查手機、恢復聊天記錄,媒體:單位對待員工個人信息勿任性;
“我只是正常上個班,竟然說我泄露公司機密,要求查手機微信聊天記錄和通訊錄,不讓查就辭退。”今年3月,在湖北武漢一家醫療科技有限公司工作的林女士,遇到了一件讓其氣憤的事。
3月7日,公司在例會上以“找內奸”為由,提出要查看員工手機,原因是有人泄露了公司的組織架構和人員信息。迫于無奈,員工們接受了檢查,但沒想到第二天,公司要求再次查看手機。這次林女士拒絕配合,公司卻以此認為林女士就是“內奸”,強行將其辭退,并拒絕給予賠償。
用人單位是否有權查看勞動者的微信聊天記錄?用人單位基于用工管理權對勞動者個人信息進行收集處理的行為邊界在哪?勞動者的隱私權受到侵害時應該怎么辦?
不讓查手機違反了規章制度?
林女士告訴記者,2021年6月,她入職該醫療科技有限公司,在職期間并不存在違反公司規章制度的行為。
公司出具的員工辭退通知書上卻稱,林女士嚴重違反公司規章制度及嚴重失職,達不到公司的崗位要求,給予解除勞動合同處理,且無須支付勞動補償金。
“不讓查手機屬于違反規章制度?”林女士對此不解。她表示,公司不僅拒絕支付勞動補償金,還扣下其2月1日至3月8日的績效工資,甚至在將其趕出辦公區域時,強行檢查其私人背包。
吉林正基律師事務所律師熊星星認為,用人單位檢查勞動者手機微信聊天記錄的做法,侵犯了勞動者的個人信息權、隱私權、人格尊嚴等,甚至涉及侵犯第三人隱私。
“根據民法典第一千零三十二條,自然人享有隱私權,任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的這一權益。”熊星星說,勞動者手機里的微信聊天記錄及通訊錄屬于個人信息中的私密信息,用人單位無權查看,也無權檢查私人背包。如果林女士的績效考核不存在問題,公司也無權克扣其績效工資。
“如果公司沒有證據證明其主張的重大過失和泄露機密,僅因為勞動者不配合查看手機微信而將其辭退,構成違法解除勞動合同,需要支付賠償金。”熊星星還強調,用人單位未經同意收集的員工個人微信聊天記錄,不應當作為法律證據被采信。
目前,林女士正在申請勞動仲裁。
擅自恢復勞動者已刪除聊天記錄被判違法
不久前,北京市第二中級人民法院也披露了一則涉及侵犯員工個人信息的勞動爭議案件。
馬某與一家環保公司已連續兩次簽訂固定期限勞動合同。第二次勞動合同期滿前,該環保公司以馬某嚴重違反規章制度為由,決定不續合同。
馬某認為,自己不存在違反公司規章制度的行為,公司不續簽的行為屬于違法解除勞動合同,應支付賠償金。
公司稱,馬某存在偽造病假、騙取休假等違紀行為,違反了公司獎懲制度規定。證據來源于馬某與公司同事的微信聊天記錄,而這些聊天記錄是通過恢復馬某工作電腦上已刪除的數據得來的。
北京二中院民五庭法官助理王琳琳表示,知情同意是用人單位信息處理的合法性基礎,非必需信息處理需另獲勞動者明示同意,勞動者也享有撤回同意的自決權。用人單位收集處理員工信息的目的應明確、合理,且與用工管理直接相關。例如,用人單位在公車上安裝GPS定位系統、在辦公場所安裝視頻監控等行為,若出于防止公車私用或為了公私財物安全,則具有正當性。但上述行為若出于窺探勞動者隱私、為日后可能出現的訴訟廣泛收集證據材料的目的,則超出正常工作需要,嚴重侵害了勞動者個人信息甚至隱私的邊界,用人單位由此收集到的證據材料也不應被法院采信。
“本案中,該環保公司獲取馬某私人聊天記錄的行為,一方面是為了對馬某進行處分而收集的個人私密信息,另一方面是為了贏得訴訟而收集的證據材料,均超越了勞動合同涵蓋的概括授權范圍,侵害了馬某享有的個人信息權益。”王琳琳分析道。
最終,北京二中院作出生效判決認為,該公司擅自恢復員工已刪除數據并采集作為內部處分依據及本案證據的行為,構成對馬某個人信息的不當使用,也違背了個人信息保護的核心要旨,故對該證據不予采信。
單位收集處理員工信息行為邊界須厘清
數字化背景下,除了查看手機微信聊天記錄,職場中存在的侵犯個人信息、隱私的行為,還包括監控辦公電腦、監聽工作手機、在更衣室等地安裝攝像頭、GPS跟蹤等。
中國社會科學院法學研究所社會法室副主任王天玉接受記者采訪時表示,勞動合同法第八條規定,用人單位有權了解勞動者與勞動合同直接相關的基本情況,勞動者應當如實說明。“雖然此項規定將勞動者提供個人信息的范圍限定為‘與勞動合同直接相關’,但由于沒有清晰的細化解釋和法律責任,用人單位能夠輕易超越適當范圍要求勞動者提供個人信息。”
“民法典第六章明確規定‘個人信息保護’之后,勞動法律和政策并未及時跟進,對勞動者個人信息的認識仍停留在‘個人基本情況’階段,造成了制度銜接的斷檔,也是導致用工管理權與個人信息保護之間邊界不清的原因。”王天玉說,邊界不清容易導致勞動者個人信息被過度、違規收集使用。他建議,應結合勞動關系特點制定具體的保障機制,形成“民法典—個人信息保護法—勞動者個人信息保護專門規定”的逐級遞進式規范體系。司法實踐中,可以以列舉的方式限定用人單位收集信息的范圍。同時加強勞動行政監察執法,增進勞動者維權意識并拓寬救濟渠道。
從勞動者角度看,熊星星建議,勞動者個人信息權受侵犯時,應及時與用人單位溝通,要求其停止侵權,同時注意收集、保存好相關證據。如果用人單位未及時予以糾正或者因之前的侵權行為給勞動者帶來損害的,勞動者可通過法律途徑維護自身合法權益。
惠普企業級打印機出現嚴重漏洞,涉及50余種機型;
近日,惠普在一份安全公告中宣布,修復影響某些企業級打印機固件的嚴重漏洞最多需要 90 天。
該安全問題被追蹤為 CVE-2023-1707,它影響了大約 50 種 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型號。
該公司使用 CVSS v3.1 標準計算出的嚴重性得分為 9.1(滿分 10),并指出利用該標準可能會導致信息泄露。
盡管得分很高,但由于易受攻擊的設備需要運行 FutureSmart 固件版本 5.6 并啟用 IPsec,因此存在利用環境受限的情況。
IPsec(Internet 協議安全)是用于企業網絡的 IP 網絡安全協議套件,用于保護遠程或內部通信并防止未經授權訪問資產(包括打印機)。
FutureSmart 允許用戶通過打印機上可用的控制面板或用于遠程訪問的 Web 瀏覽器來工作和配置打印機。
在這種情況下,信息泄露漏洞可能允許攻擊者訪問易受攻擊的 HP 打印機與網絡上其他設備之間傳輸的敏感信息。
BleepingComputer 媒體已聯系HP官方以了解有關該缺陷的確切影響的更多信息,以及供應商是否看到了積極利用的跡象,但目前還沒有收到任何聲明。
以下打印機型號受 CVE-2023-1707 影響:
HP Color LaserJet Enterprise M455
HP Color LaserJet Enterprise MFP M480
HP Color LaserJet Managed E45028
HP Color LaserJet Managed MFP E47528、 E785dn、E78523、E78528
HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35
HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70
HP LaserJet Enterprise M406、M407
HP LaserJet Enterprise MFP M430、M431
HP LaserJet Managed MFP E42540
HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030
HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40
HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70
惠普表示,解決該漏洞的固件更新將在 90 天內發布,因此目前沒有可用的修復程序。
對于運行 FutureSmart 5.6 的客戶,建議的緩解措施是將其固件版本降級到 FS 5.5.0.3。
“惠普建議立即恢復到以前版本的固件(FutureSmart 版本 5.5.0.3)。預計將在 90 天內更新固件以解決該問題。” 惠普官方聲明。
此外,還建議用戶從HP 官方下載門戶獲取固件包,在那里他們可以選擇自己的打印機型號并獲取相關軟件。
全球網絡安全資訊
安全圈
安全牛
安全牛
安全圈
D1Net
安全內參
安全圈
網絡研究院
中國信息安全
安全客
嘶吼專業版
