近日,網(wǎng)曝有員工在上班時(shí)間使用公司電腦向招聘網(wǎng)站投遞簡(jiǎn)歷��,被公司網(wǎng)絡(luò)監(jiān)控系統(tǒng)詳實(shí)記錄�����,這位員工因此在領(lǐng)導(dǎo)約談后被裁員�����。
這則消息引發(fā)社會(huì)對(duì)員工個(gè)人隱私權(quán)的廣泛關(guān)注�����。一時(shí)間�����,“你都不知道自己的‘褲子’被老板扒了” “技術(shù)幫助企業(yè)作惡”等批評(píng)性言論充滿(mǎn)網(wǎng)絡(luò)�。
那么,企業(yè)使用特定軟件系統(tǒng)監(jiān)控員工的上網(wǎng)行為是否侵犯了員工的個(gè)人隱私權(quán)��?企業(yè)如何管理才算是合規(guī)����?特定行業(yè)的員工上網(wǎng)監(jiān)控管理又如何做?《互聯(lián)網(wǎng)法律評(píng)論》今日邀請(qǐng)法律專(zhuān)家予以分析���。
Q1 企業(yè)使用上網(wǎng)行為管理系統(tǒng)搜集員工的上網(wǎng)行為��,是否侵犯了員工的個(gè)人信息隱私權(quán)�����?
有2個(gè)判斷標(biāo)準(zhǔn):
是否明確“告知”并取得員工“同意”
是否超出“必要”的范圍
高潔律師:
首先��,要判斷該問(wèn)題��,需要判斷的是員工的全部上網(wǎng)行為是否構(gòu)成員工的個(gè)人信息��?根據(jù)《民法典》第1034條的規(guī)定�,個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息���,如自然人的姓名��、出生日期�、生物識(shí)別信息、住址��、行蹤信息等�,具有可識(shí)別性。
員工通過(guò)使用搜索引擎形成的檢索關(guān)鍵詞記錄�����,反映了其網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好��,具有可識(shí)別性�����,因此也屬于員工的個(gè)人信息���。
那么��,企業(yè)使用上網(wǎng)行為管理系統(tǒng)搜集員工的該類(lèi)個(gè)人信息是否構(gòu)成侵權(quán)����?根據(jù)《民法典》1035條的規(guī)定��,處理個(gè)人信息的��,應(yīng)當(dāng)遵循合法、正當(dāng)�����、必要原則�����。同時(shí)《個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)保法》)第13條針對(duì)員工個(gè)人信息的采集作出了規(guī)定�,即應(yīng)當(dāng)取得權(quán)利人的同意或者存在“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”等法定情形�����,因此�,要判斷企業(yè)該行為是否構(gòu)成侵權(quán),需要看企業(yè)在實(shí)施該行為之前是否取得了員工的知情同意���,或者通過(guò)制定勞動(dòng)規(guī)章制度或簽訂集體合同的方式確定了實(shí)施人力資源管理所必需處理的員工個(gè)人信息的范圍��。
如企業(yè)是因?yàn)閷?shí)施人力資源管理所必需�����,根據(jù)《個(gè)保法》第6條的規(guī)定����,收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍��。對(duì)此�,可參照《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》中對(duì)“最小范圍”的解釋?zhuān)椿趥€(gè)人同意處理個(gè)人信息的,限于實(shí)現(xiàn)處理目的最短周期�����、最低頻次�,采取對(duì)個(gè)人權(quán)益影響最小的方式。因此����,即使企業(yè)是為了實(shí)施人力資源管理所必需,對(duì)員工履行工作職責(zé)進(jìn)行管理監(jiān)督���,也應(yīng)當(dāng)限于最小范圍���、最短周期和最低頻次,在合法合理的限度內(nèi)行使權(quán)利���。
總而言之��,如企業(yè)在實(shí)施該行為之前未取得員工的知情同意��,也未通過(guò)制定勞動(dòng)規(guī)章制度或簽訂集體合同的方式確定實(shí)施人力資源管理所必需處理的員工個(gè)人信息的范圍���,或即使是為了實(shí)施人力資源管理所必需�����,但沒(méi)有在最小范圍內(nèi)實(shí)施該行為,則均有可能涉嫌侵害員工的個(gè)人信息��,從而承擔(dān)相應(yīng)的法律責(zé)任�。
白小莉律師:
企業(yè)監(jiān)控員工使用公司電腦的上網(wǎng)行為可能存在侵害員工隱私權(quán)和個(gè)人信息權(quán)益的風(fēng)險(xiǎn)。潛在風(fēng)險(xiǎn)從兩個(gè)方面體現(xiàn):
1. 監(jiān)控員工的上網(wǎng)行為���,如果事先做過(guò)明確告知且范圍僅限于公司管理的必要范圍內(nèi)�,被認(rèn)定為侵犯隱私權(quán)的可能性較?��?�;但如果未規(guī)范操作��,或者超越必要范圍刺探員工隱私的����,則可能涉嫌侵害員工的隱私權(quán)。
如果在公司規(guī)章制度中����,明確規(guī)定了不得在工作期間瀏覽招聘網(wǎng)站,存在上述行為一經(jīng)發(fā)現(xiàn)公司將予以處理��,且公司向員工明確告知了為規(guī)范管理的需要已安裝上網(wǎng)行為監(jiān)控系統(tǒng)�,那么員工在該期間的行為將被認(rèn)為不具有私密性,故此種情況下公司的行為會(huì)被認(rèn)為具有一定的合理性���,而不涉及隱私權(quán)侵權(quán)的問(wèn)題��。
例如在(2020)粵民申8843號(hào)“員工打傘上班”案件中���,法院就認(rèn)為公司安裝攝像頭的行為不構(gòu)成對(duì)員工隱私權(quán)的侵犯,“公司安裝監(jiān)控?cái)z像頭屬普遍公司正常行使用人單位監(jiān)管權(quán)���,其行為具有一定的合理性”���。
但公司應(yīng)當(dāng)注意不得監(jiān)控員工在工作時(shí)間之外的行為,也不得借監(jiān)管之名侵入員工的個(gè)人生活或隱私領(lǐng)域,否則有可能構(gòu)成侵權(quán)���。
2. 監(jiān)測(cè)員工的上網(wǎng)行為���,可能涉及員工的個(gè)人信息權(quán)益保護(hù)問(wèn)題,應(yīng)當(dāng)遵循個(gè)人信息保護(hù)相關(guān)法律法規(guī)規(guī)定的要求進(jìn)行操作�。
根據(jù)《個(gè)保法》規(guī)定,如果是涉及到對(duì)個(gè)人信息的處理行為���,則需要遵循知情同意原則和最小必要原則�?��;凇秱€(gè)保法》,企業(yè)如果能夠證明是出于履行雙方勞動(dòng)合同和實(shí)現(xiàn)人力資源管理所必需的行為����,則無(wú)須取得員工同意即可處理個(gè)人信息。
根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》相關(guān)規(guī)定����,個(gè)人的網(wǎng)頁(yè)瀏覽記錄可能構(gòu)成個(gè)人敏感信息。針對(duì)敏感個(gè)人信息的處理����,不僅需要取得個(gè)人的單獨(dú)同意�,還需要有特定的目的和充分的必要性�����,并采取嚴(yán)格保護(hù)措施����。因此,如果企業(yè)要監(jiān)控員工的上網(wǎng)行為�,需要按照《個(gè)保法》及其他相關(guān)規(guī)定的要求規(guī)范操作。
Q2 企業(yè)如何做才合規(guī)�?
白小莉律師:
企業(yè)使用管理系統(tǒng)監(jiān)控員工的上網(wǎng)行為,大多是出于公司管理�����、業(yè)務(wù)保護(hù)等目的��,但由于上網(wǎng)行為涉及員工個(gè)人信息甚至可能是敏感個(gè)人信息�,企業(yè)如果確有必要對(duì)員工上網(wǎng)行為進(jìn)行監(jiān)控的,也需要注意以下幾點(diǎn):
1. 企業(yè)應(yīng)當(dāng)盡可能通過(guò)簽訂協(xié)議等方式取得員工的個(gè)人同意���,獲取員工的書(shū)面認(rèn)可(可以是紙質(zhì)方式���,也可以是電子方式)����,以符合《個(gè)保法》知情同意原則�����;如果因特殊原因無(wú)法獲得員工書(shū)面同意的�,則至少應(yīng)當(dāng)保證員工對(duì)此是知情的;
2. 企業(yè)對(duì)通過(guò)上述監(jiān)控系統(tǒng)所收集到的個(gè)人信息的使用���,應(yīng)當(dāng)僅限于公司管理的必要��,在合理范圍內(nèi)使用所獲取的個(gè)人信息����,不得濫用員工個(gè)人信息�����;
3. 針對(duì)監(jiān)控系統(tǒng)所收集的員工上網(wǎng)信息��,應(yīng)當(dāng)嚴(yán)格限定可以接觸到該信息的人員范圍�,并進(jìn)行嚴(yán)格管理,避免無(wú)關(guān)人員接觸到該信息�,對(duì)敏感個(gè)人信息應(yīng)當(dāng)加強(qiáng)保護(hù),謹(jǐn)防信息泄漏���;
4. 應(yīng)當(dāng)制定完善的數(shù)據(jù)管理制度�,規(guī)范個(gè)人信息的提供���、使用和公開(kāi)����,非有法定事由�����,不得對(duì)外提供員工個(gè)人信息��,更不得公開(kāi)員工個(gè)人信息�����。
高潔律師:
總體而言�,如企業(yè)想使用管理系統(tǒng)監(jiān)控員工的上網(wǎng)行為,應(yīng)事先取得員工的知情同意�,或通過(guò)制定勞動(dòng)規(guī)章制度����、簽訂集體合同的方式確定實(shí)施人力資源管理所必需處理的員工個(gè)人信息的范圍�,在最小范圍、最短周期和最低頻次內(nèi)采集相關(guān)信息���。對(duì)此���,建議企業(yè)在確定所處理的個(gè)人信息范圍時(shí)采取謹(jǐn)慎的態(tài)度,把“充分必要性”作為劃定處理范圍的考量因素����。
除此之外,需要提醒企業(yè)注意的是�����,《個(gè)保法》未列舉全部敏感個(gè)人信息�����,企業(yè)可參考《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273-2020 )表B.1對(duì)個(gè)人敏感信息的舉例�,如員工個(gè)人信息落入敏感個(gè)人信息的保護(hù)范圍���,企業(yè)處理該類(lèi)信息時(shí)務(wù)必采取嚴(yán)格的保護(hù)措施��,如采用加密���、訪(fǎng)問(wèn)認(rèn)證����、去標(biāo)識(shí)化等��。
Q3 特定行業(yè)的監(jiān)控����,企業(yè)的合規(guī)管理應(yīng)該如何處置?
白小莉律師:
1. 特殊行業(yè)的員工管控合法性及必要性
首先����,這類(lèi)行業(yè)一般存在像證監(jiān)會(huì)等機(jī)構(gòu)發(fā)布的行業(yè)人員管理規(guī)范,如《證券業(yè)從業(yè)人員執(zhí)業(yè)行為準(zhǔn)則》《證券投資顧問(wèn)業(yè)務(wù)暫行規(guī)定》《證券公司合規(guī)管理實(shí)施指引》等���;其次��,證券���、基金�����、期貨行業(yè)性質(zhì)特殊�����,內(nèi)幕交易防范任務(wù)嚴(yán)肅��,尤其在互聯(lián)網(wǎng)時(shí)代����,信息流通性大��,企業(yè)確有必要管控員工上網(wǎng)行為���。
因此����,特殊行業(yè)對(duì)員工的監(jiān)控符合《個(gè)保法》第十三條第(二)項(xiàng)規(guī)定:“為訂立��、履行個(gè)人作為一方當(dāng)事人的合同所必需�,或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”,具有一定合法性基礎(chǔ)�����。
所以��,對(duì)于證券�����、基金����、期貨等特殊行業(yè),一直以來(lái)都存在對(duì)從業(yè)人員通話(huà)和上網(wǎng)行為的監(jiān)管��,包括員工手機(jī)號(hào)碼報(bào)備�����、社交軟件排查等�����;不僅如此����,對(duì)企業(yè)監(jiān)管不力者�,主管部門(mén)還會(huì)做出相應(yīng)的行政處罰�����。
2. 特殊行業(yè)仍需要注意“必要范圍”及保護(hù)措施
但需注意����,盡管這類(lèi)行業(yè)對(duì)員工的管控行為存在相關(guān)規(guī)定作為依據(jù),為行業(yè)和從業(yè)人員所須知��,企業(yè)的監(jiān)控行為也應(yīng)處在必要范圍之內(nèi)����,嚴(yán)守管控和處理的最小、必要原則���。
例如《證券公司合規(guī)管理實(shí)施指引》規(guī)定�����,證券公司應(yīng)當(dāng)運(yùn)用信息技術(shù)手段對(duì)工作人員職務(wù)通訊行為�、工作人員的證券投資行為等進(jìn)行監(jiān)測(cè)��,那么對(duì)于沒(méi)有被納入規(guī)定范圍內(nèi),且與員工職務(wù)����、行業(yè)信息無(wú)關(guān)的個(gè)人行為,企業(yè)應(yīng)當(dāng)不予監(jiān)測(cè)�����,尊重員工隱私����;對(duì)于納入規(guī)定范圍內(nèi)的員工行為信息�,遵守管控目的的界限,不作他用�。
此外,證券等行業(yè)對(duì)員工的監(jiān)測(cè)導(dǎo)致其獲取了大量員工個(gè)人信息��,從微觀層面來(lái)看��,企業(yè)應(yīng)當(dāng)妥善保管相關(guān)信息數(shù)據(jù)����,對(duì)敏感信息加強(qiáng)保護(hù),謹(jǐn)防泄漏���;從宏觀層面來(lái)看���,如果員工個(gè)人信息數(shù)量巨大��,構(gòu)成一定規(guī)模的個(gè)人信息數(shù)據(jù)���,或者個(gè)人信息與行業(yè)信息相關(guān),構(gòu)成重要數(shù)據(jù)�,企業(yè)需按照相關(guān)的數(shù)據(jù)分類(lèi)分級(jí)原則,進(jìn)行嚴(yán)格評(píng)估和保護(hù)�����。
Q4 還有哪些涉及員工個(gè)人信息保護(hù)的法規(guī)需要企業(yè)高度關(guān)注����?
高潔律師:
除了已發(fā)布的涉及到員工個(gè)人信息保護(hù)的法律法規(guī)、司法解釋���、法院判決外�����,與個(gè)人信息保護(hù)相關(guān)的指南以及規(guī)范性文件征求意見(jiàn)稿���,如《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020 )��、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》等也需要引起企業(yè)的高度關(guān)注,其可作為企業(yè)員工個(gè)人信息保護(hù)合規(guī)的參考依據(jù)��。
除此之外��,如涉及到中國(guó)企業(yè)“走出去”���,也應(yīng)當(dāng)時(shí)刻關(guān)注當(dāng)?shù)嘏c員工個(gè)人信息相關(guān)的數(shù)據(jù)安全法律法規(guī)�����,如歐盟的GDPR(General Data Protection Regulation)�����、Opinion 2/2017 on Data Processing at Work���、英國(guó)的DPA(Data Protection Act)等�。同時(shí)��,也建議企業(yè)時(shí)刻關(guān)注所處行業(yè)的特殊法律法規(guī)規(guī)定及相關(guān)指南����,如《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》等���,從而完善自身的合規(guī)體系。
關(guān)鍵詞:
個(gè)人信息
營(yíng)業(yè)執(zhí)照公示信息