企业常态化监控的合规思考
年初,某知名网络内容平台“知乎”安装行为感知系统监控员工的消息甚嚣尘上。据报道,该企业使用上市公司深信服的网络安全系统,可以通过监控员工的上网行为获悉其浏览招聘网站、投简历等行为,以此了解员工是否想离职。从网传的图片上可以显示到该员工访问求职网站23次、投递简历9次、含关键词的聊天记录254条等详实的数据,而系统可以对该等数据进行分析,以作出相应的判断。
2019年12月山东省烟台市中级人民法院就员工诉用人单位利用电脑软件监控其微信、QQ等聊天信息侵犯其隐私权的上诉案件作出判决,法院认为“公司在办公用电脑中安装超级眼电脑监控软件是为了便于工作,是企业的自我管理行为,其目的是正当的,并不具有窥探员工个人隐私的主观故意,因此被上诉人融昌公司在办公用电脑中安装超级眼电脑监控软件的行为并非违法行为。”该案是法院从隐私权的角度对企业的监控行为作出了评价,但2021年11月1日《个人信息保护法》(下称“个保法”)生效后,执行常态化监控的企业需要进一步了解新法对此如何评价,用人单位如何做能有效平衡企业管理与员工权益保护相冲突的问题。
首先,个保法要求个人信息的处理活动应当合法。
个保法第十三条列举了告知同意等七种具体的个人信息合法处理的情形,其中第二项规定在个保法草案的一审稿和二审稿中仅有“为订立、履行个人作为一方当事人的合同所必需”,在三审稿时加入了“人力资源管理所必需”,而在最终颁布的《个人信息保护法》中变更为“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。由此可见,对于个人信息处理活动,立法者既考虑到企业进行员工管理的客观需求,又增加了形式上的限制,以督促企业在管理活动中进行制度化的建设,以达到合规要求。
在劳动法领域,劳动规章制度的制定应保证员工集体协商、制度成文备案、公布公式公开、安排培训学习等要求,在此不再赘述。在个保法领域,将常态化监控活动写入企业规章制度,使之合法有效,对此笔者认为企业需考虑到以下因素:
一、监控行为本身是否必要
个保法规定了必要性原则。企业对员工的监控,从整体上看是企业行使管理权的体现,本无可厚非。但具体到某一个监控行为,监控的区域、方式、频次、对象是否具有必要性,则值得商榷。
如使用视频摄录,可以保障工作秩序、资产安全,但如果是在涉及员工隐私的区域,则不应当采用;如企业向员工提供专用于工作的电脑、手机等电子产品,可以就该等电子产品的网络浏览、电子邮件、应用程序的使用信息进行调取检查,但如果调取对象是员工个人的电子产品或在允许员工非工作时间使用而调取其间通信信息的,也存在侵犯员工个人信息与隐私的可能;如企业通过物联网技术,使相关设备能得到更有效地利用,符合数字时代的精神,但如果涉及员工对私人行为的数据统计,那必须慎重。网传某企业开发的“去哪蹲”小程序在方便小伙伴排除已占用厕位的同时,又获取了每个位置如厕的时间,便存在侵犯个人信息与隐私的嫌疑。
随着科技的发展,抛开成本因素,监控活动的区域与手段可以无限放大,但企业应当采用与其管理目的相匹配的方式,而非一味压缩员工的时间空间,这带来的未必是工作效率的提升,也可能是员工的抗拒、焦躁、怠工等后果。因此,对于一项具体的监控行为,使用与否?如何使用?出于何种目的?达到何种程度?都需要考量,以探明其实施的必要性。
二、监控行为对员工是否公平
企业的规章制度对于员工在适用上虽然可能由于工作岗位、职务特性等方面的差别而有所不同,但总体来说应当公正、平等地适用于全体员工。同样地,企业对员工的监控行为也应当具有公平性,不能差别对待。在实际生活中,企业中或多或少总会存在某些需要特别“照顾”的员工,针对其特殊性而进行的监控行为,更要确保其公平性。如果针对特定员工的特别监控行为被常态化,将可能存在对员工歧视对待的嫌疑,这既违背劳动法对劳动者平等对待的要求,也违背了个保法的正当性原则。
三、监控行为是否已被限制在最小范围
个保法规定敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息。企业对员工进行监控时可能涉及到员工的生物识别信息、通信信息、上网记录、常用设备信息、位置信息等,其中生物识别信息、通信信息中的通信记录和内容、位置信息都可能成为敏感个人信息,而个保法对于敏感个人信息的保护设置了单独同意等更高的要求。
监控行为可以因写入规章制度而回避获取员工同意或单独同意的要求,但不能回避的是企业向员工告知的义务,需要以显著方式、清晰易懂的语言告知员工监控所涉的主体、目的、方式、涉及个人信息的种类、保存期限等内容,如果是敏感信息的,还应告知处理敏感信息的必要性以及对员工个人的影响。因此,过度收集员工的个人信息,既会增加企业合规成本,也存在员工个人信息或敏感信息被不法使用的风险,企业应遵循最小化原则。
四、监控行为是否公开透明
将监控行为作为企业劳动规章制度的一部分,本身就是个保法对于个人信息处理行为公开透明的要求。监控不等于监视,企业出于正当利益的考量,合理行使管理权,便应当将监控行为进行透明化,这既保障了员工作为信息主体的知情权,也是对企业合规的自我监督。
不公开的监控行为没有规章制度的保障,其行为本身就不具有合法基础,因此所获取的信息来源不具有合法性,而企业如果根据该等信息作出的诸如对员工的考核、奖惩等决断,有可能最终被认定无效,造成企业不必要的损失。
其次,对于规章制度中对监控行为的定义与规定,企业需要在日常管理中予以落实。根据个保法的相关规定,建议企业在以下方面做好落实工作:
一、设立数据合规的部门、负责人,将监控行为所涉及的数据处理活动纳入该部门职责范围。
设立数据安全或个人信息保护负责人不但是《个人信息保护法》的要求,也是《网络安全法》《数据安全法》的要求,还是我国多个城市对于数字化转型的要求之一。企业实施常态化的监控行为必然会产生数据或个人信息的处理问题,根据《个人信息安全规范》的规定,对三类企业在设立专职的个人信息保护负责人和个人信息保护工作机构做了强制规定,即:
1.主要业务涉及个人信息处理,且从业人员规模大于200人;
2.处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3.处理超过10万人的个人敏感信息的。
对于尚未未达到上述处理规模的企业,仍然建议整合或设立相应的专管部门,直接向企业决策层负责,统筹落实数据合规的相关事务,以达到监管部门的合规要求。具体的职责与要求可见笔者《“首席数字官”的法律须知》一文。
二、对监控所收集到的个人信息进行分级分类,就不同的个人信息根据其重要性制定相应的操作规范。
企业应根据自身业务特性、行业要求等制定合理的个人信息分类标准并进行有效的分类管理。因此,对于通过监控行为收集到的员工个人信息可以根据其性质、使用方向、敏感度等多个纬度进行分类,并就其重要程度进行分级,对不同级别、不同类别的信息制定相应的访问流程、操作规范、保存期限、保障措施等要求,以防止员工个人信息被滥用、泄漏等风险。
三、对需要储存的个人信息采取相应的加密、去标识化等安全技术措施。
个保法要求对于个人信息应当采取控制措施确保个人信息存储活动符合法律、行政法规的规定,并保障个人信息存储的安全性。对于监控取得的个人信息,在进行前述分级分类的基础上,针对不同等级不同类别采用不同的加密和去标识化管理,如对于一般个人信息可以简单加密,但对于个人生物识别信息等敏感信息,建议采用更复杂的技术措施处理后再进行存储。
四、对重要的个人信息进行备份,制定并组织实施个人信息安全事件应急预案。
在网络安全事件频发的当下,有时再严密的技术保障措施仍无法杜绝数据或个人信息的泄漏,因此,建议制定个人信息有效的备份和恢复策略。一旦发生安全事件或重大灾害,可以进行对重要数据进行恢复,以保障企业存储的个人信息的安全。
最后,企业管理最终是对人的管理,这既包括对被监控的员工日常工作行为的管理,也应当包括对监控者制定制度、执行制度、宣传制度的管理,以使企业能在对员工的监督管理与权益保障之间中实现统一,助力企业长远发展。
作者介绍
王兴华
上海道朋律师事务所 合伙人
王兴华,上海道朋律师事务所合伙人,曾在某中外合资网络公司从事法务工作,2006年起从事专职律师工作,现任上海市律师协会劳动法业务研究委员会委员。
王兴华律师在民商事诉讼及企业非讼事务,包括但不限于:公司法、合同法、劳动法、物权法、电子商务、房产物业等领域耕耘多年,有着丰富的代理经验。现任多家企业常年法律顾问、参与多个政府部门购买法律服务项目。
END
招聘职位:律师 (若干)
工作地点:上海市
职位描述:
长按了解详情
1. 持有中华人民共和国律师执业证书。
2. 为人正直、品行端正、热爱律师职业,有较强的责任心和团队合作意识,工作认真细致,务实勤奋。
3. 良好的文字处理、口头表达能力以及沟通协调能力,能够独立办案。
有意者请将简历按照以(附件)形式,发送至邮箱:service@daopenglawyer.com