職場監視的方式很多,實務常見以架設監視器、開放工作空間、監視員工電腦及電子郵件、保留影印機使用紀錄等方式處理。一旦企業發生資安事件,凡走過必留下痕跡,可藉由檢視登錄歷史紀錄,迅速抓到犯罪遺跡並作為成呈堂證供。
企業為強化資安保護,防止駭客入侵及內鬼外洩機密資訊,或是基於其他管理效能的需求,會採取周延的防護網,其中也包括對員工進行職場監視(Workplace Surveillance)。員工對雇主固有忠誠及履行工作的義務,但也有其自身隱私與個資保護的權益。職場監視即使立意良善,難免在實際運作上產生大我與小我之間的緊張關係,有必要予以平衡兼顧雇主與員工的合法權益。
職場監視的層層把關
職場監視的方式很多,實務常見以架設監視器、開放工作空間、監視員工電腦及電子郵件、保留影印機使用紀錄等方式處理。有些方式很直白,員工知道被監視,具有直接的嚇阻效果,但卻會被規避,例如辦公室加設監視器,員工要講悄悄話,就躲到廁所;有些方式很隱密,員工並不知情、容易忽略或難以規避,如監視電腦及電子郵件,則一旦企業發生資安事件,凡走過必留下痕跡,可藉由檢視登錄歷史紀錄,迅速抓到犯罪遺跡並做為呈堂證供。
以今年(2017)9月間台中地檢署以妨害營業秘密法為由起訴美光前員工為例,美國記憶體大廠美光在台併購瑞晶公司後更名為台灣美光,該公司有離職員工跳槽至競爭對手,惟經美光內部清查發現,該員工離職前登入公司電腦,疑似大量重製機密檔案而東窗事發。檢方更發現涉案員工將美光檔案存至隨身碟並上傳至Google的雲端硬碟,引起美國司法部高度重視,還指派檢察官、FBI探員至台中地檢署進行犯罪情資交換。
上述案例凸顯職場資安維護的重要性,除了要做到事後追緝之外,最好是能逮到現行犯當場就範,以免損害擴大。惟實務上亦有企業為求循線打擊離職員工跳槽所至的競爭對手,雖藉由資安系統同步得知犯罪進行式,卻刻意隱而不宣,讓蛛絲馬跡完完整整地留下記錄,等到罪證確鑿,再將完整的歷史與地理證物呈報檢調單位,以求擒賊亦擒王,藉此重擊競爭對手,此乃資安防禦兼反手攻擊的高招!
隨著網路技術的發達與個人行動通訊的便利,企業進行資安維護更需層層把關。網管人140期專題報導指出:近年來隨著外部威脅手法多變,亦推動SIEM(資安事件控管平台)持續演化,除了傳統的日誌(Log)管理、合規性報表、即時事件監控機制以外,陸續開始增添提供使用者行為分析、整合外部情資來源等措施,可供企業參考。
另外,隨著AI人工智慧成為顯學,職場監視亦朝向自動化以及智慧化邁進,可由AI解析職場各種資訊數據,研判異常狀況與行為模式而進行危安警示、自動阻擋,或是佈線追查等步驟,值得我們持續關注AI Surveillance的發展。
員工隱私與個資保護也需兼顧
企業對員工進行職場監視也需兼顧員工隱私與個資保護。除了高科技公司對員工監視之外,亦常見外出工作的父母或是子女在家裝設隱藏式監視器,透過通訊設備與App裝置遠端監控在家看顧小孩的保母或是照料老人家的看護。如果被發現違規情事遭雇主監控或是被開除,可能引發勞資糾紛以及侵害隱私個資的爭議。實務上,連公部門也有職場監視的爭議,如近來監察院以政風人員濫權測謊調通聯而糾正法務部,可資參考。
值得注意的是,今年9月間歐洲最高人權法院判決認定雇主須確保員工事先知道管理階層監控員工的公用電子郵件。該案緣起於一名羅馬尼亞的工程師在工作時間使用Yahoo的Messenger傳送私人訊息而被雇主解僱,該工程師主張雇主監看的訊息還包括他個人健康與性生活相關的內容而侵犯隱私。法院認為員工即使在工作場所仍享有隱私權;雇主並不能毫無受限地對員工展開全面監控,其監控手段必須為了正當目的且合乎比例原則。此外,雇主亦應事先告知員工對其採取監控措施。
關於類似的問題,我國法院有見解認為:公司查看員工之電子郵件,是否侵害員工之隱私權,應視員工是否能對其在公司中電子郵件通訊之隱私有合理期待,若公司對於員工電子郵件之查看政策有明確宣示,或是員工有簽署同意查看之同意書,則難以推論員工對於自身電子郵件隱私有一合理期待。又若無法有合理期待,則應另視有無法律明文禁止雇主查看員工之電子郵件(參見台灣高等法院100年度勞上易字第121號民事判決)。
如果侵害員工的隱私與個資,員工得對雇主主張民事責任,如個資法第29條的損害賠償責任及民法184條的侵權行為責任。此外,員工亦得主張雇主應負擔刑事責任,得引用個資法第41條以及刑法第315條之1規定。
至於藉由職場監控但卻侵害員工的隱私與個資而取得的證據在訴訟上是否應排除,此涉及私人不法取證的法律議題。實務上認為原則上仍得作為證據,其理由為私人非法取證之動機,或來自對於國家發動偵查權之不可期待,或因犯罪行為本質上具有隱密性、不公開性,產生蒐證上之困窘,難以取得直接之證據之故。而私人不法取證並無普遍性,且對方尚得請求民事損害賠償或訴諸刑事追訴或其他法律救濟機制,故無須藉助證據排除法則之方式將證據加以排除,可資參照(參見最高法院99年度台上字第3168號刑事判決及台灣高等法院104年度上易字第1086號刑事判決)。
綜上所述,雇主如欲對員工進行職場監視,除了精進完備資安系統之外,亦應事先告知員工,例如頒布企業資訊使用及監視政策規定,使員工無法主張具有隱私的合理期待。職場監視最好還是能進而取得員工同意,可附於聘雇契約要求員工一併簽署同意書,此係避免遭到侵害個資的控訴。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>