【前沿思考】员工个人数据自动化决策与个人画像数据合规分析

点击上方蓝色文字关注我们吧

员工个人数据自动化决策与个人画像数据合规分析

在过去十年中，自动化决策与个人画像分析已被越来越多地应用于人力资源管理和信息安全控制。在私营企业或公共机构组织中，自动化决策和个人画像主要目的是防止员工欺诈、绩效考核、行政管理和组织内外信息安全控制。由此引发诸多数据合规问题，诸如用人单位的行为是否有合法性基础，其行为边界应置于何地；员工作为弱势一方的隐私权和个人数据权益如何实现，员工是否可以拒绝被画像或者对自动化决策结果提出质疑等问题。

一

欧盟相关法律法规

（一）员工个人数据保护相关法律法规

欧盟员工隐私权和个人数据保护是依据《欧盟人权公约》[1]中基本人权来解释适用的，但也注意到必须权衡员工的隐私权、个人数据保护与用人单位同样受保护的财产权。另外，许多欧盟成员国已经在各自个人数据保护法中明确了员工个人数据保护相关规定，芬兰则更进一步单独针对工作领域中的个人数据保护进行了立法[2]。

关于个人数据保护具体法律法规，1995年《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC/号指令》、2002年《电子通信领域隐私指令》和2018年《通用数据保护条例》（以下简称GDPR），都规定了具有约束力并且详细的个人数据保护规定。GDPR第88条具体规定了关于人事领域的数据处理：用人单位在处理员工个人数据时，应确保员工个人权利和自由能够获得保护，特别是在招聘或履行劳动合同过程中，包括在法律上和劳动协议中确立的各方义务、经营管理、计划和组织工作、平等和多样性、员工健康和安全、员工和客户财产保护;或者是为了个人或集体享受就业有关的权益；或者以终止雇佣关系为目的。这些规则应包括通过适当和特定的措施以保护员工的人格尊严、合法利益和基本权利，特别是在数据处理透明性、企业集团内个人数据转移、联合经济活动和在工作场所监控系统方面。

1、员工数据保护一般原则

用人单位在日常运营活动中，无可避免地会收集、存储、使用、处理和转移员工个人数据，其构成GDPR中定义的单独或与他人共同决定个人数据处理的目的和方式的数据控制者。因此用人单位必须首先遵循GDPR中个人数据保护的一般原则，所有员工个人数据处理都必须在数据保护法律的限定范围之内。如用人单位收集数据必须取得员工的同意，告知员工个人数据处理的种类和范围，且所收集数据应当是适当的、相关的；用人单位必须基于特定、明确和合法的目的收集、处理员工个人数据，且不得用于其他目的；数据的存储不应超过为此目的所需的存储时间，同时赋予员工查询、更改、删除个人数据等权利。

2、工作场所中的同意难题

在GDPR中，同意必须是由数据主体基于意志自由明确、积极地作出。当同意应用在工作场所中时，员工不应因不同意处理自己的数据而承担不利后果，如失去工作的风险。但事实表明，员工在面对这种风险时或多或少有意识地放弃了隐私权和个人数据。主要原因在于，雇佣关系一般而言意味着从属（法律）关系。员工根据劳动合同在雇主的授权下执行工作并得到报酬。这意味着雇主可以依据合同对雇员行使“权力”。和许多其他新技术一样，自动化决策机制与个人画像会导致信息平衡发生变化，从而导致权力的天平更加向用人单位一方倾斜。

鉴于此，芬兰在其员工数据保护法中规定[3]，用人单位仅被允许处理与雇佣关系直接必要的个人数据，或由工作特殊性质引起的个人数据处理，否则即使得到雇员的同意也是属于违反相关规定的。另外，为鼓励利用工会的力量，许多欧盟成员国内的公司内部都设立了劳资委员会，由员工代表与用人单位谈判，以在促进员工权利方面发挥强大的替代作用，尤其是在保护其数据保护权利方面。

（二）自动化决策与个人画像相关法律法规

GDPR中对于个人数据自动化处理和个人画像有明确的规定，数据主体有权拒绝用人单位作出自动化决策。自动化决策是指仅基于自动化处理对数据主体的个人方面进行评价,并且会对数据主体产生法律影响或与之相类似的显著影响，比如在无任何人为干预的情况下自动拒绝贷款申请或工作申请。具体而言，自动化处理和个人画像行为包括任何形式的、评价自然人的个人数据自动处理所组成的识别分析，特别是分析或预测数据主体工作表现、经济状况、健康、个人偏好或兴趣、可靠性或行为、地点定位或行为轨迹，并且该处理对数据主体产生了法律影响或类似的显著影响。但是，在数据控制者所适用的欧盟法律或成员国法律明确授权的情况下，应当允许数据控制者作出基于前述处理的自动化决策，比如以监控和预防欺诈和逃税行为目的，为了保证数据控制者提供服务的安全性与可靠性，或为了缔结、履行数据主体和数据控制者间的合同所必要，或数据主体明确表示同意的。但是在任何情况下，自动化数据处理都应有适当的保障措施，包括向数据主体提供具体信息，授予数据主体获得人为干预的权利，允许数据主体表达其观点、获得评估后对该决策的解释以及对决策提出质疑。值得注意的是，此处不适用于儿童数据保护。

换而言之，应当仅在特殊条件下才允许对特殊类型的员工个人数据进行自动决策和识别分析。同时，为了确保对员工个人数据进行公平透明的处理，应考虑员工个人数据处理的特殊情形和场景。用人单位应使用适当的数学或统计程序进行识别分析,实施适当的技术措施和组织措施以修正会导致个人数据错误的因素,并将错误的风险最小化。为了保护员工个人数据,将可能影响员工利益和权利的潜在风险考虑在内，尤其是防止基于种族或民族、政治观点、宗教信仰、工会成员身份、遗传或健康状况以及性取向或其他具有类似效果的因素而对员工产生歧视性影响。

二

中国相关法律法规

（一）个人信息保护相关立法

《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”《网络安全法》第41条[4]、42条[5]也作出了个人信息保护的相关规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则以及公开收集、使用的规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

2020年3月7日，新版GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布，尽管其并非国家强制性规范，但在我国个人信息保护领域具有重要的引领地位，且监管部门依据此标准执法的可能性很大，其对于自动化决策和个人画像都有具体规定。

自动化决策系统是个人信息控制者业务运营所使用的信息系统，其中具备自动决策机制且能对个人信息主体权益造成显著影响的(例如，自动决定个人征信及贷款额度，或用于面试人员的自动化筛选等)，应当做到:a)在规划设计阶段或首次使用前开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施;b)在使用过程中定期(至少每年一次)开展个人信息安全影响评估，并依评估结果改进保护个人信息主体的措施;c)向个人信息主体提供针对自动决策结果的投诉渠道，并支持对自动决策结果的人工复核。由此可以看出，在我国，员工个人并没有拒绝用人单位自动化决策的权利，仅可针对结果提出质疑和投诉。

另外，该规范对个人信息控制者实施的用户画像作出限制性规定。就用人单位而言，在业务运营或对外业务合作中使用用户画像的，不应侵害公民、法人和其他组织的合法权益。除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。换言之，针对员工群体性画像在我国或是可行的。

（二）劳动法相关规定

根据《劳动法》总则的相关规定，劳动者有遵守劳动纪律和职业道德的义务。而用人单位应当依法建立和完善规章制度，保障劳动者享有劳动权利和履行劳动义务。值得注意的是，劳动者可以依照法律规定，通过职工大会、职工代表大会或者其他形式，参与民主管理或者就保护劳动者合法权益与用人单位进行平等协商。即在企业依法建立和完善规章制度的前提下，员工有义务服从用人单位的工作管理，有义务遵守用人单位的制度性规定或者合同约定。同时，员工有依法维护自身合法权益的权利，如通过工会组织与用人单位协商数据收集范围、自动化决策和个人画像的的必要性等事宜。

（三）小结

目前，中国公司可根据业务性质或者特殊需求实施自动化决策和个人画像。用人单位为了防欺诈、绩效管理和安全控制等原因而使用自动化决策系统和个人画像时，应提前做个人信息安全影响评估且在后期定期展开此项评估，建议在评估过程中征求员工或者工会的意见，与员工协商自动化决策和个人画像的的必要性。用人单位还应建立自动决策结果的投诉渠道，并支持对自动决策结果的人工复核。针对员工个人画像的，要征得员工的授权同意，且不能危害员工个人权益，如造成歧视性影响等。

三

用人单位对员工实施自动化决策和个人画像主要场景的合规分析

（一）流量与邮件监控

为了保护商业秘密、提高工作效率或者满足IT安全控制需求，许多用人单位对员工实施网络流量和电子邮件监控。用人单位通过实施防火墙、入侵检测和入侵响应系统来实现内部和外部的安全控制。根据可配置的监控策略，监视主机或网段的网络流量，并报告潜在的安全事件，这其中包括员工的主机和网络通信内容。尽管入侵检测通常是针对来自外部网络的攻击威胁，但其用于防止组织内部员工信息盗窃的用途也变得越来越重要。另外，用人单位利用各种工具和应用程序自动分析员工的电子邮件，可以实现暗中邮件转发、邮件分析和报告。从技术角度来看，均可能涉及基于数据挖掘技术的自动化决策。

在我国当下法律背景下，建议用人单位在内部电子手册或者其他管理规定中，首先定义网络监控目的和范围，以便向员工提供透明的政策，划定权限内使用范围。在手册中设置“电子邮件使用规则”专章规定，员工的工作邮箱不应用于处理个人事务。一般情况下，可以列明用人单位可能会查看其电子邮件的详细规定，概述其必要性、紧迫性、所需信息的种类和范围。如自动化邮件监控可能对员工权益产生影响的，应提前做个人信息安全影响评估且在后期定期展开此项评估，建立自动决策结果的投诉渠道，并支持对自动决策结果的人工复核。

尽管公司的最佳实践是在员工手册上写明邮箱仅可用于公务，且声明用人单位核查过程中不存在侵犯员工隐私的风险。但员工仍然有可能需要通过工作邮箱处理个人事务，在此种情况下用人单位的监视措施必须符合严格的保密要求。严格禁止存储、披露员工个人邮件内容，除非存在对犯罪活动的实质性怀疑，需要准备刑事诉讼程序而收集证据。以避免被认定为在其实施监控和检查的过程中侵犯员工的个人隐私和个人数据权益。

（二）防欺诈软件

在零售业经常使用个人画像软件来检测异常现金流，以防止财务人员挪用资金或者监控现金退款交易。通过数据挖掘财务人员的操作记录，可以推测出财务人员是否有违规倾向，如果有必要可以有针对性地深入调查。从技术角度来看，用人单位可能会使用关联、聚类和分类的数据挖掘技术，对员工进行个人特征画像和非分布式的群体性画像。此种监控软件系统的使用将不可避免地触及那些不能被指控触犯刑法的员工的基本权利，这些员工将不得不承担因自动化处理而被指控的风险。

因此，如果在劳动合同中规定关于使用自动化处理活动，则必须考虑到，用人单位实质上是在没有具体线索或没有犯罪行为证据的情况下进行监视员工。为了保护员工的基本权利，遵守数据保护法的规定和原则，用人单位需遵守以下原则：

第一，目的限制原则。所收集数据不能用于其他目的。禁止对过时的数据集进行分析。必须提前通知员工监控系统将被激活，并且必须说明业务操作监控的目的。

第二，不得将纪律处分与评估结果直接联系在一起。对结果的误解可能导致不公平的做法和歧视，因此必须在员工协议中声明，评估结果将不会用于个性化绩效监控等目的。

第三，对财务人员使用的监控仅在员工有故意操纵嫌疑时才能介入调查。例如，整个监控系统使用假名运行，收银员只能通过其收银机号码来识别。只有在有确凿证据证明时，才能进行实名深入调查。

第四，所有提供合理怀疑证据的数据也必须为保护犯罪嫌疑人的权益而存储，以便员工可以使用此类数据证明无罪。

第五，监控系统数据的授权和访问应限制为少数审核人员。为了使数据传输到审计部门的合法性和安全性，必须采取进一步的技术和组织措施予以保障。

（三）绩效考核软件

    一些用人单位使用人力资源管理工具汇总分析所有员工的潜力和能力，并针对员工的年龄、资历、工作绩效和薪水等作出评估，以优化公司内部的人力资源部署。从技术角度来看，其使用了聚类或分类的数据挖掘技术，可归为群组画像。

由于可能涉及复杂的自动化处理，在我国数据合规实践中，用人单位应谨慎采用自动化决策软件。因此应提前做个人信息安全影响评估且在后期定期展开此项评估。本着公平透明的原则，应告知员工评估工具的内在逻辑，给予员工定期查看有关其个人数据处理结果的权利。最后评分过程的结果不得自动应用于员工，而应为每个员工提出质疑的渠道。

四

总结

劳动合同的存在并不意味着员工在工作场所的基本权利可以被剥夺或者限制。工作场所中的个人数据保护旨在保护员工的个人尊严和自由。员工个人隐私权也应该在工作环境中得到保护。从劳动合同关系的开始到结束，用人单位都必须考虑到隐私权和个人数据保护的基本原则，并保证员工了解其数据正在处理的权利以及提供查询、删除和更正等渠道。

员工数据保护的关键在于在何种程度上允许用人单位监视员工的通信数据记录。关于员工个人数据保护，在用人单位招聘阶段、背景调查、考勤（生物信息收集）、人力资源外包、员工个人信息跨境传输和并购重组等方面，都会涉及到个人信息收集和处理，用人单位有必要结合人力资源管理过程中所涉及的个人信息收集、存储、使用、传输、共享等场景，将个人信息保护的合规要求融入到人力资源管理过程中。此外，劳动合同、保密协议以及员工手册等内部规章制度、业务合作协议等都需要根据数据合规和个人信息保护的规定予以更新。

编者按：本文由互联网法治研究院（杭州）研究助理张晓丽撰写，由互联网法治研究院（杭州）专职研究员、华东政法大学助理研究员王镭审校 ，互联网法治研究院（杭州）秘书处徐静赛编辑。

注 释

互联网法治研究院 原创发布

往期精选

【征稿启事】《互联网法治前沿》征稿啦，诚邀您投稿！

【前沿思考】当前数据跨境流通政策和立法研究综述

程金华 | 人工、智能与法院大转型

专注“互联网法治”研究👉