职场个人信息处理的规制重点——基于劳动关系的不同阶段
作者:谢增毅,中国社会科学院法学研究所研究员、副所长
来源:《法学》
内容摘要:劳动者个人信息保护是劳动法和个人信息保护法的重要内容。劳动者个人信息处理主要存在于求职招聘、劳动关系存续期间及劳动关系终止后三个阶段。在求职招聘阶段,雇主收集的求职者信息应与工作相关,不得过度处理,尤其是对医疗信息和前科信息处理应受到严格限制。在劳动关系存续期间,雇主享有对雇员的监督和管理权,但雇主处理劳动者个人信息应具有合法性基础,信息处理的范围和方式也应适当。职场监控应限于雇主具有重大、明显利益之场合,不应作为监督雇员工作表现的一般手段。对雇员信息的自动化处理也应受到个人信息处理一般原则的限制。在劳动关系终止后,雇主仍应遵守个人信息处理的一般原则,在合理期间内保管好前雇员信息,不得随意向第三方披露。劳动关系不同阶段雇员个人信息保护应尊重劳动关系的特点,在维护雇主利益和雇员权利之间寻求平衡,这需要劳动法和个人信息保护法的相互配合。
关键词:劳动者;劳动关系;个人信息;职场监控;欧盟《通用数据保护条例》
近年来,个人信息保护成为学界热议话题,但对职场领域劳动者个人信息保护的研究还相当薄弱。现实中,劳动者隐私或个人信息容易遭受侵害。实践中,我国有关劳动者隐私或个人信息纠纷亦经常发生,包括雇主在招录过程中因体检或其他信息处理导致求职者和雇员发生争议、雇主对劳动者人身或物品的搜查、雇主对劳动者和工作场所的监控、雇主在劳动者离职后信息处理不当,等等。在国外,职场个人信息保护问题同样广受关注。例如,在加拿大,近年来隐私监管机构审查了职场涉及雇员隐私的行为,包括扣押雇佣记录、收集医疗信息、背景调查、向第三方披露个人信息、未经授权使用个人信息、使用生物识别信息、视频监控、定位技术(GPS)等。在美国,根据调查,2014 年公司管理人员常规性阅读雇员邮件或检查雇员个人电脑文件的比例达到 43%;2017 年大约 70% 的人力资源管理人员承认使用社交媒体筛查求职人员。随着技术的发展,劳动者个人信息保护面临更大挑战,因此,如何保护劳动者个人信息成为个人信息保护法和劳动法的重要话题,加强劳动者个人信息的保护殊为必要。
我国《民法典》在总则和人格权编中规定了隐私权和个人信息保护的内容,确立了隐私权和个人信息保护的一般规则。2021 年8 月首部个人信息保护方面的专门法律《个人信息保护法》通过。但是,我国 1994 年制定的《劳动法》中并无涉及劳动者隐私和个人信息保护的条款。2007 年出台的《劳动合同法》仅在第 8 条有关合同订立时劳动者的说明义务中涉及劳动者隐私和个人信息保护。因此,我国有关劳动者个人信息保护的立法规定亟待完善。基于此,本文将围绕劳动关系的特殊性及其不同运行阶段,分析用人单位处理劳动者个人信息的规制重点,以期进一步完善我国劳动者个人信息保护制度。
一、劳动者个人信息处理的一般原则
作为个人信息保护的特定领域,劳动者个人信息保护自然应适用个人信息保护的一般原则和规则。具有广泛影响的欧盟 2016 年《保护自然人有关个人数据处理及该种数据自由流动的条例》(以下简称欧盟《通用数据保护条例》)第 88 条规定了雇佣背景下的信息处理(Processing in the context of employment)的一般规则。欧盟数据保护和隐私咨询机构——“29 条数据保护工作组(Article 29 Data Protection Working Party)”(以下简称“欧盟数据保护工作组”)2001 年发布的《雇佣背景下处理个人信息的意见》也明确指出,“欧共体 1995 年《保护个人有关个人数据处理及该种数据自由流动的指令》(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)充分、全面适用于(applies fully and comprehensively)工人的个人数据。”一些国家和地区的数据保护法或个人信息保护法也规定了劳动者个人信息处理的一般规则,例如,德国《联邦数据法》第26 条规定了涉及雇佣目的的数据处理。日本和我国台湾地区则在个人信息保护的一般立法中明确了个人信息保护一般立法适用于劳动者个人信息保护。在日本,关于《个人资讯保护法》的适用涉及雇用管理的个人资讯属于该法规定的“个人资讯”。在我国台湾地区,劳工的个人资料乃受“个人资料保护法”的保护。因此,雇主处理雇员的个人信息必须遵守个人信息保护法确立的信息处理一般原则。我国《民法典》第 1035 条规定,处理个人信息应当遵循合法、正当、必要原则,不得过度处理,并应符合个人同意等条件。欧盟《通用数据保护条例》确立了个人信息处理的 7 项原则,即合法、公正和透明,目的限制,数据最少化,准确,存储限制,完整和保密,负责,这些原则对于雇主处理雇员个人信息同样适用。
关于劳动者个人信息处理的原则,鲜有对其进行归纳。“欧盟数据保护工作组”2001 年发布的《雇佣背景下处理个人信息的意见》提出了劳动关系领域个人信息处理的 7 项基本原则。具体包括:(1)确定性(finality)原则。信息收集应有特定、明确和合法的目的,处理信息不得超出目的;(2)透明原则。工人应该知晓信息处理的内容和目的;(3)合法性原则。工人个人信息处理应具有合法性(legitimate);(4)合乎比例原则。个人信息必须适当、相关并不得超出目的的限制。即使工人已知情,信息处理也应具有合法性和合乎比例,信息处理对工人而言仍须是公正的;(5)数据准确和保留原则;(6)安全原则。雇主应采取适当技术和组织措施确保信息安全保管;(7)职员意识原则。负责信息处理的职员以及其他工人应知晓数据保护知识,并接受适当培训。这些原则和欧盟《通用数据保护条例》规定的原则是基本一致的。
同时,关注劳动者个人信息保护的特殊性。职场个人信息保护存在特殊背景,雇主和雇员存在劳动关系,为了确保雇员履行劳务给付等义务,雇主具有指挥、命令和监督雇员的权利,这些行为可能涉及雇员的个人信息,并侵害雇员隐私和个人信息权利。因此,雇主法律上的正当利益与其采取的措施对雇员隐私和个人信息的影响程度是否符合比例,雇主正当利益和雇员隐私权利之间的平衡,便成为职场个人信息保护的一个核心问题。对此,许多国家都将比例原则,即雇主正当利益和雇员权利受到侵扰的程度合乎比例,平衡雇主正当利益与雇员隐私和个人信息权利,作为职场个人信息保护的一项重要原则。例如,德国学者指出,不管技术如何发展,劳动关系中数据保护领域的根本冲突并未改变:如何平衡雇员的隐私需求和雇主的重要利益,这一冲突是所有数据保护问题的核心。因此,确保不同原则之间符合比例对于劳动法领域数据保护立法的解释至关重要(paramount importance),不管是欧洲法还是国内法均是如此。故此,比例原则成为雇主处理个人信息需要遵守的核心原则,并指导劳动者个人信息处理的具体规则。
从劳动关系的理论和实践看,雇主处理劳动者或求职者的个人信息主要发生在求职招聘、劳动关系存续期间及劳动关系终止后三个阶段。欧盟《通用数据保护条例》第 88 条第 1 款规定,成员国可通过法律或集体协议为确保劳动关系背景下雇员个人信息处理中的权利和自由保护提供更为具体的规则,尤其是基于下列目的:(1)招聘;(2)劳动合同的履行,包括履行法律或集体协议规定的义务、工作的管理、计划和组织,职场平等和多样性,工作中的卫生与安全,雇主或客户财产的保护,以及为了行使或享受与雇佣相关的个人或集体的权利或福利;(3)劳动关系的终止。该条款指明了雇员个人信息处理和保护涉及的主要环节或领域。德国《联邦数据法》第 26 条第 1 款规定,为与雇佣相关的目的, 可以处理雇员的个人数据,包括为了雇用决定、雇用后履行劳动合同及终止劳动关系,以及为了行使或履行法律、集体协议或者雇主和职工委员会(staff council)达成的雇员代表的权利义务。可见,在劳动关系场合,信息处理主要发生在求职招聘、劳动关系存续期间、劳动关系终止后三个阶段。
下文逐一分析这三个阶段雇主处理雇员个人信息的行为规制及劳动者个人信息保护的规制重点。
二、求职招聘阶段的个人信息处理
(一)求职招聘阶段个人信息处理的一般规则
求职招聘阶段涉及求职者提供信息和雇主询问雇员等信息处理。由于雇主和雇员之间的劳动关系是持续、稳定且具有人身信赖性质的关系,所以雇主需要充分了解求职者的相关信息,而且信息越充分越有利于其作出适当决定,因此在求职和招聘阶段,雇主具有处理信息的正当性。但是,若雇主处理的信息范围过宽,则可能使雇主基于法律所禁止的事由或其他事由,歧视甚至拒绝录用求职者,从而损害求职者的平等就业权或其他权利。所以,设立劳动者求职阶段的信息处理规则十分重要。
根据个人信息处理的一般原则和比例原则,总体上,在求职招聘阶段,雇主仅可以收集与工作相关的信息。例如,在德国,法院限制雇主询问问题的权利已有数十载。按照法理,雇主在面试中只可询问其具有合法利益知晓答案的问题。如果雇主询问了其无权询问的问题,申请人可不如实回答,并且不用担心日后因此原因被解雇。根据数据保护法,如果信息处理是必要的(necessary),雇主可以处理。通常雇主不被允许询问雇员与劳动关系无关的问题,如家庭结构、婚姻状态、信用信息、诉讼经历、俱乐部会员身份等。在法国,在求职阶段,根据《劳动法典》第 1221-6 条的规定,对于雇主和雇员,核心的问题是评估信息是否与工作相关(relevant)。在日本,劳动行政机关通常提示雇主,除非有特别的职业上的必要性或其他为达成业务目的所必要而应表明收集之目的且自本人收集外,一般不应收集求职者的下列信息:(1)可能导致歧视的事项,包括民族、种族、社会地位、出身、家庭登记地址、出生地及其他导致社会歧视的事项;(2)思想或信仰;(3)加入工会情况。在波兰,其《劳动法典》明确列举了雇主原则上可向求职者获取的 6 项信息,即姓名、出生日期、联系方式、教育背景、职业经历(professional experience)和工作经历(employment history),除此之外,雇主获取其他信息必须是为行使法律规定的权利或者履行法律规定的义务所必需。相形之下,我国台湾地区的规定则相对详细,一方面对求职过程中的隐私信息范围作了具体的规定,另一方面规定雇主处理的信息范围限于“就业所需”,同时规定了雇主处理信息的原则。详言之,“就业服务法”(2012 年)新增第 5 条第 2 项第 2 款,规定雇主招募或雇用员工,不得“要求提供非属就业所需之隐私资料”。根据该法施行细则第 1 条之 1 第 1 项的规定,隐私资料包括下列类别:“(一)生理资讯:基因检测、药物测试、医疗测试、HIV 检测、智力测验或指纹等。(二)心理资讯:心理测验、诚实测试或测谎等。(三)个人生活资讯:信用记录、犯罪记录、怀孕计划或背景调查等。”而同条第 2 项规定:“雇主要求求职人或员工提供隐私资料,应尊重当事人之权益,不得逾越基于经济上需求或维护公共利益等特定目的之必要范围,并应与目的间具有正当合理之关联。”当然何为“属就业所需”仍具有较大的弹性,需作个案判断,实务上的效果同样存疑。如有学者认为,对于劳工在缔结劳动契约时的虚伪陈述,实务“多以信赖关系之破坏作为判断雇主终止契约的法理根据,而均未注意到对于劳工隐私权的保障以及雇主的询问权界限问题”。总体上看,除了少数国家和地区对求职阶段的个人信息处理作了明确规定外,大部分国家和地区遵循的原则是信息处理必须与工作相关,且应遵循信息处理的一般原则,但是何为“与工作相关”仍存在较大的弹性空间和不确定性。由于不同类型雇主、不同职业、不同岗位对求职者的要求不同,相应地,雇主的知情权也有差异,所以在立法上很难清晰地列举雇主信息处理的范围,只能提炼出一般原则和相对具体的规则。
关于求职阶段的信息处理,从我国《劳动合同法》第 8 条“用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明”的规定可知,用人单位有权了解的信息仅包括“劳动者与劳动合同直接相关的基本情况”。至于该如何理解这一规定并没有详细的规则。尽管 2007 年人社部《就业服务与就业管理规定》(2018 年修订)第 7 条明确了求职者应当提供的信息范围,即“劳动者求职时,应当如实向公共就业服务机构或职业中介机构、用人单位提供个人基本情况以及与应聘岗位直接相关的知识技能、工作经历、就业现状等情况,并出示相关证明”,但是弹性依然较大。对于此类问题在我国的司法实务中同样存在争议。例如,在“广州某网络科技有限公司、林某劳动争议案”中,劳动者在求职过程中隐瞒了已婚事实,在《新员工入职申请表》中填写“未婚”,公司知晓后,以劳动者欺诈为由,与其解除了劳动合同,劳动者不服提起诉讼。二审法院指出“劳动者的告知义务是附条件的,只有在用人单位要求了解的是劳动者与劳动合同直接相关的基本情况时,劳动者才有如实说明的义务。劳动者与劳动合同直接相关的基本情况一般应包括健康状况、知识技能、文化程度、工作技能、工作经历、职业资格等”,“劳动者对于那些与工作无关且侵害个人隐私权的问题,有权拒绝说明。对于与劳动合同没有直接联系的信息,劳动者即使未如实说明,也不能认定为构成欺诈”。该判决的价值取向具有较大的指导意义,也是对《劳动合同法》第8 条规定的细化,值得肯定。根据该判决,雇主在求职阶段向雇员收集的信息应限于目的范围和必要限度内,若缺乏正当利益和合法理由,不得收集类似婚姻状况等个人信息,对于不相关的问题,个人可拒绝回答或不如实回答。德国联邦劳动法院在一系列判决中也确认,雇员有权对雇主的非法提问给予不实的回答。由于我国实践中雇主和雇员在求职招聘阶段个人信息保护意识较为薄弱,雇主在招聘过程中经常在求职申请表等载体中要求求职者提供多种信息,许多信息明显涉及个人隐私而与工作无关。为了指导用人单位的个人信息实践并为裁判机构提供裁判标准,可借鉴波兰等国家和地区的做法,从立法上进一步明确劳动者求职阶段雇主可处理的个人信息范围。
(二)医疗健康和犯罪刑罚记录等敏感信息的处理
医疗健康、犯罪刑罚一般被认为是个人的敏感信息或特殊类型的个人信息,应给予特殊保护。欧盟《通用数据保护条例》第 9 条将健康信息(data concerning health)作为特殊类型的个人信息进行了特殊规定,第 10 条也专门针对刑事处罚和犯罪(criminal convictions and offences)的个人信息处理作出了规定。反观我国,实务中有关入职体检和刑事犯罪记录的劳动者个人信息问题经常引发争议。例如,在“王某与西安某物业管理有限责任公司劳动争议上诉案”中,双方就用人单位是否因乙肝体检侵犯其就业平等权和隐私权引发争议。求职者因是乙肝病毒携带者而遭到歧视并被拒绝录用的现象,是我国长期存在的顽疾。为此,有关部门通过部门规章的方式,从规范体检行为入手来防止就业歧视。2010 年,人社部、教育部、原卫生部等部门出台《关于进一步规范入学和就业体检项目维护乙肝表面抗原携带者入学和就业权利的通知》(人社部发〔2010〕12 号)等文件,要求用人单位在招用工过程中,除了国家法律、行政法规和原卫生部规定禁止从事的工作外,不得强行将乙肝病毒血清学指标作为体检标准。基于个人信息保护的视角,用人单位不得通过体检过度收集劳动者的健康信息, 除非雇主具有合法的正当目的,如雇员从事特定职业,对健康具有特殊要求等。据此,原则上除了法律法规规定,或者岗位确有需要外,雇主不得强制劳动者体检并获取体检信息,体检范围和信息处理不得超过必要限度,这也是许多国家的做法。在美国,医疗信息(medical records)具有敏感性质,法院认为,医疗信息通常属于个人信息,但若医疗信息与雇员工作直接相关,雇主可以获取。在匈牙利,其《劳动法典》(2019 年修订)第 10 条规定,当劳动法规(employment regulations)有规定,或者为了行使劳动法规规定的权利或履行义务所必需时,雇员可以被要求健康体检(fitness test)。可见,对体检和健康信息的处理是受到严格限制的。
前科报告制度也是近年来被关注的问题。在“福州市某物业管理有限公司、陈某劳动合同纠纷案” 中,双方就求职者是否隐瞒刑事处罚记录发生争议。法院认为,“《中华人民共和国刑法》第一百条规定的前科报告制度关键在于如实报告而非主动报告”,求职者在未被询问的情况下没有主动说明前科并不构成隐瞒和欺诈,这一立场值得肯定。这涉及雇主在何种情况下可以收集求职者的前科信息,因为前科信息涉及求职者和劳动者的隐私权和平等就业权。关于刑事处罚和犯罪的个人信息处理,欧盟《通用数据保护条例》第 10 条作了一般规定,即关于刑事处罚和犯罪的信息处理应在官方机构控制下或者根据关于适当保护数据主体的权利和自由的欧盟或成员国的法律而实施。可见,处理刑罚和犯罪信息是受到严格规制的。具体到劳动关系,应当合理权衡具有前科的求职者隐私权、就业权与用人单位知情权和合法利益。对求职者犯罪和刑罚信息的收集应考虑用人单位的性质和岗位要求,除非雇主具有法定或正当事由,否则雇员在求职招聘过程中没有报告自己全部犯罪记录的义务,雇主也无权收集雇员的全部犯罪记录。在德国,雇主可以询问求职者有关犯罪记录的信息,但仅限于处理可能影响求职者接受工作以及适当履行工作的信息,例如,金融机构可以询问申请人是否有和商业相关的犯罪记录(比如,欺诈、洗钱等),但不可询问诸如醉驾的犯罪等。
关于前科报告义务,有学者主张,对于我国《刑法》第 100 条劳动者前科报告义务的范围及其法律效力应在公民就业权与用人单位知情权之间保持平衡。劳动者仅对与录用条件、工作内容直接相关的受刑罚处罚记录有报告义务。用人单位不能仅以劳动者具有前科而拒绝录用。对此观点笔者予以赞同。用人单位只有在因特定岗位所必需时,才有权知晓求职者的相关犯罪和刑罚记录,并可因此拒绝录用。当然,何为“前科信息为特定岗位所必需”,需要依赖法律法规的明文规定及犯罪刑罚信息处理的一般原则。一些法律法规对特定岗位的任职资格有明确要求,如《公司法》第 146 条对公司高管任职条件的规定,《未成年人保护法》第 62 条对密切接触未成年人的单位招聘工作人员条件的规定等,除了法律法规明文规定外,应通过立法对求职者的犯罪和刑罚信息处理作出一般规定。
实务中,许多雇主在招聘广告中要求求职者无任何犯罪记录的做法从个人信息保护和公民就业权角度而言值得商榷。就业是公民的一项基本权利,用人单位将无犯罪记录作为一般岗位的录用条件未免过于苛刻,将严重影响公民的就业权,因此,用人单位随意限制有前科人员的就业资格应受到法律限制。在德国,虽然雇主是否可以询问求职者犯罪前科法律上还没有明确答案,但是联邦宪法法院已经认可了帮助有犯罪前科的人重返社会的宪法价值,在 20 世纪 50 年代联邦劳动法院就形成了以下观点:雇主只能就在招聘的工作岗位上可能重犯的“相关犯罪前科”提问,所有其他犯罪前科,雇主不得询问。
在我国,在法律法规层面对有关体检和犯罪刑罚记录的个人信息处理作出具体规定亦有必要, 这不仅关涉劳动者的个人信息权利,更关涉就业的基本权利。诚如德国著名劳动法专家多伊普勒教授所言,不能仅在求职者的“隐私保护”和雇主的合理人事安排之间进行利益衡量,还需要考虑社会福利国家及立法者在针对特定人群的保护法中表现出来的价值判断。换言之,对医疗健康和犯罪刑罚的信息处理不仅关涉个人信息,也关涉法律所追求的平等,以及对特定人群的特殊保护等立法价值。虽然我国《个人信息保护法》第二章第二节规定了“敏感个人信息的处理规则”,但劳动关系领域有关医疗健康、犯罪前科信息的处理规则还须不断探索。
三、劳动关系存续期间的个人信息处理
(一)劳动关系存续期间个人信息处理的一般原则
在劳动关系存续期间,雇主可能出于各种目的对雇员实施指挥管理,从而涉及劳动者的个人信息。雇主为了维护财产利益,如为了防止财产被盗或遭破坏,可能实施监控;为了维护职场纪律,保证员工遵守法定义务或企业规章制度,如防止雇员从事与工作无关的个人行为或其他不当行为等,可能对雇员工作过程进行监控,包括实施电子监控;为了履行法定义务,保护雇员利益而处理信息,如雇主对具有一定工作危险性的雇员实行监控或定位。上述处理个人信息的雇主行为可能侵害雇员的个人信息权利。尽管雇主具有合理考虑,“但对雇员隐私的侵入也会损害雇员士气(employee morale)和劳动关系”。因此,雇主的正当利益和诉求与雇员的隐私和个人信息权利存在冲突,需要协调和平衡。总体上看,在劳动关系存续期间,雇主信息处理行为应根据个人信息处理的一般原则及比例原则,明确雇主合法利益及对雇员隐私权利影响程度,从而确定雇主个人信息处理行为是否具有合法性基础, 雇主信息处理行为的范围和方式也应适当。
近年来,我国劳动关系存续期间因个人信息处理发生争议的案件不在少数,尤其是因职场监控引发纠纷的案件数量较多。从职场监控典型案件看,员工败诉、法院支持用人单位采取监控措施的比例较高。例如,在“吴某与深圳市某科技有限公司劳动合同纠纷案”中,因员工连续一周在工作时间内大量从事与工作无关的事,且故意摆放杂物遮挡监控,法院支持了单位的解雇行为。在“阴某与某(无锡)轴承有限公司经济补偿金纠纷案”中,员工违反规章制度在禁止吸烟的更衣室吸烟,公司进入吸烟室对其吸烟行为进行拍摄取证,员工被解雇,单位的解雇行为获得了法院支持。在“熊某与武汉某贸易有限公司劳动合同纠纷案”中,公司办事处设在居民小区,为一室一厅及厨卫仓库,摄像头安装在客厅。员工对于公司安装摄像头且要求 24 小时运行无法接受而选择离职。法院认为,该办事处的工作区域和休息区域存在混同,公司在客厅安装摄像头,可对工作区域进行监督,存在必要性。在“高某诉某(中国)投资有限公司武汉分公司、某(中国)投资有限公司劳动争议纠纷案”中,员工多次未按照公司要求提交工作日报,被公司解雇,法院支持了公司的解雇行为。对于原告提出的公司对员工的工作电脑不得进行监控的主张,法院认为,公司监控的电脑系单位工作电脑,工作电脑显然应当用于公司工作,因此公司对单位工作电脑进行监控并无不当。
实务中亦有法院关注到用人单位管理权和劳动者隐私权之间的冲突平衡问题。例如,在“张某与深圳市某小额贷款有限公司纠纷案”中,一审法院认为,在工作区域这种特殊场所,劳动者需要承担更高的行为注意义务。在工作地点安装摄像头进行监控,可以在公司的财产权、劳动者的财产权和人身权的安保上发挥作用,预防和打击犯罪行为。基于此,公司安装摄像头的行为有其合理性。法院同时指出,虽支持公司安装摄像头的行为,但摄像头监控的时间和空间范围必须要有严格的内控制度,内容的提取和使用应当依照一定的规程,不得违反法律、行政法规的相关规定,这是用人单位为自身利益安装摄像头实现监管目的的同时保护劳动者隐私权的应有之义。二审法院认为,公司在办公室安装监控摄像头,安装区域是多人工作的公共场所,公司行为明显符合一般公司行使用人单位监管权的合理行为,并无不妥。尽管法官已注意到公司监控和劳动者隐私权之间的冲突平衡问题,但认为监控行为明显属于公司行使用人单位监管权的合理行为的理由却值得商榷。
总体上看,我国法院对职场监控采取了较为宽松的态度,较多考虑单位的用工管理权,从便于公司监督或保护公司财产利益的角度,支持单位采取包括监控在内的监督管理措施,并经常以劳动者违纪为由支持用人单位的解雇行为,较少关注劳动者的隐私或个人信息权利,较少权衡用人单位合法利益和劳动者隐私权利的大小,对单位采取监控方式的合法性和合理性未给予足够重视。值得关注的是,我国《个人信息保护法》第 13 条将“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为个人信息处理者处理个人信息的合法性基础之一。从条文看,该规定是对雇主处理雇员个人信息行为的限制。但由于规章制度的内容最终取决于用人单位,集体合同制度仍存在诸多不足,该规定可能为用人单位处理劳动者个人信息开了方便之门。因此,我国劳动关系存续期间劳动者个人信息的保护亟待加强。
(二)职场监控的法律规制
面对司空见惯的职场监控行为,如何对其进行规制便成为保护职场个人信息的一个重要问题。在其他国家,职场监控也较为流行,如英国工会联合会 2018 年发布的《职场监控报告》(A Report on Workplace Monitoring)指出,有 56% 的受访者认为他们在工作中可能被监控了。
雇主实施监控往往具有正当理由,包括为了保护员工人身安全、公司财产安全、监督员工工作表现,但监控实时收集员工信息,影响了员工的行动自由,对员工自由、隐私和尊严造成了较大影响。英国信息专员办公室(Information Commissioner’s Office)2011 年发布的《雇佣实践数据保护守则》(Employment Practices Data Protection Code)指出,监控通常被认为是劳动关系的一部分,许多雇主实施监控是为了保护雇员,以及保护雇主自身或客户的利益。但监控也在不同程度上对工人带来了负面影响,如可能侵扰雇员的个人生活,破坏对他们通信的尊重,损害雇主和雇员之间应有的相互信任和信心(mutual trust and confidence)。根据英国工会联合会 2018 年的《职场监控报告》,若职场监控有正当理由,且被公正使用,其可以保护工人的健康和安全,并可改进商业行为;若使用不当或不合乎比例,就会成为雇主对雇员不信任的表现,从而降低工人士气,甚至致其焦虑。
从国外经验看,监控虽未被完全禁止,但一般都会受到严格限制。在德国,职场视频监控的主要理由是为了防止破坏、盗窃和其他财产犯罪,以及保护员工、客户免受犯罪侵害。所以,通常视频监控的主要目的不能是“监督和控制雇员”。在判断是否允许使用监控时,核心的评估尺度是比例原则,雇主须证明监控是必需的,即没有其他有效的替代方式,而且目的和方式之间须成比例。不允许使用监控监督轻微的违法行为(minor offences),如禁止吸烟。联邦劳动法院认为,监控给雇员带来了巨大压力,与雇员人身权利得到尊重的权利并不相符。因此,职场视频监控只有在雇主具有重大利益的例外情形下才具有正当性。在英国,视频监控被认为是一种具有特别侵犯性(a particularly intrusive)的监控。除了适用监控的一般规则外,英国法并没有关于工人视频监控的法律规定。但官方机构信息专员(Information Commissioner)发布的《视频监控实践守则》(CCTV Code of Practice, 2008)认为, 持续监控只能适用于“非常例外的情形(very exceptional circumstances)”,例如,使用有害物质,未遵守程序将带来严重生命危险的情形,而且工人应被告知公司使用了闭路电视。根据《雇佣实践数据保护守则》,闭路电视可以安装于雇主认为特别容易失窃的场所,如储物间,但不能用于厕所或私人办公区域。闭路电视可用于预防和侦查顾客的犯罪行为,如用于商店,但不能用于监控员工非犯罪的事项,如工作表现或是否遵守公司程序。英国工会联合会 2018 年发布的《职场监控报告》也指出,雇主在使用视频监控(CCTV)之前应该认真考虑这类监控是否具有正当性(justified),或者是否存在其他侵扰更轻(less intrusive)的方法可以实现相同的结果。对工人持续的视频监控只在罕见情形下具有正当性。在法国,用于控制雇员活动的技术系统的使用必须具有合法目的,且与目的成比例。在波兰,其《劳动法典》第 22-2 条(共 10 款)对监控作了详细规定,主要包括:如为确保雇员安全、保护财产、控制生产、保管一旦泄露可能给雇主带来损害的秘密信息所必需,雇主可在工作场所或其周围以图像监控(image monitoring)方式进行特别监督,但不得包括企业工会的场所,卫生场所、衣帽间、食堂及吸烟室,除非为了实现前述目标所必需,且不得影响雇员的尊严及其他人身权利,尤其是应采取技术使位于这些场所的人无法识别。雇主处理其收集的影像记录(image recordings)只能用于特定用途,且原则上储存不得超过 3 个月。监控的使用目的、范围和方式应在集体劳动协议、工作规则(work regulations)或者声明中写明。此外,雇主还应事先告知雇员监控事宜并公布监控区域等。
相较而言,我国台湾地区对职场视频监控则具有较高的容忍度,其侧重于对监控行为本身的规范。根据被广为引用的台北地方法院 2014 年度劳诉字第 129 号判决:“雇主在其工作场所装设监视录影机,虽可能影响员工之个人隐私权,然此部分牵涉之隐私权,仅限于劳工工作时间之身体外观动作,此部分隐私权尚非属隐私权最核心部分,如肖像、前科、指纹等,且未牵涉公共利益或善良风俗,应可要求员工忍受。”判决书同时指出:“雇主在工作场所装设监视录影机监督劳工之工作状况,必须符合下列原则:1. 目的之必要性:基于合法之业务目的;2. 方法之妥当性:让接触、使用及揭露资讯限制在足以达成目标之目的范围内;3. 利益之比较衡量:使用最小之侵害手段达成业务上目标。”上述判决理由对视频监控的实施方法具有较大意义,但是将视频监控的对象认定为身体外观动作,且不属于隐私权的核心部分,似未注意到视频监控产生的负面影响,且身体外观动作不可避免会涉及肖像等信息,将视频监控收集的信息作为隐私权的非核心部分似有不妥。
综上,法律虽未完全禁止职场监控,但其负面影响是显见的,所以严格限制职场监控的使用及其实施方式为应有之义。关于职场监控使用的场景,“欧盟数据保护工作组”2004 年发布的《通过视频监控方式处理个人信息的意见》(Opinion 4/2004 on the Processing of Personal Data by Means of Video Surveillance)指出,在雇佣场合,视频监控只能用于当其是保证生产和(或)职业安全要求所不可或缺时,且雇员应该被告知控制者的身份、监控目的,以及其他确保对数据主体的数据公平处理的信息。“不应允许视频监控系统被用于旨在从远程位置直接控制工作活动的质量和数量,并因此进行个人信息处理。监视不应包括员工私人使用或不用于执行工作任务的场所,如洗手间、淋浴房、储物柜和娱乐场所。专为保护财产和(或)侦查、预防和控制严重犯罪而收集的图像不应用于对员工轻微违纪行为的惩戒;并且应始终允许员工使用所收集图像的内容提出相反诉求。”从该意见和上述欧洲国家对监控的立场看,由于监控是一种持续、实时的信息处理,对雇员的自由、隐私造成了较大损害,且可能对雇员的身心造成损害,职场监控通常只应在为了保护雇员的人身安全以及防止雇主财产被盗等预防犯罪的特殊情形下,即雇主应有明显的、重大的正当理由才可使用,不能将其作为一般的监督雇员工作表现的手段。因此,我国目前司法实践中对监控采取的宽松态度,对雇员个人信息考虑不周的现状值得进一步反思。除了严格限制监控的使用,对确有必要实施监控的,监控行为本身也应当遵守相关规则。关于监控的一般规则,“欧盟数据保护工作组”2001 年发布的《雇佣背景下处理个人信息的意见》提供了有益参考。该意见对监控的要求主要有三:(1)监控应该是雇主在考虑工人合法隐私和其他利益的基础上,作为其面临风险的合乎比例的应对措施。(2)通过监控持有或使用的信息应适当(adequate)、相关(relevant),不超出监控的正当目的;任何监控都应采取侵害程度最低的可能方式。(3)监控(包括视频监控)应遵守透明的要求,工人应该被告知监控的存在、个人数据处理的目的以及其他确保数据公平处理的信息。概言之,监控必须具有正当目的,合乎比例原则,采取适当方式且不得过度收集信息,并应遵守透明原则。这些也是个人信息处理一般原则的具体体现。
与监控相关的是职场常见的电子监控或网络监控。严格说来,电子监控属于监控的一种形式,应符合一般监控的原则和要求。例如,根据波兰《劳动法典》第 22-3 条对电子邮件和其他形式的电子监控的规定,如果是确保工作组织可以充分利用工作时间,以及雇员对工作工具(work tool)的适当使用所必需,雇主可以采用雇员电子邮件监控;电子邮件监控不能违反通信秘密以及雇员的其他人身权利;电子邮件监控适用一般监控的相关规定。关于电子邮件监控,我国台湾地区近来的案例(台湾“高等法院”2012 年度上字第 204 号判决)表明,法院不再只重视员工对隐私的合理期待,也提出了企业的监看必须基于企业秩序维持权及财产设施管理权。换言之,企业必须具有监看的正当事由,不能简单以职场中的设施设备包括电子或网络设备由雇主提供,雇主就可以实施监控。前述“高某诉某(中国)投资有限公司武汉分公司、某(中国)投资有限公司劳动争议纠纷案”判决书所表达的“公司监控的电脑系单位工作电脑,而工作电脑显然应当用于公司工作,因此公司对单位工作电脑进行监控并无不当”的观点显然过于简单。“劳工使用雇主提供的电子邮件,是否即意味着同意雇主的监看,而可解释为劳工对其隐私无合理期待,实不无疑义。”事实上,由于职场中用于工作的设施设备,包括工作场所通常都由雇主提供,若仅凭设施设备由雇主提供,雇主即可进行监控,则雇员的隐私和个人信息权利将落空。
(三)自动化信息处理
个人信息保护法的一项重要内容是对个人信息自动化处理进行规制。职场实践中,对求职者或雇员信息的自动化处理被广为使用。例如,雇主对求职者的求职信息进行自动化筛选,在劳动关系确立后,对雇员工作表现的评估、晋级、包括薪酬待遇等的确定可能通过自动化信息处理后作出,从而影响雇员的权利义务或对雇员产生重大利益影响。自动化分析或决策有其积极的一面,可以避免因人工操作带来的错误、不准确或者个人偏见及不公正行为,同时也可以大大提高工作效率,尤其是当需要处理海量信息时,自动化处理的优势就会显现。举例来说,在求职招聘过程中,雇主可能收到成千上万份求职信息,此时自动化处理成为必不可少的手段。但是,自动化处理也可能存在信息不透明、标准不公平、技术不稳定等问题,尤其是信息控制者可能利用复杂的算法损害信息主体的权利。因此,自动化信息处理需要借助法律为信息主体提供相应权利,在发挥信息自动化处理优势的同时克服其缺陷。
对求职者和雇员个人信息的自动化处理包括自动分析和自动决策的法律规制。欧盟 1995 年《保护个人有关个人数据处理及该种数据自由流动的指令》第 15 条第 1 款列举了自动个人决策(Automated Individual Decisions)使用的场合,包括评估工作表现、信誉、可靠性、行为等,将评估工作表现作为列举的第一种类型,足见职场自动个人决策及其规制的重要性。《通用数据保护条例》第 4 条第 4 款则将“自动分析(profiling)”界定为任何形式的包含个人信息使用以评估与某自然人相关的特定个人方面(certain personal aspects),尤其是分析或预测关于该自然人工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动方面的个人信息自动处理(automated processing)。根据该定义,自动分析包含三个要素:(1)是一种自动处理的形式;(2)其实施建立在数据之上;(3)其目标是评估自然人个人的某些方面。条例列举的自动分析使用场合,首先提及的也是用于分析或预测自然人在工作中的表现,这也是自动化信息处理在职场中常被使用的一个原因。关于自动化信息处理的规制,欧盟有较为明确的规定,其 1995 年《保护个人有关个人数据处理及该种数据自由流动的指令》第15 条对自动化个人决策采取了严格限制的立场,除非信息主体明确同意,或者法律授权,否则信息主体有权拒绝仅基于信息自动处理(based solely on automated processing of data)的决策。与之相比,《通用数据保护条例》对包括自动分析在内的自动个人决策采取的则是更为灵活的规定,如第 22 条规定, 信息主体享有不受制于仅仅基于自动处理(包括自动分析)作出的对其产生法律后果或具有类似重大影响的决策的权利。但如果决策是:(1)为订立或履行数据主体和数据控制者之间合同所必需;(2)由涉及数据控制者的欧盟或成员国法律授权,且欧盟或成员国法律规定了保护数据主体权利和自由及合法利益的适当措施;(3)基于数据主体的明确同意,则上述信息不适用。在第(1)(3)种情形下,数据控制者应采取适当措施保护数据主体的权利和自由及合法利益,至少包含获得数据控制者人为干预(obtain human intervention)的权利,以表达其观点或质疑决策。概言之,第 22 条关于完全自动个人决策(fully automated individual decision-making)的规制要点有三:一是作为一项规则,原则上禁止包括自动分析在内的产生法律或类似重要影响的完全自动个人决策;二是存在规则的例外;三是当适用例外情形时必须存在保护数据主体权利和自由及合法利益的措施。
由上可见,在欧洲,自动分析虽未被完全禁止,但作为信息处理的一种方式,必须遵守个人信息处理的一般原则,包括具备合法性基础及信息保护的原则。同时,为了将自动分析可能产生的错误或不准确以及对信息主体利益和权利的不利影响(包括歧视)的风险降至最低,欧盟《通用数据保护条例》要求数据控制者采取适当的数学或统计程序,并实施适当的技术和组织措施。为了减轻信息控制者和信息主体之间的信息不对称,赋予数据主体在特定情形下反对使用自动分析的权利。除了针对完全自动个人决策的立法规制,根据《通用数据保护条例》第 21 条第 1 款,信息主体有权拒绝信息控制者或第三方为了追求合法利益目的处理与其相关的个人信息,包括自动分析。在这些情形下,信息控制者不得继续处理个人信息,除非其能证明“令人信服的合法理由”超越信息主体的利益、权利和自由,或者为了法律诉求的证明、行使或抗辩。因此,如同职场个人信息处理的其他情形,在自动个人信息处理的场合,总是存在控制者的合法利益和信息主体拒绝的基础之间的平衡。这实际上也是比例原则在个人信息自动处理领域的具体体现,即判断自动化信息处理的合法性与否必须平衡雇主的利益以及雇员的利益、权利和自由。
欧盟的上述立法和实践值得我国借鉴。我国《个人信息保护法》第 24 条第 3 款规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”这一规定赋予个人对自动决策的拒绝权,有利于保护个人信息,但可能过分限制了自动决策的使用,亦不符合现实需要。相形之下,欧盟《通用数据保护条例》的规定似更具灵活性。鉴于个人信息自动处理在职场的广泛使用,确有根据个人信息保护和个人信息自动处理的一般规则对其作出具体规定之必要。
四、劳动关系解除或终止后的个人信息处理
雇主在劳动关系存续期间通常会处理大量的雇员信息,当劳动关系解除或终止后,雇主该如何处理这些信息便是另一个重要问题。在我国台湾地区,曾有雇主和雇员双方因不欢而散,雇主遂公开该劳工的个人资料,以所谓的“黑名单”方式希望达到该雇员无法再于业界立足的案例。雇员与雇主解除或终止劳动关系后个人信息处理问题的表现主要在两个方面:一是原雇主如何处理雇员已有信息;二是原雇主向新雇主等第三人提供信息的限制。原则上,劳动合同解除或终止后,雇主对雇员的信息处理仍须遵守个人信息处理的一般原则,如安全保管、不得泄露等原则。英国学者指出,“劳动关系终止后有关个人信息和隐私保护的一般法律原则继续适用”,且“前雇主保留个人信息不得超过必要期间”。首先,关于原雇主如何处理雇员的已有信息,信息保管是关键。为了防止日后诉讼等原因,雇主可能会继续保存雇员的信息数据,但保存的合理期间成为值得关注的问题。我国《劳动合同法》第 50 条第 3 款规定:“用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。”该条仅规定劳动合同文本,并未涉及其他个人信息;同时该条规定的是文本保存的最短期间,没有规定文本保存的最长期间。由于劳动合同文本通常包含劳动者个人信息,因此,对其最长的保管时期应该有所限制。其次,雇主转移雇员信息既涉及原雇主的义务,也涉及新雇主的义务。雇主向第三方披露雇员个人信息应具有合法性基础。在日本,除非得到雇员事先同意,雇主不得向第三方提供雇员个人信息;除非法律有明确授权,雇主不得向潜在雇主提供前雇员的个人信息。劳动关系解除后的个人信息处理经常涉及原雇主出具推荐信的问题,通常情况下,前雇主提供推荐信应得到雇员的同意后方可披露其个人信息,而且推荐信内容包含的个人信息应当适当。关于推荐信内容也涉及潜在雇主在招聘阶段信息处理的义务,推荐信涉及个人信息的内容应属必要和最小化。
五、结语
职场是个人信息处理的重要领域,由于雇主和雇员之间存在劳动关系,雇主在求职招聘、劳动关系存续期间及劳动关系终止后等阶段具有处理信息的动力和基础,雇主的合法权益与雇员的个人信息权利容易发生冲突,如何协调成为职场个人信息保护的核心问题。在上述三个阶段,雇主对雇员的监督管理内容不同,雇主处理雇员信息的内容和方式亦有差异,立法需给予不同的关注。在不同阶段, 需要根据劳动关系的特点,既应当尊重雇主监管管理的需求,保障劳动关系顺畅运行,也应该充分保护雇员的个人信息,维护雇员权利。故此,三个阶段的个人信息处理均需要劳动法和个人信息保护法的相互配合与相互制约。也就是说,在职场领域,数据保护法无法脱离劳动法及其实践而独立运行,劳动法及其实践也无法脱离数据保护法而独立运行,二者的互动是必需而有价值的,有助于妥善保护工人利益方案的发展。概言之,具体场景下劳动者个人信息的保护需要劳动法和个人信息保护法的协同配合。
鉴于职场个人信息保护的特殊性,也有必要在一般个人信息保护法之外对其进行特殊立法。申言之,在劳动关系中,信息和权力的不平衡,个人数据流动的增强,信息通信技术的持续发展,以及看似没有边界的算法,使得对职场个人信息进行补充的特别立法更显必要,即应在个人信息保护法及劳动法中对劳动关系不同阶段雇主处理雇员个人信息的行为作出相应的法律规制。