电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   互联网与TMT业务中心   >   网络安全专业委员会

陈国彧:工作场所的员工隐私受保护吗?——雇员工作场所隐私保护法律和实践

发布日期:2020-04-03

前    言

数字化变革给企业组织带来了众多改变。企业的人力资源管理者发现员工个人自主自主意识不断增强。员工的权利保护已逐步成为企业员工关系管理的重要组成部分。一些头部企业的员工权利受侵害的传闻甚至能长期占据热搜头条,甚至对企业商誉造成重大影响。在一些社交媒体上,员工权利受到侵害的投诉,大部分来源于员工感受到了公司对自己隐私权的侵害。

对于企业而言,要真正规避“数据合规”风险,一方面要注重企业客户信息的收集、使用、保管,另一方面更要重视雇员在工作场所形成的个人隐私的保护。自1995年英国颁布首个个人数据保护标准《信息安全管理实施规则》(BS7799-1:1995)以来,欧盟、美国、日本、中国等国家和地区都相继制定了个人数据保护标准,许多国家和地区更是针对雇员的个人数据保护制定了单独的条例或是在已有的个人数据保护法律规范中专章进行规定。本文选取了中国香港、新加坡、印度这三个国家(地区)作为缩影,了解亚洲不同国家和地区在雇员工作场所个人隐私保护方面的法律规定及具体实践,为企业在生产经营过程中更好地制定员工个人数据保护政策、规避“数据合规”风险提供启发。


一、香港

(一)法律规范

随着数据安全重要性的日益凸显,香港于1996年8月1日成立香港个人资料私隐专员公署(Office of the Privacy Commissioner for Personal Data, PCPD),作为独立的个人资料私隐保护机构开展工作。同时,香港的《个人资料(私隐)条例》(PERSONAL DATA (PRIVACY) ORDINANCE)(以下简称《私隐条例》)于1996年12月20日起正式实施。

针对雇员在工作场所的个人私隐保护问题,香港个人资料私隐专员公署专门出台了《雇主监察雇员工作活动须知》(Privacy Guidelines:Monitoring and Personal Data Privacy at Work),对雇主在工作场所对雇员进行监控给出了具体的指引。可以说,香港的个人数据隐私保护标准和实践都走在国际前列,有很好的借鉴意义。

1、《个人资料(私隐)条例》

香港于1995年制定了《私隐条例》,并于1996年12月20日正式实施,由香港个人资料私隐专员公署负责条例的监察执行。面对科技日益的发展及商业的快速变化,香港个人资料私隐专员公署于2012年对《私隐条例》进行了修订。《私隐条例》作为香港个人资料保障的基础法律,是构建香港个人资料保护制度的基础。此外,香港个人资料私隐专员公署还出台了《直接促销新指引》、《保障个人资料:跨境资料转移指引》以及《移动应用程序开发最佳操作指引》等内容,为使用个人资料进行直接促销和跨境转移提供了具体的解释和执行方案。

《私隐条例》确立了保障个人资料六项原则[1]

(1)收集个人资料的目的及方式:

◉ 资料使用者收集个人资料的目的应直接与资料使用者的职能或活动有关且合法,不超乎适度;

◉ 资料使用者收集个人资料需采取合法且公平的方法;

◉ 须以切实可行的方法告知资料当事人收集其个人资料的目的,以及资料可能会被转移给哪类人士;

◉ 资料使用者收集个人资料时需告知其有要求查阅资料及改正该资料的权利。

(2)个人资料的准确性及保留期间:

◉ 资料使用者须确保持有的个人资料准确,资料的保留时间不应超过将其保存以贯彻该资料被使用于或会被使用于的目的所需的时间。

(3)个人资料的使用:

◉ 除非得到资料当事人自愿和明确的同意,否则个人资料不得用于新目的,即在收集该资料时将该资料用于的目的或直接与该目的有关的目的。

(4)个人资料的保安措施:

◉ 资料使用者须采取切实可行的步骤,保障个人资料免受未经许可或意外的查阅、处理、删除、丢失或使用。

(5)资讯需在一般情况下可提供,即透明度:

◉ 资料使用者须公开其处理个人资料的政策和行事方式,交代其持有的个人资料类别和用途。

(6)查阅及更正:

◉ 资料当事人有权查阅其个人资料,若发现有关个人资料不准确,有权要求更正。

2、《雇主监察雇员工作活动须知》

隐私专员公署制定的《雇主监察雇员工作活动须知》为雇主对于雇员工作活动的监控提出了具体要求。为了帮助雇主制定监察政策(因为在监察员工的行为时,会收集员工在工作中产生的个人资料),私隐专员为其提出了称之为3C的建议,即清晰政策(clarity)、政策传达(communication)、妥善存用(control)。对雇员的监控主要包括:电话监控、电子邮件监控、网络行为监控、视频监控。

雇主对雇员工作活动的监控应符合以下要求:

(1)雇主进行监控必须对其必要性进行评估,包括:

 风险评估:评估监控活动所针对的风险及实施监控活动能够带来的益处。

 替代选择:除实施监控外,是否还有其他可以更少地刺探雇员个人隐私的替代方法。比如,为防止雇员浏览黄色网站,相比记录雇员的网页浏览日志,安装网络防火墙是一种对雇员隐私影响更少的方法。

 尽责管理:雇主应负责任地采用并实施一套符合保障个人资料隐私原则的管理方法,妥善处理从雇员监控活动收集的个人资料。对雇员进行监控的理据主要包括服务质量控制,落实公司政策,保护雇员安全,保护公司财产,遵循法律和监管要求等。经过评估,雇主应当确信,对雇员实施监控必须是合理和公平的。

总的来说,雇员监控应当以公开和明示的方式进行,除非面临特殊情况,否则不能通过针孔摄像头等隐蔽方式进行监控。

(2)雇主必须有效管理在雇员监控过程中获得的个人资料,包括:

◉ 雇主在制定和实施雇员监控政策时,应清楚指出雇员监控的目的,可能进行监控的情形,以及在监控过程中获得的雇员个人资料的用途。

◉ 雇主在监控雇员活动前,应向雇员解释哪些性质的活动将被监控及监控的原因。

◉ 同时,雇主须小心持有、妥善存用、处理和使用监控记录以保障雇员的个人资料隐私。

◉ 雇主不得在取得雇员的同意前,向第三者披露雇员的雇佣资料,除非披露该等资料之目的与雇佣事宜直接有关,或是由法律或法定主管当局规定必须披露该等资料( 例如作评税/课税或刑事侦缉用途)。

香港对于雇员在工作场所的个人隐私保护的规范指引,在遵循《私隐条例》六大原则的基础上,主要通过指引雇主在工作场所仅进行必要且合理的监控,同时强调雇主所有的监控及管理措施,必须经过风险评估后方可实施,对雇主提出了较高的要求。

(二)香港雇员个人隐私保护的实践

2012年一间物业管理公司以隐蔽式摄录机收集雇员的个人资料,被负责管理私人屋苑的雇员投诉到公署。[2]投诉人不满公司在没有知会他们的情况下,透过隐蔽摄录机收集他们的个人资料,于是向个人资料私隐专员公署投诉。

调查报告列出以下结果:

1、投诉人被公司以擅离职守理由解雇,原因是公司以隐蔽摄录机拍摄到投诉人在当值期间,各自多次在屋苑的职员更衣室内长时间逗留。

2、虽然管理公司解释安装隐蔽摄录机的目的为保安原因,不过,个人资料(私隐)专员在调查后,认为管理公司安装隐蔽摄录机的真正目的是监察雇员当值时的情况,因而违反个人资料(私隐)条例第1(2)原则,即必须是以合法及在该案的所有情况下属公平的方法收集投诉人的个人资料。

3、个人资料(私隐)专员亦考虑到,擅离职守的严重性并不足以支持管理公司进行严重侵犯私隐的隐蔽式监察。管理公司可选择其他较不侵犯私隐的方法对投诉人进行监察,例如进行突击巡查。专员亦考虑到管理公司没有制订在监察员工方面的私隐政策,雇员亦未被知会雇主会作出此类安排。

根据上述个案,个人资料(私隐)专员有以下建议:该案的裁定并非鼓励雇员以私隐作后盾而疏忽职守;实际上,为了达致有效的人力资源管理,雇主对雇员的日常工作进行监察,实属无可厚非。调查报告旨在促进雇主对个人资料保障的认识,解释在有需要进行监察雇员日常工作时,雇主应采取何种措施,以符合条例的规定。

通过浏览香港个人资料私隐专员公署官方网站上记录的有关个人隐私的投诉案件,可以发现其中因雇员个人资料泄露或受到雇主不合理的监控等引起的投诉案件数量也不在少数,这一方面得益于规范条例的出台及具体实施细则、指引的配套实施,成为了雇员维护自身合法隐私权的法律武器,另一方面也得益于香港公民、公司企业雇员个人隐私保护意识的不断提高。

二、新加坡

为了保护个人隐私,新加坡早在2001年即制定了《行业内容操作守则》这一行业自律规范,规定必须尊重用户个人资料的隐私。2012年10月15日,新加坡国会通过了《个人数据保护法案》(Personal Data Protection Act 2012,PDPA),法案分阶段生效,并成立了个人资料保护委员会(Personal Data Protection Commission,PDPC)作为法案的执行机构,并出台了多部配套指引,如2013年个人数据保护(谢绝来电登记)条例、2013年个人数据保护(犯罪构成)规定、2014年个人数据保护条例、2014年个人数据保护(执行)条例、2015年个人数据保护(申诉)规定等。

PDPA将“个人数据(personal data)”[3]定义为:关于个人(无论是在世还是近期已故)的数据(无论是真实与否),该数据需单独或者与机构已获取或可能获取的其他信息关联后识别出个人。该法案承认了个人保护其个人资料的各项权利,包括个人对于其信息的获得权和修改权,同时也承认机构基于合法合理目的收集、利用或披露个人资料的需要。PDPA对“雇员”的定义中包括志愿人员,对“雇佣”的定义中包括在无偿志愿工作关系下的工作。

针对雇员的个人资料的保护,PDPA也有进行规定:

1.对于求职者个人资料的收集和使用:

当个人以求职的形式自愿向某一企业提供其个人资料时,他们被视为同意该企业以评估其工作申请而收集、使用和披露这些个人资料。

当该个人被雇佣时,该企业继续使用工作申请表中提供的个人资料来管理与该个人的关系是合理的。

如果企业与另一个企业或组织进行商业交易,企业在使用雇员的个人资料时,需告知雇员。

2.对于雇员的雇佣记录:

组织应告知雇员:信息收集的目的、需要使用和披露其个人资料的情况并在收集、使用和披露之前取得同意 。

在许多情况下,企业需要在关系开始时(任命新雇员时)获得收集、使用和披露员工的跟人信息数据的同意。在雇佣关系的不同阶段,当需要更多个人资料时,应再次取得雇员的同意。雇员可选择根据PDPA条款规定撤回他们的同意。

如果所收集、使用或披露的信息是以评价为目的而收集、使用或披露的,即(除其他事项外)确定个人是否适合就业、在就业中晋升或继续就业的目的、资格证书等,则无须经过个人的同意。

3.以管理或终止企业与个人之间的雇佣关系为目的的收集、使用及披露个人资料的法律范围:

虽然雇员不需要表示同意,但雇主必须通知其雇员其收集、使用或披露个人信息数据的目的,但PDPA没有规定通知的形式和方式。为避免产生疑问,企业应具备向员工提供提出收集、使用和披露数据的目的的一般通知(例如:性能评估),企业应在每次收集员工个人信息前提供相应通知(例如:通过劳动协议或者员工手册告知等)。

只要是有效或合法的目的情况下,企业可以继续保留关于前雇员的个人数据。但是,在没有明确界定的目的的情况下,不应保留个人数据信息。如果数据是在不确定的目的下和不确定的时间范围内,则会相应增加违反PDPA条例的风险。除上述情形外,PDPA并未就个人数据的类型作出任何其他的区别。

三、印度

2018 年7 月27 日,印度高级别委员会正式发布《个人数据保护法案(草案)》(Personal Data Protection Bill),这是印度首部全面的个人数据保护法。2019年12月4日,印内阁通过了《个人数据保护法案》((Personal Data Protection Act),由印度数据保护管理局(Data Protection Authority of India)对个人数据进行管理和保护。除该法案外,早几年印度已陆续颁布多项法案,规范个人信息的保护,如2000年颁布的《信息技术法案》(Information Technology Act)、《2011年信息技术条例》(Information Technology Rules 2011)等。

印度颁布的《个人数据保护法案》引入了数据受托人(Data Fiduciaries)的新概念,根据新法案对数据受托人的定义,是指,单独或者与他人一起决定处理个人数据的目的和方式的任何人,包括邦、公司、法律实体或个人,并赋予其中“信托”的含义,控制数据的主体,除了控制数据之外,还应该需要像信托人一样,谨慎地本着“公平且负责任”的态度对待数据主体的数据。

新法案对个人数据进行了三个层次的分类,包括“个人数据”、“个人敏感数据”及“个人关键数据”,其中“个人敏感数据”是指涉及个人财务数据、健康数据、官方标识符、性取向、生物数据、基因数据等的个人数据,跨境传输个人敏感数据需满足一定的条件。“个人关键数据”法案中尚无明确的定义,待由政府通过制定实施细则加以定义和管理。

新法案的第三章第13条对于基于雇佣关系而产生的个人数据处理行为进行了单独的规定,考虑到数据受托人(雇主)和数据主体(雇员)之间的雇佣关系,基于数据主体的同意而处理其个人数据是不适当的,可能导致雇主付出不成比例的努力,因此,除个人敏感数据外,在下列情形下,对于雇员个人数据的必要处理是被允许的:

1、数据受托人招聘或解雇雇员;

2、数据受托人向雇员提供任何服务或雇员向数据受托人寻求利益;

3、验证雇员的出席情况;

4、评估作为雇员表现有关的任何其他活动。

当然,根据新法案的规定,除了以上情况,基于法规指明的合理目的所必需的,可在未经过数据主体同意的情况下处理数据主体的个人数据。

四、启发

相对而言,中国香港和新加坡在个人数据信息保护尤其是雇员工作场所的个人隐私保护起步较早,且内容较为详细,走在了亚洲的前列。除香港就雇员工作场所个人隐私保护出台了专门的引导细则外,新加坡和印度主要通过在个人数据保护法案的整体大框架下,对雇主对雇员个人隐私保护提出了进一步的要求。

综合香港、印度和新加坡的雇员工作场所隐私保护法律和实践,我们看到,在趋势上:

1.  工作场所员工隐私应受到保护

用人单位(雇主)因招聘、录用、与员工劳动关系存续期间所获取的员工个人信息应仅能用于员工劳动关系管理之用,除非法律法规有强制性规定或者事先征得员工个人同意。

对于员工在企业劳动关系存续期间产生的涉及到员工隐私的个人信息包括医疗信息、住址信息、家庭情况等,雇主应采用技术和物理手段予以保密,不得泄露。

2.  合理的雇主监控员工工作行为的措施应被允许

在涉及客户服务、重大公司财产、重大安全责任、以及业绩考核等工作场景下,雇主确实需要对员工的工作行为进行监控。常见的监控方式有:闭路电视、人脸识别、指纹识别、电子邮件和上网痕迹监控。

对于上述监控方式,只要是存在合理正当目的,且在事先告知员工的情形下,应被允许采用。员工在上述场景下的隐私保护应让渡于公司业务要求。

3.  雇主对员工工作行为的监控应有限度

雇主对员工工作场所行为的监控应有限度,这包括:

(1)雇主应最低限度采集员工个人信息。如现有员工可证实的学经历已能证明员工能够胜任现有岗位要求,则雇主不应继续扩大采集员工个人信息的范围。

(2)雇主在工作场所设置的监控范围应有限度。

监控措施应仅限于公司业务有重大厉害关系的场所且监控手段应合理有限。对于一些工作场所的私领域,雇主应尊重员工的隐私并不得予以监控。

4.  雇主对员工隐私保护的政策应透明公示

我们发现很多员工关系的纠纷来自于雇主与员工的沟通管道不畅。

对于工作场所对员工隐私的保护政策建议雇主应在制定之初与员工进行开诚布公地沟通。在程序和内容方面增强透明度。

按照我国《劳动合同法》的相关规定,与员工切身利益相关的规章制度应遵循民主讨论及公示流程,我们认为员工隐私保护政策即属于上述与员工切身利益密切相关的规章制度。

综上所述,从立法和实践趋势看,员工隐私保护已构成组成员工关系管理的重要部分。我们建议,公司应将员工隐私保护制度提上议事日程。在制定程序、沟通策略及内容方符合法律和实操要求的员工隐私保护政策,从很大程度上能避免员工关系管理中矛盾的出现。在一些员工个人强维权的案例中,公司也可以对相应处理决定拿出有法可以的内部制度,有效保护公司利益以及外在商誉。





注释:
[1] 来源:https://www.pcpd.org.hk/english/data_privacy_law/6_data_protection_principles/principles.html
[2] 参见《康业服务有限公司以隐蔽式摄录装置收集雇员的个人资料[2012] HKPCPDIR 2; R12-4839》,来源:https://www.hklii.org/chi/hk/other/pcpd/IR/2012/2.html
[3] 参见《个人数据保护法案》(Personal Data Protection Act 2012,PDPA),来源:https://sso.agc.gov.sg/Act/PDPA2012#pr48-

实习生王吉对本文亦有贡献

或许您还想看

【律师视点】陈国彧、姚雨飞:美国《加州消费者隐私保护法案》(CCPA)已生效 ——最严数据保护法案要易主了吗?

【律师视点】陈国彧、姚雨飞:危机管理 | 企业在疫情中确保业务持续性的简要法律指引

【律师视点】陈国彧:雅诗兰黛惊爆客户信息泄露疑云 ——零售行业成为个人信息保护的下一个高危目标

【律师视点】陈国彧:从微盟员工“删库跑路”看SaaS企业的数据安全治理

【律师视点】陈国彧:危机管理 | 疫情下的员工关系管理

陈国彧,北京德和衡(上海)律师事务所高级联席合伙人,国际隐私保护协会专家会员,上海律协法律合规业务研究委员会委员。执业领域:数据隐私保护、跨境投资、公司合规、危机管理。陈国彧律师分别于2005年及1999年在上海华东政法学院和北京中国人民大学获得法学学位及历史学学位。

陈律师于2019年加入北京德和衡(上海)律师事务所,此前服务于上海市海华永泰律师事务所及北京市大成律师事务所。她在公司治理及合规、数字资产合规管理及商业应用、中国企业境外投资、企业员工关系管理方面拥有丰富的实务经验。服务的客户行业领域包括:高科技企业、公共交通、房地产、私募基金、证券类基金、重型制造、健康生活、新能源等。

联系方式

电话:13795200212

邮箱:chenguoyu@deheng.com

质控人:辛小天 互联网与TMT业务中心总监

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

网络安全专业委员会

  • 娄鹤

    主任

    金融科技合规应用,境内IPO及再融资,公司争议解决

    更多 》

团队其他成员

  辛小天       江智茹       史蕾       陈国彧       于赓琦       唐莹       周杨       许瑛毅    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计