勞動(dòng)者個(gè)人信息保護(hù)的法律問題研究

楊 赟

勞動(dòng)者個(gè)人信息保護(hù)受到社會(huì)廣泛關(guān)注。2021 年，一家公司的辦公椅坐墊引起爭議。單位認(rèn)為，坐墊可以監(jiān)測(cè)員工心率、呼吸、坐姿及疲勞度，久坐后還會(huì)提醒，目的是關(guān)心員工健康，而員工認(rèn)為，本以為坐墊數(shù)據(jù)只有自己能看到，卻被質(zhì)問“你每天有一段時(shí)間不在工位”1？這說明用人單位使用坐墊還可追蹤員工的行動(dòng)軌跡。

如何判斷用人單位的行為是合理、適當(dāng)采集個(gè)人信息，這是一個(gè)引起各方關(guān)注的法律課題。2021 年8 月20 日，國家出臺(tái)《個(gè)人信息保護(hù)法》，在一定范圍內(nèi)回答了上述問題，然而，由于勞動(dòng)者個(gè)人信息保護(hù)存在特殊性，因此，個(gè)人認(rèn)為仍需進(jìn)一步完善我們的立法。在《勞動(dòng)基準(zhǔn)法》納入立法規(guī)劃2前提下，通過借鑒他人經(jīng)驗(yàn)，來制定專門規(guī)定，保護(hù)勞動(dòng)者個(gè)人信息不被濫用。

一、勞動(dòng)者個(gè)人信息保護(hù)特殊性與我國立法現(xiàn)狀及其困境

我國目前有關(guān)勞動(dòng)者個(gè)人信息保護(hù)的規(guī)定，散見于《民法典》《個(gè)人信息保護(hù)法》條款中。然而，由于勞動(dòng)關(guān)系框架下，個(gè)人信息保護(hù)具有特殊性，現(xiàn)行法律法規(guī)下，個(gè)人信息保護(hù)的一般規(guī)則難以完全適用。因而，有必要從勞動(dòng)者個(gè)人信息保護(hù)特殊性出發(fā)，探討我國勞動(dòng)者個(gè)人信息保護(hù)存在的不足。

1.勞資關(guān)系下的知情同意規(guī)則

無論是《民法典》第1035 條第1 款3還是《個(gè)人信息保護(hù)法》第13條第1 款4，都將知情同意視為處理個(gè)人信息的合法性基礎(chǔ)?！爸橥狻憋@然包含“知情”與“真實(shí)自愿”兩個(gè)要件?！爸椤?，即同意必須建立在知情的基礎(chǔ)上，與之相對(duì)應(yīng)的是信息控制者的告知義務(wù)5?！罢鎸?shí)自愿”即信息主體出于真實(shí)意思表示自愿做出同意的決定。然而，當(dāng)前的勞動(dòng)關(guān)系，單個(gè)勞動(dòng)者對(duì)于用人單位議價(jià)能力有限。一方面，勞動(dòng)者難以要求用人單位充分滿足其知情權(quán)。另外，大數(shù)據(jù)時(shí)代，單位利用數(shù)字技術(shù)處理勞動(dòng)者個(gè)人信息相對(duì)隱蔽，知情權(quán)難以實(shí)現(xiàn)。另一方面，對(duì)于勞動(dòng)框架下勞動(dòng)者知情同意的真實(shí)自愿性難以考證。從求職開始，為了獲得工作機(jī)會(huì)，勞動(dòng)者只能向用人單位提供各種信息。另外，勞動(dòng)關(guān)系存續(xù)過程中，為了就業(yè)，也只能聽從用人單位提出的信息處理要求6。因而，知情同意規(guī)則難以起到保護(hù)勞動(dòng)者個(gè)人權(quán)益的作用。

2.“必需”的正當(dāng)需求與模糊內(nèi)涵

《個(gè)人信息保護(hù)法》在第13 條第1 款第2 項(xiàng)有直接涉及勞動(dòng)關(guān)系的規(guī)定，即“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”的可以處理個(gè)人信息。這一規(guī)定具有正當(dāng)性：用人單位為了提高工作效率，需對(duì)勞動(dòng)力資源進(jìn)行有效配置，這就必然涉及勞動(dòng)者個(gè)人信息的處理；加之用人單位基于信賴關(guān)系對(duì)勞動(dòng)者負(fù)有的照顧義務(wù)，包括履行社保繳納義務(wù)在內(nèi)的社會(huì)責(zé)任，這也不可避免地要處理勞動(dòng)者的個(gè)人信息7。然而“必需”的具體內(nèi)涵是需要依靠語境的，需要在具體情形下判斷是否為“必需”。但現(xiàn)行法律的法規(guī)并沒有為“必需”的適用性，提供更清晰明確的指導(dǎo)，用人單位可能存在利用其優(yōu)勢(shì)地位濫用“必需”的規(guī)定，使得個(gè)人信息保護(hù)利益受損。

3.自動(dòng)化決策規(guī)制如何有效保護(hù)勞動(dòng)者個(gè)人信息

《個(gè)人信息保護(hù)法》第24 條的規(guī)定，利用個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)，需要保證決策的透明度及個(gè)人有權(quán)要求就自動(dòng)化決策進(jìn)行說明，有拒絕自動(dòng)化決策的權(quán)利。然而，自動(dòng)化決策規(guī)制，對(duì)個(gè)人信息保護(hù)難以起到實(shí)質(zhì)性的作用。首先，自動(dòng)化決策意味著用人單位已經(jīng)通過使用智能管理系統(tǒng)、視頻監(jiān)控技術(shù)、電子郵件監(jiān)視、移動(dòng)軟件定位等方式對(duì)勞動(dòng)者個(gè)人信息進(jìn)行了收集，而正如上文所說，勞動(dòng)者在此過程中很難拒絕提供個(gè)人信息。其次，決策的透明度是由用人單位決定，即使強(qiáng)制性的民主程序，但決定權(quán)也難以改變。實(shí)踐中，甚至不否定未經(jīng)民主程序的決策效力8。最后，個(gè)人要求信息處理者就自動(dòng)化決策進(jìn)行說明，也會(huì)因用人單位保留最后決定權(quán)而失去其作用。因而，對(duì)自動(dòng)化決策的規(guī)制，還應(yīng)回歸到規(guī)制用人單位對(duì)勞動(dòng)者個(gè)人信息的收集上，以期最大限度保護(hù)勞動(dòng)者。

二、域外勞動(dòng)者個(gè)人信息保護(hù)借鑒

我國現(xiàn)行法律法規(guī)下的個(gè)人信息保護(hù)規(guī)則，難以完全適用于勞動(dòng)者個(gè)人信息保護(hù)，因而，有必要就勞動(dòng)者個(gè)人信息保護(hù)做出特殊規(guī)定。通過借鑒域外勞動(dòng)者個(gè)人信息保護(hù)的相關(guān)規(guī)定，完善我國勞動(dòng)者個(gè)人信息的保護(hù)。

1.勞動(dòng)者同意不作為用人單位處理信息的合理性基礎(chǔ)

在資強(qiáng)勞弱的關(guān)系下，知情同意規(guī)則本身失去其保護(hù)勞動(dòng)者個(gè)人信息的意義，因而若用人單位若僅基于勞動(dòng)者同意就能夠進(jìn)行個(gè)人信息處理，那么勞動(dòng)者個(gè)人信息保護(hù)的規(guī)定形同虛設(shè)。歐盟《通用數(shù)據(jù)保護(hù)條例》草案曾主張，在明顯不平等的勞動(dòng)關(guān)系下的同意，不得作為信息處理的合法性基礎(chǔ)，但最終定稿放棄該主張，提出交由成員國法律或集體合同對(duì)具體雇傭語境下，對(duì)基于雇員同意進(jìn)行的信息處理的規(guī)則9。基于此，德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第26 條第2 款規(guī)定，對(duì)勞動(dòng)者同意是否自由做出的判斷，應(yīng)考慮勞動(dòng)關(guān)系中雇員的依賴程度以及做出同意時(shí)的具體情形。當(dāng)勞動(dòng)者的同意與其能夠在法律上或者經(jīng)濟(jì)上獲益或者雇主與勞動(dòng)者的利益一致，那么勞動(dòng)者的同意系自由做出的10。因此在德國，勞動(dòng)者同意本身并不必然成為用人單位處理信息的合理性基礎(chǔ)。除了勞動(dòng)者同意，雇主對(duì)勞動(dòng)者個(gè)人信息的處理行為本身也要具有合理性。例如在澳大利亞，只有當(dāng)雇主處理信息的“目的被理性人認(rèn)為是適當(dāng)?shù)摹保瑒趧?dòng)者的同意才有實(shí)際意義。英國工會(huì)聯(lián)合會(huì)指出，基于雇主與雇員權(quán)力關(guān)系的不平衡，雇主不能僅依賴雇員的同意處理信息，雇主必須在處理信息前進(jìn)行風(fēng)險(xiǎn)評(píng)估11。

2.比例原則與“必需”的具體內(nèi)涵

除了雇員的知情同意，在勞動(dòng)關(guān)系中，雇主為了勞動(dòng)合同的訂立、履行、解除，或終止以及按照勞動(dòng)規(guī)章制度或?qū)嵤┤肆Y源管理所必需都作為個(gè)人信息處理的合法性基礎(chǔ)。但“必需”的內(nèi)涵仍有待明確。域外以比例原則為前提，對(duì)“必需”的適用提供更清晰明確的指導(dǎo)?！皻W盟數(shù)據(jù)保護(hù)工作組”于2017 年發(fā)布的《工作中的數(shù)據(jù)保護(hù)意見》指出，“無論信息處理的法律基礎(chǔ)是什么，比例原則應(yīng)為雇主開始考慮信息處理是否是實(shí)現(xiàn)合法目的所必需，以及采取措施確保對(duì)雇員個(gè)人生活和通信秘密權(quán)利的損害限于最小之前被采用”12。比例原則即信息的具體處理應(yīng)與追求目的成比例。在比例原則前提下，《通用數(shù)據(jù)保護(hù)條例》對(duì)“履行合同所必需”進(jìn)一步進(jìn)行解釋，即需從合同的目的出發(fā)基于事實(shí)判斷是否存在客觀上的必要、是否符合數(shù)據(jù)主體的合理期待、是否有對(duì)其權(quán)益影響較小的替代選擇13。此外，德國立法者還提出，在理解“所必需”內(nèi)涵時(shí)應(yīng)從平衡雇主處理數(shù)據(jù)的正當(dāng)利益與雇員的人格權(quán)益出發(fā)，在雇主與雇員相互沖突中尋找一致性14。

三、完善我國勞動(dòng)者個(gè)人信息保護(hù)

對(duì)勞動(dòng)者同意的限制以及對(duì)“必需”內(nèi)涵適用指引，均是從私法路徑對(duì)勞動(dòng)者個(gè)人信息保護(hù)進(jìn)行完善。然而，基于勞動(dòng)關(guān)系中雇主與雇員之間存在的不平等關(guān)系，僅從私法上進(jìn)行權(quán)益界定與保護(hù)是不夠的，我們同時(shí)需要借助公法的保護(hù)機(jī)制，即設(shè)置國家監(jiān)督、強(qiáng)制和懲罰，才能提供更為充分、全面和有效的勞動(dòng)者個(gè)人信息保護(hù)15。

首先，勞動(dòng)者個(gè)人信息的國家保護(hù)義務(wù)要求建立權(quán)威、有效的監(jiān)管機(jī)構(gòu)，即符合《個(gè)人信息保護(hù)法》第60 條所規(guī)定的“履行個(gè)人信息保護(hù)職責(zé)的部門”。目前，還未將勞動(dòng)者個(gè)人信息保護(hù)監(jiān)管職責(zé)歸口一個(gè)部門，而是采用國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)的模式；另外，多元監(jiān)管機(jī)構(gòu)的職責(zé)范圍有待厘清，真正做到互相協(xié)作。因而，有必要優(yōu)化監(jiān)管機(jī)構(gòu)。

其次，勞動(dòng)者個(gè)人信息的保護(hù)義務(wù)，需要提供法律程序保護(hù)。“個(gè)人能獲得有效救濟(jì)途徑，這是國家需要提供的首要程序保障?！?6《個(gè)人信息保護(hù)法》第61 條僅提及“履行個(gè)人信息保護(hù)職責(zé)的部門”需接受與處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)，勞動(dòng)者有要求監(jiān)管機(jī)構(gòu)履行其保護(hù)義務(wù)。

最后，勞動(dòng)者個(gè)人信息的國家保護(hù)義務(wù)負(fù)有防止侵害的義務(wù)。相較于私法多于侵害發(fā)生后發(fā)揮保護(hù)作用，行政監(jiān)管途徑可以在侵害發(fā)生之時(shí)或者侵害發(fā)生之前介入，從而更好地保護(hù)勞動(dòng)者的個(gè)人信息。例如，在監(jiān)管機(jī)構(gòu)可以發(fā)布停止、責(zé)令限制處理、責(zé)令改正、責(zé)令刪除等行政命令，或采用約談等柔性措施，制止用人單位的違規(guī)活動(dòng)，以防勞動(dòng)者個(gè)人權(quán)益進(jìn)一步受損；監(jiān)管機(jī)構(gòu)也可以通過發(fā)布風(fēng)險(xiǎn)提示、列入信用檔案并公示等聲譽(yù)工具進(jìn)行事前監(jiān)管，通過對(duì)侵害勞動(dòng)者個(gè)人信息的用人單位罰款等行政處罰手段，對(duì)其他用人單位進(jìn)行警示17。

四、結(jié)語

《個(gè)人信息保護(hù)法》為個(gè)人信息的保護(hù)設(shè)定了一般規(guī)則，但由于勞動(dòng)關(guān)系框架下個(gè)人信息保護(hù)的特殊性，勞動(dòng)者個(gè)人信息保護(hù)無法完全適用一般規(guī)則，因而《勞動(dòng)基準(zhǔn)法》需要對(duì)相關(guān)規(guī)定進(jìn)行調(diào)整。通過對(duì)域外勞動(dòng)者個(gè)人信息保護(hù)借鑒，《勞動(dòng)基準(zhǔn)法》應(yīng)對(duì)知情同意規(guī)則的適用、“必需”的內(nèi)涵等進(jìn)行重點(diǎn)關(guān)注。此外勞動(dòng)者個(gè)人信息保護(hù)也需要注重公法途徑的規(guī)制，以期達(dá)到更好保護(hù)勞動(dòng)者個(gè)人信息的目的。

1 參見李白白：《用坐墊監(jiān)視員工，這是“高科技管理”？》，載微信公眾號(hào)“光明日?qǐng)?bào)”，2021 年1 月5 號(hào)上傳。

2 基本勞動(dòng)標(biāo)準(zhǔn)立法已列入十三屆全國人大常委會(huì)立法規(guī)劃。國務(wù)院有關(guān)部門已制定立法工作方案，積極開展《基本勞動(dòng)標(biāo)準(zhǔn)法》的相關(guān)研究論證工作，抓緊形成法律草案，擬于2022 年提請(qǐng)常委會(huì)審議。載中國人大網(wǎng)，http://www.npc.gov.cn/npc/c30834/202110/be ac3521f2df434ca84bcec655aa5133.shtml，最后訪問日期：2022 年4 月9 日。

3《民法典》第1035 條第1 款規(guī)定：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；......”

4《個(gè)人信息保護(hù)法》第13 條第1 款規(guī)定：“符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：（一）取得個(gè)人的同意；......”

5CUSTERS B, HOLF V D S, SCHERMER B. Privacy expectations of social media users: the role of informed consent in privacy policies [J]. Policy & Internet,2014(6):268-295.

6 參見謝增毅：“勞動(dòng)者個(gè)人信息保護(hù)的法律價(jià)值、基本原則及立法路徑”，《比較法研究》2021 年第3 期，第34 頁。

7 參見王倩：“作為勞動(dòng)基準(zhǔn)的個(gè)人信息保護(hù)”，《中外法學(xué)》2022 年第34期第186-187 頁。

8 參見（2019）桂0502 民初1420 號(hào)判決：法院認(rèn)為被告調(diào)取未經(jīng)民主程序制定與公示的單位工作視頻對(duì)原告曠工時(shí)間進(jìn)行確認(rèn)屬于自主管理權(quán)，“視頻考勤制度”行為并不不當(dāng)。

9D?ubler, a. a. O., S. 135.

1 0S ection 26(2), F ederal Data Protection Act, Germany, 2017.

11Trades Union Congress, I will be watching you: A report on workplace monitoring, 17 August 2018, at 29,https://www.tuc.org.uk/researchanalysis/reports/ill-be-watching-you，最后訪問日期：2022 年4 月9 日。

12Article 29 - Data Protection Working Party, Opinion 2/2017 on data processing at work, 2017, at 4.

13EDPB, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects.

14 參見Vgl. Deutscher Bundestag 18.Wahlperiode, Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU)2016/680, Drucksache 18/11325.

15 參見王錫鋅：“個(gè)人信息國家保護(hù)義務(wù)及其展開”，《中國法學(xué)》2021 年第1 期，第145-166 頁。

16 European Union Agency for Fundamental Rights and Council of Europe, Fundamental Rights:Challenges and Achievements in 2011, at https://fra.europa.eu/en/publication/2012/fundamental-rightschallenges-and-achievements-2011，最后訪問日期：2022 年4 月9 日。

17 參見王錫鋅：“個(gè)人信息國家保護(hù)義務(wù)及其展開”，《中國法學(xué)》2021 年第1 期，第145-166 頁。