1. 引言
近年来,聚焦劳动领域,用人单位侵害劳动者个人信息的事例层出不穷:随处可知的简历信息、采集员工人脸和指纹等生物信息、考勤方式的技术迭代、轨迹跟踪及职场监控等。这些侵害劳动者个人信息权益的事件引发了劳动者在工作状态下的强烈不安。但当前立法中,由于对劳动场景的把握不足,一些细化规定的具体条款的内容都十分不明确。而且资强劳弱的特殊地位及双方明显的从属性特征使得劳动者的知情同意面临着被架空的危机,现有的个人信息保护原则及规则在劳动领域难以实现其目的。而在司法实践中,由于知情权管理权界限的不明确,法官倾向于保护用人单位管理权,劳动者很难维权成功。面对劳动者个人信息权保护的现实困境,急需更为详尽的关于劳动者个人信息权保护的法律制度,探索建立劳动者的个人信息权保护制度恰当其时。
2. 劳动者个人信息权的司法裁判解读
2.1. 司法案例概览
通过“北大法宝”法律搜索引擎作为本次研究实证案例的来源,在司法案例检索的高级检索栏中输入“劳动者”“个人信息”检索项进行检索,分别以“人格权纠纷”“劳动争议、人事争议”为案由,围绕个人信息保护专题展开搜索,检索自2019年以来截止2023年9月5日审结的案子,搜索筛选出206个案例作为本次研究的样本范围。综合分析后,案例呈现出以下特点:
从地域分布上看,案件分布广泛,在众多省、自治区和直辖市均有涉及,其中案件数量最多的当属上海市、北京市、广东省,东部沿海发达城市占了大头。可见,可见发展水平较好的城市,劳动者对于自身个人信息保护的法律意识要更强烈;从法院层级和审理程序上看,裁判文书在我国各级法院中均有体现。从审理程序上看,二审和再审共90件占比44%,这一数字表明上诉率较高,当事人对一审判决认可程度较低且维权意识浓烈。而从终审结果上看,维持原判占比高达92%,可见一审判决的事实认定和法律适用基本还是正确的,二审改判并不多。
2.2. 劳动关系不同阶段具体案例分析
2.2.1. 劳动关系订立阶段
Table 1. Part of it involves relevant judicial precedents in the stage of concluding labor relations
表1. 部分涉及劳动关系订立阶段的相关司法判例
从案例(见表1)以及现实生活中可以知晓,用人单位知情权的行使范围十分广泛,缔约阶段获取的劳动者信息除了年龄、学历、技能等劳动者个人基本信息、还包括婚育状况、刑事犯罪记录与其他单位的劳动争议现状等劳动者个人较为敏感的信息。而从案例中可以发现,用人单位在劳动者隐瞒或虚构个人婚育状况、健康状况等较为敏感的信息的案件中胜诉率较低,而用人单位在劳动者隐瞒或虚构年龄、学历、技能、工作经历等个人基本信息的案件中胜诉率较高。从用人单位行使知情权的载体来看,大部分用人单位通过《入职登记表》《员工手册》等入职文件告知阐明劳动者的告知义务。当然也存在用人单位事先并未特此声明。
2.2.2. 劳动关系存续阶段
Table 2. Part of it involves relevant judicial precedents in the duration of labor relations
表2. 部分涉及劳动关系存续阶段的相关司法判例
从案例中可以看出(见表2),履约阶段中用人单位行使知情权及用工管理权的手段对劳动者的隐私和个人信息具有侵犯性,其往往出于提高管理效率、加强用工管理等原因,做出包括对在工作场所安装摄像头监视劳动者工作过程,对劳动者电脑手机的网络浏览记录、邮件、微信QQ等社交平台的记录等进行监控等行为。加之对健康信息、行踪轨迹的跟踪,都必然会导致对劳动者个人信息权的侵害。而劳动关系存续阶段,由于劳动者对用人单位具有隶属性,用人单位行使知情权及用工管理权的手段也就更加便利。裁判文书也多认为这些行为系用人单位行使公司管理权所必需,认可其行为的正当性,劳动者维权的胜诉率极低。
2.2.3. 劳动关系终止阶段
Table 3. Part of it involves relevant judicial precedents in the termination stage of labor relations
表3. 部分涉及劳动关系终止阶段的相关司法判例
离职员工的此类案件在样本中的占比较小,但劳动者个人信息权在此阶段受到侵害的行为也不容忽视。实践中(见表3),劳动者个人信息权在此阶段受到侵害的情形主要表现为用人单位在劳动者离职后,依然留存劳动者的个人信息,更有甚者将劳动者的个人信息进行商业化利用泄露、出售,给劳动者造成困扰。或是基于私人原因打击报复将劳动者的信息进行恶意抹黑放入“职场黑名单”,劳动者寻找新工作时又不可避免地接受新公司的背景调查,如此种种用人单位对劳动者留存的个人信息进行不当披露的行为均侵犯了劳动者的个人信息权。
3. 劳动者个人信息权保护的困境分析
3.1. 新业态下部分适用主体被排除
纵观司法实践的案例可以发现,新业态从业者该群体鲜少放置在劳动领域进行探讨。平台经济近年来发展迅猛,目前有数以千万计的外卖员、网约车司机等灵活职业者依托互联网平台就业。传统劳动用工关系仅存在用人单位与劳动者两方主体,而在新业态下,新业态从业者并不具有传统劳动法所规定的劳动者的身份,从形式上看,其不具备劳动合同、工伤保险等劳动关系的基本要素。从管理模式上看,平台经营者也仅仅是为新业态从业者与实际的劳动需求方搭建平台。平台经营者对劳动过程的控制也与传统的劳动管理有所不同。相较于传统劳动关系,平台经营者把其对劳动过程的相关权利转移给了实际的劳动需求方,由劳动需求方通过线上下单、事后评价等形式对新业态从业者的劳动过程进行参与,因此平台经营者对新业态从业者的掌控呈现弱化之势 [1] 。因此,当前平台经营者与新业态从业者之间的法律关系定性争议很大,也由此导致了上述群体极容易被排除在法律规定适用范围之外。
3.2. 告知同意规则的架空
告知同意规则在平台经营者和消费者之间的适用系“经营者告知——消费者同意”机制,虽然消费者与劳动者一定程度上都具有弱势群体的特质,但二者面临着截然不同的处境。消费者是基于平等主体与经营者订立合同,其交换意志自由且真实,即便在知识储备、经济实力和诉讼能力等方面不敌经营者,但基于私法规范缔结合同的自由意志,其选择性要更大。相比之下,在劳动关系中知情的实现高度依赖用人单位告知义务的落实,同时劳动者对信息技术消化能力也很受限,因此基于劳资双方在认知上的非对称性关系所谓的充分知情难以保证 [2] 。加之用人单位在信息处理过程中经常忽视劳动者的知情权,告知同意规则中的告知环节缺失。而劳动者受劳动关系的从属性限制,依赖用人单位给予工作机会和给付劳动报酬,选择性十分有限。加之劳动关系阶段持续性长,不像一次性的消费合同关系那般无需瞻前顾后,所以劳动者享有的合同自由并不充分,始终面临着不可预知的信息处理风险。因此,困囿于告知义务的虚化和劳动者自身的认知障碍及现实因素考量所导致的劳动者的知情有效性存疑,以消费者等一般主体为适用对象的告知同意规则无法切实贴合劳动者。
3.3. 用人单位知情权及用工管理权的界限模糊
通过深入研究国内立法,不难发现,国内有关劳动者个人信息权的范围即用人单位知情权、用工管理权的边界界定的特别条款缺少细化规定。《个人信息保护法》第13条第1款规定了信息处理者可以处理个人信息的情形,劳动者个人信息的处理情形主要为该款规定的前两项。该款第二项可被称为劳动者同意的替代性适用 [3] ,但该规定的具体细化规定不明,有诸多不清之处。劳动领域方面,《劳动合同法》等条款涉及用人单位权限范围的规定条款内容同样比较模糊。地方性法规中各省份规定倒是有具体的相关界定,但是各省、市相关规定条例中的内容却并不完全一致,对于与劳动合同直接相关的个人信息范围界定不一。
签订劳动合同是双方相互选择、协商的重要程序,用人单位需凭借劳动者的特定信息来确定劳动合同签订的必要性,预判劳动合同的履行效果 [4] 。《个人信息保护法》第13条并未对合同所必需的界限作出具体规定和解释。《劳动合同法》第8条也是如此。用人单位从自身的用工管理和经济效益出发,招用时必然要了解劳动者的年龄、性别、工作经历、职业技能等信息,但有的用人单位为了择优录用,大肆收集与工作岗位不相干的信息,如婚姻生育状况、特殊的身体健康信息等等,进而滥用知情权。对于“直接相关”如何界定,条款中并没有作出进一步明确的指向。倒是各省市关于劳动合同的规定或条例中都对“直接相关”的情况予以罗列,但各地标准不一致,且都在条文的末尾运用了“等”字兜底,遵循了“半封闭性”的原则 [5] 。然而,在司法审判中,如何判断未明确列入的信息类型仍是一个难题。健康信息、婚姻信息是否可被作为基本信息收集,只能依据反就业歧视和妇女权益保障的相关法律规定来考量,但实际执行效果却十分有限。
4. 劳动者个人信息权保护的完善建议
4.1. 新业态从业者的适用覆盖
作为劳动基准的个人信息保护机制不应极其死板地以存在劳动关系为适用前提,而应该扩大范围,吸收域外法经验,采取功能性定位。德国立法者在《联邦数据保护法》第26条第8款中表明,该法意义上的雇员不仅包括劳动者,还包括学徒工、类雇员、公务员等群体;不仅适用于劳动关系存续期间,也应适用于劳动合同缔约前及结束后的相关个人信息处理。能看出其保护类雇员的意义重大。当前,平台经济的从业者是否属于劳动者目前仍有较大争议,但是他们基本都对平台有经济从属性,需要倾斜保护,因此至少能够认定为类雇员,平台用工每天都在发生大量从业者个人信息处理,急需相关条款的调整。这类人员在个人信息保护的需求上和劳动者并无本质区别,与用工主体之间同样存在着持续不平等的信息处理的关系。就平台从业人员的基本劳动权益保护,人社部等2021年7月16日发布的《关于维护新就业形态劳动者劳动保障权益的指导意见》已经做出了表率,对物质层面进行了明确保障,将来新业态劳动者权益保障也应该包含个人信息保护。林嘉教授在介绍《劳动基准法》专家建议稿的内容和亮点中也提到了,在适用范围上,除涵盖《劳动法》和《劳动合同法》规定的适用范围,也包括各类具有保护必要的灵活就业人员,以适用新业态的发展,保障新业态从业者的劳动权益。
4.2. 告知同意规则的重塑
鉴于劳动者与用人单位实质上的不平等关系,很多国家和地区的法律指引都质疑了告知同意原则的有效性并作出了限制,例如欧盟第29工作组指出:对于大多数员工数据处理案例,处理的法律基础不能也不应该是员工的同意。在资强劳弱的劳动领域,由于信息技术和劳动关系从属性的压制,劳动者处于弱势地位,劳动者的知情同意自由被忽视甚至威胁,该原则一度被架空流于形式。结合案例分析来看,该规则的失灵主要体现在两方面:① 作为负有告知义务的用人单位往往忽视告知的义务;② 作为同意一方的劳动者作出的同意用人单位处理自己信息的意思表示并不真实。因此,域外如欧盟GDPR就对该原则在信息处理过程中的适用进行了严格的限制。欧盟在劳动法领域,系通过保障劳动者同意意思表示真实性来限制知情同意规则。我国劳动基准法立法可以借鉴此经验,通过对用人单位知情权加以限制来对劳动者真实意思表示加以保障。同时,从客观理性层面,规定原则上只有在劳动者能够获得法律上、经济上的好处时,或用人单位与劳动者利益诉求一致时,可以基于劳动者的同意处理其个人信息。即使劳动者的同意是充分知情、自愿且明确的,为用人单位基于劳动者的同意处理其个人信息依然要受到正当必要原则的限制。对信息处理的目的进行审查以确保信息处理行为的正当性,深刻遵循比例原则的适用以确保信息处理行为的必要性和合理性。
4.3. 厘定用人单位的权限范围
用人单位的知情权及用工管理权的扩张在劳动关系存续的三个阶段均有体现。对此,域外德国等发达国家的做法,是通过明确敏感信息的界定,限制用人单位权限范围。而且,欧盟明确了用人单位不得处理劳动者的敏感信息。我国相关法规可以参考欧盟的做法,通过制定法律规范禁止获取劳动者此类敏感信息。且在劳动者离职阶段也禁止用人单位通过利用劳动者在职时获取到的敏感信息侵犯劳动者合法权益。这里可以参考刑事上的非法证据排除规则,建立应用非法信息证据排除规则。
同时,立法者也意识到了该路径被滥用的可能性,所以尝试用集体层面职工利益代表的制衡来弥补不足。单对于集体合同,德国《联邦数据保护法》第26条第1款所规定的数据处理合法性基础是以德国强大的集体协商、劳资共决机制作为支撑的 [6] 。由于我国基层工会在组建、选任人员等方面往往依赖于资方,难以真正成为劳动者集体利益代表,且各地集体协商大多以行政化手段推行,存在严重指标化、数字化和形式化的问题 [7] 。实践中我国集体合同大多为用人单位与基层工会签订,基层集体合同难以使劳动者摆脱不利地位,即使达成了形式上的合意,也难说真正意义上充分实现了劳动者同意,所以应当注重通过正当性、必要性的实质审查保障劳动者信息权益。对于劳动规章制度,在规章制度决策机制为单决制的前提下,依法制定的劳动规章制度显然难以保证是由劳动者集体合意而达成的。虽然法律要求需经民主协商程序制定,但最后往往是由用人单位拍板决定,且部分裁审意见甚至并不否定未经民主程序的规章制度的效力。在规章制度的决策程序和民主程序两个层面上,难以在法定机制上落实对信息处理同意与否的集体合意。因此,我国可以通过规定法院应当对规章制度进行实质性审查,以民主程序存在瑕疵作为制定程序不合理的理由予以排除,进而做到对劳动者个人信息权益的实质性保障。