2012年11月21日 星期三

[觀點] 工作職場個資與隱私保護

隨著個人資料保護法的正式實施,目前與個人隱私保護有關的議題也逐漸躍上檯面,事實上,個人隱私是屬於憲法保障的人格權之一,因此對企業雇主而言,除了含有隱私的個人資料檔案,必須要有妥善的防護措施之外,如何去尊重員工的個人隱私權,確保工作職場的隱私保護,已是責無旁貸需要重視的地方。 

依據個人觀察,有些企業老闆因為擔心員工將公司的網路、電腦拿來公器私用,所以喜歡安裝一些網路監控或電腦監看的軟硬體,以達到監督員工的目的,卻不知道在未告知員工的情況下,擅自實施這樣的作法,很可能已經侵犯到員工的隱私權。 

最近,由某家人力資源業者所公佈的一份調查發現,有五成的上班族在求職時,曾遭遇過雇主詢問個人隱私的問題,包括像是身體特徵、婚姻情況、政黨問題等,這項結果也引發立委提案要求修正就業服務法,增列要求雇主不得詢問與工作內容無關的個人隱私資料。 

隨著社群網路的興盛,所引發的隱私問題也更受到民眾的關注,這也促使相關業者,像是微軟和Google紛紛增聘了隱私保護專家和律師團隊,處理來自於產品或應用服務本身,所引發的隱私問題。對此,Facebook甚至打算修改隱私政策,禁止公司和政府單位查看求職者的詳細社交資訊,並且由隱私長公開聲明,提醒雇主不得在面試時,要求求職者必須交出個人的Facebook帳號和密碼,因為這將會涉及侵犯隱私,並且可能需要承擔法律的責任。 

工作職場個資注意事項 

對大多數的企業而言,人力資源部門(HR)是蒐集個人資料的主要窗口,HR所接觸的個人資料,可概分為求職者與內部員工的資料。對求職者來說,想要應徵獲取一份工作,就必須要準備好自己的履歷,無論是自行投遞,還是透過人力銀行業者來發送,在這份履歷之中,至少會提到個人的姓名、住址、電話、學歷、工作經歷、自傳等資訊。 

如果HR因為求職者沒有被錄取,不去善盡保管責任而任意棄置履歷,很可能就會損害到個人的隱私。另外,即使求職者順利應徵成功,依約定日期至公司報到之後,通常也需要按照HR的要求,填寫員工的個人基本資料,而在這份資料之中,對於隱私的揭露程度將來得更高,因為員工可能需要填上出生日期、身高體重、服役記錄、個人照片、親屬資料和緊急聯絡人等,關於這些資訊是否都要一一揭露,蒐集的目的到底是什麼,未來隨著個資法的要求,HR必須要了然於心才行。 

所以,人力資源部門的朋友們,請務必注意了,一旦個資法實施之後,貴部門可能就是首當其衝的單位,為了因應法規的要求,以往人資單位的個資蒐集流程,像是新人報到需填寫的資料內容,可能就要進行適法性評估,對於這些所建立的員工個人資料檔案,也要建立足夠的安全控制措施。換句話說,在蒐集、處理和利用員工個人資料方面,基本上就要注意以下幾點: 

  • 在蒐集個資時 - 是否已依照法令規定告知當事人,所蒐集個人資料之目的和利用範圍等相關資訊。HR要注意所蒐集的個資內容,是否與該員工負責的職務有明顯的關聯需要,以避免個資的過度蒐集。基本上,應避免蒐集太過敏感的隱私資料,例如醫療、基因、性生活、健康檢查和犯罪前科,除此之外,包括宗教理念、性別傾向、政黨理念、身體特徵等,也要盡量加以避免。如果真的需要蒐集敏感個資,那麼就要清楚所引用的法源依據為何,以免受到員工的質疑。 
  • 在處理個資時 – 個資的新增、刪除、修改,是否有妥善的身分驗證與存取控制,對於資料的保管地點與保管方式,也要實施安全強度的評估,尤其是存放個資檔案的主機和相關設備,是否有足夠的安全機制,以確保資料的機密性與完整性。另外,也需要制訂個人資料的查詢處理流程,以回應當事人對主張個資權利時的查詢請求。 
  • 在利用個資時 – 考量相關的使用是否符合當初的蒐集目的,並且在合法的範圍之內,如果利用目的與當初蒐集時不符,就要重新取得當事人的書面同意。在資料交換方面,萬一個資需要進行跨國的傳輸,就要考量當地的法律限制,並採取加密的保護方式,同時要求對方也要盡到個資保護責任。最後,與個資有關的查詢、調閱等,都要留下記錄,以作為實施資安稽核時的參考。 
尊重工作場所的個人隱私 

在工作場所中與隱私有關的事項,最常見的就是對於場所的監控錄影,事實上這已是一種普遍的行為,雇主為了要確保資產的安全,在重要的出入口設立門禁管制、監視系統、進出登記等,這些都可以被大多數的員工接受,因為這同時也保護了員工在工作場所的安全,但建議應該在新進員工訓練時,進行相關事項的說明。 

隨著資訊科技的發達,現在針對資訊系統的監控也變得非常容易,比較正面的作法像是病毒的偵測、垃圾郵件的過濾、應用系統的存取活動記錄等,這些都是比較容易能夠讓員工理解與接受的行為。但是在這些範疇之外,是否會有假藉監控之名,而行侵犯隱私之實,這就存在著許多模糊的空間。 

例如,有些公司會以資產管理名義,以桌面拍照、鍵盤測錄的方式,記錄員工所輸入的所有內容,來掌握員工對內對外的資訊溝通行為。另外,也有公司會監看即時通訊軟體所傳送的資訊,並且記錄利用電腦上網所瀏覽的網站和停留時間。以上這些作法,是否會觸犯隱私相關法律,這些需要留給法律專家來予以解讀,但站在資安管理的實務面來看,建議公司若要進行資訊監控,務必要在管理政策中,公開說明是為了何種目的以及如何來實施,藉由預先告知員工公司的監控行為,取得員工的同意之後再來進行,將可大幅減少有關隱私侵犯的爭議。 

以電子郵件的監控而言,有些公司會事先向員工聲明,所提供給員工的各項資訊設備,皆是屬於公司資產,僅限於與工作目的或業務方面的使用,其他與工作無關的個人資料,請勿放置在公司電腦上,也不要透過公司的電子郵件系統來進行發送。而為了能夠有效確保資訊安全,公司保有檢查郵件系統的權限,在過程之中,有可能會檢視到屬於員工帳號的郵件內容,請員工務必要小心注意。在實務方面,若能透過以上的事先聲明,再取得員工同意進行簽署,這種事先告知且尊重員工的作法,會比較容易讓員工理解並接受。 

個資安全是兩方皆有的責任 

對雇主而言,一旦員工進入公司任職,公司就必須依照內部的管理制度和相關法律,審慎並尊重員工的隱私,直到雇用關係終止,甚至在終止之後仍要盡到法律要求的保密責任。所以在個人資料的處理和利用方面,原則上就應該秉持公開、合理的目的,並且事先讓員工知情,同時管理階層也需要建立明確的個人資料與隱私保護政策,切實遵守以符合員工對於個人隱私保護的期待。

最後,如果不是雇主,而是有員工蓄意違反公司的隱私政策,意圖窺探、濫用或竊取他人的個人資料,針對員工違反個資保護的行為,雇主應該要如何處理呢?建議可以依照以下的步驟來實施:

  1. 記錄員工的基本資訊,包括姓名、部門、到職日期、直屬主管、訓練記錄等。
  2. 完整描述員工的不當行為,包括日期、時間、違反的行為舉動等。 
  3. 準備與個資保護有關的法規,包括公司的個資保護政策、個資法條款內容等。 
  4. 正式發函給員工,通知並要求其立即改善不當的行為,確認此通知函已傳達給員工,保留文件和簽署記錄等。 
  5. 在通知內容中,說明如果員工行為未實施改善,其可能面臨的懲處後果,提醒這些不當的行為記錄也將呈現在其員工檔案之中。 
  6. 如果事件已超出公司管理的範疇,則可依照合約或訴諸法律途徑來解決。 

在現今的工作職場之中,有關個人隱私保護的相關權責仍然曖味不明,許多員工為了擔心飯碗不保或升職考量,只能選擇默默承受一些不公平的待遇。但雇主的監控行為到底是為了資安管理?還是侵害隱私?這其中的確存在著一條難以界定的界限,只能呼籲雇主務必要參照法律要求和資安專家的建議,審慎地因應以避免觸法了。

沒有留言: