|
劳动及雇佣法规
在个人信息保护立法和实践日趋严格的背景下,企业在开展内部合规调查程中如处理员工个人信息不当,将面临多方面法律风险。
具体而言,企业在内部调查中经常涉及查验配发给员工使用的电脑、硬盘等电子办公设备上所存储的信息和资料,在此过程中很可能会接触员工个人信息,包括个人隐私信息如微信、QQ等即时通信软件的通信记录或私人邮箱的往来邮件。
根据《个人信息保护法》的相关规定,企业在处理个人信息前要履行告知义务并获得个人同意,即“告知+同意原则”。另外,《民法典》规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得处理他人的隐私信息。
笔者将结合实务经验,就企业开展内部调查时合法妥当处理员工个人信息提供实操建议。
最理想的做法是遵循前述告知+同意原则。企业可制作一份内容全面的书面告知同意函,内容覆盖处理员工个人信息的目的(包括内部调查)、范围和方式(如委托第三方供应商处理、与关联公司共享和跨境传输)等法定告知事项,在员工入职时即安排其签署。否则,入职后临时寻求员工事先同意通常比较困难。
在企业综合判断后认为妥当、可行和必要的前提下,也可考虑变通方式,比如在员工本人面前用关键词搜索办公设备上存储的员工个人微信沟通、私人电子邮件往来中的相关记录,或者让员工在企业和/或第三方机构面前导出与工作和调查内容相关的微信沟通、电子邮件等记录。
在未能获取员工事先同意的情况下,企业可尝试援引适用《个保法》中关于处理个人信息取得个人同意的豁免性规定。比如,企业如“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”处理员工个人信息,无需取得个人同意。
现有法律法规对内部调查是否属于“实施人力资源管理所必需”的范畴尚未作出明确规定。建议企业事先在员工手册或相关政策中明确:
“内部调查属于企业人力资源管理可能涉及的一项环节,企业对办公设备上所存储的信息拥有所有权,企业有权为内部调查的目的随时监控和查验;禁止员工在办公设备中存储个人信息,即使办公设备上存有员工的个人信息,企业的监控、检查及信息获取行为不得被视为对员工隐私或其个人信息安全的侵犯。”
在近几年的司法实践中,裁审机构对于个人信息中的个人隐私信息体现出特别保护的倾向。实践中不少裁审机构判定QQ、微信、钉钉等即时通信软件的通信记录、私人邮箱内的往来邮件、手机通话记录均属于隐私,即使上述应用程序及内容留存在公司配发的电脑等办公设备上,只要用人单位未经员工的同意查看、复制或使用,均视为侵犯隐私权或侵害个人信息的行为。
因此,在未能获得员工事先同意的情况下,我们建议企业结合以下做法审慎处理内部调查中所可能涉及的个人信息,从而降低被裁审机构认定为侵权以及所涉证据被视为非法无效的风险:
-
对于查验中发现的明显属于前述个人隐私信息范围的内容,如无必要,建议避免采取不做区分、事无巨细的做法进行逐一查阅、排查、复原或复制。
-
鉴于相关法律风险主要是在信息被公开,为个人或相关机构所知晓的情况下才会实际发生,我们建议企业可以在一定程度上更多将查验中接触和获取的个人信息作为印证违规行为和确立进一步调查方向的线索和参考。
但在涉及到有可能将其公开时(比如就隐私信息与员工当面对峙、将相关信息作为员工纪律处分的事实背景信息进行公布,或者在仲裁或诉讼中将相关信息作为证据使用),需要综合考虑以下因素,审慎决定是否使用:
(1)信息的性质,属于隐私信息还是其他一般个人信息;
(2)信息的来源,是否来自个人即时通信软件记录或来源于公司邮箱等明确限于工作目的使用的系统;
-
为留存证据,建议企业在可行的情况下,以录像形式对办公设备数据查验过程的关键步骤(比如上文提到的在员工参与下的数据导出过程)进行记录。
另外,如涉及个人信息出境,企业除了获取员工事先同意,还有义务采取信息出境的安全保障措施,如安全评估、认证或签订标准合同。因此,企业可基于调查结果,综合考虑是否确有必要将个人信息传输给境外接收方。比如,如为总部决策目的,可考虑或许对相关信息做匿名化处理(避免提及或指向特定个人,仅描述不合规事实)亦可实现信息传输的目的,以避免触发前述安全保障程序义务。
|
