近日���,網(wǎng)曝有員工在上班時間使用公司電腦向招聘網(wǎng)站投遞簡歷����,被公司網(wǎng)絡監(jiān)控系統(tǒng)詳實記錄��,這位員工因此在領導約談后被裁員�。
這則消息引發(fā)社會對員工個人隱私權的廣泛關注。一時間�,“你都不知道自己的‘褲子’被老板扒了” “技術幫助企業(yè)作惡”等批評性言論充滿網(wǎng)絡。
那么�,企業(yè)使用特定軟件系統(tǒng)監(jiān)控員工的上網(wǎng)行為是否侵犯了員工的個人隱私權?企業(yè)如何管理才算是合規(guī)�����?特定行業(yè)的員工上網(wǎng)監(jiān)控管理又如何做?《互聯(lián)網(wǎng)法律評論》今日邀請法律專家予以分析���。
Q1 企業(yè)使用上網(wǎng)行為管理系統(tǒng)搜集員工的上網(wǎng)行為�����,是否侵犯了員工的個人信息隱私權�����?
有2個判斷標準:
是否明確“告知”并取得員工“同意”
是否超出“必要”的范圍
高潔律師:
首先��,要判斷該問題�����,需要判斷的是員工的全部上網(wǎng)行為是否構成員工的個人信息���?根據(jù)《民法典》第1034條的規(guī)定,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息����,如自然人的姓名、出生日期、生物識別信息��、住址�、行蹤信息等,具有可識別性�。
員工通過使用搜索引擎形成的檢索關鍵詞記錄,反映了其網(wǎng)絡活動軌跡及上網(wǎng)偏好����,具有可識別性��,因此也屬于員工的個人信息��。
那么�,企業(yè)使用上網(wǎng)行為管理系統(tǒng)搜集員工的該類個人信息是否構成侵權?根據(jù)《民法典》1035條的規(guī)定��,處理個人信息的����,應當遵循合法、正當����、必要原則。同時《個人信息保護法》(以下簡稱《個保法》)第13條針對員工個人信息的采集作出了規(guī)定,即應當取得權利人的同意或者存在“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”等法定情形����,因此,要判斷企業(yè)該行為是否構成侵權�,需要看企業(yè)在實施該行為之前是否取得了員工的知情同意,或者通過制定勞動規(guī)章制度或簽訂集體合同的方式確定了實施人力資源管理所必需處理的員工個人信息的范圍����。
如企業(yè)是因為實施人力資源管理所必需,根據(jù)《個保法》第6條的規(guī)定����,收集個人信息,應當限于實現(xiàn)處理目的的最小范圍����。對此,可參照《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》中對“最小范圍”的解釋����,即基于個人同意處理個人信息的,限于實現(xiàn)處理目的最短周期����、最低頻次,采取對個人權益影響最小的方式。因此����,即使企業(yè)是為了實施人力資源管理所必需,對員工履行工作職責進行管理監(jiān)督����,也應當限于最小范圍、最短周期和最低頻次�����,在合法合理的限度內(nèi)行使權利��。
總而言之��,如企業(yè)在實施該行為之前未取得員工的知情同意�����,也未通過制定勞動規(guī)章制度或簽訂集體合同的方式確定實施人力資源管理所必需處理的員工個人信息的范圍��,或即使是為了實施人力資源管理所必需�,但沒有在最小范圍內(nèi)實施該行為���,則均有可能涉嫌侵害員工的個人信息�����,從而承擔相應的法律責任����。
白小莉律師:
企業(yè)監(jiān)控員工使用公司電腦的上網(wǎng)行為可能存在侵害員工隱私權和個人信息權益的風險。潛在風險從兩個方面體現(xiàn):
1. 監(jiān)控員工的上網(wǎng)行為����,如果事先做過明確告知且范圍僅限于公司管理的必要范圍內(nèi),被認定為侵犯隱私權的可能性較?。坏绻匆?guī)范操作����,或者超越必要范圍刺探員工隱私的,則可能涉嫌侵害員工的隱私權��。
如果在公司規(guī)章制度中�,明確規(guī)定了不得在工作期間瀏覽招聘網(wǎng)站,存在上述行為一經(jīng)發(fā)現(xiàn)公司將予以處理�,且公司向員工明確告知了為規(guī)范管理的需要已安裝上網(wǎng)行為監(jiān)控系統(tǒng),那么員工在該期間的行為將被認為不具有私密性��,故此種情況下公司的行為會被認為具有一定的合理性,而不涉及隱私權侵權的問題��。
例如在(2020)粵民申8843號“員工打傘上班”案件中���,法院就認為公司安裝攝像頭的行為不構成對員工隱私權的侵犯���,“公司安裝監(jiān)控攝像頭屬普遍公司正常行使用人單位監(jiān)管權,其行為具有一定的合理性”����。
但公司應當注意不得監(jiān)控員工在工作時間之外的行為,也不得借監(jiān)管之名侵入員工的個人生活或隱私領域��,否則有可能構成侵權�。
2. 監(jiān)測員工的上網(wǎng)行為�����,可能涉及員工的個人信息權益保護問題�����,應當遵循個人信息保護相關法律法規(guī)規(guī)定的要求進行操作����。
根據(jù)《個保法》規(guī)定�,如果是涉及到對個人信息的處理行為�����,則需要遵循知情同意原則和最小必要原則�。基于《個保法》���,企業(yè)如果能夠證明是出于履行雙方勞動合同和實現(xiàn)人力資源管理所必需的行為�,則無須取得員工同意即可處理個人信息�。
根據(jù)《信息安全技術個人信息安全規(guī)范》相關規(guī)定,個人的網(wǎng)頁瀏覽記錄可能構成個人敏感信息����。針對敏感個人信息的處理,不僅需要取得個人的單獨同意����,還需要有特定的目的和充分的必要性,并采取嚴格保護措施�。因此,如果企業(yè)要監(jiān)控員工的上網(wǎng)行為����,需要按照《個保法》及其他相關規(guī)定的要求規(guī)范操作�����。
Q2 企業(yè)如何做才合規(guī)��?
白小莉律師:
企業(yè)使用管理系統(tǒng)監(jiān)控員工的上網(wǎng)行為��,大多是出于公司管理�����、業(yè)務保護等目的��,但由于上網(wǎng)行為涉及員工個人信息甚至可能是敏感個人信息����,企業(yè)如果確有必要對員工上網(wǎng)行為進行監(jiān)控的�,也需要注意以下幾點:
1. 企業(yè)應當盡可能通過簽訂協(xié)議等方式取得員工的個人同意���,獲取員工的書面認可(可以是紙質方式����,也可以是電子方式),以符合《個保法》知情同意原則�����;如果因特殊原因無法獲得員工書面同意的�,則至少應當保證員工對此是知情的;
2. 企業(yè)對通過上述監(jiān)控系統(tǒng)所收集到的個人信息的使用��,應當僅限于公司管理的必要�,在合理范圍內(nèi)使用所獲取的個人信息,不得濫用員工個人信息����;
3. 針對監(jiān)控系統(tǒng)所收集的員工上網(wǎng)信息,應當嚴格限定可以接觸到該信息的人員范圍����,并進行嚴格管理,避免無關人員接觸到該信息�,對敏感個人信息應當加強保護,謹防信息泄漏��;
4. 應當制定完善的數(shù)據(jù)管理制度�����,規(guī)范個人信息的提供、使用和公開���,非有法定事由���,不得對外提供員工個人信息,更不得公開員工個人信息�����。
高潔律師:
總體而言�����,如企業(yè)想使用管理系統(tǒng)監(jiān)控員工的上網(wǎng)行為�����,應事先取得員工的知情同意����,或通過制定勞動規(guī)章制度、簽訂集體合同的方式確定實施人力資源管理所必需處理的員工個人信息的范圍�����,在最小范圍��、最短周期和最低頻次內(nèi)采集相關信息��。對此�����,建議企業(yè)在確定所處理的個人信息范圍時采取謹慎的態(tài)度���,把“充分必要性”作為劃定處理范圍的考量因素�。
除此之外�,需要提醒企業(yè)注意的是,《個保法》未列舉全部敏感個人信息���,企業(yè)可參考《信息安全技術個人信息安全規(guī)范》(GB/T 35273-2020 )表B.1對個人敏感信息的舉例�����,如員工個人信息落入敏感個人信息的保護范圍�����,企業(yè)處理該類信息時務必采取嚴格的保護措施�����,如采用加密�����、訪問認證�、去標識化等。
Q3 特定行業(yè)的監(jiān)控��,企業(yè)的合規(guī)管理應該如何處置���?
白小莉律師:
1. 特殊行業(yè)的員工管控合法性及必要性
首先�,這類行業(yè)一般存在像證監(jiān)會等機構發(fā)布的行業(yè)人員管理規(guī)范�,如《證券業(yè)從業(yè)人員執(zhí)業(yè)行為準則》《證券投資顧問業(yè)務暫行規(guī)定》《證券公司合規(guī)管理實施指引》等;其次���,證券�、基金����、期貨行業(yè)性質特殊�,內(nèi)幕交易防范任務嚴肅�����,尤其在互聯(lián)網(wǎng)時代�����,信息流通性大����,企業(yè)確有必要管控員工上網(wǎng)行為�。
因此,特殊行業(yè)對員工的監(jiān)控符合《個保法》第十三條第(二)項規(guī)定:“為訂立���、履行個人作為一方當事人的合同所必需��,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”���,具有一定合法性基礎。
所以�����,對于證券、基金�、期貨等特殊行業(yè),一直以來都存在對從業(yè)人員通話和上網(wǎng)行為的監(jiān)管�,包括員工手機號碼報備、社交軟件排查等��;不僅如此���,對企業(yè)監(jiān)管不力者�,主管部門還會做出相應的行政處罰���。
2. 特殊行業(yè)仍需要注意“必要范圍”及保護措施
但需注意�����,盡管這類行業(yè)對員工的管控行為存在相關規(guī)定作為依據(jù)�����,為行業(yè)和從業(yè)人員所須知�����,企業(yè)的監(jiān)控行為也應處在必要范圍之內(nèi)�,嚴守管控和處理的最小、必要原則�����。
例如《證券公司合規(guī)管理實施指引》規(guī)定��,證券公司應當運用信息技術手段對工作人員職務通訊行為���、工作人員的證券投資行為等進行監(jiān)測,那么對于沒有被納入規(guī)定范圍內(nèi)�����,且與員工職務���、行業(yè)信息無關的個人行為����,企業(yè)應當不予監(jiān)測�,尊重員工隱私;對于納入規(guī)定范圍內(nèi)的員工行為信息��,遵守管控目的的界限��,不作他用。
此外����,證券等行業(yè)對員工的監(jiān)測導致其獲取了大量員工個人信息,從微觀層面來看����,企業(yè)應當妥善保管相關信息數(shù)據(jù),對敏感信息加強保護��,謹防泄漏����;從宏觀層面來看,如果員工個人信息數(shù)量巨大����,構成一定規(guī)模的個人信息數(shù)據(jù),或者個人信息與行業(yè)信息相關���,構成重要數(shù)據(jù)����,企業(yè)需按照相關的數(shù)據(jù)分類分級原則�����,進行嚴格評估和保護。
Q4 還有哪些涉及員工個人信息保護的法規(guī)需要企業(yè)高度關注���?
高潔律師:
除了已發(fā)布的涉及到員工個人信息保護的法律法規(guī)�����、司法解釋���、法院判決外,與個人信息保護相關的指南以及規(guī)范性文件征求意見稿���,如《信息安全技術 個人信息安全規(guī)范》(GB/T 35273-2020 )、《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》等也需要引起企業(yè)的高度關注�,其可作為企業(yè)員工個人信息保護合規(guī)的參考依據(jù)。
除此之外�,如涉及到中國企業(yè)“走出去”,也應當時刻關注當?shù)嘏c員工個人信息相關的數(shù)據(jù)安全法律法規(guī)����,如歐盟的GDPR(General Data Protection Regulation)、Opinion 2/2017 on Data Processing at Work�����、英國的DPA(Data Protection Act)等。同時�,也建議企業(yè)時刻關注所處行業(yè)的特殊法律法規(guī)規(guī)定及相關指南,如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》等���,從而完善自身的合規(guī)體系�����。
關鍵詞:
個人信息
營業(yè)執(zhí)照公示信息