文丨史庆(江三角·上海)
1
企业调查权与员工隐私权的固有矛盾与制度困境
在相当一部分国家的劳动立法中,规定有雇主基于雇员违纪行为(misconduct)作出处罚(punishment)前的内部调查(domesticinquiry)程序,"未经正当调查(dueinquiry),任何雇员不得被立即解除、降级或给予其他公正且恰当的处罚"。调查本身的正当性因此受到司法实践的关注,大量判例暴露出内部调查前后员工与企业的一系列法律冲突,而由于企业调查不可避免的涉及个人信息,因此也就不可避免的与个人信息隐私权发生冲突。在这一领域,部分国家出台的隐私立法,与反歧视法一道,构筑了雇员私人领域的防卫城墙。
合规调查与员工隐私权的冲突基于企业的合规管理所产生,其本质系企业的知情权和管理权与员工人身自由权的矛盾。相较于域外国家和地区,我国的企业内部合规调查中的个人隐私保护则存在特有的法律困境。一方面,随着《企业职工奖惩条例》的废止,我国当前劳动法律法规并没有(甚至仅仅在原则上)规定有雇主在对雇员处分前的调查程序及其合规性要求,理论与实务界亦没有形成一套类似于"自然正义"(naturaljustice)的惩处原则,政策的不透明性导致司法实践中企业的部分调查程序被认定不当,因此作出的调岗、降薪、停职、解除等行为被认定为违法;另一方面,近几年来随着网络空间主权意识的兴起,国家逐渐在执法和司法层面加强个人信息保护,新出台的《网络安全法》和《民法总则》更是将个人信息权提升到前所未有的高度的同时,企业如何合法采集、保管、使用、转移和披露个人信息则存在制度落差,国家的配套政策亦在酝酿。两方面的制度真空增大了企业合规调查侵入员工私人领域边界的模糊性,违法的调查不仅可能使得整个纪律处分的法律效力落空,更可能导致对员工个人信息权等人身权的侵犯。下面选取合规调查常涉及的两种取证方式介绍我国当前个人信息立法的适用情况。
2
员工个人财产检查
如果说企业基于生产目的、合规要求或公共利益对自己所有的场所、设备和软件的监控具有合理性,那么检查工作场所内的员工个人财产则缺乏合理性。例如,在一经典案例中,某公司担心员工与一名被解除的前高管沟通,要求他们将手机通话和短信记录交由现任主管人员查阅以确认。查看期间有保安在各楼层巡视,公司亦未禁止员工离开房间。后一名员工起诉认为公司侵犯隐私权,经一审、二审,最终支持了该名员工的诉求。二审法院认为虽然公司《员工手册》规定"员工有义务积极配合公司内部或应国家权力机关要求组织的调查工作",但"该公司通过召集会议将员工集中起来,逐个查看手机的方式来进行所谓的'自力救济',明显超过了合理的限度。""公司如果认为自己的权利受到侵害,应当依法维权,并通过保护现场、对相关员工进行谈话、制作笔录等合理的方式配合、协助公安机关调查取证。"该案例的裁判要旨即确认了企业采集员工储存于个人财产中的个人信息的界限--必须具备充分理由并取得员工的同意,且需要证明在能够达到该目的的前提下已最小程度侵犯员工的隐私权。这事实上与《网络安全法》确认的"合法、正当和必要"原则相一致。同样的情形也发生在诸如大型零售行业、制造行业中,这些企业往往设置安监通道,要求员工上下班通过,必要时需要员工打开包进行检查;开私家车的员工,离开厂区需要打开后备箱接受检查。如果这一检查的目的在于安全生产,则尚具有合理性。但如是为了防止盗窃或保护商业秘密,那么在已安装监控设备的情况下,则不具备手段上的必要性,可能构成对员工信息隐私权的侵犯。
3
质询
在涉及举报人或申诉人的合规案件中,对举报人、申诉人及其他相关证人的个人信息保护同样重要。如企业在收到员工申诉或举报后如以不当的方式取证,则可能侵犯了其个人信息自决权(或称个人信息管控权)。一案例中,公司在某日晚安排姜某(女)与谢某(男)值班。后姜某向公司负责人时某反映说,该晚谢某曾对其有调戏的语言和行动,并敲其宿舍门窗。负责人时某于数日后在分公司食堂组织召开职工大会,称已针对此事作出调查但谢某予以否认,问姜某是否同意对质,在姜某明确拒绝的情况下,谢某坚决要求对质。在谢某质问过程中,姜某情绪激动,拿起菜刀割伤左手腕。治疗后,姜某认为谢某和时某公开披露其隐私信息的行为,使其处于秘密状态的私生活情况被泄露和传播,侵犯了其隐私权,遂起诉谢某、时某及公司,要求赔偿精神损害抚慰金。本案经一审、二审,法院认为:"任何人均无权泄露和公开与个人隐私相关的信息和内容,姜某当然有权要求所有人在公众场合对直接关系到她的所谓'性骚扰'事件保持沉默,而不论谢某有没有实施过性骚扰行为、实施过怎样的性骚扰行为","公司负责人时某以召开会议的方式公开谈论并试图'查明'他人隐私的行为,足以构成对姜某隐私权的侵犯。时某作为公司负责人,赔偿责任应由公司转承。"最终法院支持了姜某的部分精神损害抚慰金要求。事实上,不论这一行为是否发生、是否构成"骚扰",姜某向时某申诉的行为均构成对"其认为其遭受了他人性骚扰"这一个人信息的披露,而时某作为公司代表的不当处分则同时构成公司和其个人对他人个人信息的"非法公开"。此案例不仅确认了在企业管理者处理不当时,企业应承担完全的替代责任,也确认了企业及管理者在处理性骚扰案件中的对受害者个人信息的安全管理义务,这些信息的处理不应超出特定的范围与处理方式。
4
最新个人信息立法对企业人力资源管理的影响
随着《民法总则》、《网络安全法》及个人信息保护相关配套措施的实施,个人信息立法将对企业人力资源管理产生一定影响。一方面,《民法总则》的出台以及国家对个人信息保护执法上的趋严,使得个人信息的收集被认定违法的风险大大增加。就目前公开刑事案例来看,既存在企业销售人员非法购买"客户名单"获刑的案例,也存在企业人事非法购买员工简历获刑的案例。而企业对员工的人力资源管理行为,包括但不限于各类信息采集、监控、调查以及外部合作,均涉及个人信息,其中不乏行踪轨迹信息、通信内容、征信信息、健康生理信息、指纹、虹膜、网页浏览记录等等个人敏感信息,进而可能侵犯到员工的个人信息隐私。另一方面,《网络安全法》对所有"网络运营者"施加了较为严苛的个人信息保护责任,包括制度设计、风险评估防范、报告、安全制度、信息收集、适用、转让与披露规则等。此外,如涉及个人数据跨境传输,除应遵守中国法律规定外,还应遵守传输国有关个人信息保护的法律规定。
