【星来资讯】国美实名通报员工上班“摸鱼”，这合法吗？

背景

2021年11月16日，网上流传出一份来自国美控股集团有限公司（以下简称国美）的内部文件《关于违反员工行为规范的处罚通报》，通报中实名通报部门员工在工作区域内占用公司公共网络资源从事与工作无关事宜，并直接列出了员工姓名、所在部门、楼层、后台非工作流量信息类型。

事件发酵后，国美11月17日深夜发布声明称，国美一直以来切实保障全体同事合法权益，也要求员工遵守公司合理的规定规范。《员工行为规范及办公场所管理标准》不提倡在工作时间内在办公区域从事与工作无关之事。对于内部文件违规外泄，国美将按照公司保密规定予以追责。

针对本则消息，网友纷纷讨论国美监控并通报员工非工作目的上网行为的合法性。基于此，本所律师特别梳理了以下观点以供读者参考。

一、员工接入公司网络如何被识别并监控？

国美事件爆发后，许多网友对公司监控方式、范围和程度表示讶异。

在新技术的加持下，企业有能力实现对员工系统、连续、细致的，“润物细无声”的电子监控。笔者检索提供上网行为管理服务的头部企业发现，目前企业对于员工上网行为管理主要通过以下两种路径：

软硬件一体，通过与防火墙、终端安全管理系统、准入控制系统联动，达到网关边界联动防御效果；

软件，在客户端上集成旁路/网桥/装客户端/帐户等各种监控模式，同时防卸载、防屏蔽，实现比硬件更强大的管理功能。

目前的解决方案基本都可以实现对用户上网应用和流量控制、访问URL过滤、访问内容审计、日志记录留存、上网行为监控、工作效率分析等功能，甚至能够监控桌面屏幕和聊天软件。

以公共网络监控为例，如果使用企业公共Wi-Fi接入互联网，网关完全有能力识别并记录访客登录认证方式（如游客账户、员工账号、手机号等），收集访客终端类型（iOS、安卓、其他终端），也可以对各种认证方式下接入的终端mac地址、访问次数、累计时长和流量、访问界面标题及网址等信息进行记录。

而采购或自行搭建网上行为管理功能的客户遍及各个行业、各种体量，不乏知名大型企业。劳动争议司法实践已经出现了公司通过监控员工电脑获得的证据，法院一般认为工作电脑应当用于公司工作，公司出于管理目的对单位工作电脑进行监控没有侵犯个人隐私的主观故意并无不当1。

诚然这种监控对于提高员工工作效率、规范员工上网行为、保护企业信息安全、防范数据泄露风险具有重要意义，但新型监控往往给员工权益保护带来重大挑战。例如通过公司网关监控员工私人终端仍存在较高侵权风险，由于此种信息仅在后台呈现，如果没有事前充分的披露，员工往往对信息收集行为和收集内容一无所知，员工隐私和个人信息极易遭受侵犯。

二、公司能否设立内部管理制度约束员工“摸鱼”行为？

从技术上确实可以实现对员工上网行为的监控，那从制度上而言，公司能否设立内部管理制度约束员工“摸鱼”行为呢？

答案是肯定的，公司有权制订内部管理制度约束员工“摸鱼“行为，但制度的制订和实施仍须遵守一定的程序和实体规范，方能对员工产生法律效力、规避违法风险。

《中华人民共和国劳动法（2018修正）》第4条规定用人单位应当依法建立和完善规章制度，保障劳动者享有劳动权利和履行劳动义务。《劳动合同法》第4条要求，用人单位在在制定、修改或者决定《员工手册》《员工行为准则》等规定劳动纪律、涉及劳动者切身利益的重大制度或事项时（下称《员工手册》）应当：

1. 履行民主程序。这要求职工代表大会或全体职工对政策草案讨论并提出意见，还要求公司与工会或者职工代表就政策内容进行平等协商。用人单位和职工可以通过全员邮件征求建议，召开和参与全员大会，分组民主评议等方式实现民主平等协商。用人单位应当留存相关会议纪要、与会人员的签字、投票表决情况等书面文件以证明民主程序的履行。

2. 公示或告知劳动者。用人单位可以通过OA公示《员工手册》、《员工手册》签收函、劳动合同约定或承诺书、培训签到记录、考试问卷等书面文件以证明其确实进行了公示。

3. 合理设置员工守则内容。明确规定禁止的行为，合理设置奖惩程度。根据江苏、上海和北京等地的司法实践，法院和仲裁机构还可以对规章制度内容的合法性、合理性进行审查，排除对劳动者不公平不合理的规定。2如果强制劳动者提供大量无关个人信息，将难以获得支持。

4. 除此以外，用人单位还应当定期对新老员工进行培训、考核，对内容更新和限制员工权益的重点条款尽到提示义务，确保劳动者充分了解其权利和义务。

5. 在依照员工守则进行处罚时，应当保障员工的知情权、申诉权、送达和其他权利，遵守处罚适当、一事不再罚、过时不罚、处罚制度化等原则。

6. 满足合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式强员工接受相关制度。

本案中，国美在通报中提及其内部《员工行为规范及办公场所管理标准》不提倡在工作时间内在办公区域从事与工作无关之事，其已经多次组织员工培训学习员工行为守则。本次处罚是在依规定经过HR核查，并由员工本人签字确认后作出的。3如果员工守则是依法依规通过的，且确实规定禁止员工工作时间娱乐，那么依规处罚具有一定合理性。但如果《员工手册》中没有明确规定为禁止员工娱乐，将对员工上网行为进行监控、管理和处罚，或规定比较笼统，又或规定的管理措施与公司合法目的显著不相称，处罚将面临合法性挑战。

三、即使有反“摸鱼”制度，公司监控员工上网行为就一定合法吗？

《员工手册》能够帮助企业有效规范员工行为，防范法律风险。但在劳动准则规定以外，监控员工上网行为信息还有哪些条件呢？

（一）明确员工上网行为信息的性质

从本案公开内容看，国美处理的信息既包括员工姓名、部门、楼层等个人信息，也涉及与员工以上个人信息相关的、可能不愿意为他人知晓的非工作活动流量信息。为了实现监控，企业还可能收集MAC地址、唯一设备标识符、员工账号、手机号及对应的上网行为等信息。虽然我国学界对于隐私权（人格权）保护与个人信息保护制度的态度不一，但按照《个人信息保护法》的定义和《民法典》的措辞，这些私密的关联信息既属于个人信息也属于隐私。4

《民法典》第一千零三十四条第二款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”就隐私权而言，《民法典》明确了自然人享有隐私权，任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。除权利人明确同意外，任何组织或者个人不得拍摄、窥视、窃听、公开他人的私密活动，不得处理他人的私密信息。

所谓隐私的判断，即“私密性”，通俗来讲，基于个体的差异性，不愿意为外人所知悉的信息都可以被判断为隐私。在这种程度上，如果员工使用的是公司配置的电脑，在工作场所、使用工作电脑、接入工作网络，由此产生的浏览信息属于隐私的程度较小；而如果员工使用的是私人手机或私人电脑等同时兼备工作和生活属性的工具，虽然员工接入了工作网络，但由该私人工具载体上产生的信息被认定为隐私的可能性较大。

这意味着，如果公司监控或公开员工私人工具上生成的私密活动信息（如网页浏览记录、邮件内容等）依照《民法典》的规定则必须经过员工知情同意。

（二）《个人信息保护法》能否豁免公司处理员工上网信息的“获得授权同意”的义务？

学界对于《个人信息保护法》第十三条5的豁免程度有不同意见。有学者认为，第二到七项仅豁免一般处理活动的“同意”要求，不豁免处理敏感个人信息、对外提供或公开个人信息等特殊处理活动的特殊告知事项和同意要求（即“单独同意”的要求）。也有学者认为两种处理活动均应豁免，否则将影响信息交换效率，削弱豁免的效果。

笔者赞同后一种意见，对于敏感个人信息或者放大到隐私信息来看，同样适用《个人信息保护法》下第十三条规定的豁免，即《个人信息保护法》第十三条的豁免情形同样豁免了“单独同意”。

但就本案而言，国美是否当然可以主张豁免“授权同意”需要综合考虑以下情况：

1.履行法定职责或法定义务所必需的情况：

出于网络安全保护等目的，公司负有收集网络用户信息的法定义务。例如《互联网安全保护技术措施规定》（公安部令第82号）要求互联网服务提供者和联网使用单位应当记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施以确保网络安全。因此公司有义务针对员工的上网行为收集和留存部分信息而无需获得员工的同意。

本案中，国美虽然有权依据以上规定采集部分员工上网信息，但鉴于目的不同，采集后用于反“摸鱼”管理并不属于履行法定职责或法定义务所必需，因此公司不可基于此主张豁免同意。

2.实施人力资源管理所必需的情况：

国美收集员工上网行为信息并内部通报员工上网行为信息，笔者认为不可简单适用《个人信息保护法》中有关“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”规定，当然认为无需向员工获得授权同意。

（1）如何理解“按照劳动规章制度实施人力资源管理所必需”？

一般来讲，公司人力资源管理的目的包括考勤、行为管理、绩效考核、假期管理、薪酬福利、奖罚、培训等。如前所述，即使公司制定的反“摸鱼”制度确实经过了合法合理的程序让全体员工知悉、清楚相关规定，但这并不当然意味着基于这一制度，公司为实现监控目的可以收集员工的任何信息。在确定为实现这一目的需要处理（包括收集和对内通报）的个人信息时，应当同时考虑所收处理的个人信息的合法性、必要性和合理性，应当采取对个人权益影响最小的方式处理个人信息，例如如果只是为了达到通报存在员工摸鱼的行为，是否有必要明示使用的具体软件？例如对员工进行上网行为监控的时候，是否有必要采集多种类信息作为识别特定个人的标识符？

（2）即使公司有权主张授权同意的豁免，公司就其监控员工上网行为是否可以豁免“告知”义务？

根据《个人信息保护法》第七条“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”基于这一条，即使公司可以主张依据“人力资源管理所必需”就其监控上网信息行为无需获得员工授权同意，但公司仍需承担告知义务。公司应当本着诚信原则收集员工个人信息，以公平、正当的方式获取个人信息，不得强迫或变相强迫员工提供非必要个人信息。

公司承担的告知义务并不可简单得被理解为“告知规章制度的要求”或“告知员工将进行监控”，公司制定的反“摸鱼”制度是对处理员工上网信息的目的，但并不包括收集、识别员工个人上网信息的规则，公司应在《员工手册》和/或劳动合同中明示公司对个人信息的处理规则，告知员工在使用公共网络/终端设备/其他资产/在公共区域时其行为可能被监控、监控的手段（至少应提供基础性介绍）、监控范围、监控方式、基于监控可能会产生的结果/后果。

四、通报员工“摸鱼”信息合法吗？

一、国美将员工上网行为信息进行内部通报合法吗？

本案中，个人信息处理者是国美公司，员工属于个人信息主体，当国美公司将其收集的个人信息对公司内部通报时，即在特定范围内向特定主体提供由其处理的个人信息。这种行为属于《个保法》意义上的“对外提供”，其他看到本份通报的员工属于个人信息接收者。

如果公司基于合法程序制定的管理制度中曾明确规定“摸鱼”行为的处罚结果包括对内通报，那基于《个人信息保护法》的规定，对内通报无须再次征得个人同意。但如果制度规定不明确，对外通报仍须取得个人单独同意。

二、国美部分员工将该通报信息向公众提供合法吗？

基于前述的分析，内部通报在一定程度上存在合理合法性，但将该等载明员工姓名、部门、上网信息的通报信息（且鉴于该等通报信息作为内部处罚，该份通报信息可能还会对特定个人产生负面社会评价）向社会公开则显然不具有合法性。

一方面，从公司规章管理制度而言，如果基于经公司合法通过的管理制度（可参照本文第二章的说明判断），该份通报信息属于保密信息，则员工向社会公开通报信息属于泄露公司秘密的行为，基于“保密协议”或有关“保密管理制度”，应当承担违约责任或内部处罚；

另一方面，有权处理员工个人信息的是公司主体，其他员工将载有其他员工个人信息的材料（最初流露的版本中未马赛克员工姓名）向社会公开，属于公开个人信息的行为，基于《个人信息保护法》的规定，公开个人信息应当取得个人信息主体的单独同意。且从本案来看，向社会公开该份未隐掉员工姓名的通报材料并不具有可豁免同意的合法理由。

五、其他

基于《个人信息保护法》第九条，企业应对处理活动负责，并采取必要措施保障所处理的个人信息的安全。基于此，公司收集、监控员工上网行为信息除满足前述的要求外，还需采取必要组织、技术、管理措施保障个人信息安全。例如对相关上网行为进行自动监测预警、减少人工访问，对管理后台设置严格访问限制，对敏感个人信息加密等。针对本案中的员工个人泄密行为，公司除了进一步完善和落实保密和公文管理制度以外，也可以采用密级标注系统、访问者身份水印系统、限制截图传播等技术手段提升公司信息安全和数据资产管理能力。

结语

  无论使用何种高科技管理员工，公司都应该牢记基本的劳动者权益和数据保护原则。诸如在工位上摆放智能坐垫监控员工心率、用智能手环定位保洁工人移动速度等超出合理范围的监控不仅无法实现管理效果，还容易侵犯员工隐私、引发员工信任风险和企业公关危机。6即使法律豁免公司在处理员工个人信息时取得员工知情同意，公司仍应本着合法、正当、必要、诚信、公开透明、最小限度、质量保证、安全保障原则处理员工个人信息，确保公司处理目的明确且合法，处理方式是对员工权益侵犯最小且符合比例的。（作者：星来律所史倩君律师 ）

1 (2019)鲁06民终7145号，(2019)湘0105民初5287号。

2 江苏省高级人民法院、江苏省劳动争议仲裁委员会《关于审理劳动争议案件的指导意见》、(2016)沪02民终1863号、(2018)京03民终15419号。

3 贝壳财经：《国美回应通报员工上班“摸鱼”：公示前和员工确认 将追责外泄者》，https://tech.ifeng.com/c/8BGFnQCJZY1，2021年11月18日访问。

4 《个人信息保护法》第四条第一款：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

5符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

6神译局：《用技术监视员工、量化员工，企业终将变成“圆形监狱”？》，http://www.36kr.com/p/1725158670337，2021年11月19日访问。