近日��,網(wǎng)曝有員工在上班時(shí)間使用公司電腦向招聘網(wǎng)站投遞簡(jiǎn)歷�,被公司網(wǎng)絡(luò)監(jiān)控系統(tǒng)詳實(shí)記錄���,這位員工因此在領(lǐng)導(dǎo)約談后被裁員�。
這則消息引發(fā)社會(huì)對(duì)員工個(gè)人隱私權(quán)的廣泛關(guān)注���。一時(shí)間���,“你都不知道自己的‘褲子’被老板扒了” “技術(shù)幫助企業(yè)作惡”等批評(píng)性言論充滿網(wǎng)絡(luò)�����。
那么���,企業(yè)使用特定軟件系統(tǒng)監(jiān)控員工的上網(wǎng)行為是否侵犯了員工的個(gè)人隱私權(quán)?企業(yè)如何管理才算是合規(guī)��?特定行業(yè)的員工上網(wǎng)監(jiān)控管理又如何做�����?《互聯(lián)網(wǎng)法律評(píng)論》今日邀請(qǐng)法律專家予以分析���。
Q1 企業(yè)使用上網(wǎng)行為管理系統(tǒng)搜集員工的上網(wǎng)行為���,是否侵犯了員工的個(gè)人信息隱私權(quán)?
有2個(gè)判斷標(biāo)準(zhǔn):
是否明確“告知”并取得員工“同意”
是否超出“必要”的范圍
高潔律師:
首先��,要判斷該問題��,需要判斷的是員工的全部上網(wǎng)行為是否構(gòu)成員工的個(gè)人信息����?根據(jù)《民法典》第1034條的規(guī)定�,個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息����,如自然人的姓名、出生日期�、生物識(shí)別信息、住址�、行蹤信息等,具有可識(shí)別性���。
員工通過使用搜索引擎形成的檢索關(guān)鍵詞記錄,反映了其網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好����,具有可識(shí)別性,因此也屬于員工的個(gè)人信息����。
那么,企業(yè)使用上網(wǎng)行為管理系統(tǒng)搜集員工的該類個(gè)人信息是否構(gòu)成侵權(quán)���?根據(jù)《民法典》1035條的規(guī)定���,處理個(gè)人信息的�����,應(yīng)當(dāng)遵循合法����、正當(dāng)�、必要原則。同時(shí)《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)保法》)第13條針對(duì)員工個(gè)人信息的采集作出了規(guī)定�,即應(yīng)當(dāng)取得權(quán)利人的同意或者存在“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”等法定情形,因此�����,要判斷企業(yè)該行為是否構(gòu)成侵權(quán)�����,需要看企業(yè)在實(shí)施該行為之前是否取得了員工的知情同意��,或者通過制定勞動(dòng)規(guī)章制度或簽訂集體合同的方式確定了實(shí)施人力資源管理所必需處理的員工個(gè)人信息的范圍��。
如企業(yè)是因?yàn)閷?shí)施人力資源管理所必需��,根據(jù)《個(gè)保法》第6條的規(guī)定,收集個(gè)人信息��,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍����。對(duì)此,可參照《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》中對(duì)“最小范圍”的解釋�,即基于個(gè)人同意處理個(gè)人信息的,限于實(shí)現(xiàn)處理目的最短周期��、最低頻次����,采取對(duì)個(gè)人權(quán)益影響最小的方式。因此����,即使企業(yè)是為了實(shí)施人力資源管理所必需�,對(duì)員工履行工作職責(zé)進(jìn)行管理監(jiān)督,也應(yīng)當(dāng)限于最小范圍���、最短周期和最低頻次����,在合法合理的限度內(nèi)行使權(quán)利。
總而言之�,如企業(yè)在實(shí)施該行為之前未取得員工的知情同意,也未通過制定勞動(dòng)規(guī)章制度或簽訂集體合同的方式確定實(shí)施人力資源管理所必需處理的員工個(gè)人信息的范圍�,或即使是為了實(shí)施人力資源管理所必需,但沒有在最小范圍內(nèi)實(shí)施該行為���,則均有可能涉嫌侵害員工的個(gè)人信息����,從而承擔(dān)相應(yīng)的法律責(zé)任�。
白小莉律師:
企業(yè)監(jiān)控員工使用公司電腦的上網(wǎng)行為可能存在侵害員工隱私權(quán)和個(gè)人信息權(quán)益的風(fēng)險(xiǎn)。潛在風(fēng)險(xiǎn)從兩個(gè)方面體現(xiàn):
1. 監(jiān)控員工的上網(wǎng)行為����,如果事先做過明確告知且范圍僅限于公司管理的必要范圍內(nèi)�����,被認(rèn)定為侵犯隱私權(quán)的可能性較小����;但如果未規(guī)范操作���,或者超越必要范圍刺探員工隱私的,則可能涉嫌侵害員工的隱私權(quán)�。
如果在公司規(guī)章制度中����,明確規(guī)定了不得在工作期間瀏覽招聘網(wǎng)站,存在上述行為一經(jīng)發(fā)現(xiàn)公司將予以處理���,且公司向員工明確告知了為規(guī)范管理的需要已安裝上網(wǎng)行為監(jiān)控系統(tǒng)���,那么員工在該期間的行為將被認(rèn)為不具有私密性,故此種情況下公司的行為會(huì)被認(rèn)為具有一定的合理性�����,而不涉及隱私權(quán)侵權(quán)的問題。
例如在(2020)粵民申8843號(hào)“員工打傘上班”案件中,法院就認(rèn)為公司安裝攝像頭的行為不構(gòu)成對(duì)員工隱私權(quán)的侵犯��,“公司安裝監(jiān)控?cái)z像頭屬普遍公司正常行使用人單位監(jiān)管權(quán)�,其行為具有一定的合理性”�����。
但公司應(yīng)當(dāng)注意不得監(jiān)控員工在工作時(shí)間之外的行為�,也不得借監(jiān)管之名侵入員工的個(gè)人生活或隱私領(lǐng)域��,否則有可能構(gòu)成侵權(quán)�。
2. 監(jiān)測(cè)員工的上網(wǎng)行為�,可能涉及員工的個(gè)人信息權(quán)益保護(hù)問題���,應(yīng)當(dāng)遵循個(gè)人信息保護(hù)相關(guān)法律法規(guī)規(guī)定的要求進(jìn)行操作�。
根據(jù)《個(gè)保法》規(guī)定,如果是涉及到對(duì)個(gè)人信息的處理行為��,則需要遵循知情同意原則和最小必要原則�����。基于《個(gè)保法》��,企業(yè)如果能夠證明是出于履行雙方勞動(dòng)合同和實(shí)現(xiàn)人力資源管理所必需的行為���,則無須取得員工同意即可處理個(gè)人信息�����。
根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》相關(guān)規(guī)定���,個(gè)人的網(wǎng)頁瀏覽記錄可能構(gòu)成個(gè)人敏感信息。針對(duì)敏感個(gè)人信息的處理�,不僅需要取得個(gè)人的單獨(dú)同意�����,還需要有特定的目的和充分的必要性��,并采取嚴(yán)格保護(hù)措施。因此��,如果企業(yè)要監(jiān)控員工的上網(wǎng)行為,需要按照《個(gè)保法》及其他相關(guān)規(guī)定的要求規(guī)范操作�。
Q2 企業(yè)如何做才合規(guī)?
白小莉律師:
企業(yè)使用管理系統(tǒng)監(jiān)控員工的上網(wǎng)行為���,大多是出于公司管理�����、業(yè)務(wù)保護(hù)等目的,但由于上網(wǎng)行為涉及員工個(gè)人信息甚至可能是敏感個(gè)人信息����,企業(yè)如果確有必要對(duì)員工上網(wǎng)行為進(jìn)行監(jiān)控的,也需要注意以下幾點(diǎn):
1. 企業(yè)應(yīng)當(dāng)盡可能通過簽訂協(xié)議等方式取得員工的個(gè)人同意�����,獲取員工的書面認(rèn)可(可以是紙質(zhì)方式��,也可以是電子方式),以符合《個(gè)保法》知情同意原則���;如果因特殊原因無法獲得員工書面同意的,則至少應(yīng)當(dāng)保證員工對(duì)此是知情的��;
2. 企業(yè)對(duì)通過上述監(jiān)控系統(tǒng)所收集到的個(gè)人信息的使用��,應(yīng)當(dāng)僅限于公司管理的必要����,在合理范圍內(nèi)使用所獲取的個(gè)人信息���,不得濫用員工個(gè)人信息�;
3. 針對(duì)監(jiān)控系統(tǒng)所收集的員工上網(wǎng)信息,應(yīng)當(dāng)嚴(yán)格限定可以接觸到該信息的人員范圍��,并進(jìn)行嚴(yán)格管理��,避免無關(guān)人員接觸到該信息,對(duì)敏感個(gè)人信息應(yīng)當(dāng)加強(qiáng)保護(hù)����,謹(jǐn)防信息泄漏;
4. 應(yīng)當(dāng)制定完善的數(shù)據(jù)管理制度��,規(guī)范個(gè)人信息的提供��、使用和公開��,非有法定事由��,不得對(duì)外提供員工個(gè)人信息���,更不得公開員工個(gè)人信息。
高潔律師:
總體而言���,如企業(yè)想使用管理系統(tǒng)監(jiān)控員工的上網(wǎng)行為��,應(yīng)事先取得員工的知情同意���,或通過制定勞動(dòng)規(guī)章制度����、簽訂集體合同的方式確定實(shí)施人力資源管理所必需處理的員工個(gè)人信息的范圍����,在最小范圍、最短周期和最低頻次內(nèi)采集相關(guān)信息�����。對(duì)此����,建議企業(yè)在確定所處理的個(gè)人信息范圍時(shí)采取謹(jǐn)慎的態(tài)度���,把“充分必要性”作為劃定處理范圍的考量因素��。
除此之外��,需要提醒企業(yè)注意的是�����,《個(gè)保法》未列舉全部敏感個(gè)人信息��,企業(yè)可參考《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020 )表B.1對(duì)個(gè)人敏感信息的舉例����,如員工個(gè)人信息落入敏感個(gè)人信息的保護(hù)范圍,企業(yè)處理該類信息時(shí)務(wù)必采取嚴(yán)格的保護(hù)措施����,如采用加密、訪問認(rèn)證���、去標(biāo)識(shí)化等�。
Q3 特定行業(yè)的監(jiān)控����,企業(yè)的合規(guī)管理應(yīng)該如何處置?
白小莉律師:
1. 特殊行業(yè)的員工管控合法性及必要性
首先����,這類行業(yè)一般存在像證監(jiān)會(huì)等機(jī)構(gòu)發(fā)布的行業(yè)人員管理規(guī)范,如《證券業(yè)從業(yè)人員執(zhí)業(yè)行為準(zhǔn)則》《證券投資顧問業(yè)務(wù)暫行規(guī)定》《證券公司合規(guī)管理實(shí)施指引》等�����;其次���,證券���、基金����、期貨行業(yè)性質(zhì)特殊����,內(nèi)幕交易防范任務(wù)嚴(yán)肅,尤其在互聯(lián)網(wǎng)時(shí)代����,信息流通性大��,企業(yè)確有必要管控員工上網(wǎng)行為��。
因此���,特殊行業(yè)對(duì)員工的監(jiān)控符合《個(gè)保法》第十三條第(二)項(xiàng)規(guī)定:“為訂立����、履行個(gè)人作為一方當(dāng)事人的合同所必需���,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”�����,具有一定合法性基礎(chǔ)�。
所以,對(duì)于證券��、基金�、期貨等特殊行業(yè),一直以來都存在對(duì)從業(yè)人員通話和上網(wǎng)行為的監(jiān)管���,包括員工手機(jī)號(hào)碼報(bào)備�����、社交軟件排查等�;不僅如此��,對(duì)企業(yè)監(jiān)管不力者��,主管部門還會(huì)做出相應(yīng)的行政處罰����。
2. 特殊行業(yè)仍需要注意“必要范圍”及保護(hù)措施
但需注意�,盡管這類行業(yè)對(duì)員工的管控行為存在相關(guān)規(guī)定作為依據(jù)�����,為行業(yè)和從業(yè)人員所須知��,企業(yè)的監(jiān)控行為也應(yīng)處在必要范圍之內(nèi)�����,嚴(yán)守管控和處理的最小���、必要原則��。
例如《證券公司合規(guī)管理實(shí)施指引》規(guī)定�,證券公司應(yīng)當(dāng)運(yùn)用信息技術(shù)手段對(duì)工作人員職務(wù)通訊行為�����、工作人員的證券投資行為等進(jìn)行監(jiān)測(cè)���,那么對(duì)于沒有被納入規(guī)定范圍內(nèi),且與員工職務(wù)、行業(yè)信息無關(guān)的個(gè)人行為���,企業(yè)應(yīng)當(dāng)不予監(jiān)測(cè)�����,尊重員工隱私����;對(duì)于納入規(guī)定范圍內(nèi)的員工行為信息����,遵守管控目的的界限,不作他用�。
此外,證券等行業(yè)對(duì)員工的監(jiān)測(cè)導(dǎo)致其獲取了大量員工個(gè)人信息��,從微觀層面來看����,企業(yè)應(yīng)當(dāng)妥善保管相關(guān)信息數(shù)據(jù),對(duì)敏感信息加強(qiáng)保護(hù)����,謹(jǐn)防泄漏�����;從宏觀層面來看���,如果員工個(gè)人信息數(shù)量巨大,構(gòu)成一定規(guī)模的個(gè)人信息數(shù)據(jù)����,或者個(gè)人信息與行業(yè)信息相關(guān),構(gòu)成重要數(shù)據(jù)���,企業(yè)需按照相關(guān)的數(shù)據(jù)分類分級(jí)原則���,進(jìn)行嚴(yán)格評(píng)估和保護(hù)。
Q4 還有哪些涉及員工個(gè)人信息保護(hù)的法規(guī)需要企業(yè)高度關(guān)注�����?
高潔律師:
除了已發(fā)布的涉及到員工個(gè)人信息保護(hù)的法律法規(guī)�����、司法解釋���、法院判決外�����,與個(gè)人信息保護(hù)相關(guān)的指南以及規(guī)范性文件征求意見稿�����,如《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020 )�、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》等也需要引起企業(yè)的高度關(guān)注��,其可作為企業(yè)員工個(gè)人信息保護(hù)合規(guī)的參考依據(jù)��。
除此之外�,如涉及到中國企業(yè)“走出去”,也應(yīng)當(dāng)時(shí)刻關(guān)注當(dāng)?shù)嘏c員工個(gè)人信息相關(guān)的數(shù)據(jù)安全法律法規(guī)���,如歐盟的GDPR(General Data Protection Regulation)�、Opinion 2/2017 on Data Processing at Work����、英國的DPA(Data Protection Act)等。同時(shí)����,也建議企業(yè)時(shí)刻關(guān)注所處行業(yè)的特殊法律法規(guī)規(guī)定及相關(guān)指南�����,如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》等�,從而完善自身的合規(guī)體系�。
關(guān)鍵詞:
個(gè)人信息
營業(yè)執(zhí)照公示信息