張珍星

(西安交通大學 法學院,陜西 西安 710049)

《民法典》對個人信息保護做出一般規(guī)定,充分彰顯個人信息權益的獨立地位及其對自然人的人格尊嚴和人格自由的尊重。勞動者作為自然人,其個人信息理應得到《民法典》的保護,并不會因勞動關系的從屬性而喪失[1],但從屬性特點又意味著企業(yè)對員工個人信息享有正當的用工管理權,而實踐中用人單位濫用權利侵害雇員個人信息的現象頻發(fā),例如求職階段過度收集婚育信息、工作場所人臉識別與指紋打卡泛化等。然而,各地法院卻過分偏重維護用工管理權而嚴重忽視雇員個人信息保護。例如,在再審申請人張學娟因與被申請人深圳市領達小額貸款有限公司勞動合同糾紛案(1)(2020)粵民申8843號?；景盖?2019年6月24日,領達公司在辦公室安裝了多個高清攝像頭,其中一個攝像頭位于張學娟工位的上方,張學娟認為該攝像頭易于拍攝到其隱私部位,侵犯其隱私信息。于是,其用兩把傘遮擋該攝像頭,不妨礙其他方位的攝像頭正常拍攝。領達公司人事經理兩次口頭與其就打傘行為進行溝通后,又于2019年7月3日、7月4日分別書面向其發(fā)送了警告信。在此情況下,其仍堅持在工位上撐傘十多個工作日。2019年7月17日,領達公司以其在工位上打傘嚴重違紀為由將其辭退。(以下簡稱“張學娟案”)中,廣東省高院認定,被告安裝監(jiān)控攝像頭是為保障工作場所安全,監(jiān)控區(qū)域屬公共場所且安裝位置在墻角上方,屬公司正常行使用人單位監(jiān)管權,因此該行為具有合理性。顯然,該案法院尚未考慮被告有無經民主程序制定監(jiān)控政策并予以公示、監(jiān)控方式與目的是否合乎比例等問題?？梢?在《民法典》實施背景下亟需加強對雇員個人信息的保護,以及協調其與用工管理權之間的關系。

個人信息保護是學界研究的熱點,雖然有關著述論作較多,但尚未對帶有特殊性的雇員個人信息保護給予必要關注,而關于雇員基因信息保護的研究限于私法視角,主張“私法路徑令人充滿希望”[1],對勞動法保護路徑的關注嚴重不足。對此,本文將圍繞勞資關系的特殊性和數字技術背景,從法理與實施層面系統反思以《民法典》為中心的私法對勞動者個人信息保護的限度,進而分析引入勞動法保護路徑的必要性、正當性并對其如何建構提出建議。

一、雇員個人信息私法保護的困境

對雇員個人信息侵害所涉及的權利基礎包括平等就業(yè)權與人格權益,牽涉勞動法與民法兩個部門法。雇員享有作為人固有的人格尊嚴與人格自由,并不因勞動關系的從屬性而喪失,同時私法規(guī)則具有高度涵射性,即《民法典》構建起一個相對統一的個人信息私法保護制度,可對包括用人單位在內的任何組織和個人的信息處理行為予以規(guī)制,因此其適用于雇員個人信息保護具有正當性。然而,圍繞用人單位展開電子監(jiān)控的司法案例,從勞資關系的特殊性和數字技術背景進行分析發(fā)現,以《民法典》為中心的私法路徑困難重重,并非如前述學者所言“令人充滿希望”,其無法協調雇員個人信息保護與用工管理權之間的關系。

(一)知情同意規(guī)則無法保障雇員同意的真實性和用工管理效率

依《民法典》第一千零三十五條、第一千零三十六條可知,知情同意是信息處理合法性的基石。為確保該規(guī)則的有效性,其應符合兩個要件:一是知情,即同意必須建立在知情的基礎上,與之相對應的是信息控制者的告知義務[2];二是真實自愿性,即基于信息主體自由意志而自愿做出同意的決定,唯有如此該同意才有效[3]。對既有勞動領域司法案例的分析可知,受資強勞弱特征和數字技術自動化決策性的影響,同意規(guī)則無法保障雇員同意的真實性和用工管理效率。

首先,資強勞弱特征極度挑戰(zhàn)雇員同意的真實自愿性。在數字時代,勞資雙方的經濟、技術、信息實力懸殊更為巨大,二者先天地位不平等,求職者或雇員通常別無選擇而只能默許雇主提出的個人信息處理要求,而雇主在做出雇傭決定時享有寬泛的用工管理權[4]。一方面,雇主常未經員工同意私自處理其個人信息,且雇主所提出的個人信息處理要求常具有脅迫性或強制性[5]。例如,在吳仲軍、深圳市騰瑞豐科技有限公司勞動合同糾紛案(2)(2018)粵03民終26105號。中,吳仲軍認為,騰瑞豐公司未經同意私自在2018年5月22日至25日期間對吳仲軍遮擋電腦的行為予以視頻監(jiān)控,侵犯其隱私權。然而,深圳市中院認為,騰瑞豐公司提交的監(jiān)控視頻、電子郵件截圖、工作日志打印件相互印證吳仲軍在上班時做與工作無關的事。顯而易見,騰瑞豐公司的個人信息處理行為未經員工知情同意,同時法院亦未審查該行為有無經雇員同意及其是否真實自愿,而是直接確認有關證據的合法性。另一方面,基于對解雇、降薪、調崗等懲戒措施的擔憂,雇員常在毫無選擇權的情形下被迫同意雇主的個人信息處理行為。

其次,數字技術的自動化決策屬性使雇主對雇員個人信息的處理深具隱蔽性,這對雇員知情權的實現帶來極大挑戰(zhàn)。從對既有司法案例的分析可知,大數據、人工智能、算法、可視化技術等自動化決策技術常在雇員不知情的情形下將其各類網絡活動信息自動存儲在企業(yè)的遠程服務器中,同時自主地對其個人信息進行整合并做出聚類、關聯、預測分析,從而描繪其工作態(tài)度、工作表現,極易侵犯員工的隱私信息。例如,在修某、海陽市融某塑編包裝有限公司隱私權糾紛二審民事判決書(3)(2019)魯06民終7145號。中,修某上訴稱,被上訴人融某公司私自在上訴人電腦安裝超級眼電腦監(jiān)控軟件,并用該軟件自動下載上訴人微信、QQ聊天信息的行為違法,侵犯了上訴人修某的隱私。此外,在王玲玲與唐海洋隱私權糾紛案(4)(2015)深福法民一初字第7106號。中,未經律所同事王玲玲律師的知情同意,負責律所IT事務的唐海洋在操作律所一體機時秘密設置一項功能,即“凡使用該設備掃描的文件均通過其郵件向使用人發(fā)送文件內容”,同時其實際獲取了該掃描文件。此后,其通過電子郵件的方式向包括王玲玲在內的工作人員披露后者的郵件信息。對此,法院認定被告應當知悉涉案郵件內容為原告隱私,被告未獲得原告同意,擅自獲取、查看原告郵件內容,已經構成對原告隱私權的侵害?？梢?自動化決策技術通常會使雇員對其個人信息的知情權形同虛設。

最后,同意規(guī)則的實施無法有效保障用工管理效率。依對《民法典》第一千零三十六條的文義解釋可知,原則上雇主處理雇員的個人信息一律須經雇員同意,無論該信息是否為締結或履行勞動合同所必要,該信息是非敏感信息還是敏感信息,除非符合這兩項例外情形,即公開的信息和保障公共利益或自然人合法權益。實踐中,在多數情況下,雇主收集、處理雇員個人信息是為滿足其與雇員訂立或履行勞動合同的基本需求,具有用工管理的正當性。具體而言,該正當性主要體現為:一是為締結勞動合同所必需,即選任合格的求職者。為從海量求職者中選出合格者,雇主有必要充分了解求職者的有關信息,如姓名、年齡、學歷背景、工作經歷、勞動技能等。二是為履行勞動合同所必需,即維護生產經營秩序、保障職場安全、防止違法犯罪行為等。例如,為防止雇主財產被盜,雇主可能會在工作場所安裝視頻監(jiān)控;為確保員工遵守企業(yè)規(guī)章制度,雇主將對雇員實施前文所指出的電子監(jiān)控。對締結或履行勞動合同所必需的非敏感信息,若一律要求征得每位雇員的單獨同意,將有違用工管理效率,不利于平衡用工管理權與雇員個人信息保護之間的關系。

(二)籠統抽象的透明性規(guī)則的實踐效果不可預期

《民法典》第一千零三十五條第一款第二、三項對透明性規(guī)則做出規(guī)定,即“處理個人信息應公開處理信息的規(guī)則,明示處理信息的目的、方式、范圍”,但該規(guī)定較為籠統抽象,關于公開的方式、對象、范圍等問題均有待細化。受勞資領域資強勞弱、透明性規(guī)則高度自治性與自動學習算法的不透明性特征的復合交叉影響,籠統抽象的透明規(guī)則的實踐效果不可預期。

首先,基于勞資雙方的經濟、信息、技術實力和地位懸殊,雇員通常無法就個人信息保護享有任何議價能力。在個人信息處理場景,雇員議價能力缺失的主要表現:一是在招聘階段,基于勞動力市場“僧多粥少”的現狀,為最大限度爭取就業(yè)機會,求職者通常不會基于對個人信息保護的顧慮而對雇主有所隱瞞或主動要求雇主公開有關信息;二是在履約階段,基于信息與交易成本壁壘以及雇主方常未制定、發(fā)布隱私政策,雇員時常無法獲取有效信息來評估雇主是否開展監(jiān)控及其是否構成侵權。

其次,透明性規(guī)則的高度自治性特征,使雇主通常不愿制定并公開個人信息處理規(guī)則,即便雇主愿意制定,但若該規(guī)則未經強制性的民主程序制定并予以公示,其將徒具高度象征意義,反而會淪為雇主行使用工管理權的一種有力手段。因民法奉行意思自治理念,透明性規(guī)則的實施主要仰賴雇主自治,缺乏強制實施機制,而作為理性人的雇主必然以實現盈利最大化為目的,其將不惜以損害雇員個人信息權益為代價來行使用工管理權,致使透明性缺失的信息處理行為比比皆是。例如,在黃某與廣西運德集團北海汽車運輸有限公司、廣西運德集團北海汽車運輸有限公司北部灣中路興運賓館分公司勞動爭議案(5)(2019)桂0502民初1420號。中,原告認為,被告的“視頻考勤制度”侵犯了原告的隱私權,沒有經過民主程序,也沒有公示過。然而,廣西北海市海城區(qū)法院認為,在原、被告對原告曠工情形存在異議時,被告調取了單位工作視頻取證確認原告的曠工時間,被告借助工作視頻監(jiān)督考勤的行為并無不當,屬自主管理權。

此外,自動化學習算法的不透明性使雇員個人信息處理行為欠缺透明性,無法保障透明性規(guī)則的實施效果[6]。傳統信息處理所使用的數據樣本少,運算過程簡單并同最初的理論假設相對應,即遵循“提出假設—分析數據—驗證假設—得出結論”的演算過程,因此其信息處理過程較為透明。然而,自動化學習算法通常以海量數據群為基礎,直接從事物原始特征出發(fā),自主開展數據處理、評估和行為分析,由此自動輸出高級的分析與決策結果[7]。因此,自動化學習算法的運作過程就像一個密閉的“黑箱”,算法模型如何設計及解釋、如何輸入數據、數據之間如何進行組合關聯、分析結果如何得出等一系列復雜流程無法為外界所知曉,非專業(yè)人士難以有效質疑其決策的正確性以及決策過程有無背離預先的理論假設?？傮w而言,自動化學習算法的不透明性可分為三類:一是人為有意的不透明,即企業(yè)故意隱瞞算法的不透明性及其欺騙的可能性;二是技術不透明,即代碼的編寫與閱讀具有極強的專業(yè)性,非專業(yè)人士難以知曉其運作特點;三是固有不透明,即機器學習高維特征所固有的數學優(yōu)化屬性與人類的思維邏輯、自然語言匹配難度較大。質言之,既有人工智能算法正處于較低的發(fā)展水平,算法的邏輯、語言難以實現對自然語言、人類思維的真正理解,二者之間無法進行有效轉化,在實際運作過程中難以避免失誤乃至歧視的產生[8]。實際上,即便依透明性規(guī)則要求算法設計者公開并解釋算法涉及的代碼、決策邏輯、程序標準,也會困難重重:一是設計者通常會以算法系統所涉及的決策邏輯或程序標準構成商業(yè)秘密為由進行抗辯,從而拒絕將之公開;二是即便設計者愿將之公開,因算法代碼、程序標準極具專業(yè)性,非專業(yè)人士無從知曉其公開的對象、范圍等是否合理。

(三)侵權救濟機制失靈

《民法典》尚未對侵害個人信息的民事責任作出特別規(guī)定,因此對雇員個人信息侵害行為的規(guī)制只得適用過錯責任原則。然而,勞動關系的從屬性、繼續(xù)性、資強勞弱特征,使雇員個人信息侵權行為深具獨特性,致使傳統侵權救濟機制失靈。

1.侵權行為受到用工管理權的蔭庇而難以被認定為侵權

雇員個人信息保護的關鍵特點在于其受勞動關系的影響,實質就是其受用工管理權的克減,因此,不同于普通民事主體的侵權判斷,在判斷雇主對雇員個人信息處理行為是否構成侵權時不能忽略雇主的用工管理權。

勞動關系的本質屬性是從屬性[9],它是認定勞動關系的核心標準[10]84。所謂從屬性,通常指員工依據企業(yè)的管理、指示、命令、約束等提供勞務,并因此取得勞動報酬[11]。關于從屬性的內涵構成,學界認識不一,但取得共識的是其以人格從屬性為核心。正如德國學界主流觀點所說,勞動關系和民事委托關系、自由勞動者相區(qū)別的關鍵之處在于勞務給付人的人身依附性程度而非經濟依附性[12]48。所謂人格從屬性,指企業(yè)將員工納入其生產組織并指示、決定、監(jiān)督員工的工作時間、地點、內容、方式等[10]95。人格從屬性主要由三個要素構成:(1)指揮權,即雇主向雇員分配任務、發(fā)布命令,指示、決定雇員工作的種類、時間、地點、內容、方式等;(2)監(jiān)督權,即監(jiān)督管理雇員遵守、執(zhí)行雇主所指派的工作任務等的具體情況;(3)懲戒權,即當雇員違反勞動合同或企業(yè)規(guī)章制度時,雇主可采取扣發(fā)工資、績效、解雇等懲戒措施[13]。三者相輔相成,指揮權是判斷人格從屬性的核心要素,是雇主在從屬性勞動中最為本源性的權利[14]94,監(jiān)督權是實現指揮權的保障,二者屬一體兩面的關系,懲戒權則是實現指揮權、監(jiān)督權的共同保障。總之,勞動關系的從屬性尤其是人格從屬性特質,使得雇主享有對雇員的指揮、監(jiān)督、懲戒權,而雇主在行使用工管理權時,必然涉及對雇員個人信息的處理。對此,在判斷侵權行為時須考慮雇主的用工管理權。

然而,對用人單位視頻監(jiān)控有關司法案例的分析可知,雇員個人信息侵權行為最顯著的特征是其常受到用工管理權的蔭庇而難以被認定為侵權,同時亦難以證明雇主存在主觀過錯,而雇員所提出的隱私權或私密信息受侵害主張一概被否定。從個人信息保護視角而言,既有裁判實踐的做法有待商榷,存在較大問題。

首先,諸多法院對監(jiān)控合法性的認定較為草率,即將用工管理的目的正當視為認定監(jiān)控合法的唯一要素。質言之,這些法院尚未審查用人單位有無經民主程序制定并公示監(jiān)控政策,監(jiān)控的方式、范圍、時間等要素是否正當,監(jiān)控目的與手段是否合乎比例等。例如,在修某、海陽市融某塑編包裝有限公司隱私權糾紛二審民事判決書(6)(2019)魯06民終7145號。中,煙臺市中級人民法院認為,被上訴人融某公司在工作電腦中安裝超級眼電腦監(jiān)控軟件并對員工QQ、微信聊天信息予以保存、下載、證據保全,是企業(yè)的自我管理行為,其目的是正當的,并不具有窺探員工個人隱私的主觀故意,因此被上訴人融某公司在工作電腦中安裝超級眼電腦監(jiān)控軟件的行為并非違法行為。又如,在陰某與鐵某(無錫)軸承有限公司勞動合同糾紛(7)(2019)蘇0214民初894號。(以下簡稱陰某案)中,無錫市新吳區(qū)人民法院認為,關于陰某稱鐵某公司在取證時侵犯其隱私權,因鐵某公司至更衣室拍攝陰某吸煙照片的行為屬行使公司管理權中的一個組成部分,從結果上并無隱私權被侵犯的情形存在。再如,在原告高某訴被告大金(中國)投資有限公司武漢分公司、大金(中國)投資有限公司勞動爭議糾紛一案(8)(2019)湘0105民初5287號。,長沙市開福區(qū)人民法院認為,對于原告提出的被告對員工工作電腦進行監(jiān)控侵犯其隱私權的主張,被告監(jiān)控的電腦系單位工作電腦,而工作電腦顯然應當用于公司工作,因此被告對單位工作電腦進行監(jiān)控并無不當。

此外,盡管近來個別法院除審查用工管理的目的正當性外,開始審查監(jiān)控的范圍、手段、時間等要素是否正當,但其依然忽視審查該監(jiān)控政策有無經民主程序制定并予以公示,有無保障員工知情權等。例如,在張學娟案中,廣東省高級人民法院認為,鑒于被告在辦公室安裝監(jiān)控攝像頭的目的是為保證工作場所人、財、物的安全,且安裝的區(qū)域是多人工作的公共場所,非勞動者的私人生活區(qū)域,且安裝的位置也通常在墻角上方,被告安裝監(jiān)控攝像頭具有合理性。顯而易見,廣東省高院在該案中并未審查被告于辦公室安裝監(jiān)控攝像頭有無經民主程序制定監(jiān)控政策并予以公示。

2.侵權行為深具易發(fā)性與持續(xù)性

雇員個人信息保護的主體特殊性在于雇員對用人單位具有從屬性。基于勞動關系的從屬性尤其是勞動者對資方的經濟依賴性,使得勞動者天然地在經濟、信息、技術等方面處于絕對弱勢地位,勢必使其個人信息權益更易遭受侵害。

依據給付時間長短對合同內容產生的影響,可將合同分為繼續(xù)性合同和一時性合同。繼續(xù)性合同的概念源于德國,是指“在合同存續(xù)期間從中不斷產生給付義務和保護義務,因此時間因素在其中具有重大意義的債務關系”[15]119。其具有三項基本特征:一是合同自始欠缺確定的總給付內容,給付時間的長短是確定合同總給付內容的決定因素;二是該合同通常具有無限延續(xù)性,雙方未就合同的履行期限做出明確約定的,其可無限延續(xù)而不停止;三是合同的當事人之間負有持續(xù)盡力義務且具有極強的信賴關系,此信賴關系是繼續(xù)性合同得以持續(xù)的實質要素[16]。

學界通說認為,勞動合同天然具有繼續(xù)性合同的特質[17],即勞動合同約定的權利義務在合同存續(xù)期間持續(xù)存在,一次給付無法實現合同的目的與內容,而必須隨著時間的推移,通過勞動者持續(xù)不斷的給付勞務、用人單位反復給付工資才能實現。實踐中,勞動合同短則數月,長則數年,其所具有的繼續(xù)性特質意味著企業(yè)須反復不斷地進行用工管理,在此過程中勢必會反復處理員工的個人信息以便做出正確的評價,由此常引發(fā)持續(xù)時間較長的侵害行為。與之相對,經營者或平臺往往基于一時性合同向陌生的自然人提供產品或服務并處理其個人信息,因一時性合同的內容經一次給付便可實現,例如買賣、快遞、客運服務等,由此所實施的信息侵害行為持續(xù)時間通常較短?？傊?勞動關系的繼續(xù)性特質必然使得用人單位對員工個人信息的侵害深具持續(xù)性。

二、雇員個人信息勞動法保護的必要性與正當性

在既有私法路徑頗具局限性的情況下,本文將著重分析引入勞動法路徑來保護雇員個人信息的必要性及其正當性。

(一)傾斜保護勞動者理念可矯正個人信息保護中雇員的不利地位

從制度功能視角來看,以《民法典》為中心的私權保護框架在保護雇員個人信息時存有基礎法理層面的無法自洽的邏輯硬傷。《民法典》中的個人信息保護規(guī)則并非純粹的私法制度,而是具有一定的公私法混合性質:前者主要體現為《民法典》選擇了類似的消費者權利保護框架,在第一千零三十七條、第一千零三十八條賦予信息主體訪問權、更正權、刪除權、信息安全權等權利;后者體現為《民法典》基于知情同意和侵權救濟機制建構起個人信息私法保護框架。個人信息民法保護框架的基石是仰賴合同法保護的知情同意機制和侵權救濟機制,并且其所選擇的類似消費者權利保護框架因缺乏強有力的執(zhí)行與監(jiān)管機制,可能徒具權利宣示意義,因此其性質仍以私法為主、公法為輔。那么,私法強調抽象意義上的形式平等與意思自治,在解決雇員個人信息保護問題時會淡化勞動者的身份及其所處的實質不平等勞動關系,忽略受害人為維持生計或避免工作上遭受不利待遇而不得不“同意”用人單位處理其個人信息。然而,形式意義上的同意必會成為蔭庇用人單位侵權行為的“保護傘”,因為依《民法典》第一千零三十五條規(guī)定,雇員的同意是用人單位處理個人信息的合法性基礎?？梢?遵循高度意思自治和抽象意義上形式平等理念的私法無法對弱勢勞動者進行傾斜保護。

相較而言,勞動法保護路徑更具制度優(yōu)勢,其所遵循的傾斜保護勞動者的立法理念有助于矯正個人信息保護中勞資雙方實力和地位的嚴重不對等。依《勞動法》和《勞動合同法》的立法目的條款可知,“保護勞動者合法權益”是二者立法的最終目的之一,所確立的是傾斜保護勞動者的立法理念。該理念得以確立的原因較為復雜多元,深層原因就是勞資力量嚴重不均衡和勞動關系的從屬性使得有必要運用國家監(jiān)管手段來實現對勞動者的傾斜保護,以協調勞資雙方權益關系和促進穩(wěn)定和諧勞動關系的構建[18]7-8。前文分析指出,受勞動關系的從屬性、繼續(xù)性、資強勞弱特征和數字技術的自動化決策性、不透明性特征的復合交叉影響,在個人信息保護情形下勞資雙方的地位與實力更為不對等,司法實踐亦嚴重忽視保護雇員個人信息而偏重維護用工管理權。對此,有必要引入勞動法保護路徑,遵循傾斜保護勞動者的立法理念,以便矯正個人信息保護中雇員的不利地位和克服既有勞動法司法裁判的局限性。依該理念,當雇員個人信息權益與用工管理權發(fā)生沖突時應適當優(yōu)先保護前者,除非雇主對個人信息處理行為存有重大經濟利益或社會公共利益。

(二)重行政規(guī)制的特點在預防和處理侵權行為時具有優(yōu)勢

基于勞資雙方的嚴重不對等,勞動法規(guī)則的實施主要仰賴行政規(guī)制。例如,為保障勞動法規(guī)則的實施,保護勞動者的合法權益,《勞動法》第九條和《勞動合同法》第七十三條規(guī)定,由縣級以上地方人民政府勞動行政部門負責本行政區(qū)域內的勞動工作和勞動合同制度實施的監(jiān)督管理。前文分析指出,私法救濟機制主要仰賴侵權損害賠償,但該機制的個體救濟、事后救濟特點在保護雇員個人信息時具有局限性。相比侵權救濟機制,行政規(guī)制在保護雇員個人信息時更具優(yōu)勢,體現在如下三方面:

一是具有專業(yè)和信息優(yōu)勢。為有效保護個人信息,防止違法犯罪行為,當前我國政府監(jiān)管部門正在積極轉變監(jiān)管理念、創(chuàng)新監(jiān)管方式,如運用大數據、算法、人工智能等數字技術,搭建統一的數字化監(jiān)管平臺。數字技術具有超強、高效、低成本、精準、及時的信息處理能力,因此政府監(jiān)管部門選擇數字化監(jiān)管方式可大為提高監(jiān)管的規(guī)模與效率。例如,在數字化監(jiān)管平臺中,政府可將用工人數、隱私信息、信息泄露、指紋監(jiān)控、視頻監(jiān)控、人臉識別等關聯因子作為切入點抓取風險點,將一定規(guī)模以上的海量用人單位作為風險研判模型,便可在極短時間內識別出個人信息侵害風險度高的重點檢查對象,隨后可將之納入年度雙隨機抽查計劃或對之輔以人工手段實現重點監(jiān)管。如此,便可大為提高監(jiān)管效能,極大增強監(jiān)督檢查的靶向性和精準性。

二是具有預防和處理系統性侵權的效率優(yōu)勢。民事侵權救濟機制無法有效應對具有系統性、規(guī)模性、普遍性、因果關系難以認定等特征的雇員個人信息保護問題,難以起到良好的社會效果。其仰賴事后救濟與個體救濟,主要目標是解決個案糾紛,這會將受害人與其所處的勞動關系實質不平等的社會大背景相互割裂,最終受害人在個案中的勝訴利益實際上難以輻射到與其具有同樣社會身份或處于相同處境的群體。相較而言,行政規(guī)制在預防和處理系統性、規(guī)模性侵權上具有效率優(yōu)勢,可產生良好的社會效果。這既源于行政規(guī)制具有專業(yè)和信息優(yōu)勢,也源于其具有完備的監(jiān)管機制,即事先準入監(jiān)管、事中監(jiān)督檢查和事后處罰。例如,勞動行政部門依《勞動合同法》第七十四條第一項規(guī)定對用人單位制定與執(zhí)行隱私政策的情況進行監(jiān)督檢查,并對有關違法行為做出行政處罰,那么其對侵權的預防及處理結果不僅可保護個案中的雇員,還可輻射至與之具有相同處境的雇員群體。

三是具有執(zhí)行的主動性、強制性。不同于侵權救濟的事后、被動救濟特點,依《勞動法》第八十五至八十八條對勞動監(jiān)督檢查的規(guī)定可知,行政執(zhí)法仰賴事前準入監(jiān)管、日常巡視檢查、接受舉報投訴、事后處罰等方式,具有主動性、強制性的特點,更有利于防止侵權行為和矯正雇員的不利地位。此外,《勞動法》第八十九至九十二條、第九十四至九十六條、第九十八條、第一百和一百零一條以及第一百零五條對用人單位違反有關規(guī)定的行政責任做出了詳盡規(guī)定。

(三)對域外經驗的批判性借鑒要求加強對雇員個人信息的勞動法保護

首先,歐盟在憲法性公約及其司法判例中強調雇員個人信息保護的特殊地位,即員工個人信息所體現出的人格尊嚴比企業(yè)的經營管理利益更為重要(9)Article 29 Working Party Opinion on the Surveillance of Electronic Communications in the Workplace,at 6.。例如,《保障人權與基本自由公約》(以下簡稱“人權公約”)第八條、《歐盟憲章》第八條規(guī)定對個人私生活權和個人信息權進行確認,側重限制雇主對員工個人信息的處理。同時,歐盟人權法院在解釋與適用“人權公約”第八條時也強調對雇員個人信息的特殊保護。例如,歐盟人權法院Pinto De Albuquerque法官指出,“基于招用、履行勞動合同、職員管理、工作計劃及勞動關系的解除等目的搜集、處理雇員個人信息,均應受到勞動合同法或集體協議法的調整,尤其是對互聯網使用和電子通信中所涉及的雇員個人信息,更亟需具體明確的規(guī)則?！?10)Barbulescu v.Romania,App.No.61496/08,Eur.Ct.H.R.(Grand Chamber,2017),para 9.歐盟人權法院還認定,在工作場所撥打的私人電話仍屬于“人權公約”第八條的“私生活”與“通信”范疇,當雇員未被提前告知其電話會受到雇主監(jiān)聽時,雇員便對撥打私人電話具有隱私的合理期待(11)Halford v.United Kingdom,24 Eur.Ct.H.R.523,523(1997).。

其次,歐盟及其成員國、英國、美國等均在個人信息保護立法時對雇員個人信息保護作出特殊規(guī)定,有三種立法模式:一是統一保護模式,即由統一的個人信息保護法來調整雇員個人信息,尚未對之制定單行法。歐盟、德國、奧地利、比利時、丹麥、愛爾蘭等選用該模式(12)Article 29 Working Party Opinion 8/2001 on the Processing of Personal Data in the Employment Context.。例如,歐盟GDPR第八十八條對工作場所個人信息保護作出開放性的一般規(guī)定;德國《聯邦數據保護法》第二十六條對個人信息領域勞資雙方的基本權利義務、雇員利益代表參與權行使、雇員同意的要件、特殊類型個人數據處理、集體協議等內容做出具體規(guī)定(13)Section 26,Federal Data Protection Act,Germany,2017.。二是單行法模式,即在一般法保護框架外,專門制定適用于雇員個人信息保護的單行法。選擇此模式的國家包括美國、芬蘭、瑞典、法國、希臘和葡萄牙等。例如,芬蘭于2001年頒布的《工作生活中的個人信息保護法》對雇員個人信息處理的必要性標準、健康信息、藥品及基因檢測、視頻監(jiān)控等情形下的處理規(guī)則作出詳盡規(guī)定;美國頒布的《基因信息反歧視法》第二百零二條(b)項規(guī)定“原則上雇主不得要求、請求或購買雇員或其家庭成員的基因信息,除非存有法定例外情形”。三是軟法模式,如國際勞動組織(ILO)發(fā)布的《雇員個人信息保護行動守則》和英國數據保護機構(ICO)于2003年發(fā)布的《雇員個人信息保護行動守則》對招用、勞動關系記錄、電子監(jiān)控等情形下的雇員個人信息處理提供詳盡的指引性規(guī)則。

最后,波蘭、法國等均在勞動法中對個人信息保護作出特別規(guī)定。例如,波蘭《勞動法典》通過5個條文對求職者向雇主提供的信息、雇員同意的要件、個人信息披露、監(jiān)控和電子郵件監(jiān)控等內容作出詳盡規(guī)定(14)Article 22-1,22-1a,22-1b,22-2,22-3,The Labour Code,Poland,2019.。法國2004年版《勞動法典》第1221-6條規(guī)定:搜集的信息不論形式如何,只能用來評價求職者從事應聘崗位的工作能力,這些信息必須和應聘的崗位有著直接、必要的聯系[19]13。

由此可見,對雇員個人信息保護作出特殊規(guī)定實有必要。諸多歐美學者也主張對雇員個人信息保護進行專門立法。例如,有學者指出,美國既有法律制度未能有效協調雇主監(jiān)管權與雇員個人信息權之間的沖突,無法有效應對電子監(jiān)控對雇員個人信息造成的侵害[20],有必要制定針對雇員個人信息保護的統一聯邦立法,即“雇員互聯網隱私保護法”,并對之提出具體立法建議[21]。還有學者指出,為實現雇員個人信息保護的確定性與協調性,促進數據保護規(guī)范與勞動法規(guī)范的協調,有必要制定統一的歐盟雇員個人信息保護指令[22]108。

然而,盡管域外已就雇員個人信息保護專門立法的必要性達成共識,但在立法路徑的選擇上卻各有側重。比較而言,這些立法路徑各有利弊:經由判例法對之作出特殊規(guī)定,有助于保障法律適用的靈活性,但同我國的成文法立法傳統相悖;經由個人信息保護法對之作出特殊規(guī)定,可充分利用個人信息保護的一般規(guī)則,但難以充分融入傾斜保護勞動者的視角;單行法路徑可充分體現勞動關系的特殊性并作出詳盡規(guī)定,但其立法成本高、費時長;勞動法路徑同樣有助于充分體現勞動關系的特殊性,但有待修法時機。因我國正著力于制定勞動基準法,而《個人信息保護法》已于2021年8月20日正式公布,基于該立法契機和成文法立法傳統,為充分融合勞動關系的特殊性和有效保護雇員個人信息,應由前者對之作出一般性規(guī)定,即選擇勞動法的立法路徑。

(四)保護人格尊嚴、自由與平等是勞動法的應有之義

在討論勞動法保護的必要性之后,還需解決勞動法保護的正當性問題,即勞動法是否保障個人信息中的精神性人格利益。

個人信息與人格尊嚴、人格自由存在天然的緊密關系,即便學界對個人信息是否構成一項絕對權存有爭議,但取得共識的是個人信息的原旨與價值基礎是人格尊嚴與人格自由,個人信息受保護權實質是對以尊嚴為核心的基本權利的保護[23]。對此,《民法典》在《人格權》編中確立對隱私權、個人信息保護的二元調整模式,充分彰顯人格尊嚴與人格自由的重要地位。因此,個人信息的首要權益基礎是體現人格尊嚴與人格自由的人格利益。此外,前文分析指出,因樣本數據偏差、算法黑箱性、人為故意歧視,基于算法篩選簡歷常形成對性別、民族、種族等要素的隱性歧視,必然會侵犯求職者的平等就業(yè)權,而該權利所保護的實質利益是人格平等利益?？梢?雇員個人信息的權益基礎是體現人格尊嚴、自由與平等的精神性人格利益。那么,勞動法是否保障此類精神性人格利益呢?

依傳統財產利益、身份利益、物質性人格利益、精神性人格利益(15)如無特別說明,此處及后文的人格利益限于精神性人格利益。的分類法可知,《勞動法》僅對前三者的保護作出相對完備的規(guī)定,尚未對精神性人格利益保護作出明確規(guī)定。有學者指出,《勞動法》第三條規(guī)定的取得勞動報酬權、社會保險權和社會福利權是對財產利益的充分體現,而平等就業(yè)權、自由選擇權、職業(yè)安全權、休息休假權充分彰顯出對人身利益的保障[10]65。又如,《勞動合同法》第八十八條僅對侵害勞動者人身權益的法律責任作出具體規(guī)定,但不包括侵害人格權益的法律責任。從解釋學視角來看,保護人格尊嚴、自由與平等是勞動法的應有之義。

首先,人格尊嚴受保護權作為絕對的、不可剝奪的基本權利,理應受到勞動法的保護。我國《憲法》第三十八條規(guī)定“中華人民共和國公民的人格尊嚴不受侵犯”,將之確立為公民的一項基本權利。所謂人格尊嚴權,是指公民作為法律關系主體的獨立人格應受到尊重的權利。從性質上來說,其為公民固有的基本權利,具有自然性、絕對性、不可剝奪、不可轉讓、不可繼承等特征。因此,在勞動給付過程中勞動法應保障雇員的人格尊嚴不受侵犯,這是基本義務和應有之義。依對《勞動法》第三條的文義解釋,勞動者除享有該條文明確列舉的權利外,還享有法律規(guī)定的其他權利,即處于最高位階的勞動者作為公民所享有的憲法所賦予的基本權利和勞動者作為民法中的自然人所享有的各項民事權利[24]。

此外,勞動關系的從屬性亦不能剝奪雇員的人格尊嚴,因為勞動者所出讓的僅是勞動力使用權而非勞動力所有權,更非出賣雇員自身。依前文分析指出,雇員與一般公民區(qū)別的關鍵標準是前者受勞動關系從屬性的影響。從屬性意味著雇員應加入雇主的組織生產中,接受雇主的用工管理,依照約定和雇主的命令、指示提供勞動,如在工作的時間、地點、內容、方式等方面都服從雇主的指揮管理,將一定范圍的人身自主性讓渡給雇主。然而,這并不意味著雇員在工作場所就喪失人身自主性,更非喪失人格尊嚴與人格自由,因為雇員所出讓的只是特定時間內的勞動力使用權,并非勞動力所有權,更非出賣雇員自身。對此,為確保勞動力使用權能被反復使用不受損害,在勞動給付過程中雇主應充分保障雇員的人身自由、人格尊嚴不受侵犯?？梢?從屬性不能剝奪雇員作為人所固有的人格尊嚴與人格自由,只能在一定程度上進行克減。

三、雇員個人信息勞動法保護路徑的具體建構

《個人信息保護法》在個人信息保護方面處于基礎性、統率性地位,其第七十二條明確排除適用純粹平等民事主體之間的信息處理和政府機關的統計、檔案管理活動中的信息處理?？梢?其適用范圍限于持續(xù)性的信息不平等關系,這類關系的法律性質類似于勞動者與用人單位之間形成的社會法關系,具有不平等性、持續(xù)性以及兼具合作與沖突屬性[25]。對此,本文將立足勞動關系場合的特殊性,結合《個人信息保護法》與雇員個人信息保護的相似性、交叉性等特征,著重分析如何在未來的勞動基準法中建構雇員個人信息處理的合法性基石、基本處理規(guī)則與核心原則。

(一)將締約或履約必要性作為信息處理合法性的基石

《民法典》將同意規(guī)則作為信息處理合法性的基石,但該規(guī)則無法保障雇員同意的真實性,也嚴重忽視雇主用工管理的正當性。鑒于大多數情況下雇主處理個人信息是為滿足建立或履行勞動合同的基本需求,為防止雇員個人信息保護落空并保障用工管理自主性,在勞動關系場合宜將締約或履約必要性作為信息處理的基石,嚴格限制雇員同意的適用。質言之,原則上單純的雇員同意不一定構成合法性基礎,雇主個人信息處理行為本身必須具有合理性,即處理目的、方式、范圍等為訂立或履行勞動合同所必需?？疾臁秱€人信息保護法》第十三條第一款第二項和國家標準《信息安全技術個人信息安全規(guī)范》(以下簡稱“《安全規(guī)范》”)第5.6.1條可知,二者均將之作為信息處理的合法性基礎之一。從比較法視野來看,域外制定法、判例法多將該標準作為適用基礎,并嚴格限制同意規(guī)則的適用。

首先,歐盟、加拿大等的制定法選擇上述做法。例如,歐盟GDPR第七條第四項規(guī)定“在數據主體和控制者地位不平衡時,同意不能為數據處理提供法律基礎”,第六條第一款b項規(guī)定“個人數據的加工是作為合同一方的數據主體履行合同所必需的或是為了滿足數據主體訂立合同前或訂立合同時的要求”,該處理行為視為合法。依對這兩項規(guī)定的文義解釋可知,在勞動關系領域原則上雇員的同意不能單獨作為信息處理合法性的基礎,雇主信息處理行為須為締約或履約所必需。同時,依2017年歐盟數據保護工作組發(fā)布的《工作中的數據處理意見》(以下簡稱“2017意見”)可知,就工作中的大部分數據處理而言,因勞資關系的特殊性,雇員同意不能亦不應作為法定處理基礎,原則上信息處理的合法基礎是為履行勞動合同所必需或履行法定義務(16)Article 29-Data Protection Working Party Opinion 2/2017 on Data Processing at Work,2017,at 6.。又如,芬蘭《工作生活中的個人信息保護法》第三條規(guī)定,雇主處理個人信息限于為締結或履行勞動關系所必需,即“與勞動關系中雙方權利義務的管理直接相關或為向雇員提供利益或源于某工作的特定性質”。再如,加拿大聯邦隱私監(jiān)管委員會(Federal Privacy Commissioner,FPC)在執(zhí)行和適用《個人信息和電子通訊保護法》(Personal Information Protection and Electronic Documents Act,PIPEDA)時指出,員工是否對信息收集行為做出同意及其是否真實并非審查重點,相反重點應是信息收集行為本身的合理性,原則上只有當“理性人認為信息處理的目的是適當”時,才可以要求雇員對信息處理作出同意(17)PIPEDA Case Summary 2002-65.。

其次,美國判例法由偏重同意范式轉向重視合理商業(yè)目的標準,嚴格限制同意的適用。美國雇員個人信息的保護主要依賴司法能動主義,法院在認定雇員隱私是否受侵害時主要考慮三個因素:雇員是否存在隱私的合理期待,是否構成對雇員隱私的高度侵犯,雇主侵犯雇員隱私是否有合理商業(yè)目的[22]62-64。在認定雇員是否存在隱私的合理期待時,傳統上美國法院通常遵循同意范式,雇主的信息處理行為有無獲得員工同意是司法審查的重點,一旦獲得同意,雇員對隱私的合理期待便落空,也即雇員的明示或默示同意會減損其對隱私的合理期待,由此在實踐中形成了獲取雇員同意這一標準的商業(yè)慣例[26]60。然而,該“同意”通常是基于“脅迫”做出的,如員工因受到辭退的威脅才不得不做出同意的決定?？梢?同意的形式化無法保障雇員隱私不受侵害,為克服其局限性,美國判例法開始偏重審查信息處理的目的與方式是否合理,無論該信息處理有無獲得員工同意。例如,依O’Connor v Ortega案可知,在判斷雇主的信息處理行為是否會侵犯員工的隱私時著重考慮信息處理的目的是否合理、信息處理的方式與目的是否合理相關、信息處理方式是否符合最小損害的要求,而對信息處理目的合理性的認定標準主要包括工作相關性或商業(yè)目的和對工作相關的不法行為的調查(18)O’Connor v. Ortega, 480 U.S.709 (1987),at 725-726.。之后,美國最高法院在City of Ontario v.Quon案中沿用前述標準,認定本案雇主在收集、處理存放于辦公設備中的雇員個人信息時并未侵犯員工的個人信息權,因為“其目的具有合法的工作相關性,且未超過相關范圍”(19)City of Ontario v.Quon,560 U.S.746 (2010),at 748.。

關于如何適用該標準,關鍵是除審查信息處理目的是否為建立或履行勞動合同所必需外,還應考察處理方式是否在必要限度內、處理方式與目的是否合理相關。這既是對美國判例法有益經驗的借鑒,更是克服既有司法實踐弊端,有效保護雇員個人信息的必由之路。基于這三項判斷要素,可得出如下結論:一是在招聘過程中雇主不得詢問或處理與締約無直接關聯的求職者敏感信息,例如婚育信息、政治信仰、宗教信仰、個人生物識別信息、性取向、乙肝表面抗原攜帶信息等敏感信息。二是原則上禁止對員工開展基因檢測、生物識別信息監(jiān)測,除非是為履行特定合同所必需,如核試驗室工作人員。三是嚴格適用該標準來防止無限制的全面監(jiān)控。如果雇主開展監(jiān)控的目的是為保障辦公場所工作場所安全或是有一定線索指向雇員存在嚴重違約或違法犯罪行為等情形,此時可認定對之開展監(jiān)控的目的是合理的,因為它是履行勞動合同所必需。那么,在前述張學娟案中,雇主監(jiān)控目的是保障工作場所人、財、物的安全,在監(jiān)控目的上其是合理的,但還應進一步審查監(jiān)控的方式是否限于最小損害和必要范圍內。在前述陰某案中,鐵某公司至更衣室拍攝陰某吸煙照片的行為明顯超過必要范圍,侵犯員工的隱私權或私密信息。美國某些州立法,如Conn.Gen.Stat.§ 31-48b(b)便規(guī)定禁止在工作場所中的休息室、儲物間等員工休閑區(qū)域安裝攝像頭,一旦違反此規(guī)定,雇主將面臨罰款,二次違反此規(guī)定的,還面臨30天監(jiān)禁[27]1369。四是賦予求職者或雇員撒謊權。在訂立或履行勞動合同期間,若雇主欲過度收集與締約或履約無直接關聯的個人信息,求職者或雇員享有撒謊權。質言之,其有權拒絕向雇主提供不具合理關聯性的信息,即便其所提供信息不真實也不應認定為欺詐,雇主亦不得拒絕錄用或為其他不利待遇。

(二)基于民主程序設定的公開透明隱私政策和單獨同意分別處理非敏感信息與敏感信息

在解決雇員個人信息處理的合法性后,接下來必須確立其處理的基本規(guī)則。本文認為應依據個人信息的不同類型確立不同的處理規(guī)則,這源于不同類型的個人信息被泄露或非法使用可能產生的危害后果差異極大,對保護方式及程度的要求亦迥然有別?！睹穹ǖ洹放c《個人信息保護法》基于不同規(guī)范目的選擇不同的分類法。前者側重民事權益的類型與保護方法的差異,選擇私密信息、非私密信息的二分法;后者側重個人信息處理行為規(guī)范的差異,選擇敏感信息、非敏感信息的二分法[28]。因本文的研究目的側重確定雇主處理個人信息的基本行為規(guī)范,選擇敏感信息、非敏感信息的分類法。

如何依此分類法確立不同的處理規(guī)則呢?解決該問題的關鍵在于深入理解《個人信息保護法》第十三條第一款第一項、第二項分別將同意、締約或履約必要性作為合法性基礎的規(guī)定。二者作為并列性規(guī)定,在邏輯上屬不相容的關系,因此對建立或履行勞動合同所必需情形,雇主在處理個人信息時不必征求雇員的同意。為深入理解第十三條第一款第二項規(guī)定,亟待解決如下四個問題:一是建立或履行合同所必需能否適用于雇主收集敏感信息情形;二是若可適用雇主收集敏感信息,應否征得雇員同意;三是在不必征求雇員同意的情形下,是否仍需保障雇員的知情權;四是在勞動關系場合應如何有效保障雇員的知情權。

首先,若處理雇員敏感信息具有特定目的和充分必要性,在建立或履行勞動合同所必需情形下仍可對之予以處理。對建立或履行合同所必需能否適用于雇主收集敏感信息,《個人信息保護法》并未予以明確,但該法第二十八至三十一條對敏感信息的處理規(guī)則作出更為嚴格的特殊規(guī)定,而第二十八條第二款僅對敏感信息處理的合法基礎作出原則性規(guī)定,即必須具有特定目的和充分的必要性,并采取嚴格保護措施?；诿舾袀€人信息與個人信息是特殊與一般的關系,依我國《立法法》第九十二條可知,在法律適用時應優(yōu)先適用關于敏感信息的特別規(guī)定,若無則適用一般規(guī)定。可見,如果處理敏感信息符合“特定目的和充分必要性”這一特殊規(guī)定,便可適用建立或履行合同所必需情形。

其次,為充分考慮雇員敏感信息的特殊性并契合傾斜勞動者的立法理念,在訂立或履行勞動合同所必需范圍內處理敏感信息時,應征求雇員的書面同意。依前文分析可知,在建立或履行合同所必需處理個人信息時不必征得個人同意,但基于敏感信息與個人信息是特殊與一般的關系,《個人信息保護法》尚未對該情形下處理敏感信息應否征得個人同意作出明確規(guī)定,留待其他法律、行政法規(guī)做出更為嚴格的限制。雇員敏感信息深具特殊性與典型性,其更易遭受侵害且該侵害行為深具持續(xù)性,一旦發(fā)生泄露或非法使用,對雇員人格尊嚴、自由、平等和人身財產權利的損害甚為嚴重。對此,應確立在該情形處理敏感信息應征得雇員的書面同意,即勞動基準法對其形式要求應略嚴于單獨同意。那么,在采集敏感信息前,雇主應充分保障雇員的知情權,在此前提下雇員自主、清晰、明確地做出同意雇主采集、處理其具體敏感信息的意思表示,應當認為是“書面同意”。

再次,在“訂立或履行勞動合同所必需”范圍內處理非敏感信息時不必征求雇員同意,但在處理前仍應保障雇員的知情權。對《個人信息保護法》第十三條第一款第一項、第二項規(guī)定的文義解釋可知,建立或履行勞動合同所必需處理的個人信息不必征求雇員同意,但本文認為對該情形處理敏感信息應征求雇員的書面同意,基于敏感信息、非敏感信息的二分法,符合邏輯的推論是在該情形下處理非敏感信息不必征求雇員同意。即便在此情形下不必征得雇員同意,也應充分保障其知情權。這源于《民法典》第一千零三十五條第一款和《個人信息保護法》第十七條的明確規(guī)定,不論信息主體以何種法定理由處理個人信息,在處理前均應保障信息主體的知情權,滿足透明性規(guī)則的要求。前文分析指出,私法中透明性規(guī)則的實踐效果不可預期,因此問題的關鍵是如何確保雇主能有效落實透明性規(guī)則。

對雇員人數達到一定規(guī)模的企業(yè),應通過“民主程序”設定隱私政策并公示。通過民主程序設定隱私政策具有三項特征與優(yōu)勢:一是制定與執(zhí)行的強制性?！秳趧雍贤ā返谒臈l規(guī)定用人單位在制定、修改或者決定直接關涉勞動者切身利益的規(guī)章制度或重大事項時,應當通過民主程序進行;同時該法第七十四條第一項、第八十條規(guī)定勞動行政部門負責監(jiān)督檢查用人單位有無經民主程序制定與執(zhí)行規(guī)章制度,若發(fā)現雇主違反該規(guī)定,由其責令改正,給予警告?？梢?經由民主程序制定與執(zhí)行勞動規(guī)章制度具強制性。前文分析指出,雇員個人信息上的利益基礎本質是人格尊嚴、自由與平等,那么個人信息保護必然屬直接關涉雇員切身利益的事項。對此,對雇員人數達到一定規(guī)模的企業(yè),應強制要求其通過民主程序設定隱私保護政策。二是程序上的公正性。這體現為民主程序必須由職工代表大會或全體職工討論,提出方案和意見,與工會或職工代表平等協商確定。為矯正勞資雙方懸殊的地位和實力,契合傾斜保護勞動者的立法理念,《勞動合同法》第四條確立了民主程序機制,通過強制性的職工代表或工會參與來提高雇員的談判協商能力,保障勞動規(guī)章制度的程序公正。否則,若單純由高度自治性的勞資個體協商方式來確定隱私保護政策,在勞資力量嚴重不對等情形下,該制度無法產生公正效果。三是高效性。表面上看,由勞資雙方依據個案實際需求與特征來協商確定個人信息保護政策更為高效,然而由于勞資力量嚴重不對等,高度自治性的勞資個體協商方式效率低下[29]。相反,具有強制性、公正性特征的民主程序機制可大為提高其制定與執(zhí)行的效率。由此可見,經由深具獨特性的民主程序制定個人信息保護規(guī)章并將之公示,更有助于確保透明性規(guī)則的有效實施。

綜上,在訂立或履行合同所必需的范圍內可適用于雇主收集敏感信息情形,但應征求雇員的書面同意。如果其適用非敏感信息處理情形,則不必征求雇員同意,但仍需保障雇員知情權。為有效保障雇員的知情權,在勞動關系場合應要求雇員人數達到一定規(guī)模的企業(yè)通過民主程序設定隱私政策并公示,因為民主程序機制具有制定與執(zhí)行的強制性、程序上的公正性、高效性等優(yōu)勢。若勞動行政部門在監(jiān)督檢查時發(fā)現雇主違反該規(guī)定,由其責令改正,給予警告。至于隱私政策的具體設定,建議由行政機關、工會或企業(yè)組織發(fā)布有關行為指引,同時依《民法典》第一千零三十五條第一款第三項、《個人信息保護法》第十七條、《安全規(guī)范》第5.5條規(guī)定確立如下基本要素:處理信息的目的、方式、范圍,處理的雇員個人信息種類、保存期限,明示雇員敏感個人信息處理的特殊規(guī)則,雇員享有的法定權利及其實現方式、程序,對外共享、轉讓、公開披露雇員個人信息的規(guī)則及責任等。

(三)為遏制用工管理權的濫用宜確立比例原則的核心地位

實踐中雇主常濫用用工管理權來侵害雇員個人信息,但雇主又具有用工管理的正當性,受之蔭蔽使侵權行為難以被認定為侵權?？梢?用工管理權與雇員個人信息權益之間存在嚴重沖突且后者處于不利地位,亟需確立用工管理權行使的邊界,協調勞資雙方的權益關系。對此,許多國家或地區(qū)的制定法、判例法、指導意見將比例原則視為工作場所個人信息處理的重要原則。

比例原則最初由德國行政司法判例確立,它是行政法的核心原則,原旨在于對限制私權利的立法權或行政權力進行限制,基本要義是強調對私權利進行限制應具備合理性[30]。個人信息權益作為自然人享有的一項私權、相對權,其在行使時理應受到國家權力的限制,即國家可通過立法、行政監(jiān)管等方式予以限制,但該限制必須具有合理性,否則將對自然人的人格尊嚴、人格自由造成嚴重損害。為此,比例原則已成為工作場所個人信息處理的重要原則。

首先,歐盟GDPR第5.1.c項和歐盟《個人信息保護指令》第6.1.c項均規(guī)定,個人信息應限于同信息處理目的所相關、必要且符合最小損害要求。同時,“2017意見”指出,無論基于何種法定理由處理雇員個人信息均應遵守比例原則,在處理前應考慮該處理方式是否為實現法定目的所必需,所采取的措施能否將對個人私生活權利和通信隱私造成的損害降至最小(20)Article 29-Data Protection Working Party Opinion 2/2017 on Data Processing at Work,2017,at 3.。在此之前,2001年歐盟數據保護工作組發(fā)布的《關于工作場所個人信息處理的第8/2001號意見》指出,比例原則的適用范圍非常寬泛,其最重要的影響是雇主應采取損害最小化方式來處理個人信息,在判斷是否構成損害最小化時應考慮可能帶來的風險、處理的信息范圍、處理目的等要素(21)Article 29 Working Party Opinion 8/2001 on the Processing of Personal Data in the Employment Context,at 21.。同時,2002年歐盟數據保護工作組發(fā)布的《關于工作場所電子通訊管理與監(jiān)控的意見》指出,比例原則要求監(jiān)控必須為實現特定目的所必要、相關和符合最小損害的要求,集體協議是衡量雇主采取的監(jiān)控措施是否與其面臨的風險合乎比例的有益做法(22)Article 29 Working Party Opinion on the Surveillance of Electronic Communications in the Workplace,at 18-19.。

此外,歐洲人權法院在B?rbulescu v. Romania案并未沿用傳統的隱私合理期待標準而是運用比例原則來判斷雇主信息處理行為是否合法。該案的多數派法官認定,除通過監(jiān)控雇員的Yahoo郵箱外,雇主尚無其他更有效方式判斷雇員是否違反公司郵箱使用政策,因此該監(jiān)控是符合比例的且是有限的,并未侵犯雇員的個人信息權(23)B?rbulescu v.Romania,App.No.61496/08,Eur.Ct.H.R.(Grand Chamber,2017),para 60.。同時,美國法院在前述O’Connor v. Ortega案、City of Ontario v.Quon案中均強調,在判斷雇主信息處理行為是否合法時應審查信息處理方式是否符合最小損害的要求或未超過相關范圍。在德國,雇主有權基于合理商業(yè)目的來監(jiān)控雇員的電子通信,然而該監(jiān)控權必須同雇員的個人信息權益保護相協調,比例原則便是協調二者關系的有效機制(24)See Frank Hendrickx.Protection of Workers’ Personal Data in the EU:Surveillance and Monitoring at Work,at 105.。葡萄牙數據保護監(jiān)管委員會認定,在求職階段收集求職者的婚姻狀況、子女數量、家庭缺陷、銀行賬號等信息明顯不符合比例原則的要求,構成信息收集過度的違法行為(25)Decision 32/98,published on the Data Protection Authority Report of 1998.。

雖然比例原則主要針對立法權或行政權,但它的基本要義是強調對私權利進行限制的合理性,且它已成為域外個人信息保護立法、指導意見和判例法中的重要原則,這意味著除國家機關之外,平臺企業(yè)、用人單位等信息控制者在處理個人信息時也應遵循比例原則的要求。由于勞動關系具有從屬性、繼續(xù)性,勞資雙方的地位和實力懸殊巨大,在我國勞動關系中也應將之確立為核心原則,以便厘清用工管理權的行使邊界,實現對雇員個人信息的有效保護。值得肯定的是,《個人信息保護法》第六條第一款對比例原則做出明確規(guī)定。

比例原則的內涵特點如下:一是強調信息處理的手段與目的合乎比例,即該方式為實現特定目的所必需且符合最小損害的要求;二是注重用工管理權益與雇員個人信息受侵擾的程度之間的平衡,在確定權益配置比例時適當向雇員傾斜?？梢?比例原則實質是強調適用利益衡量標準。對此,在確定如何適用比例原則時,建議借鑒美國聯邦最高院在Mathews v. Eldridge案(26)Mathews v. Eldridge 424 U.S.319 (1976).所提出的利益衡量標準和上述比較法經驗,著重考慮如下三要素:一是受雇主信息處理行為影響的個人信息/隱私的重要性程度。個人信息越重要、敏感,就越需嚴格的處理要求。二是信息處理行為對雇主帶來的利益和對雇員個人信息侵害的程度。這既要考慮信息處理目的是否正當,也要考慮處理行為本身的風險。三是信息處理方式的合理性,即該方式是否為實現特定目的所必需、有無其他更有效的替代方式、能否實現損害最小化[31]。

四、結語

勞動者作為自然人,其個人信息理應得到《民法典》的保護,但受勞動關系的從屬性、繼續(xù)性、資強勞弱等特征的復合交叉影響,《民法典》中的同意規(guī)則、透明性規(guī)則、侵權救濟規(guī)則對雇員個人信息的保護具有局限性,尤為突出的是侵權行為受到用工管理權的蔭庇而難以被認定為侵權。為克服私法規(guī)則的局限性,矯正個人信息保護中雇員的不利地位,并為了同國際接軌,有必要引入為學界所嚴重忽視的勞動法保護路徑。對此,應立足于勞動關系場合的特殊性,結合《個人信息保護法》與雇員個人信息保護的相似性、交叉性來建構雇員個人信息處理的合法性基礎、基本規(guī)則與核心原則。原則上,同意不宜單獨作為個人信息處理合法性的基石而應確立締約或履約必要性標準的基礎地位,其在適用時應具備三要件:處理目的是否為建立或履行勞動合同所必需,處理方式是否在必要限度內,處理方式與目的是否合理相關。此外,該標準在適用于敏感信息處理時應征求雇員的書面同意,對非敏感信息則不必征求同意,但應基于“民主程序”設定的公開透明隱私政策來保障透明性,因為它具有制定與執(zhí)行的強制性、程序上的公正性和高效性特點。為防止濫用用工管理權,宜確立比例原則的核心地位。最后,盡管本文的側重點在于彰顯勞動法路徑的制度價值,但不能就此認定私法路徑無關緊要,相反,未來應選擇私法、勞動法、個人信息保護法并重的綜合路徑來保護雇員個人信息。