网络监控法律
Spyrix团队收集了主要的法律法规和文件,阐述了雇主如何合法地监控员工的在线活动。此外,他们还提供了关于如何将监控工具用于个人用途的指导原则。
全球国际法案
GDPR(欧盟通用数据保护条例)
《通用数据保护条例》(GDPR)是欧盟的核心数据保护法规,适用于任何处理欧盟境内个人数据的组织,无论该组织位于何处运营。只要涉及个人数据,在线活动监控、员工监控以及任何形式的数字追踪均在其管辖范围内。
根据《通用数据保护条例》(GDPR),监控通常只有在存在有效的法律依据时才是合法的,例如合法利益、履行合同或获得明确同意。在实施监控工具之前,组织应确保监控是必要且适度的,并且不会过度侵犯个人隐私。
GDPR要求公司进行合法利益评估(LIA),或者,当监控可能带来更高风险时,进行数据保护影响评估(DPIA)。这些评估有助于确定监控的合理性,并找出降低数据收集风险的方法。
透明度至关重要。必须事先清楚地告知个人监控类型、目的、收集的数据、法律依据、访问权限以及数据保存期限。未公开或秘密监控通常受到限制,仅在国家法律规定的极少数情况下才被允许。
GDPR 还强调数据最小化原则,要求组织机构仅收集为特定目的所必需的数据。持续或过度侵入式的监控,如果没有明确的理由,可能违反 GDPR 原则。
对于在线监控工具而言,最相关的 GDPR 义务包括:
提供关于监测的明确通知
仅收集必要数据
采用适当的技术和组织安全措施
确定并记录处理的合法依据
允许个人行使其权利(访问权、删除权、反对权等)。
经合组织隐私准则(经济合作与发展组织)
经合组织隐私准则提供了国际公认的数据保护和隐私原则。尽管这些准则不具有法律约束力,但它们影响着世界各国的国家隐私法,并为负责任的数据处理提供了框架。
这些准则强调公平性、透明度、目的限制、数据质量、安全保障、公开性和问责制。这些原则鼓励组织仅出于明确、合法的目的收集个人数据,并确保个人了解其数据的使用方式。
对于在线监控和员工监控,经合组织指南支持透明、适度且尊重隐私的做法。虽然这些指南没有包含针对监控的具体细则,但它们倡导负责任的数据治理,并为直接监管监控的国家立法提供参考。
在实践中,这些指南鼓励组织:
清晰地传达监测措施
仅收集必要的数据。
保护受监控数据免受未经授权的访问
定期审查监测措施,以确保其公平性和必要性。
虽然不像 GDPR 那样具有强制执行力,但经合组织隐私准则有助于制定合法和合乎道德的监控的全球标准和最佳实践。
美国
行为 | 适用范围 | 监测范围 | 主要要求 | Spyrix 用户须知 |
|---|---|---|---|---|
加州消费者隐私法案 (CCPA) | 加利福尼亚州 | 收集个人信息的监控 | 隐私声明、访问/删除权、选择退出数据共享 | 适用于监控收集标识符、活动日志或使用情况数据的情况。 |
CPRA | 加利福尼亚州 | Monitoring involving "sensitive" data or detailed profiling | 目的限制、数据最小化、更严格的敏感数据规则 | 当工具记录地理位置、行为模式或详细的数字活动时,这一点很重要。 |
ECPA | 美国联邦 | 拦截或访问电子通信(电子邮件、聊天记录、键盘输入) | 对拦截内容的限制;雇主例外情况通常需要提前通知 | 与键盘记录、电子邮件监控和屏幕内容捕获高度相关 |
《公平劳动标准法》相关指南 | 美国联邦 | 用于跟踪工时或生产力的监控 | 工时记录必须能够确保工资准确无误;不得存在任何未支付的加班活动。 | 虽然这不是隐私法,但它会影响监控数据在薪资决策中的使用方式。 |
各州具体的监测法律 | 因州而异(纽约州、康涅狄格州、特拉华州、科罗拉多州、弗吉尼亚州、犹他州等) | 对员工和工作场所系统进行电子监控 | 通常需要书面通知或明确确认。 | 跨州雇主可受益于统一的监控政策 + 新增州级监管措施 |
加拿大
PIPEDA(个人信息保护和电子文件法)
适用于加拿大各地的私营部门组织(省法律另有规定的除外)。
涵盖个人信息的任何收集、使用或披露,包括在线和员工监控。
要求组织明确监测目的,并在适当情况下获得有意义的同意。
监督必须合理,仅限于必要范围,并以透明的方式进行。
员工应该被告知监控的内容、监控的原因以及信息的使用方式。
个人信息必须采取适当的安全措施加以保护。
省级隐私法(阿尔伯塔省 PIPA、不列颠哥伦比亚省 PIPA、魁北克省第 25 号法律)
向各省内的私营企业组织提出申请。
总体上与 PIPEDA 原则相符,但在同意、保留和员工隐私方面可能有更严格的规定。
监控必须出于合理的商业目的,并符合明确、已传达的政策。
雇主在使用监控工具收集个人信息之前,必须事先告知员工。
有些省份要求制定政策,说明收集的数据类型、数据保留时间以及谁有权访问这些数据。
组织必须应员工要求提供其个人信息的访问权限。
英国
英国GDPR
适用于英国境内的个人数据处理,包括员工和在线活动监控。
Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).
监测必须是必要的、适度的,并且不能过度侵入。
雇主应针对高风险监控(例如,持续跟踪、键盘记录)进行风险评估或数据保护影响评估 (DPIA)。
高度重视透明度:员工应该知道监控的内容、监控的原因以及数据的使用和存储方式。
2018 年数据保护法
补充英国GDPR,并提供额外的规则和豁免。
对就业环境和执法部门的介入作出具体规定。
强化数据最小化、目的限制和监控数据安全原则。
赋予个人访问其个人数据的权利,并在某些情况下,赋予个人反对某些类型监控的权利。
RIPA(调查权力监管法)
规范通信拦截、监视和秘密监控的使用。
一般而言,未经同意或适当授权,禁止拦截通信。
只有在非常有限的情况下才允许对员工进行秘密监控(在员工不知情的情况下),例如严重不当行为调查,并且要符合比例原则。
ICO 雇佣行为准则(及相关指南)
英国信息专员办公室关于工作场所监控的非约束性指导意见。
强调监控应该有针对性,而不是过度监控,并且要有明确的业务需要。
建议在引入新的监测工具之前进行影响评估。
建议雇主制定清晰的书面政策,解释监控哪些内容、如何监控以及监控目的。
强调协商、透明和尊重员工对隐私的合理期望。
澳大利亚和新西兰
1988 年隐私法(澳大利亚)
1988 年《隐私法》为澳大利亚机构如何处理个人信息(包括通过在线和员工监控收集的数据)设定了总体框架。该法要求机构仅收集合理必要的信息,并公开透明地说明信息的使用方式,同时确保信息安全。虽然该法没有包含详细的工作场所监控规则,但任何能够识别个人身份的监控通常都将受到澳大利亚隐私原则的约束,尤其是在通知、目的限制和访问权限方面。在实践中,这意味着使用监控工具的雇主和服务提供商应明确界定业务目的,避免过度追踪,并在隐私政策和内部文件中解释其做法。
工作场所监控法(澳大利亚州级)
澳大利亚多个州和领地通过工作场所监控法对监控行为进行更直接的监管,例如新南威尔士州的《2005年工作场所监控法》和澳大利亚首都领地的《2011年工作场所隐私法》。这些法律通常规定雇主何时以及如何使用摄像头、计算机和跟踪监控设备,通常要求在监控开始前提前发出书面通知、张贴醒目的告示并制定明确的政策。隐蔽监控受到严格限制,通常仅在获得特定授权且用于调查严重不当行为或非法活动时才允许,而不得用于日常绩效跟踪。对于在线监控工具,这意味着受影响州的雇主必须向员工提供清晰及时的通知,告知其计算机、互联网或电子邮件使用情况可能受到监控,并确保任何监控行为均符合法定条件。
2020 年隐私法(新西兰)
新西兰2020年《隐私法》更新了该国的隐私框架,适用于客户和员工数据,包括通过工作场所或在线监控收集的信息。该法要求机构仅出于合法、必要的目的收集信息,公开其做法,并允许个人访问其个人信息。监管机构的指导意见强调,监控、记录或拍摄员工必须适度,并应以符合《隐私法》和劳动法的明确工作场所政策为支撑。鼓励雇主与员工协商,解释监控的必要性,并考虑其对信任和士气的影响,尤其是在使用能够进行持续或详细跟踪的工具时。
亚太地区
PDPA(个人数据保护法)——新加坡
涵盖组织处理的个人数据,包括员工数据和监控数据。
需要有明确合法的监控目的。
一般需要获得同意或其他有效依据。
高度重视透明度、适当通知和数据保护措施。
保留的数据必须仅限于必要的范围。
马来西亚个人数据保护法
适用于在商业和雇佣环境中处理的个人数据。
收集监测数据首先需要获得同意。
数据处理必须公平公正,并用于特定、明确的目的。
包括有关数据保留期限、数据安全和第三方处理者的规定。
APPI(个人信息保护法)——日本
规范客户和员工个人数据的处理。
要求各组织明确并传达监测的目的。
强调数据安全和对处理个人信息的员工进行适当监督。
监督必须适度,并与内部政策保持一致。
根据具体情况,员工可能拥有访问和更正的权利。
中国个人信息保护法
涵盖工作场所和消费者数据的综合数据保护法。
监测需要明确目的、最小化数据量和透明化。
可能需要获得同意,尤其是在监测涉及敏感或详细数据时。
对处理的保留、安全和文档记录提出了严格的要求。
赋予个人访问、更正和请求删除受监控数据的权利。
拉美
LGPD (Lei Geral de Proteção de Dados) – 巴西
巴西《通用数据保护法》(LGPD)规范了个人数据的任何使用,包括通过在线或工作场所监控收集的信息。组织机构需要有明确的监控法律依据,并且必须解释其目的。监控应限于必要范围,以透明的方式进行,并辅以适当的安全措施。个人有权访问、更正和要求删除其个人数据。
阿根廷、墨西哥和智利的国家隐私法
这些国家都制定了适用于通过监控工具收集的个人数据的国家数据保护法。共同的要求包括:监控必须具有合法目的、告知个人监控情况以及确保数据安全。监控应当合理且适度,个人通常有权访问或更新其信息。尽管具体规则有所不同,但透明度和必要性是该地区普遍认可的标准。
中东地区
阿联酋数据保护法(DPL / PDPL)
阿联酋联邦数据保护法适用于处理阿联酋境内个人(包括员工)个人数据的组织。该法要求监控必须具有明确合法的目的,数据收集必须限于必要范围,并高度重视透明度和安全性。组织应告知员工任何监控活动,记录监控原因,并制定内部政策和保障措施来处理受监控的数据。
卡塔尔数据隐私保护法
卡塔尔的个人数据隐私法涵盖以电子方式处理或拟以电子方式处理的个人数据。该法承认个人的数据隐私权,并通常要求在处理个人数据(包括通过监控系统收集的数据)之前获得同意或其他合法依据。各组织必须实施适当的安全措施,公开透明地说明个人数据的使用方式,并尊重个人访问和更正其信息的权利。
沙特阿拉伯个人数据保护法(PDPL)
沙特阿拉伯的《个人数据保护法》(PDPL)适用于境内外组织对沙特境内个人个人数据的处理。该法要求组织明确数据处理的目的,制定书面隐私政策,并告知个人其数据的收集和使用方式。在许多情况下,获得同意是数据处理的重要依据,但该法也允许出于某些商业、法律和公共利益原因进行数据处理。使用监控工具的雇主应保护被监控的数据,限制访问权限,并按照PDPL的透明度、安全性和数据保留规则处理员工信息。