几个月前，媒体报道了某公司根据员工通过公司网络浏览相关网站或使用相关应用程序所产生的流量来认定员工在工作时间过度从事与工作无关的行为，并予以内部通报批评的新闻。该新闻一经发布便引起了热议。有观点认为，公司的这一监控和通报行为侵犯了员工的隐私，应予以制止。也有观点认为公司的这一行为属于正常地履行劳动管理职权，维护劳动纪律，并无可非议。

    事实上，用人单位在工作场所采取一定的监控措施已经是常态。用人单位出于职场安全和劳动纪律的需要而采取一定的监控措施应该说是有一定的合理性的。但是，监控行为从其本质上来说仍然是对员工个人的一种“侵犯”，如果不加约束则有可能给员工个人的合法权益造成侵害。

从法律角度来说，职场监控是一个涉及公民隐私权、劳动法、知识产权以及网络安全法等诸多领域的课题。但随着去年《个人信息保护法》的颁布和生效，在考虑职场监控问题时又多了一个新的维度。本文尝试着从《个人信息保护法》的角度来探讨一下职场监控问题。

一.  职场监控行为是否涉及个人信息

    在从《个人信息保护法》的角度探讨职场监控问题之前，首先有必要讨论职场监控行为是否涉及个人信息的处理。

1.     职场监控行为涉及的主要的信息类型

所谓职场监控，一般而言指的是用人单位出于维护工作场所安全、网络安全、信息安全、执行劳动纪律、行使管理职能和开展业务等目的而通过一些技术手段对本单位员工的行为进行监视的行为。在用人单位开展监控行为的情况下，根据不同的场景和技术手段主要会涉及下列几类信息。

首先是与通讯有关的信息。这也是实务中职场监控涉及最多的信息。这类信息又可以进一步分为“交通数据”和“内容数据”两种类似。所谓“交通数据（traffic data）”简单而言就是通讯行为本身产生的一些客观的记录。比如，通话时间、拨叫的号码、发信人、收信人、访问的网站、通讯产生的数据量、数据类型等。这些信息记录了通讯行为本身的客观情况，但不涉及到通讯内容，上文提到的“流量”其实就是典型的交通数据的一种。而“内容数据”就是具体涉及通信内容的数据。比如，邮件的正文和附件内容、通话记录等就是典型的内容数据。

其次是涉及员工生物特征的信息。这类信息主要包括面部、形体和指纹等信息。主要多见于视频监控、基于面部特征和指纹的身份识别（包括考勤等）。

还有一类比较常见的信息是位置信息。尤其是一些从事运输物流业务的用人单位往往会通过GPS等技术对员工本人或员工使用、操控的器械的位置或运行状态等进行监控。

2.     上述信息是否属于个人信息？

      根据《个人信息保护法》的定义，所谓“个人信息”指的是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。这一定义其实是一种相对性的定义，即涉及某信息主体的某一信息可能对于甲构成个人信息而对于乙却未必构成个人信息，其关键在于是否是“已识别”或者“可识别”的。但是，在“职场”这一前提下，员工对于用人单位来说都属于“已识别”的自然人，因此基本可以说对于用人单位而言与员工“有关的各种信息”都属于个人信息。

     虽然法律条文不难理解，但如果仔细推敲一下的话，我们不禁要问所谓“有关的各种信息”到底要涵盖到哪一个范围呢？是不是只要跟自然人有哪怕一点点的关系，就属于是个人信息呢？还是必须与自然人有一定的相关性？比如，某单位通过在车辆上安装追踪器的方式对车辆的运行轨迹进行监控，此时车辆的运行轨迹到底是有关这辆车的信息呢还是有关驾驶这辆车的司机个人的信息呢？这其实是非常值得研究的一个问题。

     欧盟的第29条工作组（WP29,现在的欧盟数目保护委员会（EDPB）的前身）曾在2007年发布过一个意见[i]，认为一项信息要构成个人信息必须满足“内容要素”、“目的要素”和“结果要素”这三个要素中的一项。所谓“内容要素”，指的是该信息的内容是直接关于某特定个人本身的，比如个人的姓名、出生年月和居住地址等最典型的个人信息。所谓“目的要素”，指的是该信息是用来评价或分析某特定个人的，比如某人的行动轨迹、浏览网站的记录和购物记录等都属于这一类别。而所谓的“结果要素”指的是对于该信息的处理最终会影响到某特定个人的权益，比如车辆的违章信息从表面上看是有关车辆的信息，但是如果这一信息会使车辆的驾驶人需要承担一定的法律责任的话，那也应该属于个人信息。也就是说，有一些信息虽然并不直接与信息主体相关，但如果符合“目的要素”或者“结果要素”的话，也属于个人信息的范畴。

    如果我们参照上述欧盟的标准进行分析的话就会发现，职场监控所涉及的各项信息被认定为是个人信息的可能性是非常大的。因为，职场监控本身的目的就是为了对员工的行为进行监督和分析，并且其结果往往关系到对于员工的评价，直接影响到员工的权益。所以，用人单位在进行职场监控时不应忽视个人信息保护的合规问题。

二.  职场监控的合法性基础

    如果职场监控所涉及的信息属于个人信息的话，那么用人单位在进行监控行为之前应首先获得处理个人信息的合法依据。

   《个人信息保护法》第13条规定了处理个人信息的七项合法性基础，在这七项合法性基础中，想必用人单位会较多地用于职场监控场景的主要是“个人的同意”以及“合同履行和人力资源管理”这两个合法性基础。

对于用人单位来说，取得员工的“个人同意”可能是最为简单的途径。但是，用人单位如果以取得“个人同意”作为进行职场监控的合法性基础的话，一定要注意个人的同意必须是自愿明确的。事实上，在劳资关系中，员工对用人单位作出的同意是否称得上是“自愿”的这一问题其实是值得商榷的。比如，欧盟一般数据保护条例（GDPR）就要求所谓“同意”必须是“自愿(freely given)”，“特定(specific)”和“知情 (informed)”，并且“清楚地表达了数据主体对于处理个人信息的同意”（前言部分第32段落）。而此处的“自愿”一般指的是数据主体需要有“正真的选择权(genuine choice)”，并且可以“拒绝或撤回”自己所作的同意。但在劳资关系中，劳动者往往担心自己拒绝接受监控之后有可能遭受到的不利对待而不得不做出同意的表示。这种同意虽然在表面上看起来是劳动者自愿做出的，其内容也是特定明确的，但从劳动者的心态来说可能未必是真正“自愿”的同意。

    而如果要依赖“合同履行和人力资源管理”这一合法性依据的话，则尤其要注意这一监控行为是否是“实施人力资源管理所必需的”。在职场监控行为中，其实有相当一部分的监控行为很难说是为了“实施人力资源管理所必需的”。比如，用人单位为了保证网络安全，对员工浏览网页的行为进行监控，或者出于保安的需要，对公共区域进行视频监控，再或者出于保护商业秘密的需要，对员工的特定操作等进行监控。这些监控行为严格来说和实施人力资源管理并没有直接关系，所以也不能保证可以完全依靠“合同履行和人力资源管理”这一合法性依据。

    在GDPR中，允许信息控制人以“合法利益(legitimate interest)”作为处理个人信息的合法性依据之一（在此情况下，无需取得信息主体的同意）。“合法利益”这一合法性基础事实上就是在个人信息控制人的利益和信息主体的基本权益之间寻求平衡。而职场监控的许多场景其实都符合合法利益的需求，也是GDPR实务中运用较多的合法性依据。但在我国《个人信息保护法》中，由于没有“合法利益”这一合法性依据，所以在实务中，虽然未必可以很好地涵盖所有场景，但目前可能还是要更多地使用“个人同意”和“合同履行和人力资源管理”这两个合法性依据。

三.  最小影响和最小范围原则

     除了合法原则之外，用人单位在为了进行职场监控而处理个人信息的过程中，还需要注意符合“最小影响和最小范围原则”。《个人信息保护法》第6条规定“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。

     也就是说，用人单位在为了进行职场监控而处理个人信息时即便具备了合法性基础，也不得超过合理的范围，所采取的措施应与其所对应的目的相匹配。不能采取“高射炮打蚊子”的方式，即为了一个较为次要的，或者后果并不是很严重的风险而采取“侵害性”很高的监控措施。并且，如果采取其他“侵害性”较小的措施也能达到相同或者基本相同的效果的话，就应该采取影响更小的办法。

     比如，在本文开头部分提到的通过监控流量来把握员工在上班时间内有无浏览与工作无关的网页的场景下，如果用人单位可以通过技术手段屏蔽某一些特定的网站或者应用程序的话，那么就应该采用屏蔽的手段而避免采用监控的手段。因为这样既可以达到执行劳动纪律的目的，也可以完全避免处理员工的个人信息。再比如，用人单位如果为了防止商业秘密的泄露而对员工发送的每一封电子邮件的内容都进行监控的话，那就明显超过了合理的范围。用人单位完全可以通过对秘密信息进行加密或设定阅览权限等对员工个人权益不具侵害性的办法来实现相同的目的。

     所以，为了提高职场监控行为的合法性，用人单位在实施职场监控行为之前应仔细研讨是否存在无需处理个人信息就可达成目的的其他手段和方法。即便必须要处理个人信息的，也要尽缩限收集的范围、数量、期间和保存期限等。

四.  充分履行告知义务

     除了合法合理之外，用人单位在进行职场监控行为前，必须依法向员工充分履行告知义务，使得员工对于可能存在的监控行为产生充分的预期。

   《个人信息保护法》第17条规定了个人信息处理者在处理个人信息之前必须履行的告知义务，在该条规定的各项告知内容中，用人单位应特别注意告知员工“个人信息的处理目的、处理方式,处理的个人信息种类、保存期限”。因为，在涉及处理个人信息的各种场景中，监控行为可能是对于个人隐私和其他合法权益“侵害”最大的一种。而且，如上文提到的那样，劳动雇佣关系从其本质上而言并不是一种完全平等的法律关系。劳动雇佣关系一旦建立之后，用人单位作为管理者往往处于强势地位，而员工往往处于弱势地位。因此，为了不被认为是“以强欺弱”，用人单位应特别注意向员工充分告知监控行为的内容、方式、范围、后果等内容，以提高监控行为的合法性。

    具体而言，用人单位应事先向员工告知如下的事项。

(1) 使用公司网络、电脑和其他设备的基本规则：比如使用的时间、方式、尤其需要明确是否可以用于私人目的或者在用于私人目的时是否存在一些限制。

(2) 职场监控行为的内容和目的：公司目前正在采取的监控措施以及其各自的目的，该等目的的合法性和正当性，各种监控措施的内容、范围、期间、频率和监控主体等，明确告知在此过程中有可能采集到的员工个人信息。尤其针对有可能涉及敏感个人信息和个人隐私的监控行为应特别提醒员工注意，并更加详细地说明监控措施的内容。

(3) 职场监控行为的后果：如监控行为发现了员工的违反行为后，可能对员工产生的不利影响和后果（比如，以监控结果作为惩戒员工的依据），以及员工可以采取的救济措施。

(4) 安全措施：公司对于通过监控行为采集到的员工个人信息采取何种保护措施（技术和组织机构两方面的措施）。

(5) 其他：比如委托第三方机构进行监控的，应告知该机构的名称、联系方式以及具体委托的内容，如需要将监控所获得的信息跨境提供给境外主体的，则需要按照个人信息跨境的要求进行相关的告知。

五.  总结

    随着科技的不断发展，监控行为的手段越来越丰富，成本越来越低，相对应地，对被监控对象可能造成的影响也越来越大。不同于国家公权力机关在履行法定职权过程中进行的监控行为，用人单位作为私权力机关，在进行职场监控行为时面临着更高的合规要求。而《个人信息保护法》施行之后，用人单位在进行职场监控时又增加了一个新的，必须予以考量的重要的合规因素，应该给予充分的关注。

[i] Article 29 Data Protection Working Party, “Opinion 4/2007 on the concept of personal data” 本意见是在《欧洲一般数据条例》（GDPR）颁布之前，针对旧的《数据保护指引》（Data Protection Directive, 95/46/EC）所作的意见，但因为《数据保护指引》对个人信息的定义与GDPR基本一致，所以这一意见仍具有参考意义。