员工异常行为如何防范（用人单位如何在员工管理与保护隐私之间取得平衡）

作者｜杨铖

前段时间爆出知乎使用系统监控员工的事件，让深信服的员工行为感知系统出圈。

深信服是深圳一家非常优秀的企业，在信息安全技术领域颇有建树，参与很多网络安全、数据安全、信息安全相关的国家标准、地方标准制定。

尽管深信服已经将其员工行为感知系统产品撤下了官网，我们在一些公开的渠道，还是能知道他们产品到底有多强——

在中信证券股份有限公司沧州某证券营业部与刘某劳动争议一案中，用人单位提供证据称刘某担任沧州证券营业部合规专岗，具有深信服权限，该权限用于合规岗监控与合规展业使用，可以查看所有员工在单位电脑登录的微信、QQ、邮件、论坛等通讯软件的聊天记录。

在STEVE与苏州某光伏技术有限公司劳动争议案中，用人单位也提供了用户名为"steve"的电脑网络访问记录、深信服上网行为管理数据准确性说明、考勤打卡记录、苏州度比软件E-HR系统考勤数据准确性说明、视频光盘，证明STEVE存在多次无故迟到违反规章制度的行为，在2017年12月11日及2018年2月期间多次进行网上购物、软件影音下载、求职招聘等与工作无关事宜。

针对事件，共青团中央专门发评论《公司监测员工聊天记录？保护隐私的底线必须坚守》，指出：员工个人隐私需要保护，企业在付出工资报酬的前提下也有权要求员工尽职尽责地完成岗位职责。监控系统若作为一款公司考核员工、奖优罚劣的管理工具，在符合法律规定的时空范围内搜集员工信息具有正当性。关键在于，要确保企业搜集员工信息的方式、范围和程度不逾法律边界。

这篇文章居中评判，没什么毛病。问题是，边界在哪里呢？

很多评论引用《个人信息保护法》第十三条第一款第（三）项规定，个人信息处理者“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，方可处理个人信息。（这里的处理，包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。）

但是，对法律规定的解读，必须要完整。《个人信息保护法》第十三条全文是这样的——

第十三条 符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

换言之，用人单位不必然需要取得个人同意，只要有充分理由，“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，即可以对员工个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等。

例外是在处理敏感个人信息时，依据《个人信息保护法》第二十八条：

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

所谓敏感个人信息，是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

但问题还是那个问题——“必需”的限度在哪里呢？“充分的必要性”又该如何认定呢？边界更模糊了。

员工与用人单位订立劳动合同，让渡了自己的一部分权利（劳动力支配权，包括劳动力的价值和劳动者的人身从属性，是一个权利束），以换取相应的对价和报酬（工资权）。同时，用人单位确实有权利，也有义务采取合理措施确保员工遵守法律、履行工作职责以及保护企业的利益、知识产权和数据。国内外的很多企业（是的，比一般人所认为的还要多），都会部署技术确保网络安全，监测和防止知识产权遭到窃取、办公电脑过度私用、员工非法行为或不当行为。

事实上，基于国家网络安全和数据安全的要求，企业也可以、而且有义务利用这些技术满足法定的、监管和行业要求。

在2017年6月1日正式实施的《网络安全法》中，已经明确了网络安全等级保护制度的法律地位。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

深信服最重要的产品之一，就是网络安全等级保护解决方案。

现今的网络安全工具，能够监控员工使用办公电脑、智能手机、网络和系统方方面面的情况，可以说无孔不入。这类工具可以记录网站访问地址和实际收发数据的内容，包括用户向网站提交的格式数据和用户对外的电子邮件和聊天记录全文。

一些企业还部署安防摄像头（在办公区域或通过笔记本设备），记录键盘敲击，通过车辆和设备上的无线射频识别（RFID）标签监控员工位置。

正如近日曝光的，成人在线教育平台“尚德机构“要求员工在居家办公期间每五分钟抓拍一次人脸，一天需抓拍89次，如果几次抓拍不到，将扣除全部绩效。

企业对员工实施监控，并不是什么新鲜事，还没有互联网的时代，就已经存在了。但是在最近引起热议，原因大致有两个：

一是由于疫情引起的居家办公成为了常态，很多员工都是利用自家场地、自有设备办公，在这种情况下，如果仍然向对待在企业办公场所内的员工一样的手段，去收集员工日常信息，显然是不合适的，而且，对员工实施监控，除了侵犯员工的隐私，还会侵犯到与员工进行通讯的企业外部人员的隐私，如员工的亲朋好友、企业的客户、企业的供应商，等等（对于企业外部人员，企业想要获得他们的同意、继而合法收集他们的信息，是比较困难的）；

二是由于《民法典》《个人信息保护法》等的实施，公众对个人隐私保护有了更高的期待。

在这里，还要讲到合理隐私期待（或称合理隐私预期）这个概念。

合理隐私期待，被认为是大数据时代信任的基石（澎湃新闻）。“合理隐私期待”源于1967年凯茨诉联邦案，其提出正是为了解决隐私权的边界问题。在此案中，由于凯茨使用的公共电话亭被联邦官员窃听，凯茨将其告上法庭，美国最高法院最终认定“保护人民而非保护场所”。这个判决就意味着，只要个人的行为意愿并非想要公之于众并刻意避免引起注意，即使发生在公开场合也应该被保护。

“合理隐私期待”规则有两个构成要件：首先是主观要件，即个人的行为是否表现出他确实享有主观的隐私期待；其次是客观要件，即社会是否认可他的隐私期待是“合理的”。

在美国，多数法律对监控的限制，仅存在于被监控对象具有合理隐私预期的场合，即法院认定具体情形中当事人具有真实的隐私预期是合理的。

在美国，企业通过显著、详细、措辞宽泛的通知，即可消除员工的真实隐私预期。也可以通过在员工外发电子邮件、网站、合同和通话中心语音答复中加载附件或说明，表明企业的监控行为，或者在劳动合同中约定员工向其外部联系人告知企业的监控行为。（正如我们国内现在一般正规的服务热线，在正式录音之前都会告知用户，也是表明企业实施监控行为的体现。）当然，随着技术的进步，企业附加通知的技术也要进步，否则可能被认定为通知无效，法院仍认为员工或第三方仍有合理隐私预期。

但是，在欧洲，无论是否存在合理的隐私预期，员工和数据主体的数据依法均不得被监控，不得遭受侵犯。许多国家的劳动法要求企业必须就劳动环境改变与员工达成明确的书面协议，其中包括采用监控技术。（事实上，我国《劳动合同法》也规定，用人单位与劳动者协商一致，可以变更劳动合同约定的内容。变更劳动合同，应当采用书面形式。）虽然，企业可以处罚或开除不同意的员工，但是在欧洲一般是行不通。而且，员工的同意也会被推定为因胁迫而做出，因而无效。在欧洲，如果有证据显示员工有违规行为，企业可以正当搜索员工的电子邮件，但是长期连续部署监控技术，很难被认为是正当的，需要与员工代表（如工会）达成协议并获得数据保护机关、法院或其他政府机关的批准

凡事都有利弊，企业自然需要认真考虑实施与不实施员工监控的利弊。如果要做到万全，特别是跨国跨境组织，要全面考虑其所在的全部法域相关法律和现实问题：

1.充分了解市场上记录员工活动的技术情况（包括主要用于监控的技术，如安防摄像头、键盘敲击记录、网络浏览记录、通话记录、自动电子邮件保存和位置追踪设备，也包括主要用于其他目的、但同时无需员工特意行动就自动记录数据的技术，如电子邮件过滤、网络安全工具和用来追回失窃设备的位置追踪技术）；

2.开展合规评估——部署有关监控技术是非法的，还是部分受限的；

3.准备详细的告知和同意书（经过合规审查并且应该定期维护），按规定发布隐私政策，并适时进行提醒（如登录界面弹窗、发现异常行为时的警告等）；

4.对可能受到影响的员工或其他数据主体，核实其是否已接到充分告知或已同意相关监控；

5.需要征求员工集体代表意见（或工会意见，如在集体劳动合同修订时）并向政府有关部门申报或获得批准的，是否已经按要求办理；

6.涉及的数据出境或数据跨国转移的，是否已经符合有关法域的法律法规要求；

7.针对员工或外部数据主体，通过监控获取的证据是否能够在被后续法律程序合法采信；

8.考虑是否还有监控以外的其他行政措施和组织措施可以替代。

其实，理论上还有一种做法，就是企业彻底禁止员工把公司设备和通讯网络用于私人目的，因为单纯访问业务信息所受到的监管要少得多。

因此，我们也就可以理解，为什么企业微信、钉钉这一类办公用即时通讯工具得到越来越快的推广了。

当然，企业要在员工管理与保护隐私之间取得平衡，需要大量系统的工作，不可能靠一两个产品解决所有问题。

,