企业|监控你上班时间投简历，依的什么法？监管函|投资者|记录表|互动易

文章插图
本文来自微信公众号：Internet Law Review（ID：Internet-law-review），作者：高洁（北京周泰律师事务所）、白小莉（北京市道可特律师事务所管理合伙人、知识产权全国专业委员会主任），头图来自：视觉中国

近日，网曝有员工在上班时间使用公司电脑向招聘网站投递简历，被公司网络监控系统详实记录，这位员工因此在领导约谈后被裁员。

这则消息引发社会对员工个人隐私权的广泛关注。一时间，“你都不知道自己的‘裤子’被老板扒了” “技术帮助企业作恶”等批评性言论充满网络。

那么，企业使用特定软件系统监控员工的上网行为是否侵犯了员工的个人隐私权？企业如何管理才算是合规？特定行业的员工上网监控管理又如何做？《互联网法律评论》今日邀请法律专家予以分析。

Q1 企业使用上网行为管理系统搜集员工的上网行为，是否侵犯了员工的个人信息隐私权？

有2个判断标准：

是否明确“告知”并取得员工“同意”
是否超出“必要”的范围

高洁律师：

首先，要判断该问题，需要判断的是员工的全部上网行为是否构成员工的个人信息？根据《民法典》第1034条的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，如自然人的姓名、出生日期、生物识别信息、住址、行踪信息等，具有可识别性。

员工通过使用搜索引擎形成的检索关键词记录，反映了其网络活动轨迹及上网偏好，具有可识别性，因此也属于员工的个人信息。

那么，企业使用上网行为管理系统搜集员工的该类个人信息是否构成侵权？根据《民法典》1035条的规定，处理个人信息的，应当遵循合法、正当、必要原则。同时《个人信息保护法》（以下简称《个保法》）第13条针对员工个人信息的采集作出了规定，即应当取得权利人的同意或者存在“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”等法定情形，因此，要判断企业该行为是否构成侵权，需要看企业在实施该行为之前是否取得了员工的知情同意，或者通过制定劳动规章制度或签订集体合同的方式确定了实施人力资源管理所必需处理的员工个人信息的范围。

如企业是因为实施人力资源管理所必需，根据《个保法》第6条的规定，收集个人信息，应当限于实现处理目的的最小范围。对此，可参照《网络数据安全管理条例（征求意见稿）》中对“最小范围”的解释，即基于个人同意处理个人信息的，限于实现处理目的最短周期、最低频次，采取对个人权益影响最小的方式。因此，即使企业是为了实施人力资源管理所必需，对员工履行工作职责进行管理监督，也应当限于最小范围、最短周期和最低频次，在合法合理的限度内行使权利。

总而言之，如企业在实施该行为之前未取得员工的知情同意，也未通过制定劳动规章制度或签订集体合同的方式确定实施人力资源管理所必需处理的员工个人信息的范围，或即使是为了实施人力资源管理所必需，但没有在最小范围内实施该行为，则均有可能涉嫌侵害员工的个人信息，从而承担相应的法律责任。

白小莉律师：

企业监控员工使用公司电脑的上网行为可能存在侵害员工隐私权和个人信息权益的风险。潜在风险从两个方面体现：

1. 监控员工的上网行为，如果事先做过明确告知且范围仅限于公司管理的必要范围内，被认定为侵犯隐私权的可能性较小；但如果未规范操作，或者超越必要范围刺探员工隐私的，则可能涉嫌侵害员工的隐私权。

如果在公司规章制度中，明确规定了不得在工作期间浏览招聘网站，存在上述行为一经发现公司将予以处理，且公司向员工明确告知了为规范管理的需要已安装上网行为监控系统，那么员工在该期间的行为将被认为不具有私密性，故此种情况下公司的行为会被认为具有一定的合理性，而不涉及隐私权侵权的问题。

例如在（2020）粤民申8843号“员工打伞上班”案件中，法院就认为公司安装摄像头的行为不构成对员工隐私权的侵犯，“公司安装监控摄像头属普遍公司正常行使用人单位监管权，其行为具有一定的合理性”。

但公司应当注意不得监控员工在工作时间之外的行为，也不得借监管之名侵入员工的个人生活或隐私领域，否则有可能构成侵权。