李偉

最近，一款軟件登上了熱搜榜，引起了很多人的注意。這是一款號(hào)稱“能監(jiān)控員工離職傾向”的行為感知系統(tǒng)，據(jù)網(wǎng)友爆料，該系統(tǒng)可以通過監(jiān)控員工的上網(wǎng)行為，獲取其瀏覽招聘網(wǎng)站和投送簡(jiǎn)歷等短期行為偏好，以此判別員工是否具有離職傾向。

不久，知乎回應(yīng)了網(wǎng)上稱其使用了該系統(tǒng)的傳聞，聲明中提到了“違規(guī)收集個(gè)人信息”的行為嚴(yán)重背離知乎的價(jià)值觀。作為普通個(gè)體，我們看到這類軟件的第一反應(yīng)是或許會(huì)很反感，會(huì)想到個(gè)人隱私受到侵犯；而作為用人單位，看到這類軟件可能更多地應(yīng)該要去反思：企業(yè)該如何依法保護(hù)員工的個(gè)人信息。

近年來(lái)，媒體報(bào)道的國(guó)際上因忽視員工信息保護(hù)而被罰的企業(yè)不少。

2020年10月，據(jù)英國(guó)廣播公司報(bào)道，知名瑞典服裝公司H&M因非法監(jiān)視數(shù)百名員工而被罰款3530萬(wàn)歐元。據(jù)稱，這是歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）史上第二大罰單。

2021年1月，據(jù)《南方都市報(bào)》消息，德國(guó)知名電商巨頭Notebooksbilliger.de AG因在無(wú)合法依據(jù)的情況下視頻監(jiān)控員工，被處罰1040萬(wàn)歐元。

2021年6月，根據(jù)《環(huán)球時(shí)報(bào)》綜合報(bào)道，法國(guó)法院作出終審判決，宣布法國(guó)宜家非法收集、儲(chǔ)存員工資料罪名成立，對(duì)其處以100萬(wàn)歐元罰款。

視線回到國(guó)內(nèi)，雖然《個(gè)人信息保護(hù)法》才剛剛實(shí)施，國(guó)內(nèi)尚無(wú)類似的因非法處理員工個(gè)人信息而被處罰的案例，但自從我國(guó)將個(gè)人信息納入刑法保護(hù)的法益范圍時(shí)起，與個(gè)人信息保護(hù)的有關(guān)案例還是有的。例如，2017年5月蘭州市中級(jí)人民法院宣判的雀巢（中國(guó)）有限公司旗下員工非法獲取公民個(gè)人信息案（詳見〔2021〕京03民終106號(hào)判決）。

那么，對(duì)于員工個(gè)人信息保護(hù)，《個(gè)人信息保護(hù)法》之后，用人單位需要做到哪些呢？如有違反，罰則又是如何？根據(jù)《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定，用人單位在處理員工個(gè)人信息時(shí)，需要做的，概括下來(lái)就是：

第一，需遵循包括合法、正當(dāng)、必要和誠(chéng)信原則在內(nèi)的所有個(gè)人信息處理原則。

第二，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向員工告知有關(guān)法定事項(xiàng)。

第三，需要在充分知情的前提下，員工自愿、明確表示同意用人單位對(duì)相關(guān)個(gè)人信息進(jìn)行處理，用人單位才可以對(duì)其個(gè)人信息進(jìn)行處理。當(dāng)然，不需要員工同意的有關(guān)場(chǎng)景除外。

第四，處理員工敏感個(gè)人信息、向第三方提供員工個(gè)人信息、跨境提供員工個(gè)人信息等情形下，需依法告知特定事項(xiàng)，并取得員工的單獨(dú)同意。

第五，保護(hù)員工個(gè)人信息相關(guān)的權(quán)利，履行個(gè)人信息處理者相關(guān)法定義務(wù)。

《個(gè)人信息保護(hù)法》規(guī)定了很多相應(yīng)的罰則，根據(jù)情節(jié)，用人單位將可能會(huì)被責(zé)令改正、警告、罰款、停業(yè)、影響征信、賠償損失、治安處罰、刑事處罰。此外，《個(gè)人信息保護(hù)法》還借鑒了歐盟GDPR的規(guī)定，罰款可能會(huì)按照營(yíng)業(yè)額的百分比罰，這是很容易讓用人單位感到疼的數(shù)額。

從《個(gè)人信息保護(hù)法》出臺(tái)伊始，很多人就意識(shí)到用人單位勞動(dòng)用工的整個(gè)過程，都將伴隨著員工個(gè)人信息的處理。因此，大家也都很重視這個(gè)問題。但筆者發(fā)現(xiàn)，現(xiàn)在很多用人單位操作依然存在著不少問題，囿于篇幅，本文只就其中兩個(gè)比較容易被忽視的問題進(jìn)行闡述：

●告知事項(xiàng)流于形式

在《個(gè)人信息保護(hù)法》出臺(tái)后，一波普法宣傳讓大家初步意識(shí)到了，對(duì)于個(gè)人信息處理需遵循“告知+同意”這一核心規(guī)則。

筆者在處理有關(guān)咨詢時(shí)，雖然不少用人單位采取了相應(yīng)的應(yīng)對(duì)措施，但很多應(yīng)對(duì)措施只是讓員工簽收一份簡(jiǎn)單的《授權(quán)書》或者《同意書》，內(nèi)容大致就是授權(quán)同意公司在任何情形下處理自己的個(gè)人信息。詳細(xì)一些的，會(huì)概括性提及場(chǎng)景有哪些，個(gè)人信息包含哪些，但是都不會(huì)具體列舉各個(gè)場(chǎng)景對(duì)應(yīng)的處理目的、處理方式和具體的個(gè)人信息種類，更不會(huì)提到存儲(chǔ)期限。

不少人認(rèn)為，員工既然已經(jīng)概括性授權(quán)同意了，就包含了所有的情形、信息了，也就符合了《個(gè)人信息保護(hù)法》的要求。但是，《個(gè)人信息保護(hù)法》要求的是“應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向員工告知有關(guān)法定事項(xiàng)”，上述做法顯然不符合法律的這一要求。而在未充分告知的情況下所獲得的同意，也是不符合法律要求的。

●管理理念相對(duì)滯后

目前對(duì)于《個(gè)人信息保護(hù)法》比較重視的，在很多用人單位還只是局限于人力資源管理部門和一些接觸到消費(fèi)者個(gè)人信息的部門，其他大多數(shù)用人部門還沒有意識(shí)到《個(gè)人信息保護(hù)法》對(duì)于用人單位管理工作的影響。一直以來(lái)，由于“家長(zhǎng)式管理”“官本位思想”的影響，很多用人單位的中層管理人員對(duì)于員工個(gè)人信息保護(hù)并沒有很強(qiáng)的意識(shí)，過度處理個(gè)人信息的情況在管理實(shí)踐中比較普遍。

前不久，筆者曾經(jīng)接到電話咨詢，某公司要處理一個(gè)員工，理由是該員工利用職務(wù)之便，私下承攬業(yè)務(wù)謀取高額利潤(rùn)。這是一種很嚴(yán)重的違規(guī)行為，原則上法律不保護(hù)這類行為，所以處理起來(lái)風(fēng)險(xiǎn)并不會(huì)很大。但是，這件事的處理難點(diǎn)在于，之所以發(fā)現(xiàn)員工這一行為，是因?yàn)樗闹苯又鞴芪唇?jīng)員工本人和公司同意，擅自登錄員工的辦公郵箱，查看員工往來(lái)郵件后發(fā)現(xiàn)的。這個(gè)直接主管還認(rèn)為，對(duì)于辦公郵箱，領(lǐng)導(dǎo)和公司就是有權(quán)查看的。

根據(jù)相關(guān)法律法規(guī)和規(guī)范的規(guī)定，通信記錄和內(nèi)容屬于個(gè)人信息中的敏感個(gè)人信息，如果要對(duì)這類信息進(jìn)行處理，除了前面提到的一些告知事項(xiàng)，更需要告知當(dāng)事人處理的必要性和對(duì)個(gè)人權(quán)益造成的影響，還得經(jīng)過個(gè)人單獨(dú)同意，才可以進(jìn)行處理?？梢?，前述直接主管的做法已經(jīng)違反了《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，但類似的做法和想法在實(shí)務(wù)中并不少見。

針對(duì)上述兩個(gè)問題，筆者建議廣大用人單位重點(diǎn)做好以下兩方面工作：

●細(xì)化告知事項(xiàng)

不能圖省事，還是應(yīng)該詳細(xì)列舉具體的場(chǎng)景進(jìn)行相對(duì)應(yīng)的事項(xiàng)告知。這類告知可以通過表格的形式進(jìn)行具體的列舉。例如：

表述時(shí)，再注意通俗易懂，那么就基本符合《個(gè)人信息保護(hù)法》對(duì)“告知”的要求了。而有了符合條件的告知，再獲得員工明確的同意，也就問題不大了。

當(dāng)然，很可能有人會(huì)提出，對(duì)于已經(jīng)既定的、已知的一些場(chǎng)景，可以通過上述表格形式告知并獲得同意，對(duì)于那些工作中出現(xiàn)的需要處理員工個(gè)人信息的新情形，又該怎么辦？難不成，每次都得去做這些手續(xù)？

這就是技巧性問題了，對(duì)于“告知+同意”的形式，法律并沒有說(shuō)一定要書面的，更沒說(shuō)一定要紙質(zhì)文件。所以，用人單位完全可以通過短信、電子郵件、辦公系統(tǒng)等無(wú)紙化信息手段來(lái)解決這類問題，只要能留下足以讓他人相信用人單位履行了有關(guān)法定義務(wù)的證據(jù)即可。

●強(qiáng)化管理理念“升級(jí)”

更新意識(shí)，重視個(gè)人信息保護(hù)，不能只是停留于紙面，更不能只針對(duì)高層、人力資源管理者、對(duì)接客戶的人員，對(duì)于從上到下的員工，都需要去做這樣的工作。畢竟，根據(jù)《民法典》的有關(guān)規(guī)定，員工在履行工作職責(zé)時(shí)侵害他人權(quán)益的，是由用人單位承擔(dān)責(zé)任的。因此，增強(qiáng)個(gè)人信息保護(hù)意識(shí)，是所有人都應(yīng)當(dāng)做到的。而且，不僅僅是保護(hù)自己的個(gè)人信息，更需要注意因工作原因而接觸的其他個(gè)人信息的保護(hù)。

這需要用人單位通過多樣化宣傳、培訓(xùn)來(lái)實(shí)現(xiàn)。而且，得具象化場(chǎng)景，只是泛泛而談，很難起到較好的效果。

員工個(gè)人信息保護(hù)，是未來(lái)一段時(shí)間內(nèi)用人單位人力資源管理需要重點(diǎn)關(guān)注的問題之一。因?yàn)榉N種原因，目前這方面具體實(shí)操性的規(guī)定、判例還比較少，建議大家嚴(yán)格按照法律的要求，并結(jié)合單位的實(shí)際情況，設(shè)計(jì)出適合于本單位的員工個(gè)人信息保護(hù)風(fēng)控體系。然后不斷在實(shí)踐中，完善這個(gè)體系，以避免單位的員工關(guān)系管理在員工個(gè)人信息保護(hù)方面出現(xiàn)風(fēng)險(xiǎn)。

作者 勞達(dá)laboroot 高級(jí)咨詢顧問、高級(jí)合伙人