企业监控、处理员工网络使用情况的法律边界
作者:□特约撰稿 童斯楠
据中国新闻网等媒体报道,2021年8月30日至9月3日,国美针对非工作流量信息进行统计排查发现,部分人员在工作区域内占用公司公共网络资源从事与工作无关的事宜,遂根据公司规定,内部通报包含了员工的所在部门、姓名以及在后台使用非工作流量。报道还称,国美部分工位安装摄像头,员工进门打卡时手机连接无线网络后,公司可以监测员工手机浏览情况。
这引发了人们对企业安装监控、处理员工软件使用情况法律边界的思考:企业是否有权监控员工网络使用情况?企业以管理需要为名公开员工使用软件流量信息,是否侵犯了其个人隐私或个人信息权益?根据《互联网安全保护技术措施规定》第八条的规定,提供互联网接入服务的单位应当具有记录并留存用户注册信息,记录、跟踪网络运行状态,检测、记录网络安全等安全审计功能。
可见,企业一旦提供入网服务,有义务监控和保存员工访问互联网及使用软件的情况,这有利于确保企业的网络安全、提高工作效率和管理效率,一般而言是合法的。但企业的监控原则上只能涉及工作内容,不能涵盖个人隐私。如果公司在事前未告知情况下,对员工个人隐私如通信软件上的聊天内容、邮件记录实施局域网监控,那么就侵犯了员工的通信隐私权和通信秘密不受侵害权利。反之,如果公司事前明确、清晰地告知员工从公司电脑上发布的信息将被监控,员工在明知情况下仍发送私人信息,则意味着其自愿将私密信息公开,此时公司实施监控就没有侵犯员工的隐私权或个人信息权益。因此,如果员工在上班期间使公司无线网络登录与工作无关的软件,企业有权对员工的软件使用情况进行跟踪记录。员工在企业局域网上使用软件的流量信息是否属于个人隐私中的私密信息?一般认为,隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。其中,凡是自然人不愿意为他人知晓的信息,无论是婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、日记、私人信件以及其他不愿公开的信息等,都可以纳入私密信息。虽然企业后台的技术人员能够看到员工在企业局域网上使用软件的流量信息,但并不表示员工就愿意除后台技术人员以外的其他人知晓,因为这些与工作无关的信息被他人知晓后,会影响其私生活安宁。隐私权作为一项人格权,性质上属于绝对权与支配权,具有对世效力,任何组织和个人都必须尊重他人的隐私权。相应地,对私密信息的处理受到法律上的严格限制。除非取得隐私权人的“明确同意”,或者有明确法律依据,否则,任何组织或个人实施的处理他人私密信息的行为都构成侵害隐私权。所谓“明确同意”,一方面意味着自然人在被告知私密信息将被处理的前提下作出清晰、明晰的允许处理的意思表示;另一方面应当针对该私密信息被处理而单独作出的同意的意思表示(不能只是概括性同意)。员工对自己的私密信息是否向他人公开以及公开的范围与程度具有决定权。如果企业没有得到员工的明确同意便自行公开员工使用软件的流量信息,就侵犯了员工的隐私权。
另外,在公司内部这个特定群体里,姓名往往足以直接识别特定的自然人,将员工姓名、工作部门与凭借cookie(储存在用户本地终端上的数据)收集的网页浏览痕迹结合产生的信息无疑属于个人信息。根据个人信息保护法第十三条的规定,首先,原则上只有取得个人的同意,个人信息处理方才能处理个人信息;其次,为了维护企业的合法利益,在按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的情况下,法律允许处理者无须取得个人同意就实施个人信息处理行为。该规定的依据在于企业处理员工的个人信息的情形更普遍,所涉及的场景十分多样,如果每一个个人信息的处理行为都要逐一取得员工同意,人力资源管理活动势必难以正常进行。因此,一方面,处理个人信息必须是实施人力资源管理所必需。另一方面,并非所有出于人力资源管理工作的需要都可以不取得个人的同意就处理个人信息,企业依据自身制定的不合理的劳动规章制度处理个人信息便被禁止。
据媒体报道,国美回应称,通报内部公示前涉及员工均确认签字。这似乎意味着国美已提前取得了通报涉及员工的同意,谈不上侵害他们的个人信息权益。但笔者认为,告知同意规则在劳动关系中应受严格限制。因为告知同意的前提是,这种“同意”是其真实意思的表达。但考虑到劳动关系的性质以及企业与员工之间地位和实力的不平衡,应当只有在员工即便拒绝同意,企业也不得拒绝录用或未经通知而终止劳动合同或只有当企业处理个人信息是为了员工获利以及企业与员工利益一致时,员工的同意才具有真实效力。
(作者单位:东南大学法学院)