商业电子邮件和法律法规的合规性

尽管有大量新渠道可供使用,例如消息服务和内联网社交,但经过实践检验的电子邮件仍然不是在业务环境中的首选交流方式。与业务相关的电子邮件通常包含敏感信息,合规性问题很快引起了人们的注意。但是,在企业电子邮件通信中,合规性到底意味着什么?

 

合规本质上是遵守规则,包括法律,行政规定,法令,甚至是公司实施的内部政策。

不遵守规定的后果包括公司内部的制裁,例如口头警告,书面警告和解雇,第三方民事责任诉讼(例如,损害赔偿要求)和国家主导的刑事起诉(例如,罚款或监禁),声誉损失也可能造成严重后果。

就电子邮件而言,合规一词涵盖两个领域:

  1. 法律法规合规意味着公司管理层必须确保遵守适用于公司及其业务活动的所有法律,法规和规章。除当地规定外,公司还必须经常遵守影响公司跨境活动的规则和规定。
  2. 管理系统合规包含为确保遵守遵从规定而采取的所有措施,包括定期对有能力的工作人员进行培训,并对行为进行持续的监控和记录。

 

合规性,法律法规合规性和电子邮件合规性

合规性性、法律法规合规性和电子邮件合规性通常是同义词,并在以下归类为标准属于“合规性”。那么,合规性在企业电子邮件中起什么作用?在下文中,我们阐明了对商务电子邮件可能很重要的四类规定/政策,并通过一个实际示例对每种规定/政策进行了详细说明:

1.遵守国家以及适用的行业特定规定

说明:国家和行业特定的规定很多。其中包括医疗保健部门,环境部门,食品工业,保险和金融部门,司法系统以及税收立法的规定。以下是一些与电子邮件管理相关的示例:

  • 适用于美国医疗保健行业的HIPAA(健康保险流通与责任法案)和适用于美国金融行业的FINRA(金融行业监管局)
  • 适用于在美国上市的公司的SOX(萨班斯-奥克斯利法案)
  • 德国的AO(税收代码)和HGB(商业代码)

案例示例HIPAA

美国的一名医生希望通过电子邮件将在实践中收集的X射线图像和患者数据发送给患者。医生需要注意哪些合法性?除其他外,HIPAA要求采取安全措施以确保充分保护患者健康的个人信息。在这种情况下,例如,归档电子邮件或创建包含健康信息的电子邮件的备份可能是明智的选择。两种措施的目的都是为了防止未经授权访问患者的电子健康记录(EHR),并防止其被故意或意外删除。在存储和传输期间对数据进行加密也有帮助。

2.遵守国际规定(例如欧盟指令和法规,例如GDPR)

说明:首先,欧洲联盟指令针对国家立法者,然后该立法者必须将相关规定转化为国家法律。
相反,欧洲联盟的法规直接在成员国中有效,也就是说,它不需要换位行为。通用数据保护法规(GDPR)就是这样的欧盟法规之一。关于商业电子邮件,公司必须确保满足数据主体的以下四个权利,因为这些电子邮件可以包含个人数据:

  • 访问权(GDPR第15条)
  • 异议权(GDPR第21条)
  • 删除权(GDPR第17条)
  • 数据可移植权(GDPR第20条)

但是,在这里必须谨慎:这四项权利可能使公司与其他法律法规冲突。例如,德国的税法和商业法(AO和HGB)规定电子邮件归档必须完整,但是根据欧盟有关数据隐私(GDPR)的法律,可能有必要从归档中删除个人数据。在工作场所使用私人电子邮件,来自工作委员会或公司医生的电子邮件或有关候选人的数据也可能是一个问题。

案例 GDPR

欧盟公民和主要在线零售商的客户要求该公司删除其所有个人数据。电子邮件归档解决方案的搜索功能可以帮助零售商快速找到并删除包含数据主体个人数据的电子邮件。但是要当心!由于可能违反其他法律,因此应根据具体情况决定是否实际删除所讨论的数据。

3.遵守公司内部政策

说明:这些规则和规定是公司自愿引入的;尽管它们对员工具有约束力,但它们对公司外部没有实质影响。由于这些政策是针对个别公司的,因此下面仅列出一些示例:

  • 电子邮件保留政策
  • 电子邮件邮箱配额
  • 电子邮件邮箱权限
  • 电子邮件使用政策(例如,不允许私下使用公司电子邮件帐户)

案例 使用政策

公司决定禁止将公司电子邮件帐户用于私人目的。已要求公司员工严格遵守该政策,并且只能通过其私人邮箱发送个人电子邮件。

 

4.遵守有关数据隐私的法律,例如欧盟GDPR或CCPA(加利福尼亚消费者隐私法案)

说明:上述三个类别中的每一个都具有数据隐私功能:除内部公司政策外,还有国际,国家和行业特定的数据隐私法律。数据隐私与保护“信息自决”有关,这是在德国宪法裁决中首次引入的概念。该权利解决了个人通过防止公司,机构等未经授权收集,存储和共享个人详细信息来保护自己的私生活的能力。与EU GDPR一样,CCPA包含了在处理其个人数据时保护自然人的规定。与GDPR不同,CCPA还可以扩展到有关家庭和设备的数据。CCPA将信息定义为与消费者的购买历史和习惯有关的任何商业信息,以及通过浏览器历史记录以及与应用程序和网站的互动记录的在互联网或其他电子网络上进行的活动。因此,CCPA的目标是个人数据,即将要建立个人资料的消费者的所有偏好,行为和属性。CCPA的核心要素是:

  • 删除权
  • 访问公司拥有的个人数据的权利
  • 数据携带权
  • 选择退出个人信息的权利
  • 不歧视权

案例 消费者根据CCPA访问个人数据的权利

在提交私人订单,注册新闻通讯和访问网站时,一家大公司的加利福尼亚客户留下了大量的个人数据。现在,客户要求公司确切披露其已收集的数据。公司有义务告知客户有关信息的类别和所收集数据的各个项目。它必须毫不延迟,免费(通过邮寄或电子邮件)并且以易于理解的格式提供此信息。这包括所有个人信息,无论是主动还是被动接收和收集。重要提示:公司必须在收集数据之前或期间披露处理数据的目的。

 

电子邮件归档起什么作用?

公司如何遵守上述规定,法律和政策?

仅通过备份电子邮件不能满足上述要求。专业的电子邮件归档解决方案(例如MailStore Server)可以帮助公司遵守并实施管理电子邮件的要求。MailStore Server提供了一系列特殊的合规性功能。这些功能应构成全面合规性概念的一部分,商业电子邮件的归档是其必不可少的组成部分。此外,电子邮件存档解决方案在某些电子数据展示方案中可能会有所帮助,例如,授予审核员读取存档的权限,以便他或她可以浏览存档的邮箱。

但是,每个公司都应该意识到,仅仅依靠软件解决方案来满足所有要求是不够的。特别是,内部流程(例如电子邮件处理)需要进行调整。绝对推荐使用完善的电子邮件治理策略,电子邮件归档解决方案可以成为此类策略的支柱。