用人单位应保护员工隐私与个人信息安全

　　近日，有媒体报道称，深圳某公司在每个员工工位上安装监控摄像头。公司称因为工作性质特殊，对保密工作有严格要求，所以对这部分员工的监控更严格。《中华人民共和国民法典》《中华人民共和国个人信息保护法》对个人信息和隐私权保护均作了相关规定，用人单位应从整体上明确员工隐私与个人信息的范围，统筹保障员工隐私与个人信息安全，依法构建合规性的制度。

　　隐私权与个人信息的区别

　　隐私权与个人信息的分界。隐私权，是指自然人就其隐私所享有的不受侵害的权利，是一种具体的人格权。民法典第一千零三十二条第一款规定：“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”隐私权仅为自然人所享有，法人与非法人组织并不享有隐私权。这主要是因为保护隐私与自然人的精神利益相关，保护隐私主要是为了保护自然人的人格尊严和自由。个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息的核心特点在于识别性，即只有能够识别特定自然人的信息才属于个人信息。这是因为只有对个人信息进行处理活动，才会对自然人的人格尊严、人身自由等基本权利以及人身权益、财产权益造成危险或损害。

　　隐私权与个人信息的不同特征。首先，权利属性不同。隐私权作为一项人格权，性质上属于绝对权（隐私权属于人格权，人格权属于民法中的绝对权，也称对世权，具有专属性），任何组织或个人都必须予以尊重，不得妨害和侵害。个人信息不属于人格权，不属于绝对权，也不属于相对权，比如债权等，对个人信息的保护必须协调自然人权益保护与信息自由和合理使用之间的关系。总体而言，个人信息存在合理使用情形，但不存在隐私权合理使用问题。其次，许可使用不同。隐私权人（享有隐私权的权利人）可以自行处分权利，可以在现实中或网络上向他人或媒体公布其私密信息，但隐私原则上不能许可他人使用或商业化利用。对个人信息而言，尤其是非私密的个人信息，自然人可以许可他人使用，促进网络信息产业发展和数字经济发展。最后，保护法益不同。民法典第一千零三十三条以“列举加概括”的方式规定了隐私权侵害的六种类型，其中未经权利人明确同意而处理私密信息的行为是侵害隐私权行为中的一类。而个人信息权益的保护主要适用于个人信息处理活动，规范的是处理者从事个人信息的收集、存储、使用、加工、传输、提供等。

　　保护员工个人隐私的基本立场

　　用人单位要识别用工中的个人隐私。识别员工隐私是用人单位遵守隐私法律保护要求的前提，用人单位只有在整体上对可能涉及员工隐私的事项进行明确，对其在用工管理全过程中的管理措施进行全面梳理，才能识别可能涉及的员工隐私。如前所述，用人单位在办公场所安装监控录像，以及收集、分析员工在工作电脑或公司内部网络中储存和传输的信息行为，可能涉及侵犯员工隐私。因此，用人单位要在法律规定的范围内明确识别个人隐私的范围。

　　用人单位要明确员工合理的隐私期待。识别员工隐私是用人单位在法律框架下划定隐私范围的前提，有利于明确员工对隐私的合理期待。用人单位在法律规定范围内，可以采取有效措施避免员工对特定信息形成隐私期待，进而避免特定信息落入隐私范畴。例如，用人单位可以在规章制度中向员工明确告知，员工的工作电脑、单位电子邮件系统和单位内部网络等公司的IT设备仅可用于工作用途，员工不应对在上述设备中储存或传输的信息存在任何隐私期待。明确员工合理的隐私期待后，用人单位则有权在符合法律规定基础上对上述信息进行收集、监控或分析。

　　保护员工个人信息的原则和义务

　　用人单位处理员工个人信息的基本原则。个人信息保护法第四条第二款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”用人单位作为个人信息的处理者，在处理员工招聘阶段、在职期间以及离职后的个人信息时，应符合个人信息保护法对于个人信息处理的原则性规定,始终遵守合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。同时，应当具有明确、合理的目的，以及遵循公开、透明原则，避免因个人信息不准确、不完整对员工个人权益造成不利影响。

　　用人单位委托处理员工个人信息时的义务。在用人单位自身无法满足对员工个人信息处理需求的情况下，可能会选择以委托或与第三方机构共享员工个人信息的方式进行。个人信息保护法第二十一条第一款规定：“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。”因此，用人单位在向第三方共享及提供个人信息时，需要综合考虑第三方机构在个人信息处理过程中是否超出约定范围。同时，用人单位还应当对受托方进行监督，以保障本单位员工的个人信息安全。

　　用人单位处理员工跨境个人信息的义务。对跨国用工单位而言，向境外提供员工个人信息，要依法履行个人信息保护影响评估等义务。个人信息保护法第三十八条明确规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。”因此，用工单位因业务需要等向境外提供个人信息的，要遵循个人信息保护法划定的基本条件，完成个人信息保护影响评估。要按照必要原则提供个人信息，并采取有效安全保障措施，避免数据泄露或非法处理。

　　（作者单位：华东政法大学法律学院）