[图]企业“监控”员工上网行为: 边界与合规

2022年2月11日, 有网友称, 某公司推出的一款行为感知系统可以监测和分析员工在公司内网的网站访问情况, 并因此得出员工是否有离职倾向。根据该公司网站此前对其产品的介绍, 行为感知系统基于上网行为管理的海量上网日志, 对用户行为特征进行深度建模分析, 从而发现员工的工作状态和行为风险。此消息一出便迅速引发讨论, 相关企业立刻“撇清”, 称其未使用也绝不会启用类似的行为监控软件违规收集个人信息。类似监控传闻并非首次, 2021年11月, 某公司发布《关于违反员工行为规范的处罚通报》, 将员工在办公区域内玩电脑游戏、上网聊天、听音乐、购物等行为进行通报, 并对相关员工予以警告处罚。

无奈于企业无处不在的监控, 有员工称其为“圆形监狱”。然而, 出于用工管理目的, 企业确有通过软硬件监督员工工作行为的合法需求。本文将结合我国关于隐私和个人信息保护的相关规定以及当前司法实践, 探索企业监控的合法边界, 为企业提供合规建议。

1.方式和手段

实践中, 企业主要通过两种方式监督员工的上网行为, 第一是通过网关监控, 企业对通过路由器、交换机等的接入企业网络设备的IP地址和流量情况进行监控, 同时还可以限制接入网络的设备访问某些网站或使用某些软件; 第二是通过软件进行监控, 企业在员工的设备中安装监控软件的客户端, 安装后即可监控终端设备的所有操作行为, 即使终端设备断开企业网络, 企业仍可通过软件继续进行监控。

目前, 企业使用的监控软件可以实现如下功能:

除直接的监控功能外, 某些监控软件对员工使用终端设备的行为进行监控后, 还可生成员工行为画像, 对员工行为和工作效率进行长期检测和评估。

2.合法性基础

根据我国《劳动法》的规定, 企业应当依法建立和完善规章制度, 保障劳动者享有劳动权利和履行劳动义务。实践中, 出于用工管理、商业秘密保护、安全监管、履行法定职责等目的, 企业往往通过制定工作纪律、行为守则、奖惩规定等对员工应当遵守的劳动义务进行规定, 并可能利用考勤设备、录音设备、摄像头、定位装置、行为监控软件等对员工行为进行监督和管理。由于企业监控员工的过程中, 会收集大量的员工个人信息, 甚至精准位置信息、网页浏览记录、面部识别信息、通信记录等敏感个人信息, 因此, 必须明确界定企业监控的边界, 否则易引发侵害员工隐私权以及个人信息权利的风险。

(1) 企业监控与隐私权保护

我国《民法典》规定, 隐私是个人私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。除法律明确规定或个人同意外, 个人的私密活动和私密空间不得被拍摄、窥视和窃听, 个人的私密信息不得被他人处理。

在用工场景下, 员工在工作时间使用公司设备产生和处理的个人信息, 难以被解释为在私密空间处理私密信息。因此, 在这一场景下监控员工, 构成侵害个人隐私的违法风险较低。员工通过个人设备接入公司网络时产生的个人信息, 则在一定程度上可能与员工设备内的私密信息相混杂, 企业如监控了该等私密信息, 则仍可能产生侵害隐私权的风险。根据《互联网安全保护技术措施规定》第八条, 互联网络单位应落实网络信息安全保障措施, 例如记录并存留公司员工使用的互联网网络地址; 记录、跟踪网络运行状态; 监测、记录网络安全事件等, 在企业履行特定的法定义务和进行必要用工管理时, 应当注意监控的范围和限度。欧盟数据保护工作组发布的WP 249号文件[1]对企业进行流量监控提出最佳实践建议, 企业可以提供免费WIFI或独立设备或终端(同时配备适当的保护措施以确保通信的机密性)供员工使用, 员工可将该等设备或终端用于某些私人用途。此外, 企业可以将特定网站、程序进行拦截, 避免员工私人用途占用大量流量并抵御病毒威胁。

(2) 企业监控与个人信息保护

根据《民法典》, 个人信息受到法律保护, 处理个人信息应取得个人同意。《个人信息保护法》生效后则为信息主体保护其个人信息提供更明确的依据。《个人信息保护法》规定, 个人信息处理者在取得个人同意, 或者满足以下条件之一时才可处理个人信息: (1) 为订立、履行个人作为一方当事人的合同所必需, 或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; (2) 为履行法定职责或者法定义务所必需; (3) 为应对突发公共卫生事件, 或者紧急情况下为保护自然人的生命健康和财产安全所必需; (4) 为公共利益实施新闻报道、舆论监督等行为, 在合理的范围内处理个人信息; (5) 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

在用工场景下, 企业未经员工同意处理其个人信息应当满足前述五项要求之一。在未取得员工同意的情况下, 如果企业对员工的办公设备进行监控, 则可援引“为实施人力资源管理”而必要获取员工的行为信息, 但企业应当在劳动合同或经民主程序依法制定的劳动规章中明确告知员工该必要性。当然, 企业仍应当注意获取个人信息的范围, 特别是涉及到收集敏感个人信息时, 还应当在合法、正当、必要的范围内, 并采取严格的保密措施对个人信息进行保护。

3.司法案例对企业“监控”的认定

在《个人信息保护法》出台前, 员工常援引隐私保护的相关规定认为企业监控侵害其隐私权。虽然隐私权保护常作为员工抵制企业“过度监控”的重要依据, 但由于用工场景下, 员工在工作场所的行为并不构成法律所规定的“私密空间”以及“私密行为”; 办公电脑中的信息一般也很难构成“私密信息”, 因此, 员工很难证明企业在工作时间内对办公设备的监控行为侵害其隐私权。在 (2021)京0105民初17774号一案中, 法院明确指出, 一般情况下, 员工应当使用公司电脑用于履行职务, 在办公电脑内的使用空间并不属于私密信息, 如果他人登录员工的办公电脑, 一般也不构成对私密信息的侵扰、公开、泄露等。同样地, 在(2019)鲁06民终7145号案中, 修某认为公司未经其同意, 在其办公电脑中安装监控软件, 并对微信等聊天记录进行下载、保存的行为侵害其隐私权。法院认为, 公司为经营管理的需要, 在员工的办公电脑中安装监控软件, 员工在工作期间使用电脑聊天软件的记录会留存在公司的服务器主机中。作为公司员工, 修某应将公司电脑作为工作之用, 而不应用于其他用途, 因此, 公司在办公电脑中安装监控软件, 并下载、保存员工在职期间聊天记录的目的具有正当性, 监控行为不侵害员工的隐私权。在此前报道的一起劳动仲裁案件中, [2]员工在午休时间用公司电脑投递简历遭到辞退, 其认为公司安装的职场监控软件侵害其隐私的主张并未得到仲裁庭的支持。仲裁庭引用《互联网安全保护技术措施规定》, 认为互联网接入单位为落实网络安全保护措施, 可以记录并留存用户使用的互联网网络地址, 记录、跟踪网络运行状态, 监测、记录网络安全事件等。因此, 公司在工作场所使用监控软件合法。

与使用企业设备不同, 员工使用个人设备处理工作情形下, 企业构成侵害员工隐私权或个人信息权利的风险较大。例如, 公司要求员工在个人设备中安装监控软件, 或者在发生合规调查等事件时要求员工提供其个人设备中的信息, 均可能侵害员工的隐私权或个人信息相关权利。在 (2021)浙0481民初5360号案中, 法院认为劳动者的个人手机在工作、生活、人际交往中形成的信息属于个人隐私, 不得被他人非法侵扰、收集、利用和公开。用人单位虽有权对员工实施组织、领导、监督和管理, 但必须以合法、合理为前提, 不能以此剥夺劳动者的人身权利和人格权利, 用人单位行使管理、监督时应当尽到审慎义务, 最大限度地保护劳动者的隐私权。

由此可见, 当前司法实践中, 企业在工作时间内监控员工使用的公司设备, 或者监控员工使用公司网络的情况一般具有合法性, 并不构成侵害隐私或员工个人信息; 但若公司不当监控员工个人设备中的个人信息, 则产生侵害隐私或个人信息的风险。

4.合规建议

(1) 企业应当就其监督员工的行为制定明确、清晰的内部政策。

(2) 在实际对员工行为进行监控前, 应当告知企业监控的目的、人员、时间。

(3) 定期对监控员工的政策和方案进行个人信息影响评估, 并提出相应改进措施。

(4) 存储员工个人信息, 特别是敏感个人信息时制定安全措施, 在完成数据处理目的后应当立即销毁、删除员工个人信息。

【注释】

[1] 参见Opinion 2/2017 on data processing at work

[2] 工人日报: 《职场行为被实时监视, 员工被侵权了吗?》, 参见http://news.workercn.cn/32843/201811/03/181103081658941.shtml