集体劳动法视域下的劳动者个人信息保护研究

熊依婷

(重庆大学 法学院，重庆 400044)

近年来，数据算法的飞速发展使个人信息权益保护受到各领域的广泛关注。《民法典》与《个人信息保护法》均从立法层面对个人信息处理作出了一般性的规定，然而由于劳动关系的从属性，此二者所预设的调整方式因缺乏针对性而难以适用于劳动领域。在职场语境下，为实现优化企业人力资源管理的目的，采用内含数据算法的高科技手段收集劳动者个人信息似乎是理所应当，但数据算法的复杂性也为用人单位侵害劳动者个人信息权益提供了更加隐蔽的手段。为缓解用人单位管理权与劳动者个人信息权益的冲突与对立，有学者提出应当对同意规则的适用作出限制[1]236，也有学者尝试从劳动法的角度出发构筑保护路径[2]153，还有学者通过引入目的原则以限制用人单位信息处理的范围[3]109。总体而言，当前学界就劳动者个人信息保护的研究均以个人权利保护为出发点，而忽略了从集体保护层面探讨劳动者个人信息权益保护的可能性。纵观劳动者隐私保护的相关研究，如何发挥工会集体谈判的力量往往成为论证的核心问题。工会作为调解劳资冲突的组织机构，能够代表劳动者与用人单位进行有效协商，这能在一定程度上缩小劳资双方谈判力量的差距。因此，本文主要从集体保护的视角入手，探究工会在劳动者个人信息保护中的地位与角色。通过分析现有保护规则与监督手段，以及劳动关系自身的从属性特征，说明作为个体的劳动者在维护其个人信息权益上的局限性，论证由工会介入劳动者信息保护的必要性并提出具体的保护路径。

一、劳动者自主维护个人信息权益的局限性

劳动者个人信息保护的困境来源于多个方面：从规则层面分析，已有的保护手段因缺乏针对性而难以在劳动领域发挥出预期的作用，以个人信息保护法为主的相关立法将消费者与数据平台作为预设调整对象，从个体层面进行的制度设计难以为劳动者提供有效的保护；从监督机构角度分析，由于监督机构自身的封闭性特征，加之其往往承担多项工作任务，导致监督手段极易产生有效性不足的问题；从劳动关系角度分析，劳动者在多个方面均须服从于用人单位，劳动关系的从属性是削弱劳动者自主维权的重要原因。

(一)现有保护规则的针对性不足

《民法典》特设专章将个人信息与隐私权并列，明确知情同意作为个人信息保护的重要规则，并赋予信息主体删除、更正个人信息的权利，确立个人信息保护的价值标准与基础规范，但其对个人信息的保护仍需依靠《个人信息保护法》进行落实。例如，处理个人信息应当公开处理的具体规则被《民法典》规定为个人信息处理的透明规则，但仅凭法条的规定仍无法就“如何公开”作出回答[2]148。此外，《民法典》作为调整平等主体间权利义务关系的法律规范，其中强调的意思自治与私法意义上的平等在遭遇劳动关系的实质不平等时，往往无法提供劳动者所需的倾斜保护。

《个人信息保护法》作为保护信息权益的专门立法，从修正案到正式出台均受到大量关注。为回应大数据时代社会对个人信息保护的需求，《个人信息保护法》明确了个人信息处理应遵守的具体原则和规则，其中，形成于小数据时代的知情同意规则往往成为讨论的中心。该规则常常适用于平台经营者通过隐私政策与用户协议收集处理劳动者个人信息的场景，即其通常调整经营者与消费者之间的权利义务关系[4]。由于劳动者的弱势地位与消费者的弱势地位存在一定的相似性，因此，将《个人信息保护法》中的规则适用于劳动领域看似顺理成章，实则不然。其理由主要有以下两个方面：一是意思自治遭受挤压的程度不同。劳动关系天然具备的从属性意味着劳动者难以违背用人单位的意志，几乎无法对用人单位收集个人信息的要求说“不”。在意思自治空间被急剧压缩的劳动领域，以信息自决为基础的知情同意规则的失灵几乎是逻辑推演的必然结果。而经营者尽管在经济实力与信息获取方面远胜于消费者，但在这一法律关系中，消费者仍保有独立人格，面对平台经营者不合理的信息收集要求仍存在行使拒绝权的可能性。二是凭借强化信息披露义务的路径很难缓解劳动者与用人单位间的冲突，因信息披露的目的在于缩小主体间的信息差，而信息不对称仅能被认定为劳动关系不平等的成因之一。由此，以消费者与平台经营者为预设调整对象的《个人信息保护法》，在劳动领域的适用缺乏针对性。

在我国现有的劳动领域立法中，与劳动者人格权益保护相关的规则几乎属于劳动领域立法的空白，而以维护劳动者物质性人格利益的规则已趋于完善。无论是《劳动法》赋予劳动者获取劳动报酬、享受社会福利的权利，还是劳动者享有的平等就业权、自由选择权与休息休假权，均体现出立法对劳动者财产利益与人身利益的充分关注。事实上，作为调整劳资关系的专门立法，《劳动法》在为劳动者提供倾斜保护上具有天然的优势。但由于法律天然的滞后性，目前我国劳动法规范尚未提及劳动者精神性人格权，以劳动者个人信息为代表的精神性人格利益的保护也处于缺位状态。《劳动法》第88条从侵权责任的角度出发，就侵害劳动者人身权益应当承担的法律责任作出规定。劳动者作为信息主体，对其个人信息等精神性人格利益的保护具有理论上的应然性，但法律规则的滞后进一步增大了劳动者寻求权利救济的难度。

此外，《劳动合同法》第8条对用人单位知情权作出了规定，但该条的表述过于抽象，何为“与劳动合同直接相关”尚存在进一步解释的空间。为进一步明确用人单位知情权的范围，学者们往往通过分析用人单位在劳动关系的不同发展阶段收集劳动者个人信息的具体目的，来判定用人单位知情管理权行使的合理限度，但遗憾的是这一分析手段尚且停留在理论论证阶段[5]。当前，与劳动者个人信息权益相关的争议案件并不多见，但在已有的隐私权争议案件中，司法判例大多偏重维护用人单位知情权，而仅对“是否履行劳动合同的必要性”作出形式审查，裁判说理部分也缺乏严密的逻辑推理。同时应当认识到，由于我国各行各业用工的形式存在较大差别，即便引入场景化的判断方式，也难以为每一种劳动关系下用人单位的权利行使划定具体的认定标准。

由上述分析可知，《个人信息保护法》作为信息保护的专门立法，尽管已经为信息平台设立了多重义务以保护作为信息主体的消费者权益，但受立法时代背景限制，在面对同样需要倾斜保护的劳动关系时其有效性难免不足。而由于立法与修法进程的安排，劳动领域的立法尚未发挥出其调整劳动关系应有的针对性与有效性。

(二)监督手段有效性缺失

借鉴欧盟立法经验，我国对数据处理者同样采用加强其义务承担的方式对信息处理行为进行规制。要检验信息处理者的相关义务是否履行，除了明确具体认定标准，更重要的是如何对其进行有效监督与管理。《个人信息保护法》从国家层面与地方层面分别确定了国务院有关部门与县级以上地方人民政府有关部门作为执法主体，进行个人信息处理的监督管理工作[6]。可以说，通过行政手段对信息处理者进行监管，是大数据时代个人信息安全治理社会化转向的具体表现。

然而，作为监管主体的各部门仍保留着传统科层制的组织协作方式，面对瞬息万变的网络世界，由于统一协调机制的缺乏，各部门很难在短时间内为信息主体提供有效帮助[7]。从前述分析可知，《个人信息保护法》以平台经营者作为预设调整对象，其中确立的基础框架存在场景化不足的现状，导致与预设行业差别较大领域的信息处理行为无法得到有效规制。加之现有监管机构往往承担多项任务，其中有关个人信息保护的内容呈现边缘化趋势，这就极易导致个人信息保护的监管由于缺少应有的关注而成为空谈[8]。即便《个人信息保护法》已通过列举的方式明确了数个具体场景下个人信息的合理利用，但由于算法覆盖下信息处理的复杂性，形式合法而实质违法的情形仍不在少数。此外，受监管机构高度的组织封闭性影响，信息主体在监管决策实施过程中的参与度也存在明显不足[9]。

(三)劳动关系从属性削弱维权意愿

受大陆法系相关学说的影响，学界常采用劳动者对用人单位具有的从属性来描述劳动关系的不平等性[10]。此种特性来源于用人单位经营管理的需要，与常见的消费者与经营者间因信息差而产生的不平等存在一定的差异性[3]107。具体而言，劳动者作为用人单位的组织成员，在用人单位管理下完成工作任务，并通过定期发放的劳动报酬维持生存。这就意味着，劳动者在组织层面、人格层面以及经济层面均需服从于用人单位。在高科技飞速发展的今天，为提升用工效率，采用智能算法监督劳动者工作时间内的行踪，通过监控收集劳动者个人信息的现象屡见不鲜。同时，用人单位的知情权为其信息收集行为提供了最正当的理由，模糊的权利范围为信息侵害提供了生长空间。在“实施人力资源管理”这一目的的包裹下，极具专业性的算法与智能化手段的应用进一步拉大了二者地位的差距，维权主动性与客观条件的缺失同时成为劳动者维权之路的阻碍。个体层面救济手段的缺失，在客观上对第三方介入劳动者个人信息保护提出了要求。

此外，当谈及个人信息保护时，学者们更多着眼于探究由于个人信息遭受侵害而产生的各类风险。而在劳动领域下，此种风险的实现往往表现为劳动者遭受就业歧视，因个人信息泄露而遭受的各类经济损失，以及对劳动者身心健康造成的不良影响。而身处侵害手段更加智能化、隐蔽化的大环境中，作为个体的劳动者难以对相关风险进行有效预测，更遑论积极维护自身的信息权益。从表面上看，立法就个人信息保护赋予信息主体的拒绝权、删除权等似乎能够在用人单位侵害劳动者权益时发挥积极作用，但仔细分析《个人信息保护法》出台的背景不难发现，其主要目的在于规范大数据时代信息处理者处理个人信息的行为，其中预设的规则适用场景在劳动领域往往缺乏针对性。在这一前提下，面对用人单位以“实施人力资源管理”为目的的信息收集要求，劳动者在考虑到拒绝行为可能带来的后果时，往往会选择服从用人单位的要求，提交相应的个人信息，而无论该信息是否属于“实施人力资源管理”所必需。此外，当侵权行为发生时，即用人单位因其过分收集劳动者个人信息或不当管理相关信息的行为已经对劳动者权益造成了损害，劳动者向用人单位提起诉讼的可能性也极低。主要原因在于，采取侵权救济路径不仅将消耗大量的时间与精力，还意味着劳动者将承担繁重的举证责任。但大多数情况下，大量有利于劳动者的证据往往掌握在用人单位手中，证据收集对于劳动者而言几乎是无法完成的任务。

二、工会集体保护劳动者个人信息的必要性

由于劳动者从个体层面寻求权利救济的局限性，加之多数信息处理行为往往缺乏有效监督，本文将着重分析借助工会集体的力量来保护劳动者个人信息的必要性。

(一)缓解劳资冲突的合理选择

基于集体力量优于个人力量、劳动者群体力量强于个体力量的逻辑推理，通过群体谈判更有益于劳动者权益的保护，此为工会参与集体协商的逻辑基础。尤其是在需要法律提供倾斜保护的劳动领域，这一原理体现得尤为明显。劳资双方的地位差距压缩了劳动者自由意志表达的空间，因此，与个人信息处理规则相关的谈判常常以劳动者的顺从与妥协而告终，劳资双方的权利义务往往通过雇佣合同一笔带过。而在工会的介入之下，采取工会劳资会议的谈判手段能有效缓解劳资双方冲突对抗局面。

有鉴于《个人信息保护法》与《民法典》紧密的关系，我国学者常常从私法角度入手研究劳动者个人信息保护，也有不少学者从行政法甚至宪法层面对相关问题进行探究，但极少出现以工会集体角度为主的研究。相较我国的研究进路，国外学者在这一问题上则进行了更多的尝试。不少学者将研究视野扩大到工会集体保护上，讨论如何通过发挥工会集体谈判的效力以保障劳动者权益,通过对比个体力量与集体力量的差异，得出“集体力量更有利于劳动者权益保护”的结论[11]。此外，这一观点同样反映在国外的相关立法中。欧盟《通用数据保护条例》明确各成员国可以通过集体协议等方式就劳动者信息处理的相关问题作出更细致的规定[1]229，《德国联邦数据法》也对工会代表劳动者进行团体协商的能力作出肯认。

工会并非劳动关系的主体，通过工会进行集体协商能够有效维持劳动关系的持续性。劳动关系作为持续性的社会关系，其存续不仅依赖于劳动者对用人单位天然的从属性，还涉及劳资双方信任的延续。然而，无论是劳动者与用人单位的事前协商，还是劳动者在知悉自身权益遭受侵害后的救济，均无益于劳动关系的维护。尽管法律已经赋予劳动者拒绝用人单位在法定情形之外收集其个人信息的权利，但在实践中，此种拒绝权的行使容易被打上“不信任”用人单位的标签，因而影响劳动者就业的稳定性。此外，通过侵权诉讼维护劳动者个人信息权益往往意味着劳资双方信任关系的彻底终结。然而，工会与劳动者之间的关系属于委托代理关系，且工会作为劳动关系之外的第三方主体，不受用人单位管理权之限制，从某种意义上来说，工会甚至可以成为监督用人单位行使知情管理权的主体。因此，由工会对劳动者个人信息进行保护，代理劳动者进行协商，不仅可以有效缓解劳资双方的冲突与对立，还能将矛盾有效调解在基层。

(二)工会组织的应然职责

20世纪后半叶，伴随着世界经济的飞速发展，一向被认定为劳动领域核心问题的工资斗争趋于平缓，这不仅得益于各国立法对劳动领域的高度关注，从经济层面考虑，更是资产阶级让渡部分利益的结果[12]。这就使以为争取劳动者经济利益为主要工作内容的工会组织难以发挥自身作用，直接后果即表现为工人入会率直线下降，工会组织遭遇边缘化危机。跨入21世纪后，以部分发达国家为首的劳动立法体现出强烈的人文关怀色彩，其内容涉及用工环境的改善以及劳工自身健康权益的保护。此后，整个国际大环境也开始重视劳动者基本人权的保护，由国际劳动组织提出的“体面劳动”的劳动基准理念正是这一转变的具体表现[13]。在个人信息安全被反复强调的算法时代，为反抗资本剥削诞生的工会或许也应当顺应大数据时代的背景更新其自身的价值理念与工作内容，而不是作为时代的产物被浪潮淹没。

由于立法进程的安排，劳动者保障其人格权益的需求尚未在我国劳动领域立法中得到回应。但在劳动者的重要权益与用人单位发生冲突时，工会应当按照《劳动合同法》的规定，代表劳动者与用人单位进行进一步协商。应当认识到，代表与维护职工的利益是工会的基本职责，工会作为维护劳动者法权益的重要组织，其工作内容不应局限于劳动集体物质性人格利益的保护。在劳动者物质性人格权得以保持其完整性的前提下，应当把维护劳动者人格尊严与自由作为工会工作的首要目的，而保护劳动者个人信息权益则是实现这一目的的合理路径。

当前，不少学者认为个人信息保护仅仅关涉个人权益，与自然人个人信息保护相关的大量研究多着眼于个体层面而少有论及对集体利益保护的意义。实际上，有学者指出除个人信息权益的私法保护模式外，个人信息权益公法保护进路同样值得重视。这一观点也侧面揭示出个人信息保护的社会特质。在劳动关系中，这种特质体现得更为明显。当同意规则难以发挥出预期的法律效果，从个体层面寻求保护劳动者个人信息权益的路径受阻时，客观上也为通过集体路径保护劳动者个人信息权益提出了要求[14]。信息网络的快速传播使信息侵权呈现出受害者人数众多的态势，大数据的运作机制决定了个人信息侵权巨大的波及范围。具体到劳动领域，侵权行为的发生往往会对特定范围内的劳动群体权益造成不同程度的损害。个人信息权益的权利束属性意味着在劳动者个人信息权益遭受侵害后，其平等就业权、心理健康以及财产利益均可能遭到不同程度的损害。而就业率以及劳动者自身的身心健康状态常常反映出一个社会的秩序与稳定程度。因此，畅通工会代表劳动者进行集体协商的道路，不仅能够实现保护劳动者权益的目的，还有益于维持良好的社会秩序。

三、工会集体保护劳动者个人信息的路径探究

现有规范大多以单独的个体作为信息权益主体进行制度设计，而劳动关系从属性的特点意味着此种路径在劳动领域无法发挥出预期的效果。在明确工会集体保护有效性的基础上，进一步思考如何完善相关制度，为劳动者个人信息构筑集体保护的路径才是解决问题的关键。具体来说，劳动者个人信息保护应采取何种规范模式，如何提升工会集体协商能力与参与企业规章制定的程度等问题均需作进一步讨论。

(一)加强劳动领域立法

参考劳动者个人信息保护的域外经验，可将国外相关立法大致划分为三种规范模式。一是通过个人信息保护法对劳动者个人信息权益提供统一保护。此种模式为欧盟、德国等立法所采纳。二是通过设立单行法以维护劳动者的个人信息权益。美国、法国、芬兰等国家选择了此种方式对劳动领域的个人信息处理行为进行调整。三是将个人信息保护纳入劳动法的设计框架。法国《劳动法典》与波兰《劳动法典》均对用人单位处理劳动者个人信息的行为提出了具体要求。考虑到我国的《个人信息保护法》已生效实施，短时间内很难在其中纳入针对劳动者个人信息保护的相关内容，而出于维护法律体系完备与节约资源的考虑，单行立法的路径同样欠缺合理性。因此，基于劳动法调整劳动关系所具有的优势与丰富经验，遵循劳动法路径，将劳动者个人信息保护纳入劳动基准法更符合我国当前的立法进程。

而通过劳动领域立法为劳动者个人信息提供保护，同样面临着确认用人单位信息处理行为是否具备合法性基础的难题。考虑到作为个人信息处理合法性基础之一的知情同意规则在劳动领域的适用困境，应当在立法中进一步细化采集体路径收集处理个人信息的规定。目前，用人单位可依据其制定的劳动规章收集劳动者的个人信息，而无需劳动者作出单独同意。但实践中的劳动规章就劳资双方权利义务的规定往往不够清晰，并且劳动规章的内容往往也由用人单位单方决定，这就极易导致形式平等但实质不平等的情况出现。此外，集体合同中如果就劳动者个人信息保护的相关事宜进行了约定，则用人单位同样无需征得劳动者单独同意。劳动者以个体身份与用人单位签订劳动合同时，即便用人单位出具的雇佣合同条款明显不合理，饱受就业压力的劳动者往往也会为了工作岗位而忽略其自身敏感信息受保护的需求。而集体合同在一定程度上能够加强劳方的谈判力量，可以说，工会谈判能够在劳动规章的制定以及集体合同的签订过程中弥补劳动者谈判力量不足的缺憾。但现有的劳动领域立法对集体劳动关系的关注严重不足，与集体劳动关系相关的内容极少，并散见于《工会法》《劳动合同法》以及个别法律中的部分条文，尚未形成统一的体系。工会为劳动者个人信息权益提供保护具有理论上的应然性，但提供此种保护应以法律依据的完整与充分为前提。因此，工会在劳资双方就信息收集处理产生的冲突中应当承担哪些义务，工会具体按照何种程序参与相关谈判，其可以代表劳动者就哪些个人信息作出同意的意思表示以及劳动者是否可以放弃由工会代表其进行谈判，均有待立法进一步的明确。

(二)增强工会集体协商能力

作为独立于劳动关系的第三方，工会代表劳动者与用人单位进行平等有效的协商不仅具有理论的应然性，也能于立法层面得到支撑。《劳动合同法》与《工会法》均明确规定，工会可以通过平等协商与签订集体合同的方式，代表劳动者与用人单位进行谈判。而要达到切实增强工会集体协商能力的目的，首先应当夯实集体合同的制度基础。除有关集体劳动关系的法律法规尚未形成体系的问题外，集体合同协商形式化的问题同样影响着劳动者个人信息的集体保护。具体表现为，不少集体合同的签订与履行仍以完成行政任务为目标，劳动领域尚未形成真正的协商谈判机制。为加强集体协商的有效性，应当鼓励劳动者积极参与协商，参考劳动者的真实意愿确定协商内容，充分保障劳动者知情权与监督权的行使。

尽管《个人信息保护法》已就个人信息处理的一般规则作出规定，并于相关条文载明了告知的具体内容。然而无论一般个人信息的收集，还是劳动者个人信息的收集，当信息处理者向信息主体履行信息收集处理的告知义务以获取其同意时，信息主体只能在同意或拒绝间作出选择，而极少能够就相关内容提出自己的建议。具体到劳动合同领域，用人单位往往在合同订立之初向劳动者说明信息收集的目的、使用范围以及可能产生的风险，以履行其作为信息处理者的告知说明义务。劳动者往往只能选择同意，无论这一选择是否为其内心真意的表达。考虑到多数劳动者在求职谈判的过程中处于劣势地位，依靠工会在集体合同签订时就个人信息处理的相关细节与用人单位进行协商就显得尤为重要。在集体合同签订时，若工会与用人单位无法就合同载明的个人信息保护条款达成一致，可依据《劳动法》第84条要求人民政府劳动行政部门处理。通过这一路径，劳动者方能获得与用人单位就个人信息处理问题进行“协商”的机会。

在影响集体劳动谈判的因素中，除了集体合同的制度设计，工会自身的协商能力同样发挥着重要作用。而在劳动者参与集体协商的积极性不足的企业，工会入会率往往难以达到理想状态，这就使得基层工会谈判能力不足，无法发挥集体协商的实际优势。对此，应当鼓励劳动者积极参与集体协商，告知集体协商可能对其自身权益产生的重要影响，加深其对集体协商制度重要性的认识。在此基础上，应当考虑集体协商的内容是否反映多数劳动者的意愿，协商的内容与结果是否及时向劳动者公开，保障集体协议代表能够反映出广大职工的内心诉求，并对打击报复协议代表行为作出及时有效的制止。此外，对我国的工会组织而言，劳动者个人信息保护完全是一项崭新的工作内容，许多工会尚未认识到个人信息权益对劳动者群体的重要意义。应增加从事集体协商的专职人员，并要求工会组织内部进一步学习相关法律知识，加强对劳动者个人信息保护的理解与把握。

(三)提升民主程序参与度

劳动关系的特殊性导致判断劳动者单独同意的真实性与自愿性存在困难，因此《个人信息保护法》特别将“企业制定的劳动规章制度”与“集体签订的劳动合同”作为劳动者同意的替代形式，并与其他合理利用个人信息的法定情形并列。然而在当前的法律框架下，通过此两种方式缓和同意规则在劳动领域所面临的困境收效甚微。具体而言，我国《劳动合同法》明确企业规章的制定主体为用人单位，这就表明，企业规章对劳动者个人信息处理作出的具体规定，很可能只是用人单位单方面的意见，而劳动者很难通过民主程序表达自身的合理需求。进而，在劳动者拒绝用人单位收集信息的要求后，用人单位也能通过企业规章为自身的信息处理行为披上合法的外衣。而此种法律规定显然不符合劳动领域立法倾斜保护的逻辑，在现有的法律框架下，应当寻求更有利于劳动者权益保护的解释路径。

其中，《个人信息保护法》对劳动规章制定提出的“依法”要求，可以为企业严格遵守民主程序、保障劳动者在规章制度中的参与度提供依据。就企业劳动规章的制定而言，尽管用人单位仍拥有最终决定权，但只要能够发挥民主程序自身所具有的公平性与透明性，就能在一定程度上提升劳动者在劳动规章制定时的参与度。而现行《劳动合同法》即对劳动规章制定时的民主程序作出了简要规定。其中不仅明确了用人单位应当依照民主程序制定或修改与劳动者切身利益有关的规章制度，同时还规定了在用人单位未依照前述要求采取民主程序时，由劳动行政部门作出警告并责令改正。需要明确的是，由于劳动者个人信息权益保护属于与劳动者切身利益相关的事项，因此应当进一步明确企业制定劳动规章所遵循的民主程序的具体要求，保障民主程序实施的透明度。通过强制要求工会参与民主程序以提升工会在劳动规章制定时的参与度，尽可能多地为劳动者争取应有的权益。此外，当劳动行政部门发现企业未遵循民主程序制定劳动规章，可能对劳动者个人信息权益造成损害时，除了给予警告，还可以结合《个人信息保护法》给予用人单位行政处罚。