2021年1月，上海盒馬網絡科技有限公司（下簡稱「盒馬公司」）一名劉姓女員工，遭盒馬解僱，理由是她在職期間未經批准，使用釘釘（Ding Talk）軟件時違規、私自下載大量文件到個人手機上。

盒馬稱該行為嚴重違反了公司處規章制度的要求，亦給公司帶來商業秘密洩露的巨大風險。上海市浦東新區人民法院對案件則判決，認為該員工行為不構成違紀，涉事公司需支付賠償員工經濟損失合共19萬元（人民幣，下同）。

近日，該名劉姓女員工（化名：苟法法）向《香港01》記者透露，該案件結束後，她才意識到原來盒馬公司不僅監控她在釘釘文件的下載紀錄和訊息，更非法獲得她的出生證明、結婚證和戶口本等資料，她因此在2023年開始以侵犯隱私權為由提告盒馬和釘釘，惜一審、二審法院皆敗訴。

員工因下載文件被開除　法院判盒馬賠償19萬多元

據此前報道，2018年10月8日苟法法入職盒馬公司，並與公司簽訂至2021年10月31日的勞動合約，任職期間苟法法擔任設計專家，月薪28500元（人民幣，下同）。

2021年1月15日，盒馬鮮生通知苟法法與其單方面解約，理由是「因您嚴重違反公司規章制度，公司決定提前解除勞動合同。」

盒馬當時表示，公司規章制度及《保密及競業限制協議》曾明確規定苟法法的保密義務，而苟法法在職期間未經批准，使用釘釘（Ding Talk）軟件時違規、私自下載大量文件到個人手機上，該行為嚴重違反了公司處規章制度的要求，亦給公司帶來商業秘密洩露的巨大風險，公司據此解除與苟法法之間的勞動合同，屬於合法解除行為。

苟法法提到，自己在使用手機操作釘釘軟件查看文件時，一般的文件一經點擊預覽就會自動下載保存至手機內，而其在職期間對此一直不知曉。此外，還有一些文件並無預覽按鈕，必須下載後才能進行預覽。

法院當時判決認為，盒馬公司的說法缺少說服力，亦難以判定苟法法對於文件下載到手機上存在主觀惡意。因此，法院判定盒馬公司認為苟法法存在嚴重違紀的行為不予採納，盒馬公司應支付苟法法違法解除勞動合同的賠償金、工資差額、十三薪等合共19萬多元。

前員工指控盒馬、釘釘軟件侵犯隱私權

在該起官司後，發現，盒馬公司有許多自己並未授權給公司的資料，包括私人文件如結婚證書、下載文件的時間等與工作無關的數據，因此才能以「私自下載大量文件到個人手機上」為由開除他。她控告盒馬公司、釘釘軟件再未取得她的授權侵犯她的隱私。

不過，後續的官司都沒有先前的順利。法院皆以證據不足判決苟法法敗訴。

苟法法向記者表示，盒馬公司在與她打之前的官司時，曾經做了（2021）滬新虹橋證經字第1056號公證書。公證書中以秒為單位，無差別記錄苟法法的釘釘使用記錄，並含有IP地址、文件名稱、發給誰、發送內容等。私人文件包括： IP地址、私人簡歷、戶口本子女、出生醫學證明、房產證、IP地址、上下線時間、網絡瀏覽日誌等。

她批評，當初使用釘釘軟件，但盒馬公司卻主張只要加入盒馬公司的群組，上海盒馬網絡科技有限公司承認合規合數據安全部門可以隨時、無差別的看到釘釘app中的內，既包含工作文件也包含私人文件。

她認為，在沒有自己的任何授權下， 「上海盒馬網絡科技有限公司向『阿里巴巴（中國）網路技術有限公司』提交申請，就可以調取到我的所有後台資料，這是不合理的。」

員工質疑四家公司共享她的數據

苟法法認為，上海盒馬網絡科技有限公司、釘釘科技有限公司、阿里巴巴（中国）网络技术有限公司、阿里巴巴（中国）有限公司雖然都屬於阿里巴巴集團，但都是獨立法人，「從法律角度來說，這四家公司在沒有「單獨同意」的前提下，就共同處理我的釘釘數據，是違法行為。」

根據釘釘官方數據，截止到2023年年末，釘釘用戶數達7億，企業組織數達2500萬，軟體付費企業數達12萬。

苟法法批評，當初使用釘釘軟件，但盒馬公司卻主張只要加入盒馬公司的群組，合規合數據安全部門可以隨時、無差別的看到釘釘app中的內，既包含工作文件也包含私人文件。

苟法法批評，上海盒馬網絡科技有限公司、釘釘科技有限公司雖然都屬於阿里巴巴集團，但都是獨立法人，「從法律角度來說，這四家公司在沒有「單獨同意」的前提下，就共同處理我的釘釘數據，是違法行為。」，她質疑，此次的事件等於是向大眾宣告四家公司有共享數據的疑慮。

根據釘釘官方數據，截止到2023年年末，釘釘用戶數達7億，企業組織數達2500萬，軟體付費企業數達12萬。

苟法法表示，這些數據都如果儲存在阿里巴巴（中國）網絡技術有限公司裡，「那麼個人、企業的秘密阿里集團可以隨便處理，是一項很危險的事情。」

內地網絡隱私權議題 再掀關注

日前，百度副總裁謝廣軍的女兒起底網暴素人事件再次引發內地網民對於網絡用戶隱私權的廣大疑慮。

百度副總13歲女起底網暴孕婦　百度堅稱未洩露訊息　受害者報警

據內地《網絡安全法》第41條網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。
該法強調，網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。
此外，網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意，不得向他人提供個人信息。

另外，《個人信息保護法》第69條則提到，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。