法律的发展

雇主访问雇员个人设备上的数据是否被禁止

2023年5月9日

分享分享
英雄形象
分享

    雇主有时有理由相信员工在公司外分享机密信息,或将个人设备用于工作目的。问题来了,雇主是否可以从员工个人设备上的WhatsApp或类似信息服务中获取数据?bob直播软件

    本文考虑了在英国、欧洲和亚太地区访问或监控员工设备的数据保护、就业和金融监管问题。

    数据保护

    监控员工的个人设备必须按照欧洲和英国的数据保护立法进行。除其他事项外,处理必须是公平的,并且必须有合法的基础。

    这样的要求给监控员工的个人设备带来了挑战。例如,在法律基础上,两个可行的选择是同意和合法利益。同意不太可能有效,因为它必须是自由给予的,而且在雇主与雇员的关系中,存在权力不平衡。此外,必须在充分了解所有有关事实的情况下给予同意,这在调查中可能是困难的。最后,雇员必须能够在任何时候撤回同意。

    另一种依据是合法利益。例如,在一些欧盟成员国,如果存在对犯罪活动的合理怀疑,就可以依靠合法利益。必须实施适当的保障措施,例如严格限制搜索的数据,以保护员工的权利。

    由于这是高风险处理,欧洲和英国的雇主必须在进行任何监控活动之前准备一份数据保护影响评估(DPIA)。这列明雇主将采取的行动,识别任何相关的风险,并考虑雇主的降低风险措施是否足以应付这些风险。如果没有,则不应进行搜索或监测。

    在英国,信息专员办公室(Information Commissioner's Office)最近发布了关于工作场所监控的指导草案(PDF)。它没有具体涉及对个人设备的监控,但警告不要在工作设备上查看个人信息。它指出,即使禁止将工作系统用于个人用途,也不能完全证明访问个人信息内容是正当的。雇主应该通过查看网络数据而不是信息内容来调查违反禁令的员工。

    在亚太地区,即使雇主有正当理由(见下文)要求雇员交出个人设备,他们也需要遵守其数据隐私政策和适用法律。这在跨境调查中可能很复杂,因为数据隐私制度存在不同程度的复杂程度。

    就业方面的考虑

    在普通法国家,雇主必须有权检查个人设备。雇主不太可能在他们的雇佣合同中有明确的合同权利,特别是如果他们提供工作设备。

    相反,雇主必须考虑该要求是否是合法和合理的指示。一般来说,指示必须有一些真实的依据,例如员工承认他们曾将个人设备用于工作目的。随机检查个人设备或仅仅怀疑其用于工作目的,不太可能是合法和合理的方向。

    英国高等法院最近的一项判决(FKJ诉RVT)也包含了一些关于雇主在就业法庭上使用雇员的个人WhatsApp信息为索赔辩护的司法评论。随后,这名员工以WhatsApp消息的使用和保留为由,提起了滥用私人信息的诉讼。

    法官在拒绝雇主提出的取消申索的申请时指出,除其他事项外,该雇员对有关讯息有合理的隐私期望,而与诉讼无关的讯息不应被保留。虽然这是一个临时决定,但对访问员工的个人信息有严格的限制。

    金融监管问题

    受监管实体在文件保留和记录维护方面的义务因司法管辖区而异。例如,在香港,证券及期货事务监察委员会(Securities and Futures Commission)要求证券交易的接单必须以记录的方式进行,但除此之外,除了能够监督员工行为的更一般义务外,几乎没有其他指导。

    同一金融实体运营或总部设在美国等其他司法管辖区,在保留所有与业务相关的记录(包括员工与其客户或联系人之间的通信)方面的义务更为繁重。

    一般来说,金融机构在其主要司法管辖区采用最严格的标准,并将其应用于其全球业务。尽管许多亚洲司法管辖区缺乏对这一问题的监管,但对员工的期望标准是由内部政策设定的,通常禁止员工使用个人设备或未经授权的平台就工作或受监管的活动进行沟通。

    2022年,美国证券交易委员会指控几家受监管实体未能维护和保存电子通信,特别是工作人员故意删除不受监控平台上的信息。例如,美国的执法行动对亚洲客户产生了影响,在任何调查中都更加关注使用未经批准的平台。此外,这一规定与雇主访问个人设备有关。

    在亚洲,可能会有一个更有力的论点,即一个方向是合法和合理的,如果雇主有自带设备(BYOD)政策,要求将其作为使用的先决条件。然而,允许访问个人设备也将面临压力,因为拒绝可能被视为未能参与引发健康和得体问题的调查。

    雇员通常不希望被授权访问他们的个人设备,这些设备包含与雇主的业务或任何正在调查的问题无关的个人信息。通常,一个商定的协议确保雇主不会获得与他们的业务完全无关的信息。这也增加了潜在的复杂性,因为与其他员工或客户的聊天可能包括商业和个人信息。

    所有这些都加强了雇主对将个人设备用于商业目的有明确的合同条款或政策的必要性,即使设备是为工作目的提供的,也需要清楚地传达这些政策。

    在欧洲,根据通用数据保护条例(GDPR)问责原则,个人设备搜索应按照预先定义的程序进行。这通常包含在工程协议、调查程序或BYOD政策中。当从设备中提取数据时,数据保护官、工作委员会成员或员工的法律顾问通常会在场。

    任何未经同意或过度搜查个人设备的行为都可能导致证据在任何劳动或民事诉讼中被排除。

    给雇主的实用要点

    雇主应该:

    • 在英国和欧洲,开展DPIA,并确保在开展此类活动之前进行监测是合理的;
    • 考虑在雇佣合同中加入一项条款,规定可以进行个人电话监控,以确保遵守监管规定——即使设备是为工作目的提供的;
    • 考虑如何处理雇员对持有与雇主查询无关的敏感资料的顾虑;和
    • 确保他们对不恰当地使用个人设备从事与工作有关的活动划定了“底线”,但不要对此视而不见。

    作者:露丝·布坎南,合伙人;合伙人Andreas Mauroschat;合伙人李安农·韦伯斯特;詹姆斯·康伯,合伙人;凯伦·米特拉,律师

    首次发表于汤森路透监管情报。

    主要联系人