1. 劳动者个人信息权
1.1. 劳动者个人信息权的定义
我国劳动法在保护劳动者财产利益方面表现出较强的关注,但在对劳动者人格利益的保护上则显得相对不足。目前关于劳动者人格利益的保护规则主要集中在隐私权的层面。然而,在信息生活边界不断扩大的背景之下,这种单一的隐私权概念已经难以完全涵盖劳动者的个人信息。那么仅仅依靠隐私权的私法路径来保护劳动者个人信息权益,显然是存在局限性的。《个人信息保护法》的实施虽然在某些方面上弥补了劳动者个人信息保护的不足,但由于劳动关系的特殊性,这部法律在劳动领域的适用性仍显得不足。因此,有必要从劳动法的角度深入研究劳动者个人信息权的问题,以更好地保障劳动者的人格利益。
“劳动者个人信息权可以定义为,劳动者对自己个人信息的自主决定权及排除他人不当干涉的权利”[1]。首先,劳动者个人信息权强调的不是对劳动者个人信息的自主控制而是自主决定。《个人信息保护法》第四章1明确指出,个人信息保护的主要目的是保障个人对信息的自主决定权,这显示了信息自决在个人信息权利体系中的核心地位。此外,现代社会中,个人信息往往并不完全掌握在劳动者手中,因此以物权的方式来界定劳动者个人信息保护权并不现实,劳动者本人做不到完全控制个人信息,而且让个人完全掌握个人信息也不利于社会的发展。其次,排除“不当”干涉有两个方面的考虑。第一,认可用人单位或行政管理部门可以基于合理的理由进行必要的干预,例如在劳动者求职过程中获取劳动者个人信息等。第二,“不当”的内涵不仅指的是不合法,还包括不合理。这从实际上来看是对劳动者权益的一种倾斜性保护,大大扩大了劳动者个人信息的保护范围。
1.2. 数字化时代对劳动者个人信息权保护的特殊性
1.2.1. 劳动者个人信息权与用人单位管理权之间的利益平衡
为保证用人单位有序运行,用人单位对劳动者行为进行管理规制是合理的。“企业为了提高效率,进行智能化管理,属于其基本权利,姑且不论雇主管理权的法理定位,无论是与生俱来,还是合同所附,该权利都为企业生产经营所不可或缺”[2]。可以见得,在这样的背景之下,用人单位对劳动者个人信息的管理是结合了新时代信息管理内容对劳动者本人管理的延伸。同时,用人单位在承担法定照顾义务与社会责任时(如缴纳社会保险等),必然需要处理劳动者的个人信息。《个人信息保护法》第十三条也明确指出了相应情况的例外条款。另一方面,作为信息主体的劳动者,自然应享有对个人信息的相关权益,并期望自己的信息不受非法侵害。《个人信息保护法》第2条也规定了:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”2。因此,两个法定权利之间的冲突反映了双方所代表利益在时代发展过程中的相互影响。这种关系并非单一的对立,而是合作与冲突交织的复杂局面。
1.2.2. 资强劳弱背景下,劳动者个人信息更易受到侵害
在劳动关系中,劳动者的个体人格常常处于用人单位之下,双方的地位显然不平等。在信息处理过程中,信息主体和信息处理者之间因科技能力的不同,形成了显著的力量差距。这一差距使得在用人单位处理劳动者个人信息时,劳动者的合法权益更容易受到侵害。具体而言,这种不平等可能导致现有个人信息保护法中知情同意原则的失效。“由于劳动关系的特殊性,劳动者事实上并没有自由意志决定是否同意,采用强化劳动者同意机制的立法模式,不仅未能起到应有的保护作用,反而会加剧劳动者与用人单位之间的信息不对等”[3]。
1.2.3. 数字化时代加剧劳动者个人信息被侵害的风险
伴随各种信息技术的广泛应用,劳动者个人信息被用人单位以更加多元化的方式获取,不再仅限于传统的用人工去监视。各种搜索引擎和监控工具的使用,使得用人单位能够获取更多劳动者不愿意透露的个人信息。其中一些隐蔽的监控措施甚至使劳动者难以察觉。当劳动者因个人隐私遭到侵犯而拒绝接受用人单位的监控措施时,若因解除劳动关系而进入法院,法庭在类似案件的判决中通常更多强调用人单位在使用设备时默认劳动者对个人信息权益没有预期,倾向支持用人单位的监控行为。结果就是,劳动者所提出的诉请往往得不到法律的支持。
2. 劳动者个人信息保护面临的困境
2.1. 知情同意原则的失灵
2.1.1. 用人单位没有尽到告知义务
用人单位选择不告知劳动者,部分用人单位选择利用那些与单位有着长期合作的劳动者对单位的依赖心理不去告知劳动者相关信息,选择跳过程序直接进行信息处理。
告知内容常常不够明确。在征得劳动者同意或签订合同时,用人单位应当向劳动者详细地说明信息收集和处理的相关情况。然而,用人单位往往使用模糊的语言描述信息处理的具体情况的方式去逃避相应的法律责任。或者是在告知劳动者时用一些免责条款减轻自己单位的责任。
用人单位以通知的替代告知。用人单位在争取劳动者同意时通常会用通知的形式去代替告知。虽只有一字之差,但二者区别很大:告知旨在获取同意,而用人单位采取通知形式时则不在乎劳动者是否同意,甚至用人单位在通知劳动者时压根就没想过为劳动者提供不同意选项。用人单位通知消费者一般只说要获取劳动者信息,而将这部分信息用作何处却并未告知。在这种情况下,往往是大多数人同意后,忽略了少数持不同意见的劳动者。许多劳动者因为从众心理或不愿意显得与众不同而选择同意。
2.1.2. 劳动者基于非真实意愿表示同意
在数字化时代,信息技术飞速发展,一些信息手段有了较高的门槛,所以在这样的背景之下即使用人单位向劳动者提供了关于技术手段的详细的解释,劳动者仍然有可能因为自身的文化程度较低或者是自身的理解能力不足的原因而做出错误的判断。具体情况可以分为几类:首先,劳动者对用人单位的信息收集和处理行为缺乏具体概念,难以意识到个人信息的保护需求;其次,即便了解到信息收集的细节,劳动者也可能无法基于这些信息作出有利的判断;最后,劳动者即便理解了信息处理的内容,预期的结果仍可能与现实情况不符。
在劳资关系不对等的情况下,用人单位常常迫使劳动者同意其信息处理条款。通过经济控制和组织管理,用人单位可能施加压力,例如以规定为借口施加威胁,甚至以辞退相逼,导致劳动者不得不妥协,以保护自己的工作和生活。这种情况下,劳动者的同意往往是基于对正常工作的考量,而非真实意愿。
2.2. 用人单位的管理权使其侵权难以认定
劳动关系的核心在于劳动者对用人单位的依赖。当用人单位将劳动者招聘进其组织中,理所当然地负责监督其工作时间、地点和方式,这种针对劳动者的组织管理有利于公司的有序发展,有其正当性。但是在管理过程中不可避免地会收集劳动者的个人信息。在这种情况下,如何区分用人单位的正常管理行为与对劳动者个人信息权益的侵犯变得复杂。在司法实践中,用人单位常常以合理的用工管理权为借口,使其获取劳动者个人信息的行为难以被认定为侵权。此外,界定用人单位的主观过错也是一个棘手的问题。在涉及侵犯隐私的劳动纠纷案件中,法院通常仅以用工管理目的的正当性作为判断依据,而对管理行为的方式、范围、手段,以及是否经过民主程序,或目的与手段的比例性等因素则缺乏深入审查。在修某、罗某塑料编织包装有限公司隐私纠纷一案3中,法院就认定用人单位并非是出于侵犯隐私权目的在劳动者的电脑里安装超级眼监控软件,而是企业的正常管理行为。最终判定该企业不用承担责任。
2.3. 个人信息权利适用困难
在一般情况下,个人信息权益的保护是在赋予劳动者相应的权利以及对信息处理者施加义务这种二元框架下进行的。但劳动者在劳动环境中常常面临运用个人信息权利的困境。这是因为在一个用人单位内,劳动者的信息往往是重叠的,彼此之间需要正常的工作沟通,这导致对某位劳动者信息的处理不可避免地影响到其他劳动者。为了在这样的情况下有效行使个人信息保护权,既要保障劳动者的个人信息,又不损害其他劳动者的合法权益,可以采取信息共享前的明确告知、数据最小化原则以及建立集体隐私保护标准等措施。
在劳动法领域,劳动者行使查阅权时可能面临一些障碍。这主要是由于劳动场景中,信息服务提供者与信息主体之间的关系与一般情况下的“单对单”不同,往往涉及其他劳动者的利益。例如,职场监控无法仅针对特定劳动者的工作情况进行拍摄,因此当劳动者请求查阅监控数据时,不可避免地会调取到其他劳动者的影像。出于对劳动者人格尊严的尊重,劳动监控通常是针对同一地点内的所有劳动者。在这种情况下,如果监控获取到某一劳动者的敏感信息,如银行密码,该劳动者可以合理要求用人单位删除相关监控数据。这是劳动者正常行使删除权的表现。然而,这一行为可能对其他劳动者产生影响,因为他们需要通过监控数据来证明自己在正常工作。如果该劳动者删除了相关监控后,其他劳动者在用工时长上可能与用人单位产生纠纷,这时无法通过监控还原事实真相,导致其他劳动者在获取证据时面临阻碍,进而侵害了他们的合法权益。
3. 对于完善劳动者个人信息保护的建议
3.1. 完善“知情同意”原则
“知情同意规则”是保障劳动者实现信息自决的基本前提,确保信息主体能够享有知情权和选择权,是判断信息处理行为合法性的重要标准。然而,在劳动关系中,由于劳动者通常处于从属地位,且在经济和信息处理能力上明显弱于用人单位,因此,劳动者是否真正同意用人单位处理个人信息,往往难以基于真实意愿作出决定。由于劳动领域中“同意”存在不真实性的现象,许多国家的立法趋势逐渐不再依赖劳动者的“同意”来界定用人单位处理个人信息是否合法,从而减少因“知情同意规则”失效所带来的负面影响。然而,笔者并不同意这一观点。原因在于,用人单位凭借对劳动者信息的支配,能够获取巨大的经济利益。因此,在保障劳动者信息权益的同时,必须避免对用人单位信息利益的过度侵害。“因此,我国应继续坚持利用与保护并重的立法原则,以优化‘知情同意’规则的适用程序为目标”[4]。
劳动者有效“同意”的前提是其对用人单位处理个人信息过程的充分“知情”。信息主体的知情权和选择权是构成“知情同意规则”的核心要素。在实际操作中,用人单位往往将收集到的个人信息应用于算法程序,通过数据分析进一步挖掘劳动者的更多隐私信息。“对此,用人单位必须向劳动者尽到全面的告知义务,除了要告知处理信息的全部内容和处理规则外,用人单位的‘告知’内容需要达到引起劳动者注意的程度,同时应包含对个人信息风险等重点事项的提示说明,从而充分保障劳动者的信息知情权”[5]。
关于如何确保劳动者“同意”有效性的问题,可以借鉴欧盟《第2/2017号关于工作中信息处理的意见》中的相关规定。该规定指出,只有在劳动者表示同意与否不会对其产生任何不利影响的情况下,才能视为该“同意”是劳动者基于自由意志作出的真实回应。“对此,我国可以借鉴欧盟立法的先进经验,制定劳动者‘同意’真实性的认定标准,保障‘知情同意’规则的有效运行”[6]。
3.2. 明确信息利用的具体条件
《个人信息保护法》中大量地运用了“必需”这一描述,力求在个人信息权益保护和信息利用之间达成平衡。如何界定“必需”就成为一个难题。应用目的原则可以对这个问题起到很好的指引作用。目的是否明确特定、是否合理、是否是劳动者个人信息权益最小的损害方式等角度来界定。它是一个依靠于具体语境的词汇。需要对不同场景中“必需”的范围做出明确界定,以此产生类型化的效果。明确在劳动关系中典型场景下,哪些信息获取处理行为是“必需”的范畴[3]。在立法层面,可以通过司法解释等方式,明确“必需”在各个典型场景下(如职场监控)的具体内涵和信息处理的具体条件。在司法层面,应遵循法治原则,实现“类案类判”,即对相似或相同情形作出一致的价值取向和判决方式。通过对各个典型场景下类似案件的判决结果趋同,可以有效宣示“必需”的范围和使用条件,从而明确信息处理行为的具体边界。
3.3. 拓宽主体适用范围
判断劳动者个人信息权益保护的主体范围,不应仅依赖于是否存在劳动关系或信息处理关系。相反,应从劳动者的实际保护需求出发,而非单纯依据法律关系进行分类。灵活就业方式的出现,使得“劳动者”这一广泛范畴内涌现出许多不具明确劳动关系的个体,比如平台经济从业者、兼职工和学徒工等,他们同样需要保护个人信息的权益。由于这些工作者的劳动关系难以确认,他们往往无法享受到劳动法的保护,从而使其权益面临更严重的损害。从求职阶段到劳动关系终止后,用人单位与劳动者之间的信息处理关系始终存在。例如,为了履行竞业限制而支付相关费用的用人单位,必须处理已离职劳动者的个人信息。这表明,即便在劳动关系结束后,个人信息的保护依然至关重要。
4. 结论
劳动关系的从属性质使得劳动者《个人信息保护法》中的知情同意原则在这一领域面临失效的风险。目前,我国采用隐私权与个人信息保护的二元框架,但这一框架未能有效保障劳动者的隐私。由于信息主体与信息处理者之间存在不平等,加上劳动关系的特性,导致劳动者在面对用人单位对个人信息的侵害时缺乏有效应对能力。劳动者个人信息保护不仅具有一般的个人信息保护价值,还能够促进劳动者的平等权、言论自由和工作权利。具体实施时,需从合法性、公正性、必要性和透明性出发,借助场景理论来评估用人单位的管理行为是否侵犯劳动者的个人信息权。同时,应在信息处理过程中平衡用人单位与劳动者之间的利益冲突,严格限制知情同意原则的适用,防止用人单位利用其优势地位强迫劳动者同意,从而加重对劳动者权利的侵害。
NOTES
1《个人信息保护法》第四十四条:个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
2《个人信息保护法》第二条:自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
3修玉婵、海阳市融昌塑编包装有限公司隐私权纠纷案,山东省烟台市中级人民法院(2019)鲁06民终7145号二审民事判决书:融昌公司在所有办公电脑上安装了超级眼电脑监控软件,当公司员工在工作期间使用电脑QQ、微信与客户联系业务时的记录都会保存于公司的服务器主机中,这是企业的自我管理行为,其目的是正当的,不具有窥探员工个人隐私的主观故意,因此并非违法行为。