文/錢隆

作者單位 上海江三角（蘇州）律師事務所

在勞動關(guān)系領(lǐng)域，企業(yè)基于勞動關(guān)系處理信息的目的、范圍和方式，都具有較大的彈性，因此，企業(yè)利益和勞動者權(quán)利衡量十分重要。這就要求我們從勞動關(guān)系的本質(zhì)和具體場景出發(fā)，界定企業(yè)在信息處理過程中的正當利益，并與勞動者隱私和個人信息權(quán)利受到侵擾程度進行比較和權(quán)衡，從而判斷企業(yè)的個人信息處理行為是否具有合法目的?！秱€保法》在二審稿基礎(chǔ)上增加了一項無須取得個人同意的個人信息處理法定情形，即“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”（第十三條）。該規(guī)定為企業(yè)在勞動管理之中涉及的員工個人信息收集提供了例外的安排。企業(yè)管理權(quán)對勞動者個人信息權(quán)構(gòu)成制衡，但企業(yè)對勞動者個人信息的收集亦不能超過合理的限度。

勞動者個人信息保護的獨特價值

個人信息保護的主要價值在于保護信息主體的人格尊嚴和自由。勞動者個人信息保護除了個人信息保護的一般價值之外，還具有其獨特價值。這種獨特價值主要體現(xiàn)在對隱私和個人信息的保護有助于保護勞動者（包括求職者）的平等權(quán)、言論自由權(quán)和工作中的權(quán)利等其他權(quán)利。

第一，保護求職者和勞動者的平等權(quán)。平等就業(yè)權(quán)是公民的一項基本權(quán)利。在求職階段，企業(yè)往往要求求職者提供各種信息或者主動收集信息，并在一定程度上基于收集到的信息做出是否錄用的決定。隨著技術(shù)的發(fā)展，企業(yè)除了傳統(tǒng)上要求求職者提供個人信息之外，還可以通過網(wǎng)絡(luò)手段收集到求職者的信息，甚至可以通過第三方對求職者實施背景調(diào)查等。這些信息可能與工作有關(guān)，也可能與工作無關(guān)，如果不對信息處理行為進行規(guī)制，企業(yè)可能基于法律禁止的理由或者其他不合理的理由拒絕求職者的入職申請，從而損害求職者的就業(yè)平等權(quán)。

第二，保護勞動者的言論自由權(quán)。隨著網(wǎng)絡(luò)通信技術(shù)的發(fā)展，社交媒體越來越流行。同時，越來越多的企業(yè)會對勞動者的言論尤其是在網(wǎng)絡(luò)上的言論進行監(jiān)控。言論自由是公民的一項基本權(quán)利，也是勞動者的一項基本權(quán)利。如果放任企業(yè)對勞動者的言論尤其是社交媒體言論信息的處理，企業(yè)就可能基于勞動者或求職者的言論做出對其不利的決定（包括解雇），勞動者的言論自由權(quán)可能受到極大限制。

第三，保護勞動者工作中的權(quán)利。對勞動者隱私和個人信息的不當侵入可能損害勞動者工作中的權(quán)利，包括影響勞動者的工作表現(xiàn)、人格尊嚴和身心健康。對勞動者隱私和個人信息的不當處理，比如實時監(jiān)控和實時定位，可能抑制勞動者的創(chuàng)新和潛能，影響勞動者的工作效率和工作表現(xiàn)，甚至可能造成勞動者的緊張和焦慮，限制其行為自由，從而損害勞動者的人格尊嚴和身心健康。

第四，矯正勞動關(guān)系中勞動者的不利地位。在職場中，如果勞動者對企業(yè)個人信息政策或者做法有異議，其選擇權(quán)會受到很大限制，難以像消費者選擇商家一樣，自由選擇企業(yè)，往往只能接受企業(yè)的不當做法。此外，當勞動者個人信息遭到侵害時，雖然勞動者可以尋求救濟，但由于企業(yè)和勞動者存在持續(xù)性的合作關(guān)系，勞動者往往擔心企業(yè)對自己采取不利措施而不敢或不愿向企業(yè)提起訴訟。

企業(yè)對勞動者個人信息收集的正當性

《個保法》第十三條中規(guī)定的無須取得個人同意的個人信息處理的情形——“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”——體現(xiàn)了企業(yè)基于管理權(quán)在必要的范圍內(nèi)收集使用勞動者個人信息有其正當性。

第一，有利于優(yōu)化企業(yè)管理，提高工作效率。招聘階段，了解求職者基本信息是找到合適勞動者的前提；工作過程中，對勞動者行動信息的分析處理有助于保護其人身安全，維護企業(yè)設(shè)施和保障工作環(huán)境安全，降低企業(yè)生產(chǎn)經(jīng)營風險。智能化監(jiān)控手段可幫助企業(yè)了解勞動者行為，防止勞動者濫用工作設(shè)備和浪費工作時間，保護公司財產(chǎn)、提高生產(chǎn)效率。此外，企業(yè)可利用智能手段對勞動者的歷史數(shù)據(jù)和日常表現(xiàn)進行分析，更加準確地進行工作評估，優(yōu)化人力資源管理方式。

第二，有利于防范工作安全風險。我國勞動法規(guī)定，企業(yè)對勞動者的健康安全負有保障義務。為履行此義務，企業(yè)有必要在一定范圍內(nèi)收集勞動者的健康、生物數(shù)據(jù)，預防工作過程中的潛在健康風險。針對高危作業(yè)人群，企業(yè)可利用可穿戴設(shè)備實時收集、分析勞動者的身體行動信息，據(jù)此做出個性化風險提示，降低安全隱患，保證勞動安全。

第三，有助于保障公共安全，維護公共利益。不同行業(yè)對勞動者信息披露程度要求不同，涉及公共利益的行業(yè)要求從業(yè)者提供更多的個人信息。如食品加工行業(yè)，無傳染病是從業(yè)者應具備的基本條件，否則可能會影響食用者的健康。為維護公共健康安全，食品加工從業(yè)者有必要公開一定的健康信息。在航空運輸行業(yè)中，飛行員若在執(zhí)行飛行時突發(fā)疾病，可能會將數(shù)百人的生命置于危險之中。為避免此種情況，航空企業(yè)應被允許在一定范圍內(nèi)收集飛行員的基因信息，檢測是否攜帶不適合做飛行員的遺傳疾病基因，比如高血壓、亨廷頓舞蹈癥等，從而降低因飛行員健康問題導致飛行事故的風險?？傊?，當公共安全利益高于主體的個人信息利益時，勞動者有必要讓渡部分個人信息以換取公共安全。

如何合規(guī)保護勞動者個人信息

雖然立法肯定了企業(yè)在對勞動者個人信息的收集和使用中具有一定的正當性，但是這種正當性是有限制的，因此在《個保法》已經(jīng)出臺的背景下企業(yè)需要盡快建立起勞動者個人信息保護體系，以達到合規(guī)經(jīng)營的目的。

第一，收集前需要限制信息收集范圍并達成勞資合意。企業(yè)應根據(jù)勞動者個人信息與勞動內(nèi)容的關(guān)聯(lián)性明確企業(yè)針對勞動者個人信息知情權(quán)的具體范疇。第一類是與勞動者工作能力密切相關(guān)，對企業(yè)是否會聘用勞動者起到?jīng)Q定性作用的信息，比如學歷、工作經(jīng)驗、所學專業(yè)、職業(yè)經(jīng)歷等。此類信息是企業(yè)決定是否雇用應聘者的基礎(chǔ)，在企業(yè)的知情權(quán)范圍內(nèi)。第二類是與工作有間接關(guān)聯(lián)，能夠影響勞動合同履行、勞動者工作表現(xiàn)的個人信息，比如個人健康狀況、社會關(guān)系等。此類信息是否能被企業(yè)所知悉可根據(jù)不同的行業(yè)領(lǐng)域和工作屬性等做出個案判定。第三類是與工作無關(guān)的私密信息，比如家庭成員信息、社交媒體賬號等。此類信息在勞動者的隱私合理期待范圍內(nèi)，企業(yè)不能以便于管理之名肆意收集上述信息，因此，企業(yè)在收集以上信息時，必須經(jīng)過勞動者書面授權(quán)同意。

第二，收集后企業(yè)應建立相應制度和管理體系防止信息泄露。企業(yè)收集勞動者個人信息后，應當履行保護信息安全、保障信息不被侵犯的義務。一方面，企業(yè)應當做出積極的行動，保護勞動者個人信息安全；另一方面，對勞動者的信息利用應基于明確、正當?shù)哪康?，杜絕對信息的不合理使用。企業(yè)作為信息的收集者、利用者和保管者，需承擔起一系列安保義務防止信息泄露。面對技術(shù)進步給個人信息保護帶來的新挑戰(zhàn)，保障個人信息安全的方法也應不斷更新升級。比如利用隱私增強技術(shù)，如編碼、加密、假名和匿名、防火墻、匿名通信技術(shù)等措施，減少勞動者信息被黑客竊取或非法利用的風險。必要時可在企業(yè)內(nèi)部設(shè)立專門的數(shù)據(jù)保護崗位，對企業(yè)日常數(shù)據(jù)信息的收集、處分和開發(fā)進行合規(guī)審查和監(jiān)督。

第三，企業(yè)要防止對勞動者信息的不合理利用。我國《個保法》規(guī)定處理個人信息應明示處理信息的目的、方式和范圍，即個人信息處理應基于特定的目的，該目的是具體的、明確的、正當?shù)模覍€人信息的處理不應逾越初始目的。企業(yè)利用勞動者個人信息的目的是方便企業(yè)管理、提升企業(yè)效益，超越此目的利用勞動者個人信息是對勞動者個人信息權(quán)的侵犯，未經(jīng)勞動者同意轉(zhuǎn)賣、泄露其個人信息更是違法的。

此外，企業(yè)收集信息的目的要具有合理性，收集信息不能超過應有的邊界，進而侵犯勞動者的基本隱私權(quán)和休息權(quán)。比如利用可穿戴設(shè)備收集勞動者個人信息，監(jiān)控勞動者的一舉一動以達到經(jīng)濟效益最大化，無視勞動者的隱私權(quán)和休息權(quán)，此種以侵犯勞動者基本人格權(quán)為前提才能達到的目的不具合理性，該行為侵犯了勞動者的個人信息權(quán)。