拿什么堵上勞動者個人信息泄露的缺口

李伶俐

【摘要】用人單位對勞動者的個人信息享有知情權(quán)，但在一定程度上也侵犯勞動者個人信息安全。綜觀國外對個人信息的立法，借鑒歐盟模式及美國安全港模式的先進經(jīng)驗，我國的勞動立法應(yīng)從明確用人單位知情權(quán)的權(quán)利界限、規(guī)定用人單位保護勞動者個人信息的規(guī)章制度以及設(shè)定特定的勞動法責(zé)任三個方面，有效保護勞動者的個人信息。

【關(guān)鍵詞】知情權(quán) 個人信息 勞動法保護

【中圖分類號】D912 【文獻標識碼】A

用人單位享有知情權(quán)背景下勞動者個人信息安全問題凸顯

根據(jù)《勞動合同法》第八條規(guī)定，用人單位與勞動者訂立勞動合同之時以及勞動合同存續(xù)期間，都有權(quán)獲悉勞動者的相關(guān)個人信息。大數(shù)據(jù)時代，由于信息能夠創(chuàng)造商業(yè)價值的誘惑，公民的個人信息日益陷入被非法買賣、泄露的困境。①

用人單位對勞動者行使知情權(quán)，收集和利用勞動者的個人信息是用人單位經(jīng)營管理的常態(tài)，甚至整個單位內(nèi)部秩序的正常運轉(zhuǎn)、企業(yè)謀取利潤都依賴于此。在這種形勢下，用人單位對勞動者行使知情權(quán)欲盡可能“知”?；凇皠谌踬Y強”的現(xiàn)實，勞動者個人信息安全面臨著被侵犯的現(xiàn)實困境。

首先是用人單位招聘勞動者階段。在與勞動者建立勞動關(guān)系之前，用人單位往往要求求職者投放簡歷或者填寫內(nèi)容詳盡的表格，以此來選拔最適合招聘崗位的人才。求職者投放的紙質(zhì)或電子文檔形式的簡歷中包含了大量的個人信息，包括姓名、性別、移動電話、電子郵箱、家庭住址、學(xué)歷等情況。用人單位收集了大量的應(yīng)聘簡歷，如果篩選后將不被看中的簡歷隨意丟棄，簡歷中求職者的個人信息將可能被他人非法收集使用，從而損害求職者個人信息隱私權(quán)的正當權(quán)益。用人單位即使未披露或公開任何信息，不當收集個人信息本身就足以侵害個人的信息隱私，進而侵犯勞動者的隱私權(quán)。

其次是用人單位與勞動者勞動關(guān)系存續(xù)階段。在這一階段，用人單位收集的諸如身體健康情況、疾病歷史、醫(yī)療記錄等勞動者個人信息，屬于勞動者的個人隱私信息，用人單位知悉后未經(jīng)勞動者同意，不能向第三人公布?，F(xiàn)實中，有的用人單位將勞動者的個人隱私信息轉(zhuǎn)移給保險公司或金融機構(gòu)，致使勞動者成為保險公司或金融機構(gòu)銷售人員產(chǎn)品銷售的對象，可能導(dǎo)致勞動者做出不自愿的購買行為。用人單位對勞動者個人信息的這種處理方式，背離了勞動法律賦予其享有知情權(quán)的目的，在結(jié)果上極有可能侵害勞動者的個人信息隱私權(quán)。②另外，用人單位對勞動者的個人信息進行正常管理，也應(yīng)做好適當?shù)陌踩Ｗo措施。否則，缺乏嚴謹系統(tǒng)化的信息管理制度，或者內(nèi)部信息管理人員的不當操作，都可能會導(dǎo)致勞動者個人信息的遺失、被竊取、不當披露等，從而侵害勞動者的個人信息隱私權(quán)。

最后是用人單位與勞動者勞動關(guān)系結(jié)束之后。勞動者離職后，其個人信息轉(zhuǎn)化為個人檔案，為用人單位保管。根據(jù)《勞動合同法》相關(guān)法條規(guī)定，用人單位應(yīng)在十五日內(nèi)為離職勞動者辦理檔案轉(zhuǎn)移手續(xù)。隨著互聯(lián)網(wǎng)的普及，整個社會檔案的管理模式正在從以保管檔案實體為重點，轉(zhuǎn)向以數(shù)字化檔案的形式向社會提供服務(wù)為重點。③數(shù)字化檔案的普及，給用人單位留存勞動者的個人信息提供了無限可能。《勞動合同法》規(guī)定，用人單位對已經(jīng)解除勞動關(guān)系的勞動合同文本至少應(yīng)該保存兩年。實踐中，當勞動者離開所在用人單位后，有些用人單位主客觀上并不采取措施銷毀勞動者的人事檔案，更有甚者，為了謀取經(jīng)濟利益，將其所掌握的在職和離崗勞動者的個人信息打包銷售給獵頭公司、非法調(diào)查公司以及保險公司等，肆無忌憚地出售、泄露勞動者的個人信息。

我國現(xiàn)行立法缺乏對勞動者個人信息的有效保護

第一，我國現(xiàn)行個人信息保護相關(guān)立法層級較低，且缺乏針對性。在較高層級的法律立法方面，首次涉及到公民個人信息保護的法律是2000年12月28日全國人大常委會發(fā)布的《關(guān)于維護互聯(lián)網(wǎng)安全的決定》，該法將“侵犯公民通信自由和通信秘密”的行為入罪。后又于2012年12月通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，該決定直接指出企事業(yè)單位在收集、使用公民的個人電子信息時，應(yīng)遵循合法、正當?shù)仍瓌t，向個人信息提供者明示其收集處理信息的目的、方式和范圍。民事立法方面，2014年3月15日實施的經(jīng)過修訂的《消費者權(quán)益保護法》第十四條提出，消費者在購買、使用商品和接受服務(wù)時，其個人信息依法應(yīng)得到保護。刑事立法方面，2005年通過的《刑法修正案（五）》增加了“竊取、收買、非法提供信用卡信息罪”?！缎谭ㄐ拚福ㄆ撸犯菍⒎欠ǐ@取公民個人信息的行為首次入罪。2015年8月《刑法修正案（九）》將“出售、非法提供公民個人信息罪”的犯罪主體擴大到所有單位以及個人，這其中自然包括用人單位及其內(nèi)部人力資源管理人員。

其次，在較低層級的行政法規(guī)和部門規(guī)章方面，僅2013年，國務(wù)院及相關(guān)部門就相繼修訂了《征信管理條例》，發(fā)布了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個人信息保護指南》。其中，《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個人信息保護指南》首次規(guī)定了我國個人信息保護國家標準。

綜合以上關(guān)于個人信息保護的法律、行政法規(guī)及部門規(guī)章來看，對個人信息保護的規(guī)定在數(shù)量上并不缺乏，但總體上這些規(guī)范還較零碎、法條規(guī)定偏原則化、立法層級較低，能夠適用于勞動者個人信息保護的法規(guī)較少，尚無對勞動者個人信息保護的針對性的適用條款。

第二，勞動法缺乏對勞動者個人信息保護的規(guī)定?！秳趧雍贤ā房倓t中的第一條開宗明義，提出保護勞動者的合法權(quán)益，從而構(gòu)建和諧的勞動關(guān)系，明確了傾斜保護勞動者權(quán)益的立法目的。其中第八條賦予了用人單位和勞動者對各自信息的知情權(quán)以及相互應(yīng)盡的如實告知義務(wù)。該條規(guī)定對用人單位和勞動者而言，權(quán)利和義務(wù)是對等的。鑒于用人單位一些具有商業(yè)價值的信息的重要性，《勞動合同法》第二十三條規(guī)定，用人單位“可以”在勞動合同中與勞動者約定關(guān)于用人單位的相關(guān)信息的保密事項。為了保障第二十三條的法律效果，第九十條規(guī)定，勞動者如果違反了第二十三條中的保密義務(wù)，應(yīng)當承擔(dān)給用人單位造成損失的責(zé)任。反觀勞動者方面，卻無相關(guān)法條規(guī)定用人單位“應(yīng)該”或“可以”采取相關(guān)措施保護勞動者的個人信息。顯然，在勞動立法上，勞動者的個人信息是沒有受到相應(yīng)法律保護的。勞動者個人信息的保護在勞動法上處于缺失的狀態(tài)，更無法談及有效保護。

個人信息保護立法的歐盟模式與美國模式

第一，歐盟模式。早在1980年，當時的歐洲議會就通過了《保護自動化處理個人數(shù)據(jù)公約》適用于各成員國，至1995年10月24日，歐盟通過了《關(guān)于與個人數(shù)據(jù)處理相關(guān)的個人數(shù)據(jù)保護及此類數(shù)據(jù)自由流動的指令》即通稱的“歐盟指令”。該指令明確規(guī)定了兩個方面：一是個人數(shù)據(jù)管理者的責(zé)任和義務(wù)。具體指個人數(shù)據(jù)處理應(yīng)基于特定、合法的目的公正收集，以數(shù)據(jù)主體能夠識別的形態(tài)保存等的數(shù)據(jù)質(zhì)量原則；處理個人數(shù)據(jù)應(yīng)符合法定義務(wù)等的數(shù)據(jù)處理合法化原則；個人數(shù)據(jù)收集應(yīng)告知數(shù)據(jù)主體的告知原則以及特殊類型數(shù)據(jù)（包括種族、宗教信仰、性生活等）處理原則。④二是個人數(shù)據(jù)主體的權(quán)利。數(shù)據(jù)主體享有的權(quán)利包括訪問權(quán)（資料主體可以不受時間限制地確認個人資料是否經(jīng)過處理）、拒絕權(quán)（資料主體能夠拒絕處理或直營自己的個人資料）、自主決策權(quán)（資料主體可以不服從僅僅基于自動化處理的資料的基礎(chǔ)之上的決定）以及獲得救濟的權(quán)利（資料主體對侵權(quán)行為有權(quán)獲得賠償）。

第二，美國模式。美國在1995年公布了《個人隱私和國家信息基礎(chǔ)設(shè)施：個人信息的使用和提供原則》，提出了對個人信息的相關(guān)處理的基本原則。但該文件并不具備法律強制效力，只對個人信息保護起到引導(dǎo)作用。1997年美國政府又發(fā)布了《全球電子商務(wù)框架》，鼓勵支持私營企業(yè)制定自律規(guī)范，進一步發(fā)揮保護網(wǎng)絡(luò)隱私權(quán)的主導(dǎo)作用。相較于歐盟的統(tǒng)一立法，美國采取的正是“政府引導(dǎo)+行業(yè)自律”的模式，這就是所謂的“安全港”模式。安全港模式具有以下特點：首先，企業(yè)應(yīng)當遵守自律規(guī)范中的實體內(nèi)容和執(zhí)行程序，其執(zhí)行程序甚至可以代替聯(lián)邦貿(mào)易委員會的審查執(zhí)行程序。其次，全行業(yè)而非具體企業(yè)入“港”。聯(lián)邦貿(mào)易委員會直接審查整個行業(yè)的個人信息保護自律規(guī)范，而非行業(yè)內(nèi)具體的信息收集處理主體的自律規(guī)范。再次，對于進入安全港模式的信息處理主體而言，其制定的個人信息保護自律規(guī)范要接受行業(yè)和聯(lián)邦貿(mào)易委員會的雙重監(jiān)督。最后，在安全港模式下，個人信息權(quán)利主體在權(quán)利受到侵害時，可依據(jù)自律規(guī)范尋求救濟。為了保障救濟的效力，實行聯(lián)邦貿(mào)易委員會最終裁決的原則。⑤

保護我國勞動者個人信息的三條建議

綜合以上對個人信息保護的歐盟模式和美國模式的分析，結(jié)合我國對勞動者個人信息保護的現(xiàn)實，筆者認為有以下兩點啟示：一是對歐盟指令中對“個人數(shù)據(jù)管理者的責(zé)任和義務(wù)”的借鑒。二是對美國安全港模式中的“行業(yè)自律”的借鑒。我國勞動者個人信息保護的具體措施包括以下幾方面。

首先，明確用人單位知情權(quán)的權(quán)利界限。根據(jù)《勞動合同法》第八條的規(guī)定，勞動者對用人單位負有對本人“與勞動合同直接相關(guān)的基本情況”如實告知的義務(wù)。但“基本情況”到底指什么，在法條中并未劃定具體范圍。建議根據(jù)與勞動合同是否密切相關(guān)的不同，將勞動者的個人信息大致分為兩類：直接關(guān)系到用人單位對勞動者的有效管理的信息和直接與勞動者的工作能力相關(guān)，決定著勞動合同是否能夠履行的個人信息。對于這兩類信息，建議將其確定為勞動者應(yīng)如實告知的范圍。對于那些與勞動者的勞動能力無關(guān)、涉及到勞動者的個人隱私的信息，勞動者有權(quán)拒絕告知。⑥

其次，規(guī)定用人單位保護勞動者個人信息的規(guī)章制度。對用人單位而言，作為勞動者個人信息的持有、利用者，其保有的個人信息量是集中的、巨量的，立法必須對此予以重視。建議將勞動者個人信息保護的內(nèi)容以法定義務(wù)的方式列入用人單位的規(guī)章制度中，對勞動者個人信息保護的具體內(nèi)容由用人單位自主決定，通過單位內(nèi)部的民主程序取得勞動者的同意。根據(jù)《勞動保障監(jiān)察條例》第十一條的規(guī)定，將勞動者個人信息保護的事項也納入勞動監(jiān)察部門對用人單位規(guī)章制度的監(jiān)察范圍，由此實現(xiàn)用人單位自律與勞動行政部門監(jiān)管的結(jié)合。

第三，設(shè)定用人單位侵犯勞動者個人信息的勞動法責(zé)任。目前，對于侵犯勞動者個人信息所應(yīng)承擔(dān)的責(zé)任尚適用民事法律和刑事法律來解決。由于個人信息在概念外延上與隱私權(quán)呈交叉關(guān)系，⑦因此侵犯個人信息的救濟途徑也部分適用民事法律《侵權(quán)責(zé)任法》中關(guān)于侵犯隱私權(quán)的責(zé)任體系。具體而言，其救濟方式包括：停止侵害，排除妨礙，消除危險，返還財產(chǎn)，恢復(fù)原狀，賠償損失，賠禮道歉，消除影響、恢復(fù)名譽。就刑事責(zé)任方面，用人單位能夠成為犯罪主體，承擔(dān)罰金責(zé)任，其主管人員也面臨個人刑罰。由于勞動法律關(guān)系具有人身依附性的專屬特點，適用民事法律和刑事法律進行追責(zé)對勞動者而言有局限性，應(yīng)設(shè)定特定的符合勞動關(guān)系特點的勞動法責(zé)任。建議在責(zé)任形式上，由勞動行政管理部門對用人單位實施的侵犯勞動者個人信息的不同情形給予不同程度的行政處罰；另外，勞動立法還應(yīng)通過一定的措施鼓勵勞動者向勞動行政部門舉報其所屬單位或其他用人單位侵犯勞動者個人信息的行為。勞動行政部門接到舉報后，依職權(quán)展開調(diào)查，核實情況后對用人單位施以相應(yīng)處罰，最終達到防止用人單位侵害勞動者個人信息的目的。

（作者單位：信陽師范學(xué)院政法學(xué)院）

【注：本文系河南省政府決策研究招標課題階段性成果，項目編號：2015B296】

【注釋】

①崔聰聰：《個人信息損害賠償問題研究》，《北京郵電大學(xué)學(xué)報（社會科學(xué)版）》，2014年第6期。

②劉青楊：《社會多元化轉(zhuǎn)型期隱私權(quán)與知情權(quán)關(guān)系研究》，《北方論叢》，2015年第5期。

③馮靜：《檔案信息化及檔案信息化建設(shè)》，《蘭臺世界》，2014年第4期。

④郎慶斌：《國外個人信息保護模式研究》，《信息技術(shù)與標準化》，2012年第1期。

⑤齊愛民：《個人信息保護法研究》，《河北法學(xué)》，2008年第4期。

⑥廖宇羿：《我國個人信息保護范圍界定—兼論個人信息與個人隱私的區(qū)分》，《社會科學(xué)研究》，2016年第2期。

⑦王利明：《論個人信息權(quán)的法律保護—以個人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》，2013年第4期 。

責(zé)編/潘麗莉 孫娜（見習(xí)） 美編/王夢雅（見習(xí)）