【美国隐私保护】员工隐私法：2023年雇主应该知道什么

关键要点

• 员工隐私权受州和联邦法律以及通常遵循的数据保护最佳实践的约束。
• 雇主必须考虑隐私风险，例如面临诉讼和危及员工安全和福祉。

作为风险管理过程中的一个步骤，企业通常会监控员工活动并收集员工数据。然而，工人有权获得某些隐私保护，就像他们有权获得公平的工资和安全的工作条件一样。员工隐私法是复杂而微妙的，但对这些权利的清晰理解有助于企业在不冒违反合规风险的情况下保护自己。

雇主应该考虑哪些隐私风险？

雇主必须考虑许多不同的工作场所隐私风险。个人信息披露是一个普遍关注的问题，几乎在任何企业都可能发生。发布这些信息，即使是意外，也可能危及员工的身体和经济健康。这会使他们容易受到跟踪、欺骗、黑客攻击、金融欺诈和其他严重情况的影响。

过度监控也可能导致发现雇主在法律上不能询问的信息，例如员工的宗教或性取向。如果员工属于受保护类别，这些情况可能会导致法律诉讼。

将负面或不真实的信息归因于员工，例如对犯罪活动的指控，可能会导致侵犯隐私权。未经许可使用员工的姓名或肖像也可能导致挪用索赔。为了避免这种情况，在宣传材料上使用员工的姓名、形象或报价之前，一定要获得书面同意。

员工的隐私权是什么？

私营公司的员工通常有权在工作场所的以下问题上享有数据隐私权：个人信息、医疗和基因信息、工作证明、背景和信用检查、药物和酒精检测、GPS监控、电子监控、摄像头监控、邮政邮件和个人搜索。

个人信息

对于联邦机构，1974年的《隐私法》禁止与其他人或机构共享员工的信息，除非在极少数情况下。一般来说，私营公司应该采取与《隐私法》相同的方法，拒绝向其他方披露员工或其家属的个人数据。这对全名、出生日期、社会保障号码、银行账号以及可能危及个人身体安全或财务安全的其他信息尤为重要。

医学和遗传信息

1996年的《健康保险便携性和责任法案》（也称为HIPAA）是一项保护人们个人健康信息（包括医疗记录）的国家法律。此外，《基因信息非歧视法》禁止拥有15名或15名以上员工的雇主基于员工的基因背景歧视员工。

工作参考资料

没有任何官方就业法禁止雇主向询问工作推荐人的人提供员工的个人数据。然而，雇主不应该向第三方发布员工信息，即使工作推荐人的联系看起来是合法的。

背景和信用检查

作为招聘过程的一部分，许多企业通过背景调查和信用检查来审查潜在员工。《公平信用报告法》（FCRA）要求公司必须获得求职者的许可才能进行这两项检查。雇主不应向任何第三方发布信用信息。

药物和酒精测试

美国法律允许企业对员工和求职者进行毒品和酒精测试。一些州制定了隐私法，禁止雇主强迫员工进行药物检测，除非在某些情况下，例如涉嫌吸毒的工作场所事故。无论司法管辖区如何，公司都应对这些测试结果保密。

另请阅读：《工作场所药物测试雇主指南》

GPS监控

在大多数情况下，如果车辆或设备为公司所有，GPS监控是合法的。然而，雇主必须为这种跟踪提供合法的理由，并通知员工他们的位置正在被监控。一些州，如佛罗里达州，要求雇主在开始追踪自己的位置之前，必须征得员工的同意。

电子监控

监控公司拥有的手机、电脑和电子邮件账户是合法的，只要这些设备属于雇主，而不是雇员。雇主不能监控个人设备，因为1986年的《电子通信隐私法》（ECPA）禁止任何人非法和故意拦截口头、有线或电子通信。《存储通信法》（SCA）还限制对通信数据的访问。

视频监控

视频监控在公司大楼和停车场等附属结构中是合法的。尽管如此，一些州还是要求企业向员工发出隐私通知。其他州只允许在公共场所进行视频监控，但“公共场所”的定义可能千差万别。

例如，企业不能在浴室、休息室和其他对工作场所隐私有合理期望的区域对员工进行监控。根据《国家劳动关系法》，雇主也被禁止在员工参加工会活动时对其进行录像。

个人搜索

美国宪法第四修正案保护公民免受不合理的搜查和扣押，包括在工作中。雇主需要有正当理由进行个人搜查。例如，如果一名员工被摄像头拍到偷东西，企业将有正当理由搜查该员工的物品。然而，雇主永远不应该进行强制性或过度侵入性的搜查。

邮政邮件

在途中阻碍邮件是非法的，但一旦邮件送达，雇主可以合法地打开发送到商业地址的邮件，即使邮件是发给员工的。

遵守员工隐私法的提示

雇主可以采取战略措施，确保他们收集的数据有助于保护企业，同时也保护员工隐私。

首先，雇主应告知员工企业的数据收集和监控做法。此外，工作场所的监控和安全政策必须概述哪些信息可以共享或不可以共享，以及在数据泄露或泄露的情况下应采取的步骤。

为了最大限度地减少人力资源数据落入坏人手中的机会，IT团队应该启用自动超时功能，并考虑实施双因素身份验证，以进一步加强软件的安全性。维护所有设备的软件更新也降低了被黑客入侵的风险。

也许最重要的是，在选择新的商业软件时，网络安全应该是一个高度优先事项，尤其是存储员工数据的人力资源信息系统（HRIS）。在实现过程中，最好使用最小权限原则来确定谁应该访问数据库。人力资源部员工和任何处理员工数据的人都应该知道保护工作场所隐私的最佳实践。