2022年10月12日,英国信息专员办公室(ICO)发布了《雇员监控指南(草案)》,该指南重点讨论了工作场所中的监控和数据保护问题。时隔近一年,ICO于2023年10月4日发布了《雇佣实践和数据保护:监控员工-1.0.2》(实质内容来源于《雇员监控指南(草案)》,以下简称为“员工监控规则”或“该规则”),以帮助企业遵守英国《通用数据保护条例》(UK GDPR)和《2018年数据保护法》(DPA 2018)。
随着员工监控活动的日益普及,我国因员工监控事宜导致诉讼争议也引发广泛讨论,在此背景下我们探讨企业对员工监控行为进行数据保护影响评估(DPIA)(我国称为“个人信息保护影响评估”,也即“PIA”)变得至关重要。ICO认为DPIA是一种重要的问责工具,能够帮助识别和减少可能存在的任何监控活动的风险。这篇文章重点介绍了ICO发布的员工监控规则主要内容,强调了企业在开始员工监控之前进行DPIA的必要性,并且介绍了ICO《工作场所监控影响评估》的主要内容,以期探讨ICO对员工监控场景的规范行为,从而总结出企业在进行监控计划时需要考虑的一些因素,以及在进行监控时应遵守的一些原则和规定,以供国内企业参考。
一、员工监控规则的主要内容
实践中,企业对员工进行监控的形式有多种,除了监控摄像、音频录音,还可以对工作电话、邮箱记录、即时消息、上网活动等行为进行监控。ICO员工监控规则并没有禁止监控员工,但是明确提出企业在进行监控时必须要符合数据保护的相关要求和义务。如果企业以不公平的方式进行监控,将会影响员工根据数据保护法享受的员工权利和自由,因此企业应当选择侵入性最小的方式来实现。
ICO员工监控规则要求企业在实施员工监控时,必须履行以下步骤:
向员工告知相关监控活动的性质、范围、程度和原因;
对监控活动的目的进行明确限定,并采取为实现该目的所必要的最小化的方式;
对处理员工数据建立明确的合法依据,例如同意、法律义务或合法利益(legitimate interests)等;
以易懂的方式向员工告知监控活动的具体信息;
仅保留和处理为了相关目的所必要的信息;
采取合理步骤确保所收集的个人信息不是错误的或误导的;
对于可能对员工权益造成高风险的监控活动开展数据保护影响评估(DPIA);
如员工提出数据主体知情权要求,应向员工提供在监控活动中收集到的个人信息。
具体地,对于上述第3点“合法依据”,该规则进一步强调了企业进行监控活动时可能适用的六个合法依据:
(一)同意(Consent)
员工本人同意企业出于特定目的处理他们的个人数据。由于企业和员工之间权力不平衡,因此在员工同意上,要求企业必须:
给予员工在不造成损害的情况下撤回同意的选择权;
确保像员工第一次提供时一样简单;
记录下是何时、如何获得员工同意,以及员工到底同意了什么。
同时,ICO确定了“同意”的基本原则为:仅当情况意味着员工对监控有真正的选择和控制权时,同意才是适当的。
(二)合同(Contract)
如果对于企业与员工签订的合同(如雇佣合同),或者由于员工要求企业在签订合同之前采取特定步骤,而使得有必要进行监控。此处ICO强调了企业履行合同目的之必要性,提出如果仅出于内部业务改进的目的,则其合法性基础不成立。
(三)法定义务(Legal obligation)
如果企业监控员工是出于遵守普通法或是法定义务的,则可以依赖这一依据。为此企业须明确其义务的具体法律规定或适当的建议或指导来源,并指出不能将监控信息用于任何其他目的。
(四)重大利益(Vital interests)
这一依据是为了应对紧急情况,企业需要处理个人信息以保护某人生命的,适用范围非常有限,一般仅适用于生死攸关的问题。例如,对试飞员进行心率、血压和大脑活动的监测。办公室人员的工作中几乎不会受这些因素的影响,因此通常会适用其他的监控依据。
(五)公共任务(Public task)
这一依据用于处理对企业执行公共利益相关的任务或履行官方职能而言是必要的情形。例如,私营机构或慈善组织与公共机构签订合同,帮助其履行法定职能的。
(六)法定利益(Legitimate interests)
处理对于为了企业或是第三方的合法利益而言是必要的,除非员工权利的风险更高。这个基础是最灵活的,可以适用于多种情况。ICO对“合法利益”进行了谨慎判断,认为在以下两种情况可能不是最适当的法律依据:
1. 您以员工不理解且不合理预期的方式进行监控;
2. 如果你向一些员工解释,他们可能会反对。在这种情况下,ICO推荐企业进行DPIA流程来对此进行评估。
总之,ICO认为,在决定拟议的监控是否适当时,必须考虑具体情况,平衡企业的合法利益和监控的必要性与员工的利益、权利和自由。这与其他法律基础不同,其他法律基础假定您的利益和员工的利益是平衡的。
二、数据保护影响评估(DPIA)的重要性
对员工开展监控行为这其中必然会存在侵犯员工隐私的嫌疑,因此,ICO认为在开始监控之前,进行数据保护影响评估(DPIA)是至关重要的一步。ICO员工监控规则中提出“在开始监控之前,我们是否需要进行数据保护影响评估?”在该问题下,该规则明确说明:DPIA是一种问责工具,完成DPIA可帮助企业识别并最大程度地降低企业可能计划的任何监控活动的风险。DPIA流程包括企业可以与工作人员讨论引入监控计划的一个步骤。这有助于制定企业的计划并与员工建立信任。
ICO员工监控规则还对“高风险”活动进行了规定:在进行任何可能对员工和其他人的利益造成高风险的处理之前,必须进行DPIA。其中,高风险处理的示例包括:
1. 处理员工的生物识别数据;
2. 对员工进行按键记录监控;
3. 可能导致财务损失的监控(如绩效管理);
4. 使用个人配置数据或特殊类别数据来决定对服务的访问权限。
在进行DPIA后,如果企业决定继续进行提议的监控活动,企业必须在开始监控之前向员工提供相关信息。
此外,ICO认为,即使没有具体的高风险存在,企业也应进行DPIA,因为它是一种灵活且可扩展的工具,可以帮助企业做出决策。如果企业决定在不进行DPIA的情况下继续进行监控活动,企业也应记录下企业的决策。
三、《工作场所监控影响评估》主要内容
除了上述员工监控规则,ICO在10月还同步发布了《工作场所监控影响评估》(以下简称为“评估指南”),该评估指南主要内容包括监控工作引起的问题定义和干预的合理性、备选方案评估、拟议干预措施的详细说明、成本效益分析以及监测与评估计划。通过评估指南,我们可以了解影响评估对于数据保护合规的重要性以及相关的决策和实施方案。评估指南的主要内容如下:
(一)问题定义和干预的合理性
在这一部分,对监控工作引起的问题进行了定义,并解释了进行干预有充分的理由,以减少数据保护对英国员工造成伤害的风险并减少潜在的信息差距。此外,监测技术的进步、新的工作方式和日益普遍的工作场所监测意味着过时的指南增加了潜在危害的可能性。
(二)备选方案评估
在这一部分,对干预措施的备选方案进行了评估。四个备选方案包括:
1. 什么都不做:不采取任何额外指导或更新现有指导;
2. 少做事:对现有的雇佣实践守则进行更新;
3. 首选方案:发布一套新的补充性但独立指导产品取代雇佣实践守则;
4. 做更多事情:使用一个新的涵盖所有必要领域的综合指导产品取代现有的守则。
经过评估,第三个备选方案被确定为首选方案。
(三)拟议干预措施的详细说明
在这一部分,对拟议干预措施进行了详细说明。监控工作的指导将包括在一套独立的就业实践指导中,并且将提供更加用户友好的在线资源。这些指导将适应数据保护法律的变化和企业使用技术的变化,并与员工进行互动。干预的预期影响在该指南中通过理论变革图中进行了说明。
(四)成本效益分析
本部分对干预措施的成本效益进行了定量和定性分析。尽管在对英国员工和监控解决方案提供商的影响进行量化方面存在证据缺口,但总体评估表明,减少潜在数据保护相关伤害的好处以及对社会的相关好处超过了确定的成本。
(五)监测与评估
根据组织标准,在指导确定后,将建立适当和相称的评估结构。
总之,评估指南分析强调了监控工作对数据保护的影响以及ICO的干预措施。对于企业来说,遵守监控工作指导并采取相应的保护措施是确保数据保护合规性的关键。通过评估成本效益、建立监测和评估计划,企业可以确保其监控工作实践的合规性,并降低潜在的法律和声誉风险。
四、总结和建议
从ICO的规则文件以及目前我国的司法实践判例中,我们可以看出,企业监控员工的行为并不是禁止的,但企业在进行监控时必须要注重保护数据安全以及履行相关合规义务。ICO认为企业如计划开展员工监控活动,应当在早期规划阶段,与员工进行互动和沟通,并且企业应清晰地认识到进行数据保护影响评估(DPIA)对于员工监控活动至关重要,因此企业应在实施监控活动之前完成DPIA评估相关风险。
目前我国企业如需对员工开展监控活动,实质收集了员工的个人信息,甚至敏感个人信息,企业应当按照《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等法律法规的要求,向员工履行“告知-同意”义务,在涉及收集敏感个人信息时,企业还应取得员工的单独同意。除此之外,企业也应当就员工监控场景下收集员工敏感个人信息行为开展个人信息保护影响评估(PIA)[1]。
通过进行DPIA或者PIA,企业可以识别和减少对员工进行监控引发的潜在风险,并采取应对措施。另外,在监控实施之前,企业还应向员工共享计划和披露相关信息,与员工建立信任关系。
结合ICO的经验,我们认为企业在制定员工监控计划时,应考虑以下因素,以确保合规性和员工权益的保护:
1. 合法合规:员工监控活动应在相关法律法规的监管下实施,企业应履行法律规定的义务与责任。
2. 目的限定:明确员工监控的具体目的,并确保符合合法利益,不得超过限定目的范围。
3. 最小必要:确保员工监控活动的范围、类型和持续时间适度,坚持最小必要原则,仅限于达到所需目的所必需的范围。
4. 告知义务:与员工进行明确和透明的沟通,向员工告知监控活动的目的、方式、范围、保存期限等内容。
5. 数据保护措施:采取适当的技术和组织措施来保护员工数据的安全性和机密性。
6. 数据保留:明确规定员工监控数据的保存期限,并在达到保存期限后及时删除或匿名化数据。
7. 员工权利:尊重员工的隐私权和其他相关权利,并确保员工享有《个人信息保护法》等相关法律授予的合法权益。
此外,在员工监控活动实施之后,企业还需注意对监控行为持续进行管理和监测,以确保数据安全以及保障员工的合法权益。
参考资料
[1]《中华人民共和国个人信息保护法》第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
(本文作者:北京观韬中茂(上海)律师事务所 朱敏婕)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。