企业处罚员工“摸鱼”惹争议,如何界定员工个人信息及隐私保护的尺度?
“
近期,北京一餐厅因疫情防控主动公布公司员工活动轨迹引发了网友对隐私权的广泛关注,另有企业通过监控系统处罚上班“摸鱼”的员工或判断员工离职倾向的新闻不时见诸媒体。
基于此,本文将从隐私权及个人信息的法律定义出发并结合新法规定,简单探讨在《民法典》及《个人信息保护法》施行的背景下,用人单位在收集、使用和处理个人信息过程中需要注意的问题并提出几点合规建议。
”
- 1 -
个人信息和隐私权的法律定义
关于个人信息的定义,历经《网络安全法》《民法典》和《个人信息保护法》的多次修正,最终确立了 “识别+关联”的判断路径,一定程度上拓宽了个人信息的范围,最大限度地可能将被归入个人信息的内容纳入法律对个人信息权益的保护范围内。
所谓识别路径,指从信息到个人,由信息本身的特殊性识别出特定自然人,如某个人的身份证号码,虽然不知道是谁,但能通过一定的手段知道这个人是谁;
所谓关联路径,是指从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息。比如个人通话记录,是先有特定自然人,然后才有的个人通话记录。
《网络安全法》 | 《民法典》 | 《个人信息保护法》 |
个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 | 个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 | 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 |
所谓隐私权是自然人享有的人格权,是指自然人对享有的私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息等私生活安全利益自主进行支配和控制,不被他人侵扰的具体人格权[1]。在《民法典》颁布之前,我国法院一般不会对侵犯隐私和个人信息区分,但是两者具有明显的区别,二者在可适用的正当性上也截然不同,所以《民法典》和《个人信息保护法》对它们进行了明确的规则界分,设置了不同的保护规则,另外《个人信息保护法》还首次在法律层面将个人信息分为一般个人信息和敏感个人信息[2]。
如果法院认定某项信息不构成“隐私”那就意味着用人单位可选择的“正当性事由”更多,可操作性也越宽,获取员工有效同意的门槛也会降低,因为处理隐私要比处理个人信息条件严苛得多[3]。如有法院认为:
“被上诉人在公告中刊登公民身份号码的目的是确定被解除劳动关系以及领取经济补偿金的对象,并非侵犯上诉人隐私权的行为。故上诉人主张被上诉人在公告中刊登其公民身份号码、侵犯其隐私权的上诉理由,本院不予支持[4]。”
法院指出公民身份号码是每个公民唯一的、终身不变的身份代码,属于一般性的个人信息。在无其他特殊规定的情况下,一般性的个人信息不属于隐私权的保护范围;又如有法院认为[5]:
“医疗记录不应狭义理解为医疗费账单,《出院志》作为原告就医治疗的客观记载,显然属于医疗记录的范围,故被告将《出院志》提供给第三人系经过了原告的同意,不构成对原告隐私权的侵犯。”
这里的《出院志》属于隐私但因取得权利人明确同意,即有了处理隐私的正当性事由。不过在目前的司法实践中,如何判断信息是否属于“私密信息”仍是难点,因此企业在获取员工隐私或有价值的信息时应采取更严格的合规措施。
处理隐私的正当性事由 | 处理个人信息的正当性事由 | 处理个人敏感信息的正当性事由 |
1. 基于法律规定; 2. 基于权利人明确同意。 | 1. 法律、行政法规的规定; 2. 在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 3. 为维护公共利益或者该自然人合法权益,合理实施的其他行为; 4. 在该自然人本人或者其监护人同意的范围内合理实施的行为; 5. 为公共利益实施新闻报道、舆论监督等行为而合理使用; 6. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。 | 1. 基于权利人明确同意。 |
- 3 -
用人单位收集信息的注意事项及建议
在招聘求职阶段,因用人单位和员工之间的劳动关系是持续、稳定且具有人身信赖性质的关系,因此用人单位为充分了解求职者的相关信息会要求求职者提供详细的个人信息,如求职者的家庭、婚姻等情况,甚至会对求职者做背景调查。
但根据《个人信息保护法》以及《劳动合同法》等法律法规的规定[6],用人单位有权了解劳动者与劳动合同“直接”“相关”的基本情况,而婚姻、生育状况、家庭情况等信息,一般认为与履行劳动合同没有直接关系,属于个人隐私的范畴,即敏感私人信息。
就个人信息中的敏感私人信息,劳动者享有不受用人单位询问、搜集、利用以及公开的权利,用人单位在没有特殊业务要求的情况下,无权收集此类信息[7];
另外有的用人单位会强制员工进行与用工无关带有就业歧视的体检项目(如乙肝病毒检查),常引起纠纷,但一般除公布的许可检测的行业外,其他行业用人单位是不能单方对员工进行乙肝病毒项目检查[8]。不过因地区不同,收集信息的要求也会不同,用人单位需要结合实际设定符合用人单位实际情况的条件[9]。
劳动者需如实告知的信息 |
在日常用工过程中,不少用人单位会对员工的工作过程进行监控,如安装摄像头、电脑监控等[10],用人单位上述监控的行为可能侵害员工隐私和个人信息。用人单位正当利益和员工隐私权利之间的平衡,成为职场个人信息保护的重要甚至是核心的问题。就如有法院认为:
“除法律另有规定或者权利人明确同意外,任何组织和个人不得实施窃听他人私密活动、处理他人私密信息等行为。公司对劳动者履行工作职责进行管理监督,无可厚非,但应当在合法合理的限度内行使权利[11]。”
但是怎样才算合理限度,在实践中又无统一标准。一般来说,法院在处理类似案件会重点考虑用人单位采取的措施对员工隐私和个人信息的影响程度是否符合正当目的[12];对员工造成不利影响的程度;采取措施的方式是否适当以及必要,但是可惜的是,因《个人信息保护法》对收集和使用个人信息的规定原则性较强(合法、正当、必要),法院在裁判时拥有较大的自由裁量权,也会出现“类案不同判”(如案例一和案例二)。如果用人单位要对员工履行工作采取“监控”措施,一定要事先做好充分的合规措施。
案例一:在(2019)鲁06民终7145号案件中,法院认为,公司在办公电脑中安装超级眼电脑监控软件是为了便于工作,是用人单位的自我管理行为,其目的是正当的,并不具有窥探员工个人隐私的主观故意,因此公司在办公电脑中安装超级眼电脑监控软件的行为并非违法行为。
工作期间,员工应遵守公司的管理规定,将办公电脑用于本公司工作,而非用于除工作业务之外的其他用途。公司委托公证处对员工使用办公电脑保存在公司服务器主机上的QQ、微信聊天记录进行下载、证据保全,并作为证据向劳动仲裁委员会提交,并非向不特定的人员公开,属于依法举证行为。故公司在办公用电脑上安装超级眼电脑监控软件,以及下载、保存员工使用办公电脑时的微信、QQ聊天信息的行为,主观上没有过错,不构成侵犯隐私权。
案例二:在(2020)京0108民初14100号案件中,法院认为,员工虽同意公司工作人员查看其手机,但并未同意查看全部内容,更未同意导出其手机中信息。公司未经员工允许获取其私人微信对话记录,侵犯了员工的隐私权。公司虽主张信息并未泄露,不属于严重侵害他人合法权益的行为,但对此行为性质的判断,必须考虑双方当事人之间的关系、及所要保护的权益。
当时员工是在公司的办公场所接受公司内审部门的调查,双方的地位不是完全对等的,公司利用用人单位的管理权,在特定场合向劳动者施加压力获取对方手机信息,侵害了劳动者的隐私权,属于严重侵害劳动者合法权益的行为,其因此取得的微信对话记录不得作为认定案件事实的依据。
- 4 -
合规建议
1. 在前期招聘时,用人单位收集的员工个人信息范围应仅限于与劳动合同直接相关的个人信息,不宜过度采集,且应保留收集个人信息合理性的证据;另外在收集有关员工敏感个人信息时(如指纹、面容等)需取得员工个人的单独书面同意,且需要向员工作出必要说明。
2. 如果需要做背景调查,用人单位应事先明确告知拟录用员工其个人信息可能会被提供给第三方用于背景审查并征得员工的书面同意,另外用人单位也要注意与第三方订立信息安全保障条款,从而规避可能存在的法律风险。
3. 如果需要对员工进行工作监督,用人单位应在员工入职时明确告知在职期间员工所使用的工作设备均系用人单位所有,员工应仅为工作目的使用;用人单位还应告知员工其有权不时地监控和检查由用人单位所提供的各项设备和电子账户等,并书面向员工进行公示告知,保障员工的知情权;另外用人单位也可在其内部规章制度中对上述内容作出明确规定。
4. 用人单位可以单独设计有关员工个人信息收集的同意书,并组织培训让员工充分了解信息收集范围及处理规则,以此来确保员工的知情权。
注释:
[1] 我国《民法典》在一千零三十二条规定“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人隐私权。
[2] 根据《个保法》第28条第1款的规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
- End -
# 大鱼聊天室 #
↓↓↓
# 推荐阅读 #