员工私自使用个人信息的定位与责任：兼谈欧盟观点｜mhp君悦评论

现实生活中，员工因私人目的访问、使用企业存储的个人信息的情况既不新鲜，也不少见。私自使用的动机既可能很大，比如将企业的客户信息留作私用，也可能很小，比如仅仅出于好奇想看看新晋员工的简历。本文自然不会分析员工私自使用个人信息的场景和动机，而是讨论私自使用个人信息的员工在法律上的地位如何，其需承担何种法律责任；连带地，雇佣该员工的企业又将负有何种义务和责任。

一、什么是“私自使用”

员工“私自使用”个人信息，顾名思义，就是员工因私人目的、而非为工作目的或为履行其工作职责，访问、使用企业所存储的个人信息。一般而言，企业所存储的个人信息大致有两类：一类是企业的所有员工信息；一类是企业在经营过程中收集的个人信息，包括客户数据、业务类个人信息（比如养老机构收集的老人健康状况信息）。

就员工信息而言，企业收集、处理这类信息的目的基本应限于员工管理、履行与员工劳动合同之必要的范围内；例外地，企业在获得员工的同意之后，在员工同意的必要的目的范围内处理员工信息。就经营过程中收集的个人信息而言，企业基本是在履行相关经营合同的必要范围内，例外地，企业在经营过程中也会获得个人信息主体同意，并在同意的必要目的范围内收集、处理个人信息。总体而言，对于企业所收集、处理的前两类个人信息，企业只能在收集、处理前两类个人信息的必要目的范围内处理，相应地，企业员工也只能在前述目的范围内访问、处理。只要员工在前述目的范围内访问、处理个人信息，员工便是为工作目的或为履行其工作职责的访问、处理个人信息；而一旦企业员工超越前述目的范围访问、处理企业存储的个人信息，员工就构成私自使用个人信息。

除企业最高管理层之外，员工有其部门、部门有其职责与权限，这导致了员工一般情况下无法访问到其权限之外的个人信息，比如企业人事部的员工在正常情况下无法、也不应访问企业的客户数据。那么，如果员工访问并使用了其职责权限之外的个人信息，但访问和使用个人信息的目的范围又在企业的目的范围之内，即所谓该员工管了不该他管的事，这类情况是否构成“私自使用”呢？答案是不构成，理由在于，这种情况是该企业内部数据管理问题；从外部来看，该员工仍是基于工作目的处理个人信息，不是私自使用。

二、员工私自使用的法律定位

员工如果因工作目的访问、处理企业所存的个人信息，那么企业是个人信息处理者，员工虽然接受企业指示处理个人信息，但员工是企业内部人员，不是个人信息受托处理者，只是《个人信息保护法》第51条第4项的“从业人员”。

一旦员工私自使用企业所存的个人信息，员工的法律定位是否发生突变，变成独立的个人信息处理者？对此，有两种观点：一种是主流观点；一种是少数派观点。笔者赞同少数派观点。

（一）主流观点：独立的个人信息处理者

主流观点的论证大致如下：既然员工是基于自己的私人目的访问、使用企业所存的个人信息，那么员工自己决定了这类个人信息处理的目的与方式，构成个人信息处理者。并且，企业对员工的私自使用没有施加任何影响，企业也不会同意员工的私自使用，因此，在员工私自使用的场景中，企业与员工也不构成共同的个人信息处理者。这样的话，员工在私自使用个人信息的场景中，就构成独立的个人信息处理者。

根据Kevin Leibold、 Bernd Kinzinger博士综述文章（参见Leibold/Kinzinger: Mitarbeiterexzess – Überblick über die Anforderungen und Grenzen der datenschutzrechtlichen Verantwortlichkeit von Beschäftigten, ZD-Aktuell 2025, 01268）的总结，欧盟很多国家的数据监管机构持此主流观点，这里简要总结其中的一些观点，供读者参考（注：欧盟GDPR语境下的数据控制者可初步类比为我国的个人信息处理者）：

1. 德国石勒苏益格-荷尔斯泰因州数据保护局 ULD：在一定情况下为独立数据控制者：如果员工将其在公务上可获得的数据，不是用于其公务目的，而完全是用于自己私人目的或第三方目的。

2. 德国巴登-符腾堡州数据保护局：该局在2025年给一名警察3500欧的罚款，事由是该警察没有公务事由，非法访问了存储于登记系统的某位妇女数据，处罚理由是该警察基于纯粹私人目的非法访问了警察数据系统的数据，应被视为独立数据控制者，并依GDPR第83条第1款受罚。

3. 德国黑森州数据保护局：员工超越用人单位的公务和工作指示，基于私人目的处理数据构成独立的数据处理，应予处罚，比如餐厅或新冠检测中心的员工不当使用所谓新冠病毒清单中的数据。

4. 德国北威州数据保护局：公共机构的员工如果基于私人目的处理数据，这就不属于其公务范围，应被认定为独立数据控制者。

5. 德国下萨克森数据保护局：如果员工在没有理由和合法基础的情况下，向劳动法院公开了其同事的雇佣细节，该员工已离开了分配给他的职责领域，从而构成独立数据控制者。根据被公开的员工数据的种类和数量情况，甚至会触发对员工调查程序。

6. 德国汉堡数据保护局：如果员工因私人目的处理数据，该目的与其职责不符且没有获得公司管理层同意，则员工被认定为独立数据控制者。

7. EDSA：如果员工出于与雇主不同的目的处理个人数据，则他被视为控制者，并承担由此产生的与数据处理相关的所有后果和义务。然而，在 EDPB 看来，如果由于缺乏足够的安全措施而进行新的处理，雇主作为原始控制者，仍然可以保留一定的责任。

8. 比利时数据保护局：员工非经授权访问数据，首先构成数据控制者。而雇主只对其雇员在履行职责过程中并按照其指示进行的访问负责。因此，如果员工非基于工作场景处理个人数据，就是独立的数据控制者。

9. 冰岛数据保护局：该局在一个案件中裁定，如果银行的员工通过其工作邮箱发送了与银行活动无关的邮件，则银行不是此类数据处理活动的控制者。以此裁定推论，似乎该局认为，如果员工处理了与工作场景无关的个人数据，雇主不担责任。

10. 奥地利数据保护局：该局曾明示，如果一个自然人为某组织工作，则该组织是数据控制者；依此决定的反面解释，则该自然人不再为某组织工作，则对该自然人数据处理活动，该组织不再是数据控制者。

（二）少数派观点：不构成独立的个人信息处理者

少数派观点则认为，员工在私自使用个人信息情况下不构成独立的个人信息处理者，理由有如下几点：

（1）即使员工私自使用个人信息，员工得以访问到该等个人信息的渠道是企业提供的；换言之，员工仍然是在企业所设置的办公场景下访问并使用了个人信息，企业应对员工的私自使用负责。

（2）假如员工构成独立的个人信息处理者，这就意味着，员工应承担个人信息权益被侵害的法律责任，企业只要尽到其自身的义务就可免责。在现实的企业管理中，企业一般都会通过各种制度文件来明确规定、并通过技术措施来保障，员工仅有权在合法的工作目的范围内，访问和使用企业存储的个人信息。由于企业永远是通过具体员工来处理个人信息的，一旦企业落实前述步骤，企业就可主张、证明：只要员工有任何违法的个人信息处理行为，这些行为就在企业授权的目的之外，是员工私自使用个人信息的行为，员工因此构成单独的个人信息处理者，应单独承担法律责任，企业免责。这就导致一个怪局：如果员工处理个人信息是合法的，那是员工在履行工作职责；如果员工处理个人信息是非法的，那就是员工私自使用个人数据。这样企业一直免责、员工一直承担风险，这是不合理的。

（3）在员工私自使用个人信息情况下，如果其不构成独立的个人信息处理者，那么员工的前述行为就归属于企业，企业作为个人信息处理者，将对外承担法律责任；但同时，企业可通过与员工的劳动合同、规章制度，要求员工向企业赔偿损失。这不失为一个妥当的方案。

虽然欧盟很多国家的数据监管机构赞同主流观点，但少数派观点在欧盟也有支持者，包括：

1.德国拜因州数据保护官和数据保护局：对员工基于公务目的能接触的个人数据，基于私人目的通过公务查询系统访问这类数据，员工不会成为数据控制者。理由在于：关于查询系统的基础目的与手段的决定，即使员工基于私人目的滥用公务数据，员工仍然没有超越这种决定，其只是使用其能掌控的公务查询系统，并使用该系统用于非公务的私人目的。GDPR第28条10款只是规定了数据处理者如何成为数据控制者，但员工不是数据处理者，该款也没有规定员工如何成为数据控制者。例外情况存在于：员工使用了用人单位之外的资源，对其能访问的数据作了进一步处理，此时，员工是独立数据控制者。

2. 欧盟法院：欧盟法院虽然没有明确员工过度行为，但是在一则涉及雇主侵权责任的判决中明确，即使雇主主张损害是由员工的错误行为造成，雇主依然不能免除作为数据控制者的责任。由此判决或可推论：即使员工非依雇主指示行事，雇主仍是此类处理活动的数据控制者。

三、员工私自使用的法律责任

既然在员工是否构成独立的个人信息处理者上存在两种观点，因此，关于员工私自使用的法律责任承担，笔者也依此两种观点讨论：

（一）依主流观点的责任承担

既然员工是独立的个人信息处理者，员工私自使用个人信息既未获得个人的同意，也没有其他的合法性基础，因此，员工构成违法处理个人信息。如果此等私自使用行为造成损害，依据《个人信息保护法》第69条，员工依承担损害赔偿责任。

但是，员工承担损害赔偿责任并不意味着企业能免责。依照《个人信息保护法》第69条第1款的规定，企业作为独立的个人信息处理者，对员工私自使用如果存在过错，则仍然要承担损害赔偿责任。企业是否存在过错，则依赖于企业是否尽到了对其所处理个人信息的数据安全管理义务：如果企业采取了充足的组织和技术措施来确保个人信息的安全、目的范围内使用，限制员工的因私操作，比如设置了访问权限、访问日志留存、定期教育与培训、禁止下载等，那么企业对员工的私自使用就没有过错；反之，企业就存在过错，应对员工的私自使用承担责任。

在笔者看来，在员工私自使用个人信息的情形中，企业的数据安全管理义务属于其安全保障义务，因此，在员工与企业的责任分配上，可参照《民法典》第1198条第2款的规定，由员工承担损害赔偿责任，企业承担相应的补充责任；如果企业先行承担了责任，可向员工追偿。

（二） 依少数派观点的责任承担

既然员工不构成独立的个人信息处理者，那么企业仍是员工私自使用个人信息的个人信息处理者，鉴于企业违法处理个人信息，依据《个人信息保护法》第69条，企业对造成的损害承担赔偿责任。在企业承担赔偿责任之后，企业可向员工追偿，追偿的依据可以是企业与员工的明确约定（如有），也可以是基于员工对企业利益的保护义务。

四、企业的披露义务？

在员工私自使用个人信息的情况下，被侵害的个人有强烈的动机想知道是哪个员工使用了她/他的个人信息，比如当员工在网络上公开了某人的个人信息，这个人很可能找到企业，要求企业披露具体是哪名员工公开的。这对企业来讲一般并非难事，企业只要查询自己系统的访问日志即可锁定具体员工。那么，假如个人要求企业披露私自使用其个人信息的员工信息，企业是否义务这么做呢？

如果依照主流观点，私自使用个人信息的员工是独立的个人信息处理者，虽然违背了企业的意愿，但企业实际上是被动地、对外向这名员工提供了个人信息，依照《个人信息保护法》第23条，这名员工是个人信息的接收方，企业有义务向个人披露这名员工的具体信息。

但是，如果遵循少数派观点，私自使用个人信息的员工不构成独立的个人信息处理者，企业仍是员工私自使用个人信息的个人信息处理者，企业并未对外提供个人信息，即使个人要求企业披露，企业也没有义务去披露这名员工的信息。