2022年2月11日,有网友表示,某公司推出的行为感知系统,可以检测分析员工在公司外网上的网站访问情况,从而判断员工是否有辞职倾向。 据公司网站此前介绍其产品,行为感知系统基于在线行为管理的海量在线日志,对用户行为特征进行深度建模和分析,从而发现员工的工作状态和行为风险。 此消息迅速引发热议,相关企业立即“否认”,表示没有、也永远不会使用类似的行为监控软件非法收集个人信息。 类似的监控传闻已经不是第一次了。 2021年11月,某公司发布《关于违反员工行为准则处罚的通知》,告知员工在办公区域玩笔记本游戏、上网聊天、听音乐、购物等行为,同时还对相关员工给予了处罚警告和处罚。
一些员工对公司无处不在的监控感到沮丧,称其为“循环拘留中心”。 但出于用工管理的目的,企业确实有通过软件和硬件来监督员工工作行为的正当需求。 本文将结合我国隐私和个人信息保护的相关规定以及当前司法实践,探讨企业监控的法律边界,为企业提供合规建议。
方法和手段
实践中,企业主要通过两种方式对员工的上网行为进行监管。 第一个是通过网段监控。 企业通过路由器、交换机等监控连接到企业网络的设备的IP地址和流量情况,还可以限制访问。 连接到互联网的设备访问个别网站或使用个别软件; 二是通过软件监控。 公司在员工设备上安装监控软件客户端。 安装后,可以监控终端设备的所有操作行为。 尽管终端设备即使企业网络断开,企业仍然可以通过软件继续监控。
目前,企业使用的监控软件可以实现以下功能:
除了直接监控功能外,个人监控软件还可以利用终端设备监控员工行为后生成员工行为画像,对员工行为和工作效率进行常年检查和评估。
合法性基础
根据我国《劳动法》规定,企业应当依法构建、建立规章制度,保障劳动者享有劳动权利、履行劳动义务。 实践中,企业出于用工管理、商业秘密保护、安全监管、履行法定职责等目的,往往通过制定工作纪律、行为规范、奖惩规定等方式规定员工应遵守的劳动义务。并可使用考勤设备、录音设备、摄像头、定位设备、行为监控软件等对员工行为进行监督管理。 因为在监控员工的过程中,企业会收集员工的大量个人信息,甚至包括精准位置信息、网页浏览记录、人脸识别信息、通讯记录等个人敏感信息。因此,企业的边界监控必须明确,否则很容易导致侵权。 员工隐私权和个人信息权的风险。
(1)企业监控与隐私保护
我国《民法典》规定,隐私是个人有平静的私人生活且不希望他人知道的私人空间、私人活动和私人信息。 除法律明确规定或者经个人同意外,不得对个人的私人活动和私人空间进行拍照、窥探、监控,个人隐私信息不得交由他人处理。
在雇佣场景中,员工在工作时间内使用公司设备形成和处理的个人信息不能被理解为在私人空间处理私人信息。 因此,在这种场景下监控员工侵犯个人隐私的风险较低。 员工通过个人设备访问公司网络时产生的个人信息可能会在一定程度上与员工设备中的隐私信息混合在一起。 如果公司监控此类私人信息,仍可能会带来隐私侵犯的风险。 根据《互联网安全保护技术措施条例》第八条规定,互联网单位应当落实记录、留存公司工作人员使用的互联网地址等保护网络信息安全的措施; 记录和跟踪网络运行状态; 发现、记录网络道路安全事件等,企业在履行具体法律义务、进行必要的劳动管理时,应注意监控的范围和限度。 欧盟数据保护工作组发布的WP249[1]号文件为企业进行流量监控提出了最佳实践建议。 企业可以免费提供WIFI或独立的设备或终端(同时配备适当的保护措施,保证通信的保密性)供员工使用,员工可以将此类设备或终端用于个人私人目的。 据悉,企业可以屏蔽特定网站和程序,以防止员工出于私人目的占用大量流量并抵御病毒威胁。
(二)企业监控与个人信息保护
根据民法规定,个人信息受法律保护监控上网行为软件,处理个人信息必须征得个人同意。 《个人信息保护法》施行后,将为信息主体保护个人信息提供更加明确的依据。 《个人信息保护法》规定监控上网行为软件,个人信息处理者只有在征得个人同意或者符合下列条件之一的情况下,方可处理个人信息:(一)需要与个人签署并履行的协议一方当事人或者依法制定的劳动规章制度和依法签订的集体协议是实施人力资源管理所必需的; (二)履行法定职责或者法律义务所必需的; (三)为应对突发公共卫生事件,或者突发事件中保护自然人生命、健康、财产安全所必需的; (四)为公共利益开展新闻报道、舆情监督等活动,并在合理范围内处理个人信息; (五)依照本法规定在合理范围内处理个人信息或者其他已经合法公开的个人信息。
在雇佣场景中,未经员工同意而处理员工个人信息的企业应满足上述五项要求之一。 未经员工同意,公司若监控员工办公设备,可以以“为了实施人力资源管理为目的”需要获取员工行为信息,但公司应当在劳动协议中或者民主地提供必要的信息。依法制定规章。 劳动法规中明确告知员工这种必要性。 事实上,企业仍应注意获取个人信息的范围,尤其是在收集敏感个人信息时,还应在合法、正当、必要的范围内采取严格的保密措施保护个人信息。
司法案件认定企业“监控”
在《个人信息保护法》出台之前,员工经常援引相关隐私保护法规,认为企业监控侵犯了他们的隐私权。 虽然隐私保护常常被作为员工指责企业“过度监控”的重要依据,但因为在雇佣场景中,员工在工作场所的行为并不构成法律规定的“私人空间”和“私人行为”; 办公笔记本中的信息通常很难构成“私人信息”。 因此,员工很难证明公司在工作时间监控办公设备侵犯了他们的隐私权。 在(2021)京0105民初17774号案件中,法官明确强调,正常情况下,员工应当使用公司笔记本履行职责。 办公笔记本中使用的空间不是私人信息。 如果他人登录该员工的Office笔记本,一般不构成滋扰、泄露、泄露私人信息。 同样,在(2019)鲁06民中案第7145号中,修认为该公司未经其同意,在其办公室笔记本电脑上安装监控软件,下载保存莫莫等人的聊天记录,侵犯了其隐私。 正确的。 法院认为,公司出于业务和管理需要,在员工的办公笔记本电脑上安装了监控软件,员工在工作期间使用笔记本电脑聊天软件的记录将保留在公司的服务器主机上。 修作为公司员工,应将公司笔记本用于工作而非其他用途。 因此,该公司在办公笔记本上安装监控软件并下载保存员工上班时的聊天记录的目的是合法的,监控行为也是合法的。 不侵犯员工的隐私权。 在此前报道的一起劳动仲裁案件中,[2] 一名员工因在午睡时间使用公司笔记本电脑提交简历而被解雇。 他声称公司安装的工作场所监控软件侵犯了他的隐私,但仲裁庭不予支持。 仲裁庭援引《互联网安全保护技术措施规定》认为,为了落实互联网安全保护措施,互联网接入单位可以记录和留存用户使用的互联网网络地址,记录和跟踪网络运行状态,检测并记录网络安全骚乱等。因此,企业在工作场所使用监控软件是合法的。
与使用公司设备不同,当员工使用个人设备处理工作时,公司侵犯员工隐私权或个人信息权的风险更大。 例如,如果公司要求员工在个人设备上安装监控软件,或者在发生合规调查或其他事件时要求员工提供个人设备上的信息,这可能会侵犯员工的隐私权或与个人信息相关的权利。 在(2021)浙0481民初5360号案中,法院认为,劳动者个人手机在工作、生活、人际关系中产生的信息属于个人隐私,不得非法侵入、收集、使用、泄露。由其他人。 用人单位虽然无权组织、领导、监督、管理劳动者,但必须在合法、合理的前提下进行。 不能剥夺劳动者的人身权和人格权。 用人单位实施管理和监督必须谨慎。 ,最大程度保护劳动者的隐私权。
可见,在目前的司法实践中,企业在工作时间监控员工使用的公司设备,或者监控员工使用公司网络的情况通常是合法的,并不构成侵犯隐私或员工个人信息的行为。 ; 然而,如果公司不当监控员工个人设备上的个人信息,则会带来侵犯隐私或个人信息的风险。
合规建议
(一)企业应制定明确、明确的内部政策来监督员工的行为。
(2)在实际监控员工行为之前,应告知公司监控的目的、人员和时间。
(三)定期对新的员工监管政策和计划进行个人信息影响评估,并提出相应的改进措施。
(四)制定存储员工个人信息特别是敏感个人信息时的安全措施,并在完成数据处理目的后立即销毁或删除员工个人信息。
【笔记】
[1]参见 Opinion2/2017ondataprocessingatwork
[2]工人晚报:《职场行为实时监控,员工有没有受到侵害?》,见
