全球在加强用户隐私法方面发展迅速。这在很大程度上归因于技术超越了法律框架。生成式人工智能(或 Gen AI)的出现和规模就是其中一个例子。

麦肯锡在 2023 年的报告中指出,创人工智能应用的经济潜力介于 2.6 万亿美元和 4.4 万亿美元 每年。但与此同时,了解、控制和保证 Gen AI 的安全对于风险和合规职能部门来说也是一项重大挑战。为什么?因为缺乏功能透明度和用于训练的数据、侵犯知识产权的可能性以及一系列侵犯用户隐私的问题,而所有这一切都以前所未有的规模和速度进行。

在员工监控领域,情况并不那么明朗,但由于强大的分析功能、人工智能的使用以及数据的统一,员工数据很容易被获取和使用,这确实让人质疑为数据不那么密集的时代而设计的规则和法规的可行性。

首先,是否需要制定更严格的法规?

根据一项 调查 根据 Top10VPN 的调查,大流行病发生后,员工监控解决方案的需求激增,2020 年 3 月达到 75%,2022 年 1 月达到 75%,2022 年第一季度达到 73%。全球许多公司,无论规模大小,都依赖这些解决方案来确保工作按部就班、员工认真负责,以及不发生可能对员工隐私和企业底线造成损害的时间盗窃。但问题也有两面性。

滥用的可能性

员工监控工具越来越强大。从传统的击键到更高级的网页浏览,甚至面部表情,它们都能跟踪。这样做的好处是多方面的。企业可以提高生产率,识别潜在的安全漏洞和内部威胁,发现需要改进的地方,制定有利于员工的政策,甚至可以更细致地了解哪些措施对员工的身心健康有益。

但与此同时,滥用的可能性也很大。企业可能会发现自己过于干涉--以至于导致有毒的工作环境,成为不信任的温床。事实上,对活动数据的细化访问可能会为歧视和不公平待遇铺平道路。员工的工作方法会被误解为他们在偷懒。这就是为什么经常有报道称,员工对自己被置于扫描仪之下感到不满。关于 39%的员工 报告说,监督对他们与雇主的关系产生了负面影响。43% 的人确认这种做法会影响公司士气。

发展速度

我们经常讨论 , 如《通用数据保护条例》(GDPR)、《电子通信隐私法》(ECPA)等。这些法规,尤其是 GDPR,为保护用户数据和隐私设定了高标准。其中也包括对员工数据的明确关注。

然而,可能的数据收集范围和规模超出了几年前设想的法规能力。简单地说,技术上的可能与法律上的允许之间的差距正在扩大。结果是什么?监管真空为无意甚至有意滥用技术进行监控留下了空间。因此,我们有理由呼吁进行监管改革,并继续就如何保持现有框架进行对话。

2024 年员工监控法律的主要变化

员工监控法律的更新与变更

员工监控法律的更新与变更

Given the above concerns, jurisdictions across the world are realising the urgency of implementing laws that promise regulation of AI-powered systems and protection of employee rights and data.

为便于理解和认识其影响,我们列出了四项主要更新以及将受影响的地区。

1.ICO 最新指南(英国,2023 年)

信息专员办公室 (ICO) 最近加强了对企业数据入侵活动的监管。2024 年 2 月的 Serco Leisure Operating Limited 案让信息专员办公室对企业的数据入侵活动进行了监管。 执行通知 ICO 就是一个很好的例子。监管机构指示该公司停止处理生物识别数据。这一指示得到了第 5、6 和 9 条的支持,这些条款倡导公平合法的处理方式、处理的合法依据等。

在 ICO 更新英国合法监控指南的背景下,所有这些都表明监管机构正在跟上监控领域的技术进步。他们的想法是确保更好的监管确定性,保护员工的数据保护权利,并建立一个促进员工和客户之间信任的商业生态系统。

以下是 ICO 就业实践和数据保护指南中与使用员工监控软件相关的主要更新内容:

  • 依法监督工人: ICO 规定企业必须考虑六项合法依据,并从中选择一项对工人进行合法监控。这些依据包括同意、合同、法律义务、重要利益、公共任务和合法利益。每项依据都包含了实现合法监控的程序,并对一切进行控制。

  • 告知自动决策: ICO 为使用有助于合法自动决策的员工监控软件的企业制定了行动计划。在这种情况下,企业需要告知员工正在处理的信息以及这种处理的基本逻辑。员工也需要有机会要求人工干预。

  • 核对表: 为便于将监管要求与公司范围内的实践相匹配,ICO 提供了 核对表 企业可用于数据保护的考虑因素。

2.CNIL 执法行动(法国,2023-2024 年)

法国国家信息学与自由委员会 (CNIL) 的做法与 ICO 类似,都是为了确保企业对滥用员工数据的行为负责--这也正是其最近的工作重点 3,200 万欧元罚款 亚马逊法国物流公司告诉我们。

法国数据保护局裁定,亚马逊建立了一个非法监控系统,该公司通过测量细粒度的工作中断情况来对员工进行微观管理。法国数据保护局对亚马逊的总体回应是对多项违反 GDPR 的行为进行制裁,包括使用扫描仪监控员工、未能确保根据 GDPR 第 6 条进行合法处理等。

以下是 CNIL 针对员工监控的最新更新,相关企业必须随时关注:

  • 数据的汇总和保留时间: 从 CNIL 最近的裁决中获得的一个关键信息是,他们严格关注公司持有员工数据的时间长短,以及这段时间是否合理。借用亚马逊的例子,CNIL 发现一个月内收集的仓库扫描仪数据被用于统计分析。而监管机构则规定,一周的时间足以评估绩效和确定培训需求。

  • 信息透明: 虽然 CNIL 的决定并不新鲜,但它引起了人们的关注,即企业如何避免告知员工(包括临时工)监控的做法和范围--这一点监管机构不会受理。

3.DPDP 法》(印度,2023-2024 年)

The Digital Personal Data Protection Act of 2023 is pending legislation and public consultation, but it's expected to bring about a slew of significant changes in the Indian employee monitoring landscape.

The Act brings forward a balanced approach to consent regarding employee data use. According to it, employers must obtain employees' consent for data processing. This will limit the non-consensual use of data at the hands of company HRs. However, the Act reserves employers' right to surpass consent in case of scenarios that are "certain legitimate uses." These include situations related to loss or liability.

4.GDPR 的变化(欧盟,2023 年)

欧盟也在更新原本行之有效的 GDPR 政策,这些政策控制着整个欧盟范围内的员工监控行为,实际上也是全球监控监管的一套主要规则。一些主要变化涉及

  • 促进跨境案件更好地运作,提高申诉的可受理性,简化争端解决程序
  • 为接受调查的各方提供更好的舞台,使他们的声音得到倾听,并提供迅速的解决方案

这些更新更多的是对监管环境的定性完善,但在欧盟范围内执行和实施 GDPR 原则的一致性方面,这些更新可能会产生重大影响。

主要收获

  • 全球监管机构正积极应对使用更好的技术监控员工的问题,并确保以合法的方式进行监控
  • 员工权利是这些新更新的核心内容
  • 任何滥用监控技术和员工数据的行为都会招致更严格的审查和问责

另请阅读 如何合法有效地监控员工