劳动者个人信息保护的法律问题研究

杨 赟

劳动者个人信息保护受到社会广泛关注。2021 年，一家公司的办公椅坐垫引起争议。单位认为，坐垫可以监测员工心率、呼吸、坐姿及疲劳度，久坐后还会提醒，目的是关心员工健康，而员工认为，本以为坐垫数据只有自己能看到，却被质问“你每天有一段时间不在工位”1？这说明用人单位使用坐垫还可追踪员工的行动轨迹。

如何判断用人单位的行为是合理、适当采集个人信息，这是一个引起各方关注的法律课题。2021 年8 月20 日，国家出台《个人信息保护法》，在一定范围内回答了上述问题，然而，由于劳动者个人信息保护存在特殊性，因此，个人认为仍需进一步完善我们的立法。在《劳动基准法》纳入立法规划2前提下，通过借鉴他人经验，来制定专门规定，保护劳动者个人信息不被滥用。

一、劳动者个人信息保护特殊性与我国立法现状及其困境

我国目前有关劳动者个人信息保护的规定，散见于《民法典》《个人信息保护法》条款中。然而，由于劳动关系框架下，个人信息保护具有特殊性，现行法律法规下，个人信息保护的一般规则难以完全适用。因而，有必要从劳动者个人信息保护特殊性出发，探讨我国劳动者个人信息保护存在的不足。

1.劳资关系下的知情同意规则

无论是《民法典》第1035 条第1 款3还是《个人信息保护法》第13条第1 款4，都将知情同意视为处理个人信息的合法性基础。“知情同意”显然包含“知情”与“真实自愿”两个要件。“知情”，即同意必须建立在知情的基础上，与之相对应的是信息控制者的告知义务5。“真实自愿”即信息主体出于真实意思表示自愿做出同意的决定。然而，当前的劳动关系，单个劳动者对于用人单位议价能力有限。一方面，劳动者难以要求用人单位充分满足其知情权。另外，大数据时代，单位利用数字技术处理劳动者个人信息相对隐蔽，知情权难以实现。另一方面，对于劳动框架下劳动者知情同意的真实自愿性难以考证。从求职开始，为了获得工作机会，劳动者只能向用人单位提供各种信息。另外，劳动关系存续过程中，为了就业，也只能听从用人单位提出的信息处理要求6。因而，知情同意规则难以起到保护劳动者个人权益的作用。

2.“必需”的正当需求与模糊内涵

《个人信息保护法》在第13 条第1 款第2 项有直接涉及劳动关系的规定，即“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的可以处理个人信息。这一规定具有正当性：用人单位为了提高工作效率，需对劳动力资源进行有效配置，这就必然涉及劳动者个人信息的处理；加之用人单位基于信赖关系对劳动者负有的照顾义务，包括履行社保缴纳义务在内的社会责任，这也不可避免地要处理劳动者的个人信息7。然而“必需”的具体内涵是需要依靠语境的，需要在具体情形下判断是否为“必需”。但现行法律的法规并没有为“必需”的适用性，提供更清晰明确的指导，用人单位可能存在利用其优势地位滥用“必需”的规定，使得个人信息保护利益受损。

3.自动化决策规制如何有效保护劳动者个人信息

《个人信息保护法》第24 条的规定，利用个人信息进行自动化决策时，需要保证决策的透明度及个人有权要求就自动化决策进行说明，有拒绝自动化决策的权利。然而，自动化决策规制，对个人信息保护难以起到实质性的作用。首先，自动化决策意味着用人单位已经通过使用智能管理系统、视频监控技术、电子邮件监视、移动软件定位等方式对劳动者个人信息进行了收集，而正如上文所说，劳动者在此过程中很难拒绝提供个人信息。其次，决策的透明度是由用人单位决定，即使强制性的民主程序，但决定权也难以改变。实践中，甚至不否定未经民主程序的决策效力8。最后，个人要求信息处理者就自动化决策进行说明，也会因用人单位保留最后决定权而失去其作用。因而，对自动化决策的规制，还应回归到规制用人单位对劳动者个人信息的收集上，以期最大限度保护劳动者。

二、域外劳动者个人信息保护借鉴

我国现行法律法规下的个人信息保护规则，难以完全适用于劳动者个人信息保护，因而，有必要就劳动者个人信息保护做出特殊规定。通过借鉴域外劳动者个人信息保护的相关规定，完善我国劳动者个人信息的保护。

1.劳动者同意不作为用人单位处理信息的合理性基础

在资强劳弱的关系下，知情同意规则本身失去其保护劳动者个人信息的意义，因而若用人单位若仅基于劳动者同意就能够进行个人信息处理，那么劳动者个人信息保护的规定形同虚设。欧盟《通用数据保护条例》草案曾主张，在明显不平等的劳动关系下的同意，不得作为信息处理的合法性基础，但最终定稿放弃该主张，提出交由成员国法律或集体合同对具体雇佣语境下，对基于雇员同意进行的信息处理的规则9。基于此，德国《联邦数据保护法》第26 条第2 款规定，对劳动者同意是否自由做出的判断，应考虑劳动关系中雇员的依赖程度以及做出同意时的具体情形。当劳动者的同意与其能够在法律上或者经济上获益或者雇主与劳动者的利益一致，那么劳动者的同意系自由做出的10。因此在德国，劳动者同意本身并不必然成为用人单位处理信息的合理性基础。除了劳动者同意，雇主对劳动者个人信息的处理行为本身也要具有合理性。例如在澳大利亚，只有当雇主处理信息的“目的被理性人认为是适当的”，劳动者的同意才有实际意义。英国工会联合会指出，基于雇主与雇员权力关系的不平衡，雇主不能仅依赖雇员的同意处理信息，雇主必须在处理信息前进行风险评估11。

2.比例原则与“必需”的具体内涵

除了雇员的知情同意，在劳动关系中，雇主为了劳动合同的订立、履行、解除，或终止以及按照劳动规章制度或实施人力资源管理所必需都作为个人信息处理的合法性基础。但“必需”的内涵仍有待明确。域外以比例原则为前提，对“必需”的适用提供更清晰明确的指导。“欧盟数据保护工作组”于2017 年发布的《工作中的数据保护意见》指出，“无论信息处理的法律基础是什么，比例原则应为雇主开始考虑信息处理是否是实现合法目的所必需，以及采取措施确保对雇员个人生活和通信秘密权利的损害限于最小之前被采用”12。比例原则即信息的具体处理应与追求目的成比例。在比例原则前提下，《通用数据保护条例》对“履行合同所必需”进一步进行解释，即需从合同的目的出发基于事实判断是否存在客观上的必要、是否符合数据主体的合理期待、是否有对其权益影响较小的替代选择13。此外，德国立法者还提出，在理解“所必需”内涵时应从平衡雇主处理数据的正当利益与雇员的人格权益出发，在雇主与雇员相互冲突中寻找一致性14。

三、完善我国劳动者个人信息保护

对劳动者同意的限制以及对“必需”内涵适用指引，均是从私法路径对劳动者个人信息保护进行完善。然而，基于劳动关系中雇主与雇员之间存在的不平等关系，仅从私法上进行权益界定与保护是不够的，我们同时需要借助公法的保护机制，即设置国家监督、强制和惩罚，才能提供更为充分、全面和有效的劳动者个人信息保护15。

首先，劳动者个人信息的国家保护义务要求建立权威、有效的监管机构，即符合《个人信息保护法》第60 条所规定的“履行个人信息保护职责的部门”。目前，还未将劳动者个人信息保护监管职责归口一个部门，而是采用国家网信部门负责统筹协调，国务院有关部门在各自职责范围内负责的模式；另外，多元监管机构的职责范围有待厘清，真正做到互相协作。因而，有必要优化监管机构。

其次，劳动者个人信息的保护义务，需要提供法律程序保护。“个人能获得有效救济途径，这是国家需要提供的首要程序保障。”16《个人信息保护法》第61 条仅提及“履行个人信息保护职责的部门”需接受与处理与个人信息保护有关的投诉、举报，劳动者有要求监管机构履行其保护义务。

最后，劳动者个人信息的国家保护义务负有防止侵害的义务。相较于私法多于侵害发生后发挥保护作用，行政监管途径可以在侵害发生之时或者侵害发生之前介入，从而更好地保护劳动者的个人信息。例如，在监管机构可以发布停止、责令限制处理、责令改正、责令删除等行政命令，或采用约谈等柔性措施，制止用人单位的违规活动，以防劳动者个人权益进一步受损；监管机构也可以通过发布风险提示、列入信用档案并公示等声誉工具进行事前监管，通过对侵害劳动者个人信息的用人单位罚款等行政处罚手段，对其他用人单位进行警示17。

四、结语

《个人信息保护法》为个人信息的保护设定了一般规则，但由于劳动关系框架下个人信息保护的特殊性，劳动者个人信息保护无法完全适用一般规则，因而《劳动基准法》需要对相关规定进行调整。通过对域外劳动者个人信息保护借鉴，《劳动基准法》应对知情同意规则的适用、“必需”的内涵等进行重点关注。此外劳动者个人信息保护也需要注重公法途径的规制，以期达到更好保护劳动者个人信息的目的。

1 参见李白白：《用坐垫监视员工，这是“高科技管理”？》，载微信公众号“光明日报”，2021 年1 月5 号上传。

2 基本劳动标准立法已列入十三届全国人大常委会立法规划。国务院有关部门已制定立法工作方案，积极开展《基本劳动标准法》的相关研究论证工作，抓紧形成法律草案，拟于2022 年提请常委会审议。载中国人大网，http://www.npc.gov.cn/npc/c30834/202110/be ac3521f2df434ca84bcec655aa5133.shtml，最后访问日期：2022 年4 月9 日。

3《民法典》第1035 条第1 款规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；......”

4《个人信息保护法》第13 条第1 款规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；......”

5CUSTERS B, HOLF V D S, SCHERMER B. Privacy expectations of social media users: the role of informed consent in privacy policies [J]. Policy & Internet,2014(6):268-295.

6 参见谢增毅：“劳动者个人信息保护的法律价值、基本原则及立法路径”，《比较法研究》2021 年第3 期，第34 页。

7 参见王倩：“作为劳动基准的个人信息保护”，《中外法学》2022 年第34期第186-187 页。

8 参见（2019）桂0502 民初1420 号判决：法院认为被告调取未经民主程序制定与公示的单位工作视频对原告旷工时间进行确认属于自主管理权，“视频考勤制度”行为并不不当。

9Däubler, a. a. O., S. 135.

1 0S ection 26(2), F ederal Data Protection Act, Germany, 2017.

11Trades Union Congress, I will be watching you: A report on workplace monitoring, 17 August 2018, at 29,https://www.tuc.org.uk/researchanalysis/reports/ill-be-watching-you，最后访问日期：2022 年4 月9 日。

12Article 29 - Data Protection Working Party, Opinion 2/2017 on data processing at work, 2017, at 4.

13EDPB, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects.

14 参见Vgl. Deutscher Bundestag 18.Wahlperiode, Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU)2016/680, Drucksache 18/11325.

15 参见王锡锌：“个人信息国家保护义务及其展开”，《中国法学》2021 年第1 期，第145-166 页。

16 European Union Agency for Fundamental Rights and Council of Europe, Fundamental Rights:Challenges and Achievements in 2011, at https://fra.europa.eu/en/publication/2012/fundamental-rightschallenges-and-achievements-2011，最后访问日期：2022 年4 月9 日。

17 参见王锡锌：“个人信息国家保护义务及其展开”，《中国法学》2021 年第1 期，第145-166 页。