本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:高洁(北京周泰律师事务所)、白小莉(北京市道可特律师事务所管理合伙人、知识产权全国专业委员会主任),头图来自:视觉中国
近日,网曝有员工在上班时间使用公司电脑向招聘网站投递简历,被公司网络监控系统详实记录,这位员工因此在领导约谈后被裁员。
这则消息引发社会对员工个人隐私权的广泛关注。一时间,“你都不知道自己的‘裤子’被老板扒了” “技术帮助企业作恶”等批评性言论充满网络。
那么,企业使用特定软件系统监控员工的上网行为是否侵犯了员工的个人隐私权?企业如何管理才算是合规?特定行业的员工上网监控管理又如何做?《互联网法律评论》今日邀请法律专家予以分析。
Q1 企业使用上网行为管理系统搜集员工的上网行为,是否侵犯了员工的个人信息隐私权?
有2个判断标准:
是否明确“告知”并取得员工“同意”
是否超出“必要”的范围
高洁律师:
首先,要判断该问题,需要判断的是员工的全部上网行为是否构成员工的个人信息?根据《民法典》第1034条的规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,如自然人的姓名、出生日期、生物识别信息、住址、行踪信息等,具有可识别性。
员工通过使用搜索引擎形成的检索关键词记录,反映了其网络活动轨迹及上网偏好,具有可识别性,因此也属于员工的个人信息。
那么,企业使用上网行为管理系统搜集员工的该类个人信息是否构成侵权?根据《民法典》1035条的规定,处理个人信息的,应当遵循合法、正当、必要原则。同时《个人信息保护法》(以下简称《个保法》)第13条针对员工个人信息的采集作出了规定,即应当取得权利人的同意或者存在“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”等法定情形,因此,要判断企业该行为是否构成侵权,需要看企业在实施该行为之前是否取得了员工的知情同意,或者通过制定劳动规章制度或签订集体合同的方式确定了实施人力资源管理所必需处理的员工个人信息的范围。
如企业是因为实施人力资源管理所必需,根据《个保法》第6条的规定,收集个人信息,应当限于实现处理目的的最小范围。对此,可参照《网络数据安全管理条例(征求意见稿)》中对“最小范围”的解释,即基于个人同意处理个人信息的,限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式。因此,即使企业是为了实施人力资源管理所必需,对员工履行工作职责进行管理监督,也应当限于最小范围、最短周期和最低频次,在合法合理的限度内行使权利。
总而言之,如企业在实施该行为之前未取得员工的知情同意,也未通过制定劳动规章制度或签订集体合同的方式确定实施人力资源管理所必需处理的员工个人信息的范围,或即使是为了实施人力资源管理所必需,但没有在最小范围内实施该行为,则均有可能涉嫌侵害员工的个人信息,从而承担相应的法律责任。
白小莉律师:
企业监控员工使用公司电脑的上网行为可能存在侵害员工隐私权和个人信息权益的风险。潜在风险从两个方面体现:
1. 监控员工的上网行为,如果事先做过明确告知且范围仅限于公司管理的必要范围内,被认定为侵犯隐私权的可能性较小;但如果未规范操作,或者超越必要范围刺探员工隐私的,则可能涉嫌侵害员工的隐私权。
如果在公司规章制度中,明确规定了不得在工作期间浏览招聘网站,存在上述行为一经发现公司将予以处理,且公司向员工明确告知了为规范管理的需要已安装上网行为监控系统,那么员工在该期间的行为将被认为不具有私密性,故此种情况下公司的行为会被认为具有一定的合理性,而不涉及隐私权侵权的问题。
例如在(2020)粤民申8843号“员工打伞上班”案件中,法院就认为公司安装摄像头的行为不构成对员工隐私权的侵犯,“公司安装监控摄像头属普遍公司正常行使用人单位监管权,其行为具有一定的合理性”。
但公司应当注意不得监控员工在工作时间之外的行为,也不得借监管之名侵入员工的个人生活或隐私领域,否则有可能构成侵权。
2. 监测员工的上网行为,可能涉及员工的个人信息权益保护问题,应当遵循个人信息保护相关法律法规规定的要求进行操作。
根据《个保法》规定,如果是涉及到对个人信息的处理行为,则需要遵循知情同意原则和最小必要原则。基于《个保法》,企业如果能够证明是出于履行双方劳动合同和实现人力资源管理所必需的行为,则无须取得员工同意即可处理个人信息。
根据《信息安全技术个人信息安全规范》相关规定,个人的网页浏览记录可能构成个人敏感信息。针对敏感个人信息的处理,不仅需要取得个人的单独同意,还需要有特定的目的和充分的必要性,并采取严格保护措施。因此,如果企业要监控员工的上网行为,需要按照《个保法》及其他相关规定的要求规范操作。
Q2 企业如何做才合规?
白小莉律师:
企业使用管理系统监控员工的上网行为,大多是出于公司管理、业务保护等目的,但由于上网行为涉及员工个人信息甚至可能是敏感个人信息,企业如果确有必要对员工上网行为进行监控的,也需要注意以下几点:
1. 企业应当尽可能通过签订协议等方式取得员工的个人同意,获取员工的书面认可(可以是纸质方式,也可以是电子方式),以符合《个保法》知情同意原则;如果因特殊原因无法获得员工书面同意的,则至少应当保证员工对此是知情的;
2. 企业对通过上述监控系统所收集到的个人信息的使用,应当仅限于公司管理的必要,在合理范围内使用所获取的个人信息,不得滥用员工个人信息;
3. 针对监控系统所收集的员工上网信息,应当严格限定可以接触到该信息的人员范围,并进行严格管理,避免无关人员接触到该信息,对敏感个人信息应当加强保护,谨防信息泄漏;
4. 应当制定完善的数据管理制度,规范个人信息的提供、使用和公开,非有法定事由,不得对外提供员工个人信息,更不得公开员工个人信息。
高洁律师:
总体而言,如企业想使用管理系统监控员工的上网行为,应事先取得员工的知情同意,或通过制定劳动规章制度、签订集体合同的方式确定实施人力资源管理所必需处理的员工个人信息的范围,在最小范围、最短周期和最低频次内采集相关信息。对此,建议企业在确定所处理的个人信息范围时采取谨慎的态度,把“充分必要性”作为划定处理范围的考量因素。
除此之外,需要提醒企业注意的是,《个保法》未列举全部敏感个人信息,企业可参考《信息安全技术个人信息安全规范》(GB/T 35273-2020 )表B.1对个人敏感信息的举例,如员工个人信息落入敏感个人信息的保护范围,企业处理该类信息时务必采取严格的保护措施,如采用加密、访问认证、去标识化等。
Q3 特定行业的监控,企业的合规管理应该如何处置?
白小莉律师:
1. 特殊行业的员工管控合法性及必要性
首先,这类行业一般存在像证监会等机构发布的行业人员管理规范,如《证券业从业人员执业行为准则》《证券投资顾问业务暂行规定》《证券公司合规管理实施指引》等;其次,证券、基金、期货行业性质特殊,内幕交易防范任务严肃,尤其在互联网时代,信息流通性大,企业确有必要管控员工上网行为。
因此,特殊行业对员工的监控符合《个保法》第十三条第(二)项规定:“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,具有一定合法性基础。
所以,对于证券、基金、期货等特殊行业,一直以来都存在对从业人员通话和上网行为的监管,包括员工手机号码报备、社交软件排查等;不仅如此,对企业监管不力者,主管部门还会做出相应的行政处罚。
2. 特殊行业仍需要注意“必要范围”及保护措施
但需注意,尽管这类行业对员工的管控行为存在相关规定作为依据,为行业和从业人员所须知,企业的监控行为也应处在必要范围之内,严守管控和处理的最小、必要原则。
例如《证券公司合规管理实施指引》规定,证券公司应当运用信息技术手段对工作人员职务通讯行为、工作人员的证券投资行为等进行监测,那么对于没有被纳入规定范围内,且与员工职务、行业信息无关的个人行为,企业应当不予监测,尊重员工隐私;对于纳入规定范围内的员工行为信息,遵守管控目的的界限,不作他用。
此外,证券等行业对员工的监测导致其获取了大量员工个人信息,从微观层面来看,企业应当妥善保管相关信息数据,对敏感信息加强保护,谨防泄漏;从宏观层面来看,如果员工个人信息数量巨大,构成一定规模的个人信息数据,或者个人信息与行业信息相关,构成重要数据,企业需按照相关的数据分类分级原则,进行严格评估和保护。
Q4 还有哪些涉及员工个人信息保护的法规需要企业高度关注?
高洁律师:
除了已发布的涉及到员工个人信息保护的法律法规、司法解释、法院判决外,与个人信息保护相关的指南以及规范性文件征求意见稿,如《信息安全技术 个人信息安全规范》(GB/T 35273-2020 )、《网络数据安全管理条例(征求意见稿)》等也需要引起企业的高度关注,其可作为企业员工个人信息保护合规的参考依据。
除此之外,如涉及到中国企业“走出去”,也应当时刻关注当地与员工个人信息相关的数据安全法律法规,如欧盟的GDPR(General Data Protection Regulation)、Opinion 2/2017 on Data Processing at Work、英国的DPA(Data Protection Act)等。同时,也建议企业时刻关注所处行业的特殊法律法规规定及相关指南,如《汽车数据安全管理若干规定(试行)》《信息安全技术健康医疗数据安全指南》等,从而完善自身的合规体系。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:高洁、白小莉