张继红
上海*法学院上海全球安全治理研究院
郑书康
上海*法学院经济法学院
要目
一、劳动者个人信息处理中“同意”的适用困境
二、劳动者个人信息处理的合法性路径:“必需”事由
三、构建劳动场景“必需”事由的评估测试
四、结语
劳动场景有别于一般生活场景,劳资双方在经济地位、技术认知上的非对称性关系所形成的权力势差,极易损害劳动者的个人信息权益。传统告知同意机制在劳动场景中面临着实质要件虚化的困境,劳动者个人信息处理的合法性判定方法逐渐转向“必需”事由这一客观性标准的适用。然而,现行立法模糊的“必需”亦会产生滥用问题,仍难以破解用人单位与劳动者之间的利益冲突。为细化“必需”事由的适用规则,建议采用场景化的分析方法综合考量信息处理活动中的利益与风险,针对用人单位个人信息处理行为的正当性、必要性构建具体的评估测试标准。
当前,在劳动用工场景中用人单位使用指纹认证、刷脸考勤和视频监控等手段已成为普遍现象,在提高用工管理效率、保护企业商业秘密的同时,亦存在过度采集、不当使用甚至违规披露劳动者个人信息等问题。人工智能、红外感应、间谍软件、手机追踪应用程序等新兴技术的应用使得信息的获取量更大且手段更为隐蔽,让劳动者毫无隐私可言,更遑论个人信息安全。基于此,各国监管机构纷纷加大了对劳动者个人信息权益保护的执法监督力度。年7月31日,普华永道(PwC)因在处理员工个人数据时缺少合法依据而被希腊数据保护执法机构处以15万欧元的罚款,成为欧盟针对涉及员工数据违规行为的首次处罚;年10月,德国汉堡数据保护局宣布对HM非法监视员工的行为处以约万欧元的巨额罚款,是欧盟《通用数据保护条例》(以下简称GDPR)生效后监管机构针对员工信息保护开出的最高罚单。虽然我国早在年1月施行的《劳动合同法》第八条中就规定了“用人单位有权了解劳动者与劳动合同直接相关的基本情况”,不过由于“直接相关”的具体含义并未作明确界定,实务中劳动者个人信息的合理使用边界仍然十分模糊。
刚刚通过的《个人信息保护法》作为个人信息保护领域的基本法,重申了以“告知同意”为核心的个人信息处理规则,并首次新增“实施人力资源管理所必需”条款,与“为订立、履行合同所必需”“为履行法定义务所必需”一起共同构成用人单位处理劳动者个人信息的合法性基础。然而由于劳动关系的非对称性,处于弱势一方的劳动者往往无法作出真正自由的“同意”,“必需”事由又过于模糊和原则,仍存在较大的解释空间,因而有必要对劳动者个人信息处理合法性基础的具体适用规则做进一步的深入探讨,以实现用人单位用工管理权与劳动者个人信息权益保护之间的动态平衡。
一、劳动者个人信息处理中“同意”的适用困境
目前,我国现行立法对取得个人同意依赖程度较高,如《网络安全法》第二十二条明确了收集、使用个人信息必须经“被收集者同意”;《民法典》第一千零三十五条将“征得该自然人或者其监护人同意”作为个人信息处理的原则性要求;《深圳经济特区数据条例》则专设一节“告知与同意”以强化取得个人的有效同意是合法处理个人数据的必要前提。在规范功能上,是否取得“同意”已然成为现阶段我国个人信息处理行为合法与否泾渭分明的界限。同样,实务层面监管机构对于互联网企业是否获得用户的有效同意也予以了重点