作者｜楊铖

前段時間爆出知乎使用系統監控員工的事件，讓深信服的員工行為感知系統出圈。

深信服是深圳一家非常優秀的企業，在信息安全技術領域頗有建樹，參與很多網絡安全、數據安全、信息安全相關的國家标準、地方标準制定。

盡管深信服已經将其員工行為感知系統産品撤下了官網，我們在一些公開的渠道，還是能知道他們産品到底有多強——

在中信證券股份有限公司滄州某證券營業部與劉某勞動争議一案中，用人單位提供證據稱劉某擔任滄州證券營業部合規專崗，具有深信服權限，該權限用于合規崗監控與合規展業使用，可以查看所有員工在單位電腦登錄的微信、QQ、郵件、論壇等通訊軟件的聊天記錄。

在STEVE與蘇州某光伏技術有限公司勞動争議案中，用人單位也提供了用戶名為"steve"的電腦網絡訪問記錄、深信服上網行為管理數據準确性說明、考勤打卡記錄、蘇州度比軟件E-HR系統考勤數據準确性說明、視頻光盤，證明STEVE存在多次無故遲到違反規章制度的行為，在2017年12月11日及2018年2月期間多次進行網上購物、軟件影音下載、求職招聘等與工作無關事宜。

針對事件，共青團中央專門發評論《公司監測員工聊天記錄？保護隐私的底線必須堅守》，指出：員工個人隐私需要保護，企業在付出工資報酬的前提下也有權要求員工盡職盡責地完成崗位職責。監控系統若作為一款公司考核員工、獎優罰劣的管理工具，在符合法律規定的時空範圍内搜集員工信息具有正當性。關鍵在于，要确保企業搜集員工信息的方式、範圍和程度不逾法律邊界。

這篇文章居中評判，沒什麼毛病。問題是，邊界在哪裡呢？

很多評論引用《個人信息保護法》第十三條第一款第（三）項規定，個人信息處理者“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”，方可處理個人信息。（這裡的處理，包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、删除等。）

但是，對法律規定的解讀，必須要完整。《個人信息保護法》第十三條全文是這樣的——

第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）取得個人的同意；

（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；

（三）為履行法定職責或者法定義務所必需；

（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和财産安全所必需；

（五）為公共利益實施新聞報道、輿論監督等行為，在合理的範圍内處理個人信息；

（六）依照本法規定在合理的範圍内處理個人自行公開或者其他已經合法公開的個人信息；

（七）法律、行政法規規定的其他情形。

依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。

換言之，用人單位不必然需要取得個人同意，隻要有充分理由，“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”，即可以對員工個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、删除等。

例外是在處理敏感個人信息時，依據《個人信息保護法》第二十八條：

隻有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

所謂敏感個人信息，是一旦洩露或者非法使用，容易導緻自然人的人格尊嚴受到侵害或者人身、财産安全受到危害的個人信息，包括生物識别、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌迹等信息，以及不滿十四周歲未成年人的個人信息。

但問題還是那個問題——“必需”的限度在哪裡呢？“充分的必要性”又該如何認定呢？邊界更模糊了。

員工與用人單位訂立勞動合同，讓渡了自己的一部分權利（勞動力支配權，包括勞動力的價值和勞動者的人身從屬性，是一個權利束），以換取相應的對價和報酬（工資權）。同時，用人單位确實有權利，也有義務采取合理措施确保員工遵守法律、履行工作職責以及保護企業的利益、知識産權和數據。國内外的很多企業（是的，比一般人所認為的還要多），都會部署技術确保網絡安全，監測和防止知識産權遭到竊取、辦公電腦過度私用、員工非法行為或不當行為。

事實上，基于國家網絡安全和數據安全的要求，企業也可以、而且有義務利用這些技術滿足法定的、監管和行業要求。

在2017年6月1日正式實施的《網絡安全法》中，已經明确了網絡安全等級保護制度的法律地位。國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

深信服最重要的産品之一，就是網絡安全等級保護解決方案。

現今的網絡安全工具，能夠監控員工使用辦公電腦、智能手機、網絡和系統方方面面的情況，可以說無孔不入。這類工具可以記錄網站訪問地址和實際收發數據的内容，包括用戶向網站提交的格式數據和用戶對外的電子郵件和聊天記錄全文。

一些企業還部署安防攝像頭（在辦公區域或通過筆記本設備），記錄鍵盤敲擊，通過車輛和設備上的無線射頻識别（RFID）标簽監控員工位置。

正如近日曝光的，成人在線教育平台“尚德機構“要求員工在居家辦公期間每五分鐘抓拍一次人臉，一天需抓拍89次，如果幾次抓拍不到，将扣除全部績效。

企業對員工實施監控，并不是什麼新鮮事，還沒有互聯網的時代，就已經存在了。但是在最近引起熱議，原因大緻有兩個：

一是由于疫情引起的居家辦公成為了常态，很多員工都是利用自家場地、自有設備辦公，在這種情況下，如果仍然向對待在企業辦公場所内的員工一樣的手段，去收集員工日常信息，顯然是不合适的，而且，對員工實施監控，除了侵犯員工的隐私，還會侵犯到與員工進行通訊的企業外部人員的隐私，如員工的親朋好友、企業的客戶、企業的供應商，等等（對于企業外部人員，企業想要獲得他們的同意、繼而合法收集他們的信息，是比較困難的）；

二是由于《民法典》《個人信息保護法》等的實施，公衆對個人隐私保護有了更高的期待。

在這裡，還要講到合理隐私期待（或稱合理隐私預期）這個概念。

合理隐私期待，被認為是大數據時代信任的基石（澎湃新聞）。“合理隐私期待”源于1967年凱茨訴聯邦案，其提出正是為了解決隐私權的邊界問題。在此案中，由于凱茨使用的公共電話亭被聯邦官員竊聽，凱茨将其告上法庭，美國最高法院最終認定“保護人民而非保護場所”。這個判決就意味着，隻要個人的行為意願并非想要公之于衆并刻意避免引起注意，即使發生在公開場合也應該被保護。

“合理隐私期待”規則有兩個構成要件：首先是主觀要件，即個人的行為是否表現出他确實享有主觀的隐私期待；其次是客觀要件，即社會是否認可他的隐私期待是“合理的”。

在美國，多數法律對監控的限制，僅存在于被監控對象具有合理隐私預期的場合，即法院認定具體情形中當事人具有真實的隐私預期是合理的。

在美國，企業通過顯著、詳細、措辭寬泛的通知，即可消除員工的真實隐私預期。也可以通過在員工外發電子郵件、網站、合同和通話中心語音答複中加載附件或說明，表明企業的監控行為，或者在勞動合同中約定員工向其外部聯系人告知企業的監控行為。（正如我們國内現在一般正規的服務熱線，在正式錄音之前都會告知用戶，也是表明企業實施監控行為的體現。）當然，随着技術的進步，企業附加通知的技術也要進步，否則可能被認定為通知無效，法院仍認為員工或第三方仍有合理隐私預期。

但是，在歐洲，無論是否存在合理的隐私預期，員工和數據主體的數據依法均不得被監控，不得遭受侵犯。許多國家的勞動法要求企業必須就勞動環境改變與員工達成明确的書面協議，其中包括采用監控技術。（事實上，我國《勞動合同法》也規定，用人單位與勞動者協商一緻，可以變更勞動合同約定的内容。變更勞動合同，應當采用書面形式。）雖然，企業可以處罰或開除不同意的員工，但是在歐洲一般是行不通。而且，員工的同意也會被推定為因脅迫而做出，因而無效。在歐洲，如果有證據顯示員工有違規行為，企業可以正當搜索員工的電子郵件，但是長期連續部署監控技術，很難被認為是正當的，需要與員工代表（如工會）達成協議并獲得數據保護機關、法院或其他政府機關的批準

凡事都有利弊，企業自然需要認真考慮實施與不實施員工監控的利弊。如果要做到萬全，特别是跨國跨境組織，要全面考慮其所在的全部法域相關法律和現實問題：

1.充分了解市場上記錄員工活動的技術情況（包括主要用于監控的技術，如安防攝像頭、鍵盤敲擊記錄、網絡浏覽記錄、通話記錄、自動電子郵件保存和位置追蹤設備，也包括主要用于其他目的、但同時無需員工特意行動就自動記錄數據的技術，如電子郵件過濾、網絡安全工具和用來追回失竊設備的位置追蹤技術）；

2.開展合規評估——部署有關監控技術是非法的，還是部分受限的；

3.準備詳細的告知和同意書（經過合規審查并且應該定期維護），按規定發布隐私政策，并适時進行提醒（如登錄界面彈窗、發現異常行為時的警告等）；

4.對可能受到影響的員工或其他數據主體，核實其是否已接到充分告知或已同意相關監控；

5.需要征求員工集體代表意見（或工會意見，如在集體勞動合同修訂時）并向政府有關部門申報或獲得批準的，是否已經按要求辦理；

6.涉及的數據出境或數據跨國轉移的，是否已經符合有關法域的法律法規要求；

7.針對員工或外部數據主體，通過監控獲取的證據是否能夠在被後續法律程序合法采信；

8.考慮是否還有監控以外的其他行政措施和組織措施可以替代。

其實，理論上還有一種做法，就是企業徹底禁止員工把公司設備和通訊網絡用于私人目的，因為單純訪問業務信息所受到的監管要少得多。

因此，我們也就可以理解，為什麼企業微信、釘釘這一類辦公用即時通訊工具得到越來越快的推廣了。

當然，企業要在員工管理與保護隐私之間取得平衡，需要大量系統的工作，不可能靠一兩個産品解決所有問題。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!