監控你上班時間投履歷，依的什麼法？

近日，網曝有員工在上班時間使用公司電腦向招聘網站投遞履歷，被公司網絡監控系統詳實記錄，這位員工是以在上司約談後被裁員。

這則消息引發社會對員工個人隐私權的廣泛關注。一時間，“你都不知道自己的‘褲子’被老闆扒了” “技術幫助企業作惡”等批評性言論充滿網絡。

那麼，企業使用特定軟體系統監控員工的上網行為是否侵犯了員工的個人隐私權？企業如何管理才算是合規？特定行業的員工上網監控管理又如何做？《網際網路法律評論》今日邀請法律專家予以分析。

Q1 企業使用上網行為管理系統搜集員工的上網行為，是否侵犯了員工的個人資訊隐私權？

有2個判斷标準：

是否明确“告知”并取得員工“同意”

是否超出“必要”的範圍

高潔律師：

首先，要判斷該問題，需要判斷的是員工的全部上網行為是否構成員工的個人資訊？根據《民法典》第1034條的規定，個人資訊是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識别特定自然人的各種資訊，如自然人的姓名、出生日期、生物識别資訊、住址、行蹤資訊等，具有可識别性。

員工通過使用搜尋引擎形成的檢索關鍵詞記錄，反映了其網絡活動軌迹及上網偏好，具有可識别性，是以也屬于員工的個人資訊。

那麼，企業使用上網行為管理系統搜集員工的該類個人資訊是否構成侵權？根據《民法典》1035條的規定，處理個人資訊的，應當遵循合法、正當、必要原則。同時《個人資訊保護法》（以下簡稱《個保法》）第13條針對員工個人資訊的采集作出了規定，即應當取得權利人的同意或者存在“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”等法定情形，是以，要判斷企業該行為是否構成侵權，需要看企業在實施該行為之前是否取得了員工的知情同意，或者通過制定勞動規章制度或簽訂集體合同的方式确定了實施人力資源管理所必需處理的員工個人資訊的範圍。

如企業是因為實施人力資源管理所必需，根據《個保法》第6條的規定，收集個人資訊，應當限于實作處理目的的最小範圍。對此，可參照《網絡資料安全管理條例（征求意見稿）》中對“最小範圍”的解釋，即基于個人同意處理個人資訊的，限于實作處理目的最短周期、最低頻次，采取對個人權益影響最小的方式。是以，即使企業是為了實施人力資源管理所必需，對員工履行工作職責進行管理監督，也應當限于最小範圍、最短周期和最低頻次，在合法合理的限度内行使權利。

總而言之，如企業在實施該行為之前未取得員工的知情同意，也未通過制定勞動規章制度或簽訂集體合同的方式确定實施人力資源管理所必需處理的員工個人資訊的範圍，或即使是為了實施人力資源管理所必需，但沒有在最小範圍内實施該行為，則均有可能涉嫌侵害員工的個人資訊，進而承擔相應的法律責任。

白小莉律師：

企業監控員工使用公司電腦的上網行為可能存在侵害員工隐私權和個人資訊權益的風險。潛在風險從兩個方面展現：

1. 監控員工的上網行為，如果事先做過明确告知且範圍僅限于公司管理的必要範圍内，被認定為侵犯隐私權的可能性較小；但如果未規範操作，或者超越必要範圍刺探員工隐私的，則可能涉嫌侵害員工的隐私權。

如果在公司規章制度中，明确規定了不得在工作期間浏覽招聘網站，存在上述行為一經發現公司将予以處理，且公司向員工明确告知了為規範管理的需要已安裝上網行為監控系統，那麼員工在該期間的行為将被認為不具有私密性，故此種情況下公司的行為會被認為具有一定的合理性，而不涉及隐私權侵權的問題。

例如在（2020）粵民申8843号“員工打傘上班”案件中，法院就認為公司安裝攝像頭的行為不構成對員工隐私權的侵犯，“公司安裝監控攝像頭屬普遍公司正常行使用人機關監管權，其行為具有一定的合理性”。

但公司應當注意不得監控員工在工作時間之外的行為，也不得借監管之名侵入員工的個人生活或隐私領域，否則有可能構成侵權。

2. 監測員工的上網行為，可能涉及員工的個人資訊權益保護問題，應當遵循個人資訊保護相關法律法規規定的要求進行操作。

根據《個保法》規定，如果是涉及到對個人資訊的處理行為，則需要遵循知情同意原則和最小必要原則。基于《個保法》，企業如果能夠證明是出于履行雙方勞動合同和實作人力資源管理所必需的行為，則無須取得員工同意即可處理個人資訊。

根據《資訊安全技術個人資訊安全規範》相關規定，個人的網頁浏覽記錄可能構成個人敏感資訊。針對敏感個人資訊的處理，不僅需要取得個人的單獨同意，還需要有特定的目的和充分的必要性，并采取嚴格保護措施。是以，如果企業要監控員工的上網行為，需要按照《個保法》及其他相關規定的要求規範操作。

Q2 企業如何做才合規？

企業使用管理系統監控員工的上網行為，大多是出于公司管理、業務保護等目的，但由于上網行為涉及員工個人資訊甚至可能是敏感個人資訊，企業如果确有必要對員工上網行為進行監控的，也需要注意以下幾點：

1. 企業應當盡可能通過簽訂協定等方式取得員工的個人同意，擷取員工的書面認可（可以是紙質方式，也可以是電子方式），以符合《個保法》知情同意原則；如果因特殊原因無法獲得員工書面同意的，則至少應當保證員工對此是知情的；

2. 企業對通過上述監控系統所收集到的個人資訊的使用，應當僅限于公司管理的必要，在合理範圍内使用所擷取的個人資訊，不得濫用員工個人資訊；

3. 針對監控系統所收集的員工上網資訊，應當嚴格限定可以接觸到該資訊的人員範圍，并進行嚴格管理，避免無關人員接觸到該資訊，對敏感個人資訊應當加強保護，謹防資訊洩漏；

4. 應當制定完善的資料管理制度，規範個人資訊的提供、使用和公開，非有法定事由，不得對外提供員工個人資訊，更不得公開員工個人資訊。

總體而言，如企業想使用管理系統監控員工的上網行為，應事先取得員工的知情同意，或通過制定勞動規章制度、簽訂集體合同的方式确定實施人力資源管理所必需處理的員工個人資訊的範圍，在最小範圍、最短周期和最低頻次内采集相關資訊。對此，建議企業在确定所處理的個人資訊範圍時采取謹慎的态度，把“充分必要性”作為劃定處理範圍的考量因素。

除此之外，需要提醒企業注意的是，《個保法》未列舉全部敏感個人資訊，企業可參考《資訊安全技術個人資訊安全規範》（GB/T 35273-2020 ）表B.1對個人敏感資訊的舉例，如員工個人資訊落入敏感個人資訊的保護範圍，企業處理該類資訊時務必采取嚴格的保護措施，如采用加密、通路認證、去辨別化等。

Q3 特定行業的監控，企業的合規管理應該如何處置？

1. 特殊行業的員工管控合法性及必要性

首先，這類行業一般存在像證監會等機構釋出的行業人員管理規範，如《證券業從業人員執業行為準則》《證券投資顧問業務暫行規定》《證券公司合規管理實施指引》等；其次，證券、基金、期貨行業性質特殊，内幕交易防範任務嚴肅，尤其在網際網路時代，資訊流通性大，企業确有必要管控員工上網行為。

是以，特殊行業對員工的監控符合《個保法》第十三條第（二）項規定：“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”，具有一定合法性基礎。

是以，對于證券、基金、期貨等特殊行業，一直以來都存在對從業人員通話和上網行為的監管，包括員工手機号碼報備、社交軟體排查等；不僅如此，對企業監管不力者，主管部門還會做出相應的行政處罰。

2. 特殊行業仍需要注意“必要範圍”及保護措施

但需注意，盡管這類行業對員工的管控行為存在相關規定作為依據，為行業和從業人員所須知，企業的監控行為也應處在必要範圍之内，嚴守管控和處理的最小、必要原則。

例如《證券公司合規管理實施指引》規定，證券公司應當運用資訊技術手段對從業人員職務通訊行為、從業人員的證券投資行為等進行監測，那麼對于沒有被納入規定範圍内，且與員工職務、行業資訊無關的個人行為，企業應當不予監測，尊重員工隐私；對于納入規定範圍内的員工行為資訊，遵守管控目的的界限，不作他用。

此外，證券等行業對員工的監測導緻其擷取了大量員工個人資訊，從微觀層面來看，企業應當妥善保管相關資訊資料，對敏感資訊加強保護，謹防洩漏；從宏觀層面來看，如果員工個人資訊數量巨大，構成一定規模的個人資訊資料，或者個人資訊與行業資訊相關，構成重要資料，企業需按照相關的資料分類分級原則，進行嚴格評估和保護。

Q4 還有哪些涉及員工個人資訊保護的法規需要企業高度關注？

除了已釋出的涉及到員工個人資訊保護的法律法規、司法解釋、法院判決外，與個人資訊保護相關的指南以及規範性檔案征求意見稿，如《資訊安全技術 個人資訊安全規範》（GB/T 35273-2020 ）、《網絡資料安全管理條例（征求意見稿）》等也需要引起企業的高度關注，其可作為企業員工個人資訊保護合規的參考依據。

除此之外，如涉及到中國企業“走出去”，也應當時刻關注當地與員工個人資訊相關的資料安全法律法規，如歐盟的GDPR（General Data Protection Regulation）、Opinion 2/2017 on Data Processing at Work、英國的DPA（Data Protection Act）等。同時，也建議企業時刻關注所處行業的特殊法律法規規定及相關指南，如《汽車資料安全管理若幹規定（試行）》《資訊安全技術健康醫療資料安全指南》等，進而完善自身的合規體系。