域外 | 英国ICO：工作场所员工监控数据保护指南

前言

英国信息专员办公室（Information Commissioner’s Office，以下简称“ICO”）于2023年10月3日发布了一份指南，呼吁雇主在工作场所实施任何监控之前考虑其法律义务及员工的权利，提醒任何监控都必须符合英国数据保护法的要求。

随着远程工作的兴起以及可用技术的发展，越来越多的雇主正寻求对其员工进行不同程度的监控检查。根据ICO委托进行的研究显示，有19%的人认为他们受到雇主的监控；有70%的受访者表示，他们会认为工作场所的监控具有侵扰性。过度的监控可能会对员工隐私造成困扰，以及触发法律合规问题。

ICO的新指南针对公共以及私营部门的雇主，为其合法公平的进行监控提供指引。除法律要求外，该指南还包括了良好实践建议，以帮助雇主与其员工之间建立信任关系，同时尊重其隐私权。指南概述了数据保护法如何适用于监控员工的个人数据处理，还考虑了特定类型的监控实践，包括使用生物识别数据来监控员工出勤情况的条件等。

如果企业希望监控员工的，则必须采取以下措施：

• 让员工了解监控的性质、范围和原因。

• 确保监控有明确目的，并使用最少侵入性的方式来实现。

• 有处理员工数据的合法依据——例如员工同意或法律义务。

• 以易于理解的方式向员工告知任何监控情况。

• 仅保留与其目的相关的信息。

• 对任何可能对员工权利造成高风险的监控进行数据保护影响评估（Data Protection Impact Assessment, DPIA）。

• 如果员工提出主体访问请求 (Subject Access Request, SAR)，则可以向他们提供通过监控收集到的个人信息。

一、监控目的、范围及技术

实践中，雇主在工作场所可能会涉及的监控技术和目的包括：摄像头监控，包括出于健康安全目的的可穿戴式摄像头；网络摄像头和屏幕截图；用于监控计时或访问权限的技术；跟踪、捕获和记录键盘活动的击键监控；记录员工如何度过时间的生产力工具；跟踪互联网活动和击键；用于追踪员工位置的穿戴式设备；隐藏录音。需要注意的是，无论技术如何，雇主都必须遵循数据保护原则。

秘密监控（covert monitoring）：指以员工不知道有监控的方式进行监控。在大多数情况下，雇主不太能证明秘密监控的合理性。特殊情况是，需要秘密监控才能防止或发现可疑的犯罪活动或严重不当行为。

生物识别数据（biometric data）：根据英国数据保护法的定义，生物识别数据是某人独有的个人信息，与其行为或生物学有关，且是通过技术获得的。生物识别数据包括：指纹、虹膜扫描、视网膜分析、面部识别以及语音识别等。生物识别数据的状态会因为雇主使用目的而改变。当雇主目的是唯一识别时，如访问权限或计时，需要进一步的保护措施。如果雇主使用生物识别数据来识别特定人员，则会成为特殊类别数据。如雇主以公共任务或法定利益为依据收集员工的生物识别数据，则员工可以反对；如雇主以员工同意为依据，则员工可以撤回同意，雇主应为其提供替代方法，并确保不会对其造成损害。

实践中，雇主使用刷卡、PIN码和密码来控制员工对建筑物和IT系统的访问是很常见的。由于技术发展，在相关领域对于生物识别数据的使用也越来越广泛。需要注意的是，生物识别数据的使用会对员工的数据保护权利和自由造成风险。因此，雇主应考虑是否有其他替代方法可以实现其预期目标。在考虑收集、使用和存储生物识别数据时，建议雇主考虑是否需要额外的安全措施。

二、员工监控的法律依据

英国数据保护相关的法律不会阻止雇主监控员工，但要求雇主必须以符合数据保护要求的方式进行监控。在决定是否监控员工时，雇主应仔细平衡其商业利益与员工法定权利和自由。

要合法收集和处理员工信息，雇主须先基于需要监控的原因，确定最适合具体情况的合法依据——

1. 同意（Consent）

员工本人同意雇主出于特定目的处理他们的个人数据。由于雇主和员工之间权力不平衡，因此在员工同意上，要求雇主必须：

• 给予员工在不造成损害的情况下撤回同意的选择权；

• 确保一切与员工第一次提供一样简单；

• 记录下是何时、如何获得员工同意，以及员工到底同意了什么。

仅当情况意味着员工对监控有真正的选择和控制权时，同意才是适当的。

2. 合同（Contract）

如果对于雇主与员工签订的合同（如雇佣合同），或者由于员工要求雇主在签订合同之前采取特定步骤，而使得有必要进行监控。只有当作为雇主的合同有必要时，才可以使用这一合法依据。虽然可能存在通过员工监控是雇主履行合同的唯一方式的情况，但通常而言这些情况是较为罕见的。

例如，雇主在雇佣合同中插入一项条款，规定公司将在整个办公场所采用视频监控来监控生产力以提高效率的做法，可能并不足以成为利用“合同”这一合法基础进行此类监控的充分理由，因为可能还有其他侵入性较小的方法可以提高生产率。

3. 法定义务（Legal obligation）

如果雇主监控员工是出于遵守普通法或是法定义务的，则可以依赖这一依据。为此雇主须明确其义务的具体法律规定或适当的建议或指导来源。

例如，物流公司需要监控驾驶时间、速度和距离以遵守关于司机工作时间的规定。这种情况下，以法律义务作为监控的法律依据是适当的。公司需注意不会处理超出履行司机工作时间规定义务所需的信息，也不得将这些信息用于任何其他目的。

4. 重大利益（Vital interests）

这一依据是为了应对紧急情况，雇主需要处理个人信息以保护某人生命的，适用范围非常有限，一般仅适用于生死攸关的问题。例如，对试飞员进行心率、血压和大脑活动的监测。办公室人员的工作中几乎不会受这些因素的影响，因此通常会适用其他的监控依据。

5. 公共任务（Public task）

这一依据用于处理对雇主执行公共利益相关的任务或履行官方职能而言是必要的情形。例如，私营机构或慈善组织与公共机构签订合同，帮助其履行法定职能的。

6. 法定利益（Legitimate interests）

处理对于为了雇主或是第三方的合法利益而言是必要的，除非员工权利的风险更高。

这一依据是最灵活的，可以适用于多种情况。在下列情况下，法定利益可能无法作为最适当的法律依据：

• 雇主以员工不理解且不合理预期的方式进行监控；或

• 雇主向员工解释而员工提出反对的。

雇主可以通过DPIA流程来对此进行评估。根据所从事的工作以及环境，员工可以合理的期望符合法定利益的不同级别的监控定义。

此外，雇主可以将法定利益基础的关键要素分为三步测试：

A. 目的测试——处理的背后是否存在法定利益？

B. 必要性测试——为此目的进行处理是否是必要的？

C. 平衡测试——个人利益、权利或自由是否在法定利益之上？

雇主应在处理之前评估每个测试并记录结果，以便可以证明适用法定利益作为依据。

对于可能有不止一种适用依据的情况，建议雇主确定所有适用的内容，并在一开始就将其记录下来，之后如无充分理由，则雇主可能很难更改监控依据。

三、特殊类别数据保护要求

在英国法律框架下，特殊类别数据是指与以下内容相关的员工个人信息：

• 种族或民族血统；

• 政治观点；

• 宗教或哲学信仰；

• 工会会员资格；

• 遗传信息；

• 生物识别数据；

• 健康或残疾；

• 性取向等。

特殊类别信息由于其敏感性，需要予以特别保护，因此雇主在计划监控时，应考虑是否要捕获相关信息。如果需要，则在开始监控之前必须确保具备特殊条件以及合法依据。特殊类别信息处理需要满足的条件包括：

明确同意：雇主须确保员工以明确的声明（书面或口头）提供明确同意，不得以暗示的方式。因此，雇主需确保员工有真正的选择，不会因拒绝给予明确同意而产生任何实质或感知上的负面影响。

就业、社会保障和社会保护（如获法律授权）：适用于雇主通过监控保护员工的健康、安全和福利的情形，且雇主是为了遵守就业法或社会保障法或社会保护法。雇主必须通过参考具体的法律条款或通过指出明确规定的适当建议或指导来源来确定相关法律义务或权利。

重大公共利益（有法律依据）：雇主须明确监控于公共利益而言是必要的，且有法律依据；还须证明处理特殊类别数据目的的合理性。

刑事犯罪数据 - 与特殊类别信息类似，英国数据保护法对罪犯或嫌疑人有关犯罪活动、指控、调查或诉讼的个人信息给予额外保护。英国《数据保护法》（Data Protection Act 2018）第10条限制了刑事犯罪数据的处理，雇主只能在官方机构或英国国内法律授权的情况下处理。

原则上雇主只能保留与其监控目的相关的信息。这一点尤其重要，原因在于收集和使用特殊类别数据的风险较高，因此建议雇主要定期检查其正在收集的信息并销毁不需要的信息。

四、员工主体访问请求

如果员工提出主体访问请求（SAR），除非存在豁免，否则雇主必须向员工提供通过监控收集的个人信息。

在考虑引入哪种类型的监控系统时，雇主应考虑检索信息的难易程度。如果使用的监控系统收集了大量信息或包含了第三方的个人信息，或系统对收集到的信息的存储使得个人信息不易检索到的，则在回应员工的SAR时可能会面临一定的挑战。

在某些情况下，员工可以反对雇主从监控中收集和处理他们的个人信息，当雇主依赖以下合法依据进行监控时，员工可能提出反对：

• 公共任务（用于为公共利益而执行的任务或行使被赋予的官方权力）；或

• 合法利益。

员工必须给出他们反对雇主通过监控收集和处理个人信息的具体原因，要求原因应该是基于他们的特殊情况。对于员工而言，提出反对并不是一项绝对权利，在以下情况下，雇主可以拒绝遵守反对意见：

• 雇主可以证明有令人信服的合法利益进行处理，是凌驾于员工的利益、权利和自由之上的；或

• 处理是出于对法律诉求的提出、行使或辩护。

要做出决定，雇主必须在员工个人的利益、权利和自由与雇主自己的合法利益之间取得平衡。要继续监控的，雇主必须证明其合法理由优先于员工的合法理由。

如果雇主确信不需要遵守要求的，须让员工知晓。雇主应该记录并详细解释其决定，还须告知员工其有权向ICO投诉，以及员工可通过司法救济措施来寻求行使权利。

如果员工的反对意见明显无依据或是过度，雇主也可以拒绝。

五、数据保护影响评估（DPIA）

数据保护影响评估，即DPIA是一个问责工具。完成该评估可帮助雇主识别并最大程度的降低其计划监控活动的风险。根据ICO的指南，雇主在执行任何可能对员工和其他人利益造成高风险的处理之前，必须进行数据保护影响评估，例如：

• 处理员工的生物特征数据；

• 员工的击键监控；

• 可能导致经济损失的监控（如绩效管理）；或者

• 使用分析或特殊类别数据来决定对服务的访问。

有数据保护官的雇主，在作出任何最终决定之前都必须寻求并记录他们对DPIA结果的独立建议。

在进行DPIA之后决定继续进行计划监控的雇主，在开始监控之前必须向其员工提供相关信息。此外，即使雇主判断不存在高风险，ICO也建议雇主进行DPIA以作出决策。

结语

总体而言，雇主欲在工作场所对员工进行监控的，首先须明确监控的目的以及相关法律依据，同时基于实践与政策考虑员工对其个人隐私的期望。其次，在通过监控收集数据时，雇主还需要注意数据最小化原则——收集的信息不得超过实现目的所需的信息；雇主有义务采取一切合理措施确保收集信息的准确性，并对员工就信息准确性提出的质疑进行回应。最后，关于所收集信息的储存保护，雇主也应遵循数据保护法的规定，采取必要的安全措施，以避免任何不必要的法律风险。

作者简介

李浩杰

Jane Li

江三角·律师

上海总部

李浩杰律师毕业于武汉大学，获得英语与法律双学位。目前主要研究中国香港、越南、中国台湾、英国等地的劳动用工法律法规及政策。在业务上主要涉及涉外法律文书的修订以及企业在海外的用工实践。

特别声明：

本文仅代表作者个人观点，不得视为上海江三角律师事务所或其律师出具的任何形式之法律意见或建议。本公众号文章未经授权，不得转载。如需转载，请联系江三角法苑后台。

END