据最高人民检察院于2017年5月发布的6起侵犯公民个人信息犯罪典型的司法案例可知,公民信息的非法获取在很大程度上来源于企业内部员工的出售行为,且涉案员工的原服务单位类型已不仅仅局限于互联网信息技术公司,不仅出现事业单位中的医疗机构,甚至还包括公安部门。
企业数据信息的安全防护一方面要求企业不断地完善内部网络安全系统,及时修补网络漏洞,避免因骇客攻击而导致的企业数据信息泄露,另一方面加强对企业内部员工的管理,避免发生内部员工泄露企业数据信息的行为。
本文针对劳动者从被招聘录用到离职的整个过程,分析不同阶段可能带来的企业数据信息保护的法律风险,以及企业如何就此做好信息防护工作的解决方案。需要强调的是,企业数据信息保护的范围并不狭义地仅指企业服务的用户信息,还包括企业员工的个人信息,企业应当规避内部员工信息被泄露造成的劳动争议风险。
1.企业招聘录用应事先做好数据保护预防
企业在招录劳动者后的法律风险集中于试用期内能否及时解除存在数据信息泄露风险的员工,企业因负有试用期合法解除劳动者的举证责任,所以企业在发布招聘广告前除明确招聘广告中列明录用条件外,基于企业数据信息保护的要求,企业可在公司规章制度中明确员工泄露企业数据信息的行为属于严重违反规章制度的情形,从而试用期内企业可据此进行合法解除。
企业在与劳动者签订正式劳动合同前,可选择聘请第三方调查机构针对拟录用的劳动者进行背景调查,通过必要的背景调查筛选出存在风险的员工。背景调查过程中,首先企业应当严格审查第三方调查机构的资质,选择正规的调查机构,签署服务协议,明确权责并约定在调查报告出具后第三方机构应当及时删除获取的劳动者信息;其次由于背景调查会涉及劳动者的隐私信息,因此在启动背景调查前需告知劳动者企业背景调查的需要,并取得劳动者亲笔签署的背景调查同意书,杜绝出现未取得劳动者的同意而开展背景调查工作。
如企业规模不大,聘请第三方机构进行背景调查可行性困难的情况下,企业可要求员工提供原工作单位信息并就信息真实性和同意录用单位核实签字,人事部门对信息进行核实调查,或要求劳动者提供央行征信报告证明自身信用情况,在收取时要求员工签署姓名并由企业人事部门员工书写或加盖“仅用于企业员工入职信息核实”字样,避免被他人恶意使用;最后针对调查所得的劳动者的信息,企业未经劳动者同意不得擅作他用,调查所得信息也应征得劳动者同意后保留必要信息,如后期劳动者不符合录用条件,除涉及刑事犯罪等需要企业向有关部门提供信息协助调查外,企业应当及时删除内部保存的劳动者隐私信息。
企业与劳动者在签署正式劳动合同时,可附加签署《保密协议》,在协议中约定具体的保密数据范围、员工泄密行为、泄密后造成损失的计算方式以及保密期间不局限于员工在职期间等。《保密协议》相较于《竞业限制协议》适用范围广,不仅可保证劳动者离职后仍受到保密协议的约束,另一方面保密义务的遵守不需要企业另行支付劳动者补偿金,在一定程度上节约企业的用工成本。企业针对录用的高级管理人员、高级技术人员或者其他涉密级别高的员工在签署劳动合同时,额外签署的《保密协议》中可附加竞业限制条款或另行签署《竞业限制协议》,竞业限制条款可约定违反竞业限制义务时的高额违约金以及计算方式,且在员工离职后违反竞业限制义务时,企业不仅可要求离职员工支付违约金而且还可要求离职员工继续履行竞业限制义务。
负有竞业限制义务的员工离职后,实务中存在不少企业在员工离职时一次性发放两年的竞业限制补偿金,但此类操作很容易导致离职员工后期不受约束,因此建议企业应当依法按月发放补偿金,离职员工违反竞业限制义务后,企业也可相应减少部分损失。
企业招录非全日制用工人员时,虽然企业可与用工人员随时终止用工,且不需要支付经济补偿金,但鉴于用工稳定性弱及数据安全保障差的特点,建议安排的工作内容尽量不涉及企业数据信息,如非全日制用工人员存在必须使用企业用户数据的情况,企业应对用户数据做好必要的加密工作,并根据“最少够用原则”给到非全日制用工人员信息。企业招录劳务派遣人员时,一方面审核劳动派遣单位的资质情况,另一方面核实被派遣的劳动者的工作资历,在劳动派遣单位是否有过被派遣经历,避免出现录用后无法约定劳务派遣人员试用期的问题。针对劳务派遣人员,用工单位亦尽量避免安排接触企业数据信息的工作内容,如工作需要可与劳务派遣人员签署保密声明。
2.企业员工在职期间的数据信息保护
不少司法判例中显示员工出售企业数据信息的行为多发生于在职期间,利用工作便利盗取企业数据信息进行牟利,因此企业针对全体员工应采取必要的监管,防止企业数据信息泄露。
企业应当定期开展数据保护的内部培训。一方面,员工的岗前培训以及正式上岗工作后,企业均应定期对内部工作人员进行用户信息保护相关知识的培训并加以考核,确保企业员工能够熟悉掌握相关政策,并留存相关培训和考核记录。另一方面,企业在制定内部规章制度时应及时将员工泄露企业数据信息的行为纳入处罚行为之中并明确员工泄露信息的处罚标准,及时将更新后的规章制度予以公示,定期安排全体员工参与数据信息保护知识、强调员工泄露公司信息的违法性、普及相关法律常识并进行测评,留存员工培训和测评记录。
企业内部应当建立数据保护机制。譬如员工电脑可设置访问权限,限定特定员工访问企业数据信息的内容,降低企业数据信息的接触人数;员工访问企业数据信息时,应当专户专用、设置密码或密钥,且要求员工定期更改密码或密钥,降低因密码或密钥泄露导致的损失;留存员工网络使用痕迹,此举能在发现企业信息泄露后及时筛查出可疑员工;针对重要数据信息的保护,员工使用时应设立专人负责保管,设立审批制度,留存审批文件且由调用信息员工签名或邮件确认,必要时在员工调用企业数据信息前签署保密声明。
企业应当定期对数据信息保护情况展开自查。根据《电信和互联网个人信息保护规定》的相关内容要求,互联网科技公司应当定期至少每年一次就企业内部信息保护情况开展自查。有条件的企业亦可安排第三方测评机构对企业内部信息保护情况予以审查,避免内部员工间因利益冲突造成自查流程形同虚设。
内部员工窃取企业数据信息的方式多是通过互联网渠道传输给到外部人员或者使用U盘、硬盘等外部存储工具窃取企业数据信息。据此,企业可限制员工的外网使用权限或者邮件传输权限,关闭对外传输文件的渠道,如监测发现员工利用互联网系统对外传输企业数据信息,企业应于第一时间安排技术部门拦截传输的数据信息,数据信息已传输且无法撤回的前提下,企业应及时与信息接收方联系,要求其删除数据文件并及时报告有关部门,协助调查。针对储存企业数据信息的电脑,可设置外部储存工具的导出权限,避免员工利用外部储存工具恶意导出企业数据信息后进行出售。如存在必须对外传输的数据信息时,应设置专门的审批流程并安排技术部门定期检阅对外传输的数据信息是否符合审批要求。
企业人事部门需做好员工信息的收集和保护工作。企业搜集员工的信息必须由员工本人提供或取得员工本人同意授权后由第三方搜集,员工信息的使用仅限于企业员工信息管理、缴纳社会保险等方面,未得到员工明确授权不能将员工信息挪作他用,避免构成对员工隐私权的侵犯。企业常见的员工信息问题多集中于考勤记录的使用以及特殊时期的员工信息披露。
目前市面上常见的考勤机器或第三方考勤软件多以指纹打卡、人脸识别打卡以及手机定位打卡为主,企业自身如果采取购买考勤机器进行打卡,收集员工指纹信息或面部识别信息时,务必做好数据信息的保护工作,避免员工信息的泄露或挪用,且在员工离职后,企业人事部门应当及时删除考勤软件中储存的指纹或面部识别信息;企业采用第三方考勤软件代替考勤机器,需筛选正规的第三方考勤软件,并且代表员工审查考勤软件搜集员工信息的情况,并在员工注册第三方考勤软件时予以告知,如员工认为第三方软件擅用本人敏感或隐私信息时,企业应及时催促第三方软件予以删除并告知员工第三方软件的投诉渠道,协助员工维护自身合法权益。在企业间的并购交易等特定场景中,收购方往往需要目标公司披露企业内部员工的社会保险等信息时,企业需要充分告知员工个人信息的披露和使用情况,且与收购方签署保密协议,杜绝并购交易失败后收购方擅用企业员工信息的情况出现。
3.员工离职后的企业数据信息保护
针对递交离职申请的员工,企业应适当设置员工离职前的信息隔离期,关闭员工查询企业数据信息的权限,限定信息隔离期间的工作内容,及时删除用于查询企业信息的账号和密码,做好企业保密数据的交接工作,针对员工在职期间内的工作内容进行审查,筛查员工在职期间是否存在信息泄露的情形,人事部门告知员工保密义务不局限于在职期间。针对递交离职申请的高级管理人员、高级技术人员或者其他接触企业数据信息的员工,企业在员工离职前确认是否放弃对员工设定的竞业限制要求,如企业选择放弃则予以书面通知,企业在员工离职后不能要求员工承担竞业限制义务,相对的企业不支付竞业补偿金,如确认要求员工承担竞业限制义务的,企业应及时与即将离职员工进行沟通,与离职员工确认其竞业限制义务以及日后给付补偿金的方式或另行签署补充协议。
企业应当高度重视数据信息保护的重要性,杜绝出现员工泄露企业数据信息的行为,做好事先预防工作和员工管理工作,避免因数据泄露后亡羊补牢,丧失商业信誉。
法律依据:《刑事诉讼法》第192条:公诉人、当事人和辩护人、诉讼代理人可以申请法庭通知有专门知识的人出庭,就鉴定人作出的鉴定意见提出意见。
最高人民法院《关于民事诉讼证据的若干规定》第61条规定: 当事人可以向人民法院申请由一至二名具有专门知识的人员出庭就案件的专门性问题进行说明。人民法院准许其申请的,有关费用由提出申请的当事人负担。审判人员和当事人可以对出庭的具有专门知识的人员进行询问。经人民法院准许,可以由当事人各自申请的具有专门知识的人员就有案件中的问题进行对质。具有专门知识的人员可以对鉴定人进行询问。
内部员工泄露企业数据信息的法律风险防范
作者:夏海波来源:汉盛律师

据最高人民检察院于2017年5月发布的6起侵犯公民个人信息犯罪典型的司法案例可知,公民信息的非法获取在很大程度上来源于企业内部员工的出售行为,且涉案员工的原服务单位类型已不仅仅局限于互联网信息技术公司