勞動(dòng)者個(gè)人信息保護(hù)問(wèn)題研究

曾新宇

(四川大學(xué) 法學(xué)院，四川 成都 610207)

勞動(dòng)者個(gè)人信息保護(hù)是勞動(dòng)法和個(gè)人信息保護(hù)法的重要內(nèi)容，但目前對(duì)勞動(dòng)關(guān)系中勞動(dòng)者個(gè)人信息保護(hù)的研究還很薄弱。2021年8月20日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)人信息法》)正式頒布，并于2021年11月1日起施行。作為我國(guó)第一部個(gè)人信息層面的專(zhuān)門(mén)立法，《個(gè)人信息保護(hù)法》明確了對(duì)個(gè)人信息的“合法、正當(dāng)、必要”保護(hù)原則，并構(gòu)建了“告知—同意”為核心的個(gè)人信息處理規(guī)則，進(jìn)一步對(duì)個(gè)人權(quán)利進(jìn)行了保護(hù)。作為個(gè)人信息保護(hù)的特定領(lǐng)域，勞動(dòng)者個(gè)人信息保護(hù)應(yīng)當(dāng)適用個(gè)人信息保護(hù)的一般原則和規(guī)則。在《個(gè)人信息保護(hù)法》頒布后，其確定的個(gè)人信息保護(hù)原則和保護(hù)規(guī)則在勞動(dòng)關(guān)系中的具體適用還存在許多問(wèn)題。本文圍繞個(gè)人信息處理的原則和規(guī)則，對(duì)勞動(dòng)關(guān)系下的實(shí)踐問(wèn)題提出思考，以期完善個(gè)人信息保護(hù)在勞動(dòng)領(lǐng)域的適用。

一、勞動(dòng)關(guān)系中個(gè)人信息處理的一般原則和規(guī)則

個(gè)人信息保護(hù)法確定了對(duì)個(gè)人信息保護(hù)的原則，個(gè)人信息保護(hù)的基本原則是“合法、正當(dāng)、必要”原則，個(gè)人信息保護(hù)法加強(qiáng)了以“告知—同意”為核心的個(gè)人信息處理規(guī)則。作為個(gè)人信息保護(hù)的特定領(lǐng)域，勞動(dòng)者個(gè)人信息保護(hù)應(yīng)當(dāng)適用個(gè)人信息保護(hù)的一般原則和規(guī)則，因此對(duì)勞動(dòng)者個(gè)人信息保護(hù)也應(yīng)當(dāng)遵守“告知—同意”規(guī)則和“合法、正當(dāng)、必要”原則。

(一)“告知—同意”規(guī)則及例外

個(gè)人信息保護(hù)法緊緊圍繞規(guī)范個(gè)人信息處理活動(dòng)、保障個(gè)人信息權(quán)益，構(gòu)建了以“告知—同意”為核心的個(gè)人信息處理規(guī)則?！案嬷狻币?guī)則要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個(gè)人告知并取得同意。同時(shí)，個(gè)人信息處理者不得過(guò)度收集個(gè)人信息，不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個(gè)人撤回同意的權(quán)利，在個(gè)人撤回同意后，個(gè)人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個(gè)人信息。

據(jù)此，用人單位根據(jù)《個(gè)人信息保護(hù)法》的要求，在一般情況下需要對(duì)勞動(dòng)者進(jìn)行事先充分告知，在征得勞動(dòng)者同意后才能收集其個(gè)人信息并處理，在處理目的、手段等重要事項(xiàng)變更時(shí)需要重新征求勞動(dòng)者的同意，未經(jīng)同意不得非法處理勞動(dòng)者的個(gè)人信息。用人單位作為個(gè)人信息處理者不得過(guò)度收集勞動(dòng)者的個(gè)人信息。勞動(dòng)者有權(quán)拒絕提供個(gè)人信息，同時(shí)具有撤回同意的權(quán)利。勞動(dòng)者撤回同意的，用人單位應(yīng)當(dāng)停止處理或及時(shí)刪除勞動(dòng)者的個(gè)人信息。

《個(gè)人信息保護(hù)法》第13條第1款第2項(xiàng)至第7項(xiàng)規(guī)定的情形，不需要取得個(gè)人同意即可合法使用。根據(jù)該條規(guī)定，用人單位作為信息處理者可以為訂立和履行勞動(dòng)合同所必需、根據(jù)勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需或?yàn)榱斯怖娴忍幚韯趧?dòng)者的個(gè)人信息，而無(wú)需經(jīng)過(guò)勞動(dòng)者同意。但個(gè)人信息保護(hù)法除此之外未對(duì)什么是訂立、履行合同所必需做明確規(guī)定，勞動(dòng)規(guī)章制度目前也未對(duì)勞動(dòng)者的個(gè)人信息保護(hù)進(jìn)行規(guī)定?！秳趧?dòng)合同法》第8條規(guī)定用人單位有權(quán)了解勞動(dòng)者與勞動(dòng)合同直接相關(guān)的基本情況，除此之外，法律并沒(méi)有進(jìn)行進(jìn)一步具體明確規(guī)定，與勞動(dòng)合同直接有關(guān)的情況是不是訂立或者履行勞動(dòng)合同所必需還需要商榷。用人單位可能濫用上述例外條款非法收集或者處理勞動(dòng)者的個(gè)人信息，侵害勞動(dòng)者的合法權(quán)利。目前勞動(dòng)規(guī)章制度尚未明確用人單位處理勞動(dòng)者個(gè)人信息的具體規(guī)定。而集體合同一般由工會(huì)與用人單位簽訂，用集體合意替代勞動(dòng)者的個(gè)人同意實(shí)施人力資源管理，仍需要滿(mǎn)足合法、正當(dāng)、必要的要求以保障勞動(dòng)者信息權(quán)益[1]。

(二)勞動(dòng)個(gè)人信息處理的基本原則

“合法、正當(dāng)、必要”原則是個(gè)人信息處理的基本原則，主要是對(duì)個(gè)人信息處理的形式合法性、目的正當(dāng)性和手段必要性進(jìn)行評(píng)價(jià)。“合法、正當(dāng)、必要”原則的內(nèi)容具有整體性，合法原則主要涉及形式合法性，指?jìng)€(gè)人信息的處理應(yīng)當(dāng)符合法律規(guī)定，包括符合告知同意程序等方面；“正當(dāng)原則”“必要原則”是對(duì)實(shí)質(zhì)合法性的要求，個(gè)人信息的處理目的和手段應(yīng)當(dāng)具有合理性。

根據(jù)正當(dāng)原則的要求，用人單位對(duì)勞動(dòng)者的個(gè)人信息處理需要滿(mǎn)足處理目的特定、明確、合理的要求，不能為了不正當(dāng)?shù)哪康奶幚韯趧?dòng)者的個(gè)人信息。當(dāng)前法律對(duì)個(gè)人信息處理的正當(dāng)原則規(guī)定得較為寬泛，用人單位對(duì)勞動(dòng)者的個(gè)人信息處理進(jìn)行模糊、寬泛的目的表述，會(huì)出現(xiàn)用人單位對(duì)勞動(dòng)者的個(gè)人信息收集范圍過(guò)大、使用場(chǎng)景過(guò)多等情況，使得個(gè)人信息處理的正當(dāng)原則被架空，勞動(dòng)者的個(gè)人信息也會(huì)因此受到侵害。在特定、明確的基礎(chǔ)上，用人單位的處理目的也應(yīng)當(dāng)滿(mǎn)足合理的要求，應(yīng)符合公共利益和合法的私人利益。由于目前法律在勞動(dòng)法領(lǐng)域沒(méi)有明確規(guī)定，用人單位處理勞動(dòng)者的個(gè)人信息時(shí)仍然存在不符合“合理”標(biāo)準(zhǔn)的情形。

個(gè)人信息處理除了應(yīng)遵循目的正當(dāng)原則，還應(yīng)符合處理手段必要原則。必要原則要求用人單位的行為不得超出正當(dāng)目的，并且對(duì)勞動(dòng)者造成最小損害，禁止損害過(guò)度。同時(shí)，正當(dāng)原則也要求用人單位積極作為，采取必要的技術(shù)措施預(yù)防勞動(dòng)者個(gè)人信息被侵害的風(fēng)險(xiǎn)，在損害發(fā)生后采取必要的補(bǔ)救措施，最大程度保護(hù)個(gè)人信息，禁止保障不足。根據(jù)《個(gè)人信息保護(hù)法》第6條的要求，用人單位應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍收集勞動(dòng)者的個(gè)人信息，并應(yīng)當(dāng)采取對(duì)勞動(dòng)者個(gè)人權(quán)益影響最小的方式處理?！秱€(gè)人信息保護(hù)法》對(duì)用人單位提出了更高的要求，用人單位在實(shí)踐中的行為必要性是判斷其行為是否合法的重要標(biāo)準(zhǔn)，需要進(jìn)一步明確。

二、勞動(dòng)關(guān)系中個(gè)人信息保護(hù)的實(shí)踐問(wèn)題

(一)“告知—同意”規(guī)則的適用問(wèn)題

1.用人單位告知行為流于形式

勞動(dòng)關(guān)系之下用人單位告知的行為流于形式，使得整個(gè)流程實(shí)際被用人單位所操控，勞動(dòng)者的同意并沒(méi)有實(shí)質(zhì)表達(dá)。

(1)用人單位直接忽略告知程序。用人單位在取得勞動(dòng)者同意的過(guò)程中，經(jīng)常不具備合理詳盡的隱私政策或者個(gè)人信息保護(hù)條款，在勞動(dòng)關(guān)系下利用勞動(dòng)者不設(shè)防的心理，直接跳過(guò)告知環(huán)節(jié)讓勞動(dòng)者交出個(gè)人信息。其次，用人單位在向勞動(dòng)者進(jìn)行告知、明確隱私政策和個(gè)人信息保護(hù)規(guī)定時(shí)，本來(lái)應(yīng)該更加尊重勞動(dòng)者的個(gè)人信息，并在此過(guò)程中弱化用人單位管理的權(quán)威，降低勞動(dòng)者對(duì)被強(qiáng)迫同意的擔(dān)憂(yōu)。但在實(shí)際中，用人單位在告知時(shí)并沒(méi)有體現(xiàn)這一點(diǎn)，反而更加利用自己的優(yōu)勢(shì)地位，使得告知流于形式而不具備現(xiàn)實(shí)實(shí)質(zhì)意義，加重了雙方的地位差距和信息不對(duì)稱(chēng)的局面。

(2)用人單位利用優(yōu)勢(shì)地位對(duì)應(yīng)當(dāng)告知的信息不明確告知。用人單位的告知發(fā)生在勞動(dòng)關(guān)系締結(jié)時(shí)，在勞動(dòng)合同中對(duì)與個(gè)人信息的收集和處理相關(guān)的內(nèi)容進(jìn)行模糊化、寬泛化的表述，以此規(guī)避自己的責(zé)任。用人單位在勞動(dòng)合同中對(duì)個(gè)人信息進(jìn)行格式條款規(guī)定，使用“用人單位對(duì)勞動(dòng)者在勞動(dòng)關(guān)系持續(xù)過(guò)程中的個(gè)人信息有收集的權(quán)利，勞動(dòng)者有義務(wù)配合用人單位進(jìn)行收集”“一旦出現(xiàn)個(gè)人信息糾紛，視為勞動(dòng)者同意，用人單位不承擔(dān)責(zé)任”等說(shuō)辭，以此加重勞動(dòng)者的義務(wù)，并免除自己的責(zé)任。勞動(dòng)者往往為了取得工作而同意有關(guān)個(gè)人信息的不平等條款并簽訂合同，事后用人單位在面對(duì)個(gè)人信息糾紛時(shí)會(huì)拿出當(dāng)初簽訂的勞動(dòng)合同以證明其已經(jīng)提前告知，并以勞動(dòng)者簽訂勞動(dòng)合同就是同意為由逃避其責(zé)任。

(3)用人單位用通知代替告知。在勞動(dòng)關(guān)系持續(xù)的過(guò)程中，用人單位進(jìn)行告知的手段一般有單獨(dú)通知或者公告兩種，前者一般由上至下和同事之間互相傳達(dá)或者挨個(gè)發(fā)消息通知，后者則是通過(guò)在公司公告版貼出告示、在員工大會(huì)上進(jìn)行告知或者通過(guò)一些互聯(lián)網(wǎng)手段進(jìn)行公告。單個(gè)告知時(shí)，勞動(dòng)者能更好進(jìn)行詢(xún)問(wèn)和了解，公司的告知也更明確，而通過(guò)公告或者統(tǒng)一告知時(shí)，用人單位常常模糊其詞，只說(shuō)需要征集勞動(dòng)者的個(gè)人信息，而不明確說(shuō)出其目的、處理方式等，或者籠統(tǒng)地說(shuō)明，并不直接、明確地說(shuō)出有關(guān)個(gè)人信息處理的內(nèi)容。再者，用人單位的行為更多像一種通知而不是告知并征求同意，很多時(shí)候直接視為群體或者少數(shù)服從多數(shù)的同意，少數(shù)異議完全忽略不計(jì)。勞動(dòng)者在這類(lèi)場(chǎng)合中擔(dān)心自己在同事和領(lǐng)導(dǎo)中留下不好印象，不愿意當(dāng)出頭鳥(niǎo)，也就更難從群體中單獨(dú)爭(zhēng)取其合法權(quán)益，群體同意或者默示使得“告知—同意”規(guī)則更加流于表面。

2.勞動(dòng)者同意的表示不真實(shí)

(1)勞動(dòng)者意思自由受限。在勞動(dòng)合同中，由于用人單位與勞動(dòng)者之間的關(guān)系具有從屬性，勞動(dòng)者的意思自由因此受限。由于勞動(dòng)者在勞動(dòng)關(guān)系中與用人單位形成了一種事實(shí)上的生存依賴(lài)關(guān)系，勞動(dòng)者的意志往往會(huì)受到用人單位的經(jīng)濟(jì)壓制和事實(shí)控制，雙方在經(jīng)濟(jì)市場(chǎng)上的不平等地位使得勞動(dòng)者的意思自由難以真正實(shí)現(xiàn)。

同時(shí)，勞動(dòng)者與用人單位形成的合同關(guān)系與一般合同相比更為復(fù)雜，具有人身隸屬性和經(jīng)濟(jì)組織上的從屬性等。勞動(dòng)關(guān)系中勞動(dòng)者與用人單位之間形成的復(fù)雜關(guān)系極為緊密，勞動(dòng)者更容易相信用人單位提供的信息和要求，這會(huì)導(dǎo)致雙方信息的不對(duì)稱(chēng)和不對(duì)等，使得勞動(dòng)者在此過(guò)程中盲目信任用人單位而表示同意。這種信賴(lài)關(guān)系使得勞動(dòng)者在此過(guò)程中的同意很有可能并未經(jīng)過(guò)其深思，而只是單純基于信任，認(rèn)為公司不會(huì)“騙”自己，或者認(rèn)為沒(méi)必要“騙”自己而作出意思表示，使得同意的步驟更流于表面。

(2)勞動(dòng)者因自身原因作出不真實(shí)意思表示。勞動(dòng)者可能由于其本身的理解能力和協(xié)商能力不足從而無(wú)法作出正確的判斷，以至于在用人單位告知時(shí)作出違背真實(shí)意思的同意。在目前的社會(huì)資源配置中，了解勞動(dòng)者相關(guān)權(quán)利并懂得保護(hù)自己、進(jìn)行維權(quán)的勞動(dòng)者是少數(shù)，許多勞動(dòng)者的文化程度有限，即使用人單位在此過(guò)程中進(jìn)行了充分和明確的告知，勞動(dòng)者也很難理解什么是個(gè)人信息、用人單位要怎么處理這部分個(gè)人信息，更不懂在此收集和處理的過(guò)程中自己的個(gè)人信息需要進(jìn)行保護(hù)。用人單位如果存有不良想法可以很輕易利用勞動(dòng)者理解能力不足而誘騙勞動(dòng)者作出同意，從而打著“已經(jīng)取得同意”的幌子對(duì)勞動(dòng)者的個(gè)人信息進(jìn)行非法收集和處理。這部分勞動(dòng)者不懂得個(gè)人信息保護(hù)的重要性，也難以預(yù)料個(gè)人信息被侵害的后果，更難以承受這樣的損害結(jié)果。即使個(gè)人信息被損害，這部分勞動(dòng)者也不具備很好的協(xié)商能力，常常從一個(gè)弱勢(shì)的角度尋求用人單位的良心發(fā)現(xiàn)，難以與用人單位進(jìn)行很好的協(xié)商維護(hù)自己的權(quán)利。有良心的用人單位可能會(huì)與勞動(dòng)者好好協(xié)商溝通，并努力作出補(bǔ)救和賠償措施，但不可否認(rèn)很大部分用人單位會(huì)仗著自己的優(yōu)勢(shì)地位拒絕與勞動(dòng)者進(jìn)行協(xié)商，甚至威脅勞動(dòng)者再進(jìn)行維權(quán)就開(kāi)除勞動(dòng)者。勞動(dòng)者面對(duì)用人單位拒絕協(xié)商的強(qiáng)硬態(tài)度，極有可能為了保住工作或者維持稍微良好的勞動(dòng)關(guān)系而被迫降低自己的賠償要求甚至放棄。也有部分勞動(dòng)者會(huì)在此過(guò)程中尋求工會(huì)的幫助，希望通過(guò)第三者和集體的方式縮小雙方之間的地位差距從而更好地進(jìn)行協(xié)商。一般而言，工會(huì)的介入會(huì)使勞動(dòng)者與用人單位之間的協(xié)商比勞動(dòng)者直接單獨(dú)與用人單位協(xié)商對(duì)勞動(dòng)者更有利一些。但由于工會(huì)的介入畢竟是第三方，不如當(dāng)事人對(duì)情況的了解全面，且工會(huì)的介入也需要流程和時(shí)間，可能會(huì)使勞動(dòng)者的個(gè)人信息因沒(méi)有及時(shí)得到充分保護(hù)和補(bǔ)救而造成更大損失。

(3)勞動(dòng)者的再次同意被模糊或省略。在初次告知同意后，后續(xù)的個(gè)人信息處理也可能因?yàn)榉绞?、目的的變更而需要重新征求勞?dòng)者的同意。在后續(xù)管理的過(guò)程中，用人單位可能為了降低成本等原因直接默認(rèn)勞動(dòng)者同意，省略再次同意的步驟，以初步同意代替再次同意。勞動(dòng)者在不知情的情況下被用人單位安排為“被同意”，并未真正進(jìn)行再次同意，也很難知曉后續(xù)個(gè)人信息處理變更的內(nèi)容，更難保護(hù)自己的個(gè)人信息，只能在損害結(jié)果發(fā)生之后才察覺(jué)，但往往為時(shí)已晚。

(4)用人單位利用優(yōu)勢(shì)地位強(qiáng)迫勞動(dòng)者同意。勞動(dòng)者在經(jīng)濟(jì)市場(chǎng)下的弱勢(shì)地位決定了其在勞動(dòng)關(guān)系中很難具備話(huà)語(yǔ)權(quán)，用人單位很容易掌控勞動(dòng)者并以?xún)?yōu)勢(shì)地位強(qiáng)迫勞動(dòng)者同意。用人單位可能會(huì)在公司章程規(guī)定或者其他規(guī)章制度中對(duì)勞動(dòng)者的個(gè)人信息作出強(qiáng)行性規(guī)定，要求勞動(dòng)者必須配合用人單位對(duì)其個(gè)人信息進(jìn)行處理。勞動(dòng)者如果出于保護(hù)個(gè)人信息的目的拒絕同意，用人單位很可能會(huì)以公司管理制度規(guī)定為由給勞動(dòng)者施加管理壓力，迫使其同意。也有用人單位直接虛構(gòu)勞動(dòng)者的同意，在事后被勞動(dòng)者發(fā)現(xiàn)后以解除勞動(dòng)合同相要挾，以管理所必需強(qiáng)迫勞動(dòng)者承認(rèn)其虛構(gòu)的同意。而在大數(shù)據(jù)和人工智能的社會(huì)背景下，智能手段的運(yùn)用增加了用人單位不當(dāng)獲得勞動(dòng)者同意的可能。用人單位以采用人臉識(shí)別進(jìn)行打卡等要求收集勞動(dòng)者的指紋或者人臉識(shí)別信息，或者以提高管理效率為由要求勞動(dòng)者提供位置信息等，勞動(dòng)者面對(duì)勞動(dòng)管理和勞動(dòng)形式的智能化很難對(duì)用人單位的要求作出不同意的意思表示。

3.例外情形的濫用

一般情況下，用人單位收集、處理勞動(dòng)者個(gè)人信息需經(jīng)過(guò)勞動(dòng)者同意，在例外情形時(shí)可以不經(jīng)過(guò)勞動(dòng)者同意。但對(duì)于例外情形，法律沒(méi)有明確其具體內(nèi)涵，用人單位可能會(huì)濫用例外情形侵害勞動(dòng)者的個(gè)人信息權(quán)利。

首先，用人單位擅自擴(kuò)大“勞動(dòng)合同所必需”的內(nèi)涵，非法收集勞動(dòng)者的個(gè)人信息并進(jìn)行處理。一般而言，勞動(dòng)者的工作能力、是否適崗等與勞動(dòng)合同直接相關(guān)的個(gè)人信息，是法律允許用人單位收集的范圍。而對(duì)是否婚配、是否生育、是否有過(guò)往疾病史和家庭背景信息的收集則屬于過(guò)度收集。除此之外，有的用人單位甚至?xí)谡衅笗r(shí)要求勞動(dòng)者提供基因檢測(cè)報(bào)告來(lái)判斷勞動(dòng)者是否具有加班猝死可能性，或者進(jìn)行潛在性格分析或者其他潛在疾病分析。這種基因信息處理行為明顯超過(guò)了勞動(dòng)合同所必需的范圍，過(guò)分侵害了勞動(dòng)者人格尊嚴(yán)或人格自由，不符合正當(dāng)必要性的要求[2]。

其次，用人單位以加強(qiáng)對(duì)勞動(dòng)者管理為由擅自擴(kuò)大其收集范圍和處理權(quán)限。紙質(zhì)的簽到或者簽字打卡屬于用人單位基于勞動(dòng)管理所需的考勤管理，是合法收集勞動(dòng)者個(gè)人信息的途徑，而人臉識(shí)別或者虹膜信息等個(gè)人信息超出了一般考勤管理的必要范圍，不能被視為勞動(dòng)管理所需。除非是工作環(huán)境有安全或者保密要求需要身份認(rèn)證，人臉識(shí)別或者虹膜識(shí)別的信息收集才可以被視為勞動(dòng)管理所必需。

(二)“合法、正當(dāng)、必要”原則的適用問(wèn)題

“合法、正當(dāng)、必要”原則是個(gè)人信息保護(hù)的基本原則，貫穿始終?！案嬷狻币?guī)則的適用本身也需要滿(mǎn)足“合法、正當(dāng)、必要”的要求。實(shí)踐中對(duì)“合法、正當(dāng)、必要”原則的適用還尚不規(guī)范，法院可能盲目擴(kuò)充“告知—同意”規(guī)則的內(nèi)涵和適用范圍，對(duì)并不在其規(guī)定范圍內(nèi)的情況適用規(guī)則，而并未適用“合法、正當(dāng)、必要”原則進(jìn)行認(rèn)定。

首先，“告知—同意”規(guī)則的不完善和不全面會(huì)使得其存在漏洞，需要通過(guò)對(duì)“合法、正當(dāng)、必要”原則的適用進(jìn)行彌補(bǔ)?！案嬷狻币?guī)則中的“告知”強(qiáng)調(diào)用人單位需要進(jìn)行明確告知，且告知的范圍包含處理的目的和方式等，“同意”強(qiáng)調(diào)勞動(dòng)者的同意應(yīng)當(dāng)出于真實(shí)意思表示，同時(shí)防止例外規(guī)則被濫用。用人單位告知其處理個(gè)人信息的目的準(zhǔn)確和告知形式合法是“告知—同意”規(guī)則的要求，但規(guī)則中并沒(méi)有對(duì)用人單位處理的目的進(jìn)行規(guī)范，判斷處理目的是否合法需要根據(jù)“合法、正當(dāng)、必要”原則的內(nèi)涵對(duì)其正當(dāng)性和必要性進(jìn)行判斷。其次，用人單位對(duì)個(gè)人信息收集和處理的后續(xù)行為是否超過(guò)法律的限度也應(yīng)當(dāng)根據(jù)“合法、正當(dāng)、必要”原則的內(nèi)涵進(jìn)行判斷。實(shí)踐中用人單位在處理勞動(dòng)者個(gè)人信息時(shí)，或單方強(qiáng)調(diào)管理權(quán)行使的正當(dāng)性不履行同意規(guī)則，或假借“告知—同意”獲取合法性而忽視正當(dāng)性與必要性[3]。用人單位處理勞動(dòng)者的個(gè)人信息需要滿(mǎn)足形式合法性的要求，在此基礎(chǔ)上關(guān)注其處理是否具有正當(dāng)性和必要性。

其次，用人單位對(duì)個(gè)人信息收集和處理的后續(xù)行為可能超出“告知—同意”規(guī)則的適用范圍，實(shí)踐中需要根據(jù)“合法、正當(dāng)、必要”原則進(jìn)行認(rèn)定。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)的高流通性和易處理性使得勞動(dòng)者個(gè)人信息在初步收集之后的整合、流傳和使用可能會(huì)遠(yuǎn)超出預(yù)期。用人單位在收集勞動(dòng)者的個(gè)人信息時(shí)也很難準(zhǔn)確預(yù)料信息處理的方式和范圍，之后的信息處理也很可能超出用人單位的預(yù)見(jiàn)。而勞動(dòng)者相比用人單位對(duì)此更難具有預(yù)見(jiàn)可能性，無(wú)法真正評(píng)估風(fēng)險(xiǎn)，也很難基于判斷而作出正確的同意決定。用人單位常常會(huì)以需要權(quán)限為由，收集勞動(dòng)者的指紋或面部數(shù)據(jù)等，有的也會(huì)收集勞動(dòng)者的位置信息。這些數(shù)據(jù)與用人單位收集的群體信息相結(jié)合，用人單位據(jù)此往往會(huì)獲知更多超出勞動(dòng)者最初同意披露范圍的個(gè)人信息[4]。在此情況下，勞動(dòng)者的初步同意可能會(huì)演變成對(duì)自身不利的決策基礎(chǔ)，導(dǎo)致勞動(dòng)者可能會(huì)因此獨(dú)立承擔(dān)不利后果。

三、勞動(dòng)者個(gè)人信息保護(hù)的完善

(一)完善“告知—同意”規(guī)則

1.明確告知

首先，明確用人單位在告知時(shí)的義務(wù)范圍。用人單位直接處理勞動(dòng)者個(gè)人信息時(shí)，作為信息處理者需要告知?jiǎng)趧?dòng)者其聯(lián)系方式；用人單位委托第三方作為信息處理者時(shí)，用人單位只是代為收集勞動(dòng)者的個(gè)人信息，需要明確告知?jiǎng)趧?dòng)者真正的個(gè)人信息處理者的身份和聯(lián)系方式，防止勞動(dòng)者不知曉隱秘的第三方而在后續(xù)行使其權(quán)利過(guò)程中無(wú)法明確其權(quán)利行使對(duì)象，使得用人單位或者被委托的第三方借此逃脫責(zé)任。

其次，用人單位需要告知?jiǎng)趧?dòng)者個(gè)人信息處理的目的、方式、種類(lèi)和保存期限等。用人單位需要告知?jiǎng)趧?dòng)者個(gè)人信息的處理目的，且具有多個(gè)處理目的時(shí)需要分別明確告知并分別取得同意，而不能一次性概括告知并獲得同意。對(duì)于不同的處理方式，用人單位需要明確告知?jiǎng)趧?dòng)者。用人單位需要在告知時(shí)明確個(gè)人信息的種類(lèi)，不能以“與勞動(dòng)合同有關(guān)的信息”“與是否適崗有關(guān)的信息”“健康信息”等范圍過(guò)大的措辭簡(jiǎn)單告知?jiǎng)趧?dòng)者，需要遵循公開(kāi)透明的原則明確具體的種類(lèi)，比如“工齡”“工作經(jīng)歷”等。個(gè)人信息的保存期限越長(zhǎng)，越容易出現(xiàn)泄露或者非法使用的可能性，對(duì)勞動(dòng)者的不利影響也越大[5]。用人單位需要明確告知?jiǎng)趧?dòng)者個(gè)人信息的保存期限，便于勞動(dòng)者及時(shí)行使刪除權(quán)。

第三，用人單位需要明確告知，不能使用寬泛、模糊的措辭籠統(tǒng)告知，或者用籠統(tǒng)的格式條款規(guī)避自身責(zé)任。由于個(gè)人信息處理具有極強(qiáng)的技術(shù)性和專(zhuān)業(yè)性，用人單位須以顯著方式、清晰易懂的語(yǔ)言進(jìn)行告知。用人單位應(yīng)當(dāng)以勞動(dòng)者能理解的方式進(jìn)行告知，要求以不具備個(gè)人信息處理專(zhuān)業(yè)知識(shí)的一般個(gè)人也能理解為告知的標(biāo)準(zhǔn)。勞動(dòng)者需要理解個(gè)人信息處理對(duì)自己的權(quán)益有何利弊和風(fēng)險(xiǎn)，才能作出自由的決定。要求用人單位不能將應(yīng)當(dāng)告知的內(nèi)容隱藏在一大堆信息中或者用極小的字號(hào)等不顯著的方式進(jìn)行告知，也不能用難以辨別的符號(hào)或者極易混淆、帶有歧義的詞語(yǔ)混淆勞動(dòng)者的判斷，并在勞動(dòng)者有疑問(wèn)時(shí)及時(shí)為勞動(dòng)者進(jìn)行解答，防止用人單位為了規(guī)避法律風(fēng)險(xiǎn)以捆綁式直接列出內(nèi)容冗雜的隱私政策條款給勞動(dòng)者帶來(lái)閱讀和理解困難。同時(shí)，用人單位在告知時(shí)需要考慮勞動(dòng)者的教育背景不一對(duì)個(gè)人信息處理的理解能力有所偏差帶來(lái)的現(xiàn)實(shí)困境[6]。

第四，用人單位不得為規(guī)避法律責(zé)任以“便于管理”“改善公司配置”等模糊的表述進(jìn)行告知，使得用人單位的處理目的不明確。限制用人單位在勞動(dòng)合同中使用格式條款進(jìn)行免責(zé)，限制用人單位使用“用人單位有權(quán)收集勞動(dòng)者的個(gè)人信息”等表述，勞動(dòng)者簽訂包含該條款的勞動(dòng)合同不視為對(duì)勞動(dòng)合同不涉及的其他個(gè)人信息處理的同意，用人單位處理為管理所需的勞動(dòng)者的其他個(gè)人信息時(shí)，仍需按照“告知—同意”規(guī)則的要求征求勞動(dòng)者的同意。用人單位以公告的方式告知時(shí)，需要在公告時(shí)明確告知上述應(yīng)當(dāng)告知的范圍，在公告之后，用紙質(zhì)版或者電子數(shù)據(jù)的方式征得勞動(dòng)者的個(gè)人同意，允許勞動(dòng)者拒絕而不是單純以概括同意或者集體同意直接代替勞動(dòng)者的真實(shí)意思表示。

第五，確保用人單位的告知和收集同意的流程公開(kāi)、透明，且便于查閱。根據(jù)《民法典》第1035條和《個(gè)人信息保護(hù)法》第18條第3款的規(guī)定，用人單位的處理規(guī)則是必須公開(kāi)且便于查閱的，以防止用人單位私自變更規(guī)則。用人單位需在管理流程或者公司規(guī)章制度中明確告知同意的流程。在糾紛發(fā)生后如果用人單位無(wú)法證明其規(guī)則是公開(kāi)且便于查閱和保存的，在沒(méi)有其他證據(jù)證明用人單位履行了明確告知義務(wù)時(shí)，應(yīng)當(dāng)認(rèn)為用人單位沒(méi)有履行告知義務(wù)。鼓勵(lì)用人單位用知情同意書(shū)等書(shū)面文件代替單純口頭告知和收集同意。

2.保障勞動(dòng)者的同意意思自由

首先，對(duì)勞動(dòng)者進(jìn)行幫助教育，提高勞動(dòng)者的理解能力和協(xié)商能力。大部分勞動(dòng)者在入職時(shí)和入職后的學(xué)歷都是固定的，學(xué)歷一定程度上決定了勞動(dòng)者的理解能力。因此，學(xué)校加強(qiáng)對(duì)學(xué)生的勞動(dòng)教育有助于其就業(yè)成為勞動(dòng)者后的理解能力上升和相關(guān)知識(shí)儲(chǔ)備增加。各高職院校和高等院校可以增加有關(guān)勞動(dòng)教育的課程，鼓勵(lì)學(xué)生進(jìn)行選修，并在畢業(yè)生就業(yè)前開(kāi)設(shè)有關(guān)勞動(dòng)教育的講座，幫助學(xué)生在正式成為勞動(dòng)者之前多了解個(gè)人信息保護(hù)和其他有關(guān)的勞動(dòng)教育內(nèi)容。在相關(guān)課程和講座內(nèi)容中設(shè)置勞動(dòng)者個(gè)人信息保護(hù)的有關(guān)內(nèi)容，讓未來(lái)的勞動(dòng)者們了解個(gè)人信息處理的相關(guān)問(wèn)題，包括用人單位可能會(huì)如何規(guī)避自己的責(zé)任、個(gè)人信息被侵害的后果、勞動(dòng)者如何有效進(jìn)行維權(quán)等。除了學(xué)校之外，人力資源管理部門(mén)和工會(huì)幫助勞動(dòng)者提高理解能力和協(xié)商能力也是重要的方面。人力資源管理部門(mén)可以對(duì)勞動(dòng)者進(jìn)行入職前的培訓(xùn)。用人單位在勞動(dòng)者的入職后培訓(xùn)中也可以加入對(duì)個(gè)人信息處理的說(shuō)明部分，并對(duì)勞動(dòng)者的同意作出提醒。

其次，發(fā)揮工會(huì)的應(yīng)有作用。工會(huì)作為第三方介入，代替勞動(dòng)者個(gè)人與用人單位進(jìn)行協(xié)商，有利于改善勞動(dòng)者在勞動(dòng)關(guān)系中的弱勢(shì)地位，幫助勞動(dòng)者維護(hù)自己的合法權(quán)益。以集體同意代替單獨(dú)同意時(shí)需要注意勞動(dòng)者的真實(shí)意思，召開(kāi)職工代表大會(huì)或者職工大會(huì)對(duì)勞動(dòng)者的意思進(jìn)行統(tǒng)一收集和反饋，了解勞動(dòng)者的真實(shí)訴求，幫助勞動(dòng)者在個(gè)人信息糾紛中保護(hù)自己的權(quán)利。同時(shí)，由于數(shù)據(jù)流通的特性和個(gè)人信息流轉(zhuǎn)的特殊性，需要及時(shí)對(duì)個(gè)人信息泄露等后果進(jìn)行補(bǔ)救，簡(jiǎn)化工會(huì)的流程有利于更快保護(hù)勞動(dòng)者的個(gè)人信息。但這并不意味著需要簡(jiǎn)化必要的對(duì)勞動(dòng)者意思的收集流程，而是簡(jiǎn)化工會(huì)對(duì)個(gè)人信息泄露情況的了解流程和與用人單位的協(xié)商流程，使用更簡(jiǎn)潔、直接的方式。

再次，限制用人單位強(qiáng)迫勞動(dòng)者同意。禁止用人單位在章程規(guī)定或者勞動(dòng)合同中對(duì)勞動(dòng)者的個(gè)人信息直接進(jìn)行默認(rèn)處理，或者以此剝奪勞動(dòng)者的合法權(quán)利，如撤回權(quán)、再次同意權(quán)等。用人單位在勞動(dòng)合同中使用“用人單位有權(quán)收集處理勞動(dòng)者個(gè)人信息”“勞動(dòng)者有義務(wù)提供其個(gè)人信息”等表述的，該格式條款對(duì)勞動(dòng)者不產(chǎn)生任何實(shí)質(zhì)影響。勞動(dòng)者簽訂勞動(dòng)合同的，不認(rèn)為是對(duì)用人單位收集處理個(gè)人信息的同意，用人單位在收集處理時(shí)需要根據(jù)法律規(guī)定和要求，按照“告知—同意”規(guī)則的要求進(jìn)行逐一告知并征求同意。在勞動(dòng)關(guān)系持續(xù)過(guò)程中，用人單位以行使管理權(quán)為由強(qiáng)迫或者變相強(qiáng)迫勞動(dòng)者進(jìn)行同意的，視為沒(méi)有征得同意，應(yīng)當(dāng)承擔(dān)相應(yīng)責(zé)任?！秱€(gè)人信息保護(hù)法》規(guī)定了行政執(zhí)法、個(gè)人投訴舉報(bào)、司法訴訟、公益訴訟等多種保護(hù)機(jī)制。據(jù)此勞動(dòng)者具有投訴舉報(bào)和司法救濟(jì)的任意選擇權(quán)。用人單位要求勞動(dòng)者提供個(gè)人信息，勞動(dòng)者拒絕后，用人單位對(duì)勞動(dòng)者進(jìn)行不當(dāng)處分的，勞動(dòng)者可以尋求工會(huì)的幫助，也可以進(jìn)行投訴舉報(bào)。勞動(dòng)者向工會(huì)尋求幫助的，工會(huì)應(yīng)當(dāng)積極提供法律援助。用人單位因勞動(dòng)者拒絕提供個(gè)人信息而開(kāi)除勞動(dòng)者或者在下一次簽訂勞動(dòng)合同時(shí)惡意改動(dòng)資薪的，勞動(dòng)者可以根據(jù)法律規(guī)定提起勞動(dòng)仲裁，不在勞動(dòng)仲裁范圍內(nèi)的勞動(dòng)者可以直接提起訴訟。完善對(duì)勞動(dòng)者的法律援助和法律幫助，幫助勞動(dòng)者在個(gè)人信息被侵害后進(jìn)行維權(quán)。勞動(dòng)者與用人單位發(fā)生個(gè)人信息糾紛時(shí)，法院需要審查用人單位是否盡到合格的告知義務(wù)，是否有勞動(dòng)者的同意，勞動(dòng)者的同意是否意思表示真實(shí)。

3.限制對(duì)例外情形的適用

在例外情形中，因?yàn)橛萌藛挝粺o(wú)需經(jīng)過(guò)勞動(dòng)者同意而可以直接收集、處理勞動(dòng)者的個(gè)人信息，對(duì)勞動(dòng)者的個(gè)人信息安全造成了更多泄露和非法使用的風(fēng)險(xiǎn)，應(yīng)當(dāng)對(duì)例外情形進(jìn)行限制適用。

首先，明確“為勞動(dòng)合同所需”和“為人力資源管理所需”的范圍。謹(jǐn)慎判斷跟勞動(dòng)合同有關(guān)的內(nèi)容是否屬于“為勞動(dòng)合同所必需”，需要根據(jù)實(shí)際情況和工種判斷用人單位收集勞動(dòng)者的個(gè)人信息的最大必要范圍，超出必要范圍的行為會(huì)侵害勞動(dòng)者的個(gè)人信息權(quán)利。對(duì)用人單位行使管理權(quán)而必需的勞動(dòng)者的個(gè)人信息，需要根據(jù)多方面進(jìn)行綜合判斷，一般而言沒(méi)有嚴(yán)格保密或者安全規(guī)定的，用人單位無(wú)權(quán)收集勞動(dòng)者的生物識(shí)別信息。

其次，制定勞動(dòng)規(guī)章制度，對(duì)用人單位的告知義務(wù)作出細(xì)化的規(guī)定，明確不需要告知的情形。勞動(dòng)規(guī)章制度以及集體合同中對(duì)勞動(dòng)者隱私權(quán)讓渡的設(shè)置應(yīng)當(dāng)僅限于與工作內(nèi)容有關(guān)[7]。同時(shí)，個(gè)人信息保護(hù)涉及的領(lǐng)域廣，相關(guān)制度措施的落實(shí)有賴(lài)于完善的監(jiān)管執(zhí)法機(jī)制。根據(jù)《個(gè)人信息保護(hù)法》要求，勞動(dòng)行政部門(mén)應(yīng)當(dāng)在國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)下制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)，針對(duì)小型個(gè)人信息處理者、處理敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用，制定專(zhuān)門(mén)的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。同時(shí)，勞動(dòng)行政部門(mén)也需要根據(jù)行業(yè)特征，制定勞動(dòng)領(lǐng)域的個(gè)人信息保護(hù)規(guī)章與條例。根據(jù)個(gè)人信息保護(hù)工作實(shí)際，《個(gè)人信息保護(hù)法》明確，國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作，同時(shí)，對(duì)個(gè)人信息保護(hù)和監(jiān)管職責(zé)作出規(guī)定，包括開(kāi)展個(gè)人信息保護(hù)宣傳教育、指導(dǎo)監(jiān)督個(gè)人信息保護(hù)工作、接受處理相關(guān)投訴舉報(bào)、組織對(duì)應(yīng)用程序等進(jìn)行測(cè)評(píng)、調(diào)查處理違法個(gè)人信息處理活動(dòng)等。

(二)加強(qiáng)對(duì)“合法、正當(dāng)、必要”原則的審查

“合法、正當(dāng)、必要”原則作為基本原則，對(duì)“告知—同意”規(guī)則的適用具有指導(dǎo)和兜底的作用。對(duì)“告知—同意”規(guī)則的適用可以結(jié)合原則的內(nèi)涵進(jìn)行。在無(wú)法具體判斷勞動(dòng)者是否是真實(shí)意思表示，用人單位收集、處理個(gè)人信息的目的是否合法等情況時(shí)，可以結(jié)合原則的內(nèi)涵對(duì)用人單位的目的和行為進(jìn)行認(rèn)定。

首先，加強(qiáng)對(duì)用人單位處理勞動(dòng)者個(gè)人信息的合法性、正當(dāng)性、必要性審查。對(duì)合法性的審查主要是對(duì)用人單位在收集處理勞動(dòng)者個(gè)人信息時(shí)是否滿(mǎn)足“告知—同意”規(guī)則的形式要求。第一，對(duì)同意的形式進(jìn)行審查，判斷是否是一般情形下需要征得勞動(dòng)者同意才能收集處理個(gè)人信息的情況，在此情況下勞動(dòng)者是否有同意的意思表示，是書(shū)面的同意意思表示還是由用人單位單獨(dú)征求的勞動(dòng)者的同意，用人單位是否以管理權(quán)或者開(kāi)除、處分等懲戒相威脅，勞動(dòng)者的同意是否真實(shí)可撤回等。第二，對(duì)于無(wú)需經(jīng)過(guò)勞動(dòng)者明示同意的“訂立、履行合同所必需”的情況，需要結(jié)合勞動(dòng)者個(gè)人信息的目的類(lèi)型具體審查是否與“訂立、履行勞動(dòng)合同”相關(guān)。同時(shí)，對(duì)于勞動(dòng)規(guī)章制度的制定需要根據(jù)法律要求并具備民主程序，保障勞動(dòng)者同意的自治性，讓勞動(dòng)者參與到規(guī)章制定中來(lái)，充分行使其參與權(quán)。而集體合同中的集體合意也需要滿(mǎn)足協(xié)商代表產(chǎn)生與集體合同表決的程序合法性。勞動(dòng)者個(gè)人信息處理行為的合法性來(lái)源廣泛多元，且存在互相轉(zhuǎn)化的可能性，需要集合對(duì)正當(dāng)性和必要性的審查進(jìn)行整體判斷。

其次，通過(guò)“合法、正當(dāng)、必要”原則彌補(bǔ)“告知—同意”規(guī)則的漏洞。在“告知—同意”規(guī)則具有漏洞或者超出其適用范圍時(shí)，適用“合法、正當(dāng)、必要”原則有助于對(duì)用人單位的行為和目的進(jìn)行認(rèn)定。根據(jù)“合法、正當(dāng)、必要”原則的內(nèi)涵對(duì)用人單位收集處理個(gè)人信息的目的的正當(dāng)性和必要性進(jìn)行判斷。對(duì)用人單位進(jìn)行目的審查，審查用人單位的處理目的是否正當(dāng)、明確、特定，是否保證勞動(dòng)者明確知悉目的并同意。同時(shí)，需要審查用人單位收集個(gè)人信息是否滿(mǎn)足處理目的；個(gè)人信息的收集處理是否超出用人單位的預(yù)期，同時(shí)是否超出勞動(dòng)者的預(yù)期；個(gè)人信息的性質(zhì)、范圍以及對(duì)勞動(dòng)者的影響；用人單位是否采取了保護(hù)或者補(bǔ)救措施等。

最后，根據(jù)“合法、正當(dāng)、必要”原則的內(nèi)涵判斷用人單位的責(zé)任承擔(dān)。在用人單位對(duì)個(gè)人信息收集和處理的后續(xù)行為超過(guò)限度造成損害的情況下，責(zé)任承擔(dān)應(yīng)當(dāng)根據(jù)“合法、正當(dāng)、必要”原則的內(nèi)涵進(jìn)行判斷，并對(duì)此風(fēng)險(xiǎn)進(jìn)行平衡分擔(dān)，不能將此風(fēng)險(xiǎn)完全轉(zhuǎn)嫁給本就沒(méi)有承受能力的勞動(dòng)者，需要讓用人單位共擔(dān)風(fēng)險(xiǎn)。用人單位對(duì)收集的勞動(dòng)者個(gè)人信息有安全保障義務(wù)，需要采取技術(shù)措施對(duì)勞動(dòng)者的個(gè)人信息進(jìn)行保護(hù)，在必要時(shí)最好對(duì)勞動(dòng)者的個(gè)人信息進(jìn)行處理以消除一部分識(shí)別性。同時(shí)，用人單位在勞動(dòng)者的個(gè)人信息被泄露或者侵害時(shí)負(fù)有補(bǔ)救的義務(wù)。用人單位在收集勞動(dòng)者的個(gè)人信息時(shí)的理由正當(dāng)且必要，但是在后續(xù)的保存過(guò)程中發(fā)生了客觀變化使得其處理的理由不符合原則要求時(shí)，需要根據(jù)具體情形進(jìn)行判斷，盡可能平衡風(fēng)險(xiǎn)的分擔(dān)。運(yùn)用比例原則對(duì)勞動(dòng)者的損害程度和行為的必要性進(jìn)行比較和權(quán)衡，判斷用人單位是否存在正當(dāng)利益，對(duì)勞動(dòng)者的損害與獲益是否成比例，是否是對(duì)勞動(dòng)者損害最小的方式，如果對(duì)勞動(dòng)者的人格權(quán)或人格尊嚴(yán)造成嚴(yán)重侵害，應(yīng)認(rèn)為不符合正當(dāng)性、必要性的要求，是違法行為，用人單位應(yīng)當(dāng)承擔(dān)相應(yīng)責(zé)任。

四、結(jié)語(yǔ)

我國(guó)《個(gè)人信息保護(hù)法》作為基本法，對(duì)個(gè)人的信息安全保護(hù)提出了新的要求和挑戰(zhàn)，也直接關(guān)系到我國(guó)勞動(dòng)者群體的個(gè)人信息權(quán)益。勞動(dòng)關(guān)系下的“告知—同意”規(guī)則的適用是勞動(dòng)特殊場(chǎng)景下的個(gè)人信息保護(hù)的核心，在此基礎(chǔ)上需要結(jié)合“合法、正當(dāng)、必要”原則的要求對(duì)勞動(dòng)者的合法權(quán)益進(jìn)行保護(hù)。要完善“告知—同意”規(guī)則的內(nèi)涵，明確“合法、正當(dāng)、必要”原則的審查范圍，建議由行政監(jiān)管機(jī)關(guān)、最高人民法院出臺(tái)部門(mén)規(guī)章或司法解釋對(duì)此加強(qiáng)規(guī)則闡明與規(guī)范解釋?zhuān)纬上鄳?yīng)的制度限制，進(jìn)一步對(duì)勞動(dòng)者的個(gè)人信息進(jìn)行保護(hù)。