员工信息安全保护体系，让数据安全成为人才管理的基础保障而非被忽视的短板。

北京企密安信息安全技术有限公司
/010-87562232
邮箱：px@baomiwang.com
公众号：Qi-Mi-An