图片来自网络

最近某软件公司的一款“监测员工跳槽倾向系统”上了舆论热搜,大家都在关注企业购买这样的监控软件监控员工的电脑操作行为,难道不是在侵犯员工隐私吗?《个人信息保护法》出台后,大家对于个人信息、个人隐私的保护意识得到提高,所以对于这样市面上销售多年的监控软件的合法性,提出更多质疑。

那么,《个人信息保护法》的出台是否会动摇这样的监控软件的合法性基础?企业是否还可以继续监控员工的电脑或网络使用行为呢?

笔者认为,企业能够监控的范围及采集的网络日志信息的使用目的被限缩了;并且合法实施监控的程序需要更加优化和完善,否则非常容易构成违法行为。

《个人信息保护法》第十三条明文规定,可以合法处理个人信息的方式只有以下七种:

(一)取得个人的同意

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需

(三)为履行法定职责或者法定义务所必需

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

上面七种情形,只有第(一)至(三)种可能被企业引用来作为监控员工的合法理由。

其中第(三)项,在企业基于信息安全等法定义务领域,可以被企业引用,作为合法处理员工个人信息的依据。因为《网络安全法》(第21条)和《互联网安全保护技术措施规定》(第8条)都明文规定,网络接入企业、网络运营者有义务采取措施监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月。同时企业为了防范员工下载使用非法、侵权软件,访问非法网站、发布非法信息等,也需要对员工的工作时间操作电脑和网络访问行为进行监控,这样属于履行企业法定义务所必须的监控行为,是存在合法基础的。

那么除第(三)项的法定义务规定的监控处理员工个人信息的目的外,其他形式或者目的的监控,比如为了维护企业利益、防范员工跳槽、保护企业知识产权和商业秘密等,都需要员工的书面授权、签署书面合同或者需要按照合法制定的规章制度规定来操作。

其中收集、处理员工个人信息来维护企业自身权益,这种涉及员工切身利益的规章制度,如果需要合法制定且对员工发生效力,须同时满足内容合法、民主制定、公示程序三个要件,否则将其作为用工管理的依据时,将规章制度对员工不发生效力的法律风险,同时违法违规的规章制度,可能会给企业带来劳动行政部门的警告、责令改正等行政处罚

参考:《中华人民共和国劳动合同法》

第四条第二款:“用人单位在制定、修改或者决定有关劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经职工代表大会或者全体职工讨论,提出方案和意见,与工会或者职工代表平等协商确定”。

第四条第四款:“用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者”。

图片来自网络

此外,即使有上述法定监控事由或者有书面的制度或授权文件允许企业监控,企业监控的行为也会受到限制。

首先,对于员工使用个人电脑办公的场合,因为个人电脑存在大量员工个人资料,企业的监控行为不能触及员工电脑的个人资料领域,建议员工自定义电脑磁盘分区,并要求将工作与个人资料分区处理,企业监控软件的扫描行为尽量不触及员工个人资料磁盘分区。这样在员工离职或者转岗交接的时候,可以便捷移交工作资料。

其次,企业监控员工操作行为,应当限于工作时间,不能在员工下班后,还持续监控,否则无法证明监控目的的合法性。

再次,即使有员工的书面授权或者有合法有效的规章制度,企业的监控行为也不能明显违法,或明显超出企业经营管理目的范畴。比如这次引起争议的监控和预测员工离职倾向的目的,明显是违法劳动法的。国家是保护员工的工作自由选择权的,员工是否要离职完全是员工自由选择的权利,法律上只有在有竞业限制协议的情况下,会在竞业限制期限内一定程度上限制员工的择业权利,但是竞业限制的适用条件和期限都是很苛刻的,只发生在员工离职后不长于2年的期限内,且必须由企业发放竞业限制补偿金,否则员工还是可以想跳槽去哪就跳槽去哪。

最后,企业监控员工的结果应当谨慎选择处理方式,不能将涉及员工个人隐私、个人敏感信息的监控内容公示。此前发生过国美处罚上班摸鱼员工,公布看视频、听歌 APP 及流量信息;直接对员工公开“处刑”。这种处理方式的合法性也是值得商榷的。《信息安全技术个人信息安全规范》(GB/T 35273-2020)的附件B关于敏感个人信息的定义列举里面,是将网页浏览记录、通信记录和内容明确列为“个人敏感个人信息”的,而《个人信息保护法》里面对于敏感个人信息的处理、公开是需要个人的“单独同意”的。所以企业没有取得员工对于其上网行为公开的单独同意,是不可以公示、公开的。