文/北京市天元律师事务所上海分所方有明

　　问题的提出

　　最近的“冲击波”病毒让不少电脑中了招，原本对网络安全不太重视的公司也急忙采取建立防火墙之类的安全措施。当然，技术保障是必不可少的，但是，据统计，在企业电脑 网络安全事件中约有七成是由内部原因造成的，因此，制定恰当的管理及安全策略也是安全保障的重要设施之一。为此，企业往往规定“禁止员工进行任何与工作无关的网络访问”，允许部门主管查看下级员工的访问记录；乃至查看和监督员工的电子邮件；限制和监督即时通讯的使用等等。但是，这种雇主在工作场所监督员工的行为易引起员工的反感和质疑，认为企业有侵犯隐私权之嫌。

　　今年四月，就发生了一起类似的纠纷。有一公司通过电话监督设备发现某员工数月来花了几十个小时与外地某一号码通话，经查，是该员工与一网友通话。于是将其解雇。该员工认为公司的电话监督行为侵犯了他的隐私权；公司则认为不存在侵权问题，因为公司曾明确要求员工不准用办公室电话拨打私人电话，并告知发现后将严厉查处，同时声明该电话监督设备并非用于窃听，而是公司管理的一个辅助设备。由此也引发了两种针锋相对的观点：一种认为员工违反劳动纪律，公司的做法无可厚非；另一种认为公司使用电话监督设备就构成了对员工通信秘密的侵犯。

　　当前，我国并无相关的法律规定，在我们辩明是非之前，不妨看看国外的有关情况。

　　先看国外案例

　　【案例】Nissan公司的客户服务主管在查看员工电子邮件时，发现有两个员工的电子邮件含有不适当的言语及笑话，并带有性方面的内容，便向他们发出警告。但他们在接到警告后，便向公司表示对监督行为不满，之后遭到解雇。于是这两个员工向美国地方法院提起诉讼，认为公司电子邮件查看行为不合法，侵犯了他们的隐私权。

　　经过调查，公司管理文件中含有对电脑系统的详细说明，其中规定计算机系统的使用仅限于公司事务，这份文件经过员工的签名认可；此外，员工在此事件发生之前已经知道公司有查看电子邮件的行为。员工认为，既然公司允许员工保有自己的密码，就意味着员工对电子邮件享有隐私权利或者对隐私权利的合理期待。但法院认为这仅仅是一种基于安全上的考虑：公司为了保护系统的安全，必须采取这样的行为来防止外来者的侵害。最终，原告的请求被驳回。类似的案件发生过多起，但几乎都是雇主胜诉。因为，美国在立法上倾向于保护公司的利益。

　　在美国一系列涉及信息隐私权的法律中，最重要的是电子通讯隐私权法(Electronic Communication Privacy Act of 1980，ECPA)。该法最初是限制政府的监听行为，在经过修改之后，其适用范围扩大到了数字通讯领域，包含了文字及数字化的影像图形；不但禁止政府非法窃听，个人或商业上的未经授权，也属非法窃听。

　　ECPA规定，除非系统管理者与网络使用者有事先的约定，否则针对正在传输的非声音信息，系统管理者不能介入，但是若已经处于储存的状态，网络的系统管理者可以检查。所谓的“储存状态”既包含储存于系统管理者计算机中等待存取的信息，也包括用户之间私人对话的记录。也就是说，网络用户对处于储存状态的信息不享有隐私权。

　　ECPA虽然对员工的信息隐私权提供了一些原则性的保护，但同时又有众多的例外规定，例如：

　　非州际电子邮件系统例外——ECPA所保护的网络系统，只及于跨州的网络系统，据此规定，大部分的公司所提供的电子邮件系统都不属于该法所规范的电子邮件范围，因为大部分的公司邮件系统均属于公司内部系统；

　　事先同意的例外——ECPA允许通讯双方的任何一方于事先的同意之下，允许被同意者中途截取其电子邮件的内容；

　　商业使用的例外——ECPA规定网络服务提供者的员工或代理人，在其网络服务的必要范围内，或为了保护其对该项服务的财产或相关权利，而在雇用关系的正常使用情形下中途截取、公开或使用该项通讯内容。

　　英国贸易工业部于2000年出台的《电信通讯规则》也持允许雇主查看员工电子邮件的态度，前提是雇主已采取合理的措施来告知收信人或打电话者将进行监听或监看，并明确了可以监督的范围。

　　在美国发生的另一起案例中，员工的利益得到了初步的保护。Restuccia是Burk Technology公司的员工。公司的主管们可利用监督者的密码进入公司计算机系统的每一部份，包括员工的电子邮件，但员工并不知道高级主管能够看到他们的电子邮件。后来，公司老板Burk发现Restuccia和另一员工LoRe在几封电子邮件中谈起Burk和另一员工的婚外情。三天后，Burk将Restuccia与LoRe解雇，声称解雇的原因是因为他们过度使用电子邮件系统。

　　后来Restuccia与LoRe对Burk提起诉讼，指称公司侵犯其隐私权。法院认为，由于公司从未明确告诉员工，公司主管可以接触到员工的电子邮件或员工的电子邮件会被储存到备份的档案里。在此情况下，员工可以主张对于私人的电子邮件的隐私权享有合理的期待。

　　从这个案例分析，事先的告知或员工的同意似是构成查看合法性的重要条件之一。而对于什么是“同意”，法院认为，在解释同意时应参酌事件发生的具体情况来判断当事人是否同意，但是这并不意味着同意包括默示同意。

　　从上述立法和案件情况来看，公司查看电子邮件时应当符合一些基本的规则：

　　例如基于合法的业务上的目的、使用最小的侵害手段来达到业务上的目标；

　　让接近、使用以及揭露信息限制在足以达成目标的目的范围内；提供合理的通知以告知员工监视及使用的情形。

　　我国法律有什么规定

　　我国法律《互联网信息服务管理办法》规定，对于以下9种信息，互联网信息服务提供者不得制作、复制、发布、传播：

　　1.反对宪法所确定的基本原则的；

　　2.危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

　　3.损害国家荣誉和利益的；

　　4.煽动民族仇恨、民族歧视，破坏民族团结的；

　　5.破坏国家宗教政策，宣扬邪教和封建迷信的；

　　6.散布谣言，扰乱社会秩序，破坏社会稳定的；

　　7.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

　　8.侮辱或者诽谤他人，侵害他人合法权益的；

　　9.含有法律、行政法规禁止的其他内容的。

　　同时要求只要发现其网站传输的信息明显属于上述内容之一的，应当立即停止传输，保存有关记录，并向国家有关机关报告。据此，我们可以得出这样的结论，即对于上述9类信息，任何人包括公司的员工均不享有隐私权。但是，对于其他信息的隐私权问题，我国法律并未规定。

　　因此，在现行法律制度下，根据法律的基本原则和国际立法经验，制定恰当的公司网络和电子邮件管理策略是十分重要的。这样的管理策略应当包括以下几个方面：

　　1.要明确公司采取网络及电子邮件监督行为的目的；

　　2.说明公司在实施监督行为时的程序；

　　3.明确电子邮件是否可以使用于非业务上的目的，以及如果可以用于非业务的情形之下，其可以被容许的时间与范围；

　　4.在实施监督或查看行为时，得到员工的同意或授权；

　　5.公司在监督或查看员工信息时，必须确保机密；

　　6.明示对于违反该政策的处罚方式；

　　7.所有员工在被雇用之时，明确告知公司的相关政策，此后应有适当的提示；

　　8.根据法律发展的状况，定期评估公司的电子邮件管理政策。

　　在制定相关政策时，应兼顾情、理、法，尊重员工个人隐私，不适宜采用太强制或是极端控制的手段。保持与员工的沟通，使他们了解，公司为了保护自己的合法利益，有合法、合理查看员工电子邮件的权利。员工若有不想使外人得知的邮件，应避免使用公司的电子邮件系统。