广东广悦律师事务所

近日，国美控股发布的一则内部处罚，通报称，在对非工作流量信息进行统计排查后，发现有部分员工在“摸鱼”玩游戏、听音乐、看视频，违反了员工行为规范，于是点名道姓对员工进行了通报和相应处罚。

（通报截图）

这本身只是一则内部通报，但流传在网络后，引起了极大的舆论热议。有部分人认为上班摸鱼，确实该罚；也有人提出了更深层次的质疑，即公司是如何获取员工网络活动记录的？公司又是否有权获取员工的网络活动记录？因此，员工网络监控的合法性问题也再次引起了社会舆论的广泛讨论。

一、什么是员工网络监控

所谓网络监控，是指是针对局域网内的计算机进行监视和控制，包括对内部终端的网络交互活动及终端操作行为的过程记录。

因此，员工网络监控理论上可以做到对员工所有网络活动的记录和控制，例如获知员工访问了哪些网站，限制员工登录某些网站，远程查看员工电脑屏幕，或者记录员工的电脑操作记录甚至微信聊天记录或电子邮件内容。

当然，不同的公司对于员工网络监控的程度不一，监控的类型不一，根据此次国美通报的内容，大致可以推断国美只是对网络流量进行了监控。在不考虑监控成本的前提下，许多公司都对员工网络监控抱有极大热情，至少并不抵触。毕竟员工网络监控的好处实在是显而易见：可以全过程记录员工工作内容，对员工工作情况进行综合评价，督促员工不再“摸鱼”，还可以有效防范因员工泄密、不当言论给公司带来的损失，不但能提高工作效率，还能保护公司信息、资产和经营安全。

也正因如此，许多企业都会以各种方式对员工进行网络监控，且监控方式五花八门，相应案例和报道也屡见不鲜。

但站在“打工人”的角度，对网络监控的态度可能完全不一样。许多员工认为，工作中的网络监控使自己的一举一动都暴露在外，并可能泄露自己许多私密的个人信息，使得自己毫无隐私可言，

那么，对员工进行网络监控，究竟是否有法律依据，又是否会构成对员工合法权利的侵害呢？

二、员工网络监控的合法性依据

根据《个人信息安全规范》附录A、B可知，员工的网上操作操作记录如网站浏览记录、软件事宜记录、点击记录、收藏列表等信息，均属于个人信息，甚至属于个人敏感信息（见《个人信息安全规范》附录B表B.1“个人敏感信息举例”）。而对该类信息的收集和使用，显然属于“个人信息处理”。

因此，根据《个人信息保护法》第三条之规定，公司对员工进行网络监控，获取员工网络操作记录，必须符合《个人信息保护法》的有关规定。

（一）处理个人信息需具备合法理由

《个人信息保护法》第十三条规定，符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

根据上述规定可知，对个人信息的处理，必须有合法的根据或理由，否则就属于不法侵害个人信息的行为。而合法的根据和理由，主要分为两类：信息主体的同意或有其他法定理由。所谓其他法定理由，是指在有《个人信息保护法》或其他法律、法规规定的情形或理由时，可以不取得信息主体的同意即对其个人信息进行处理，而不视为违法处理。

经过立法者的反复衡量，最终确定了六种无需经过信息主体同意即可处理个人信息的例外，即《个人信息保护法》第十三条第一款第二项至第七项规定之情形。

（二）合法收集和使用员工网上操作操作记录的几种可能性

1.收集和使用行为获得员工明确同意

比照《个人信息保护法》之规定可以发现，对员工网上操作操作记录进行处理，在满足以下任一前提的情况下，都属于有合法依据

A.取得员工的明确同意；

B.相关网络监控活动属于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

C.为履行法定职责或者法定义务所必需，或其他法律、行政法规另有规定。

以国美通报事件为例，如其事先已向员工告知过公司会对其网络访问记录进行收集和分析，且员工已明确表示同意公司的上述行为，则公司的行为就是有合法依据的。

2.收集和行为属于履行法定义务所必须

即使未获得员工同意，也并不代表国美的行为就属于非法处理员工个人信息。因为根据《互联网安全保护技术措施规定》第八条的规定，提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：

（一）记录并留存用户注册信息；

（二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；

（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

因此，公司对员工进行网络监测，本身也是在履行法定义务，亦无不当。当然，若仅依据《互联网安全保护技术措施规定》，则公司只能记录、跟踪、留存相应信息，不能对信息进行分析并判断哪些员工在“摸鱼”。

3.收集和使用行为系依照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需

如公司事先以按照法定程序指定了合法有效的劳动规章制度或与员工依法签订了集体合同，且制度和集体合同约定了公司可以基于人力资源管理所必需对员工进行网络监控，则公司的网络监控行为也应认为有合法依据。

那应当如何理解“人力资源管理所必需”呢？例如对客服公司而言，对员工与客户之间的交流进行留痕，有助于帮助公司把握客户的真实诉求，便于需求转接及业务处理，并有利于规范员工的言行，因此对员工的工作电话、客服微信的聊天内容等进行网络监控，可以认为属于业务合理需求，属于人力资源管理所必需。但如果公司不但要求对员工的工作电话、客服微信的聊天内容进行监控，还对员工的私人微信、私人手机进行监控，就远远超出合理范围，而非人力资源管理所必需。

三、员工网络监控的限制

尽管对员工进行网络监控确有一定合法性依据，但这并不代表可以随意对员工进行网络监控不受任何限制。实际上，公司对员工进行网络监控，依然要遵循合法原则，遵守《个人信息保护法》和相关法律法规的规定。

（一）员工网络监控的范围限制

《个人信息保护法》第五条、第六条规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。且处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

无论公司进行网络监控的合法依据是基于员工授权同意、为履行法定义务所必需还是基于劳动规章制度、集体合同实施人力资源管理所必需，都必须满足“最小、必要原则”，即应将监控所收处理的员工信息限制在最小范围内，且应当尽可能小的影响员工权益。

以上述客服公司为例，当客服公司不仅对员工的工作电话、工作微信进行监控，更对员工的私人微信进行监控，甚至在员工下班回家时依然继续监控，则这一监控行为就与公司进行必要的人力资源管理的目的无关，属于超出合理、必要范围的信息处理活动。

（二）员工网络监控方式限制

《个人信息保护法》第七条规定，处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

因此，无论公司基于何种合法依据对员工进行网络监控，都必须遵循公开、透明原则，如实向员工说明公司将以何种方式对员工进行何种程度的网络监控，获取员工的哪些类型的个人信息，以及将可能以何种方式对员工的上述信息进行其他处理。

除上述限制外，公司还应当遵守《个人信息保护法》中有关个人信息存储、共享、提供、转移、删除等方面的规定，履行法定义务。

而且必须看到的是，域外法律（如GDPR）对员工网络监测的限制会更加严格，阿尔巴尼亚数据监管机构就要求经营客户和技术支持服务的法国公司Teleperformance SE停止使用网络摄像头监控在家工作的员工[1]。

因此我们建议公司谨慎进行员工网络监控，如确有需要，也应当做到如下几点：

1. 以书面方式明确向员工说明公司存在网络监控，并对网络监控的范围、方式和处理规则进行明确告知。如有可能，应尽可能在员工手册、公司规章制度中予以明确，并获得员工书面同意。

2.在条件允许的情况下，应尽可能向员工提供办公专用设备，并指定《办公设备使用指南》，在指南中明确公司将对办公设备进行网络监控，员工不得使用办公设备处理非工作事宜。

3.网络监控应尽可能限制在工作时间、工作地点或与工作相关的事务内，不应对员工的非工作时间或非工作内容进行监控。

4.对通过网络监控所获取的员工信息进行严格保密，严禁向第三方提供。

注释：

[1]见何渊，《员工数据 | 欧盟数据保护机构加强对员工监控措施的审查，隐私专家称远程办公会增加监控风险 | DataLaws》，公众号“数据法盟”2021年1月4日文。

END

声明：本微信文章仅为交流探讨之目的，不得视为广悦数据合规研究院或其律师出具的正式法律意见，任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流，可以通过电子邮件与我们联系，E-mail：hlw@wjngh.cn 。