论劳动者个人信息处理的合法性基础

2023-01-04 06:55红,
关键词:信息处理合法性用人单位

张 继 红, 郑 书 康

(1.上海政法学院 上海全球安全治理研究院,上海 201701;2. 上海政法学院 经济法学院,上海 201701)

当前,在劳动用工场景中用人单位使用指纹认证、刷脸考勤和视频监控等手段已成为普遍现象,在提高用工管理效率、保护企业商业秘密的同时,亦存在过度采集、不当使用甚至违规披露劳动者个人信息等问题。人工智能、红外感应、间谍软件、手机追踪应用程序等新兴技术的应用使得信息的获取量更大且手段更为隐蔽,让劳动者毫无隐私可言,更遑论个人信息安全。基于此,各国监管机构纷纷加大了对劳动者个人信息权益保护的执法监督力度。2019 年7 月31 日,普华永道(PwC)因在处理员工个人数据时缺少合法依据而被希腊数据保护执法机构处以15 万欧元的罚款,成为欧盟针对涉及员工数据违规行为的首次处罚;2020 年10 月,德国汉堡数据保护局宣布对H&M 非法监视员工的行为处以约3526万欧元的巨额罚款,是欧盟《通用数据保护条例》(以下简称GDPR)生效后监管机构针对员工信息保护开出的最高罚单。[1]虽然我国早在2008 年1月施行的《劳动合同法》第八条中就规定了“用人单位有权了解劳动者与劳动合同直接相关的基本情况”,不过由于“直接相关”的具体含义并未作明确界定,实务中劳动者个人信息的合理使用边界仍然十分模糊。

刚刚通过的《个人信息保护法》作为个人信息保护领域的基本法,重申了以“告知同意”为核心的个人信息处理规则,并首次新增“实施人力资源管理所必需”条款,与“为订立、履行合同所必需”“为履行法定义务所必需”一起共同构成用人单位处理劳动者个人信息的合法性基础。然而由于劳动关系的非对称性,处于弱势一方的劳动者往往无法作出真正自由的“同意”,“必需”事由又过于模糊和原则,仍存在较大的解释空间,因而有必要对劳动者个人信息处理合法性基础的具体适用规则做进一步的深入探讨,以实现用人单位用工管理权与劳动者个人信息权益保护之间的动态平衡。

一、劳动者个人信息处理中“同意”的适用困境

目前,我国现行立法对取得个人同意依赖程度较高,如《网络安全法》第二十二条明确了收集、使用个人信息必须经“被收集者同意”;《民法典》第一千零三十五条将“征得该自然人或者其监护人同意”作为个人信息处理的原则性要求;《深圳经济特区数据条例》则专设一节“告知与同意”以强化取得个人的有效同意是合法处理个人数据的必要前提。在规范功能上,是否取得“同意”已然成为现阶段我国个人信息处理行为合法与否泾渭分明的界限。同样,实务层面监管机构对于互联网企业是否获得用户的有效同意也予以了重点关注。2019年12月,网信办发布的《App 违法违规收集使用个人信息行为认定方法》将违法违规收集使用个人信息行为的标准集中于“告知同意”的认定。这样的立法逻辑和监管思路使得“同意”作为处理个人信息的主要合法基础几乎成为一种共识。虽然存在其他不经同意直接处理个人信息的合法性事由,①我国《个人信息保护法》第十三条具体列举了个人信息处理者不经同意处理个人信息的五种法定情形,即:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。但相比“同意”这一“主干道”,后者显然属于“岔路”且存在严格的适用条件。质言之,“同意”已成为了企业处理个人信息首选的合法性基础。然而“同意”的有效性因其私法属性始终受到学界的质疑和批判,[2]在劳动场景中尤为突出。[3]根据我国《个人信息保护法》的规定,“同意”的实质性要件主要包括“自愿”“知情”“明确”以及“可撤回”四项。受到劳动场景下非对称性关系的影响,劳动者同意中的“知情”“自愿”两项实质性要件往往会出现虚化现象。

(一)“知情”的虚化

在劳动关系中“知情”的实现不仅高度依赖用人单位告知义务的落实,还受到劳动者对信息技术消化能力的限制,因此“充分知情”由于劳资双方在认知上的非对称性关系而难以保证。我国《个人信息保护法》明确赋予个人“知情权”,个人信息处理遵循“公开、透明”原则,特别强调“同意”应当由个人“在充分知情的前提下自愿、明确作出”,要求用人单位在取得劳动者个人“同意”前应当履行“以显著方式、清晰易懂的语言真实、准确、完整地”告知义务。然而,劳动者“知情”的有效性往往困囿于告知义务的虚化和自身的认知障碍。实践中用人单位为了达到用工管理的目的,告知的内容通常是含糊的、不充分的。反过来说,如果信息处理的形式和途径完全为劳动者所知悉,其监督效果也会被大打折扣。告知虚化所造成的信息不对称不仅意味着资讯与认知层面的差距,更决定了信息权力的势差。作为信息处理者的用人单位,极易利用技术优势形成的权力优势取得更强的谈判能力,逐步蚕食劳动者的议价空间与选择自由。而新兴信息技术在劳动场景中的使用,如办公自动化系统、键盘记录软件、红外线感应器等极具隐蔽性,对劳动者信息技术的理解与消化能力提出更高要求。相较于传统方式,新的处理形式更具迷惑性,劳动者往往不知道何时、何地以及如何被监控,而用人单位主动开发、安装和应用信息处理系统并独家访问和使用系统所产生的信息,进一步加剧了双方的信息不对称。[4]加之,数据挖掘技术的应用又在更深层次扩展和延伸了信息处理的深度与广度,可以通过信息的聚合赋予既定的个人信息不同的意义,这使得信息处理的结果呈现多变性。面对信息处理行为所带来的不确定性风险,劳动者很难判断和预期其个人信息的收集、使用与泄露到底会带来什么样的影响,因而无法作出理性判断。[5]

(二)“自愿”的虚化

劳动关系中劳动者的自由意志,因劳资双方经济地位以及权利义务上的不对等难以真正实现。用工招聘阶段,劳动者的数量通常会远超用人单位提供的工作岗位,只要用人单位拥有更多的招聘机会,劳动者在争取权益方面就处于相对弱势地位。劳动关系缔结后,用人单位提供的报酬是劳动者的重要生活来源,劳动者相应地需要承担保护单位集体财产与商业秘密、遵守企业规章制度、服从企业调度与培训等附随义务。在工作场所和工作时间内甚至私人生活中,劳动者都要维护用人单位的利益。以上要素共同限制了劳动者自由意志的表达,虚化了同意的“自愿”要件。

鉴于劳动者与用人单位事实上的不平等关系,域外立法与执法实践对于劳动场景下劳动者的“同意”都做了或多或少的限制。第29条工作组①第29条工作组是依据1995年欧盟《个人数据保护指令》第29条设立的。在《关于2016/679条例中“同意”的指南》指出,鉴于雇主与员工之间存在的依赖关系,员工几乎无法自由地拒绝或者撤销同意,只有在无论他们是否同意都不会产生任何不利后果的情况下,同意才能作为个人信息处理的合法性事由。雇主基于“同意”处理当前或者未来雇员的个人数据是存在问题的,因为其不可能自由地作出同意的意思表示。[6]英国工会联合会在2018 年发布的《职场监控报告》中明确,由于就业关系中的权力不平衡,雇主将不能依赖工人的同意来处理数据,并且在处理数据前必须进行风险评估。[7]《德国联邦数据保护法》第26 条规定,雇员的“同意”本身并不一定可以成为信息处理的合法性基础,而应考虑雇员的地位以及作出同意所处的特定环境。只有当雇主处理个人信息是为了使雇员获益,或者雇主和雇员利益一致时,同意才可作为信息处理的基础。在讨论数据保护法改革时,鉴于劳动关系中双方谈判能力的不对等性可能迫使雇员不自愿地作出同意信息处理的意思表示,德国政府甚至曾考虑在劳动场景中排除“同意”的适用。[8]14在美国法中“公平信息实践原则”(FIPPs)也包含了“知情”“同意”,但劳动者“同意”的有效性同样遭遇诸多质疑,即同意很可能是诸如失去就业机会的威胁下获得的,是不自由、不充分的。[9]49我国香港特区个人资料私隐专员公署在《雇主收集雇员指纹用作考勤用途的报告》中强调,当事人“同意”不能仅根据表面判断,重要的是需要了解当事人是否自由且自愿地作出有关的同意决定。如果当事人是在受到不恰当的压力、不当影响或者威迫的情况下作出同意的,则不能被视为公平。[10]

应该说,劳动者属于劳动力的提供者,几乎没有事实上的自由意志来决定什么时候、在什么条件下以及在多大程度上“同意”将他的个人信息披露给用人单位。采用强化劳动者同意机制的立法模式,不仅未能起到应有的保护效果,反而会加剧劳动者与用人单位之间的信息不对等。不同的利益取向会导致用人单位与劳动者在信息获取方面的对立与冲突,用人单位通常会基于企业自身利益及管理秩序的需要直接处理劳动者的个人信息甚至敏感个人信息,仅在少数情况下企业出于长远利益的考虑,才会试图调和与劳动者在信息权益方面的矛盾。在缺乏强制性规范矫正用人单位与劳动者之间非对称性关系的前提下,原本处于弱势地位的劳动者在面对用人单位给出的“工作与个人信息及隐私”二选一抉择时,大多数人只能在个人信息权益上作出妥协和让步。[11]

(三)从“同意”到“必需”的转变

如前所述,域外主要经济体的立法及执法实践已经认识到“同意”的适用困境,逐渐弱化“同意”作为劳动者个人信息处理的合法性基础,继而转向“必需”事由的适用。第29条工作组在《第8/2001 号关于在就业背景下对个人数据的处理》中强调,在雇主必须处理其员工个人数据的情况下,从员工的同意可使数据处理合法化的这一假设出发,具有明显的误导性。“同意”会受到场景限制而不能自由给予,因此,在大多数员工数据处理的场景下处理的法律依据不能也不应当是员工的同意,用人单位的数据处理行为需要新的法律依据。在就业环境中处理个人数据不论是否满足欧盟《个人数据保护指令》第7条中规定的任意一项标准,信息处理行为都应当是实现有关目标的“必要条件”而非充分条件。[12]1芬兰《工作场景下的隐私保护法案》指出,符合必要性要求是雇主处理雇员个人信息的先决条件,即使获得了雇员的同意,也不能排除信息处理的必要性要求。法国法考虑到劳资双方的从属性关系,认为雇主处理的合法性和合乎比例的控制更为重要,而同意仅应被视作一种补充性条件。[13]在加拿大执法实践中,隐私专员逐渐形成统一认识,即原则上只有在“为理性的人认为适当的目的”处理个人信息时才能适用“同意”,依赖同意并非“不受约束”,而是取决于对雇主目的的合理性审查,关键的考虑因素是这些信息收集行为本身是否“合理”。[9]153由此可见,逐渐脱离对“同意”的依赖转而追求更为客观的合法性标准,已经逐渐成为劳动者个人信息保护立法的发展趋势。

舍恩伯格提出大数据时代数据保护范式的四项变革,“从个人同意到让数据使用者承担责任”就是其中的变革之一,其希望构建不同以往的数据保护模式,注重数据使用者为其行为承担责任,而不是将重心放在收集数据之初取得个人同意上。[14]这一转变的根源在于以个体同意为主要框架的数据保护制度难以奏效,根据不同场景有针对性地强化数据处理者的义务与责任却能产生更佳的治理效果。具体到劳动场景,将个人信息保护主要寄托于劳动者的“同意”上,实质是将个人信息处理的风险转移至劳动者。在信息处理过程中,劳动者作为经济、技术及认知弱势的一方,难以通过对个人信息的有效控制实现其信息处理结果的实质公正。信息处理行为的合法性应当充分考虑雇主合法利益与雇员个人信息权利之间的冲突和协调,并根据具体场景作出判断。[15]与其从劳动者一端以“知情同意”机制给予形式化的保护,不如对用人单位一端施以利益平衡与风险控制义务来得更为直接和有效。质言之,劳动场景不能像其他个人信息处理场景一样将获得劳动者“同意”作为主要的个人信息处理的合法性基础,而应转向“必需”事由的细化适用。

二、劳动者个人信息处理的合法性路径:“必需”事由

我国《个人信息保护法》第十三条借鉴了欧盟GDPR 第6 条,将“必需”事由视为与“同意”相并列的合法性基础。从构成要件来看,“必需”事由包含特定目的与“必需”两部分,前者是合法、正当原则的体现,要求信息处理行为所预期实现的目的是依法设定的、正当的;后者是必要原则的具体化,要求在一定限度内对信息进行适当处理,实现处理目的所追求的利益与侵害风险之间的平衡。具体到劳动场景中,两者分别从目的与手段两个角度共同规制用人单位的信息处理行为,进而保障劳动者个人信息处理行为的合法性。

(一)与劳动场景相关的“必需”事由

根据欧盟GDPR 第88 条以及序言第155条规定,不同的“必需”事由代表着不同的特定目的,雇佣场景中信息处理的目的集中于招聘、履行劳动合同、执行法定和集体协议所规定的义务以及终止雇佣关系。与之相对应,欧盟GDPR 在第7 条中设置了“为订立、履行合同所必需”“为履行法定义务所必需”以及“为实现合法利益所必需”三项“必需”事由。除此之外,欧盟GDPR 第9 条还专门区分了特殊类型数据的合法性事由,将若干“必需”事由作为特殊类型数据处理的法定豁免情形,其中与劳动场景直接相关的是“为履行劳动法、社会保险法、社会保障法范畴内数据控制者或者数据主体的义务以及行使相应的权利所必需”[第9 条第2 款(b)项],“为了评估劳动者的工作能力所必需”[第9 条第2 款(h)项]。反观我国,《个人信息保护法》虽然在第十三条整体上借鉴了欧盟GDPR 第7 条,但并未引入平衡条款,也没有区分一般信息与敏感信息处理的合法性基础,仅在第一款第二项中对劳动者个人信息处理作了特别规定,即“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”,以此限定用人单位处理劳动者个人信息的正当性目的。

1.为订立、履行合同所必需

《个人信息保护法》第十三条第一款第三项与欧盟GDPR 第6 条第1 款(b)项均将“为订立、履行合同所必需”作为个人信息处理行为的一项合法性事由。德国《联邦数据保护法》第26 条第1 款规定,雇员的个人数据可基于雇佣相关的目的而进行处理,其中就包括作出雇佣决定或者受雇后为执行或终止雇佣合同等目的。[16]第29 条工作组在《第8/2001 号关于工作场景中数据处理的意见》中指出,适用雇主和雇员之间的雇佣合同是雇佣关系得以成立的基础,雇主为了履行合同规定的义务会产生处理雇员个人数据的需求,即“为履行数据主体为当事人的合同所必需”是雇主处理雇员个人信息处理的合法性事由。[12]1例如,在缔约阶段,用人单位通过简历或者社交媒体收集劳动者的履历,由此收集其个人信息进行就业筛选。在履约场景下,基于劳动合同向工人支付工资及社保,用人单位需要处理劳动者身份证号、银行卡号、社保账号等信息;为了方便公司的内部联系,建立包含员工姓名、性别、电话号码、邮箱地址等个人信息的通讯录;用人单位基于与员工之间的保密协议收集员工的身份证号、社交账号甚至离职后的新公司等信息。

2.为履行法定义务所必需

欧盟GDPR 中第6条第1款(c)项以及第9条第2款(b)项规定了劳动场景中个人数据处理的合法性基础。其中,前者“处理是数据控制者履行法定义务之所必需”是雇主处理雇员一般个人数据的法定依据。比如,依据劳动法和税法,雇主可以出于计税、缴纳社会保险等目的处理员工的姓名、性别、住址、联系方式、银行账户等一般个人数据。而后者则为雇主处理特殊类型的雇员个人数据提供了依据,欧盟GDPR第9条第2款针对特殊类型的个人数据设置了远高于一般个人数据的处理规则。①欧盟GDPR 第9 条规定了“特殊类型的个人数据处理”,列举了种族、民族、政治观点、宗教信仰、工会成员、基因数据、生物特征数据、健康数据、性生活或性取向等特殊类型数据,但未对什么是“特殊类型的个人数据”进行界定。针对特殊类型的个人数据,欧盟GDPR 采取以禁止处理为原则,允许处理为例外的保护模式。雇主原则上禁止处理特殊类型个人数据,仅在为劳动法、社会安全与社会保障法的范畴内履行义务所必需的情况下方可实施数据处理活动。例如,根据劳动法、社会安全法的规定,雇主出于工作场所安全、公共卫生安全的考虑可以处理劳动者的宗教信仰、医疗健康、基因数据等特殊类型个人数据。而且,特殊类型个人数据的处理活动还被施以更为严格的适用条件,即数据处理活动必须依据欧盟、成员国的法律或者依照成员国法律成立的集体协议实施,并对数据主体的基本权利和利益提供适当的保障措施,如通过数据加密处理、假名化处理、限制访问权限、定期销毁等手段降低处理活动所带来的风险。

相较而言,虽然我国《个人信息保护法》第十三条第一款第三项中也将“为履行法定义务所必需”作为个人信息处理的合法性事由,但关于敏感个人信息的处理与欧盟GDPR 存在一定差异,并未采用“原则禁止,例外允许”的规则,而是遵循“满足条件,一般允许”的路径,尚缺乏针对劳动者敏感个人信息保护的细化安排。换言之,《个人信息保护法》第二十八条并未禁止敏感个人信息的处理,仅设置了一定的限制性条件,即处理敏感个人信息应当具有特定的目的和充分的必要性,并采取严格保护措施。同时,敏感个人信息处理者还应向个人告知处理的必要性以及对个人权益的影响,并取得个人的单独同意或书面同意。具体到劳动场景,用人单位依据《劳动法》《社会保险法》《工伤保险条例》《食品安全法》《公共场所卫生管理条例》的相关规定,在履行支付劳动报酬、提供社会保险与福利、保证食品安全与公共卫生安全等法定义务时,不仅有权处理姓名、性别、家庭住址、身份证号等一般个人信息,还可对入职员工进行健康检查以了解其身体状况,要求其进入工作场所出示健康码、行程卡等,处理其医疗健康信息、行踪轨迹等敏感个人信息。

3.为实施人力资源管理所必需

用人单位因用工管理、工作计划与组织、工作场所的维护、保护客户及其自身财产等需要处理员工个人信息的情形,并不能完全被“为订立、履行合同所必需”以及“为履行法定义务所必需”所涵盖。鉴于此,欧盟GDPR 第6 条第1 款(f)项“处理是数据控制者或者第三方为了追求合法利益之所必需”(又称为“平衡条款”)存在一定的适用空间。该项对于个人数据控制者而言,在保护自身及第三方人身及财产安全、生产控制、商业秘密保护、人力资源管理来说意义重大,能够最大限度地削减其在数据合规上的成本,有利于平衡数据控制者与数据主体之间的利益冲突。

由于平衡条款需要根据利益的对比情况进行个案分析,具有较大的自由裁量空间,为了弥补合法性利益宽泛解释所带来的法律适用模糊性问题,第29 条工作组在《第6/2014 号关于数据保护指令第7 条中数据控制者合法性利益概念的意见》中将其分解为四项测试(即“平衡测试”):数据控制者的合法性利益、对数据主体的影响、临时性平衡以及数据控制者为防止对数据主体造成过度影响而采取的额外保障措施。其中,利益平衡既要遵循比例原则和透明度原则,还要依据数据主体的合理期待进行判断。[17]根据欧盟GDPR 序言第47 条规定,当数据主体不存在合理期待时,其个人的利益、基本权利以及自由处于优先地位,而在数据主体有合理期待的情况下,数据控制者的合法性利益处于优先地位。若经过以上四项测试证明数据控制者的合法性利益优先于数据主体的利益、基本权利与自由,数据控制者可以不经过数据主体的同意直接处理个人数据。[18]1第29 条工作组在《第8/2001 号关于工作场景中数据处理的意见》中进一步明确了欧盟GDPR 第6 条第1 款(f)项在劳动场景中的适用性。在波兰,已有学者将平衡测试置入劳动场景中并具体运用到雇员电子邮件的处理以及面部图像的保护之中。[19]

从内容上看,我国《个人信息保护法》《深圳经济特区数据条例》最终未将“合法性利益”作为个人信息处理的合法性事由,但考虑到用人单位基于维护日常的管理秩序处理劳动者个人信息的现实需求,还是在一定程度上吸收与借鉴了欧盟GDPR 的规定,肯定了劳动场景下用人单位的“合法性利益”。《深圳经济特区数据条例》第二十一条将“因人力资源管理、商业秘密保护所必需”单独列为无需同意即可处理员工个人数据的法定情形之一;《个人信息保护法》则在第十三条第一款第二项中将“实施人力资源管理之所需”明确作为个人信息处理的合法性基础。与此同时,为了严格限定用人单位处理劳动者个人信息的范围、数量及限度,防止用人单位以“实施人力资源管理之所需”为由过度收集和使用个人信息,在“实施人力资源管理之所需”之前专门设置了“按照依法制定的劳动规章制度和依法签订的集体合同”的附加性要求。具体来说,该项事由贯穿于劳动关系的始终,从获取求职者简历或者委托第三方对求职者进行背景调查甚至心理评估,到要求新员工进行入职体检、办理门禁,再到员工入职后的生产线管理、病事假管理、员工培训与开发、绩效管理、薪酬管理、员工流动管理、员工关系管理、员工安全与健康管理、离职管理等过程,都需要涉及员工大量个人信息,甚至是敏感个人信息。

应该说,该条为用人单位处理员工个人信息的内部合规指明了方向,即经过必要民主程序制定的内部劳动规章制度以及企业职工一方与用人单位依据法定程序签订的集体合同中对劳动者个人信息的处理(如员工个人信息的分类分级保护机制、不同员工的信息访问权限、员工个人信息安全事件应急机制以及敏感个人信息处理的影响评估机制等)有规定或约定的,依据上述规定或约定处理,无需再征得劳动者个人同意,在遵循合规性要求的同时大大提升了用人单位的信息处理效率。

(二)“必需”的具体内涵

前文所述的三项“必需”事由确认并限制了用人单位在个人信息处理上的目的,但仅符合此要求并不足以证明个人信息处理行为的合法性。目的正当性仅是判定个人信息处理行为合法性的一部分,用人单位还需证明处理劳动者个人信息对所预期实现的目的是“必需”的。“必需”的内涵实质上发挥了个人信息处理阀门的调节作用,决定用人单位处理劳动者个人信息的实际限度,能够从实质上厘清用人单位用工管理权的边界问题。[8]15如果对“必需”事由的理解过于宽泛,可能会导致用人单位信息处理权限的无限扩张,势必损害劳动者个人信息权益。反之,倘若对“必需”事由进行过于狭隘的文义解释,又会限缩用人单位合理的信息处理权,阻滞用人单位用工管理权的实现。为避免“必需”事由落入形式主义的窠臼,有必要进一步明确“必需”的具体内涵。

1.“必需”的文义解释

从文义角度来看,“必需”(necessary)与“必要性”(necessity)的含义相同,均是必要原则的具体体现,故两者在理解和适用上一般不做区分。在欧盟GDPR中“必需”体现的是信息处理行为与目的之间的关联关系,但此概念并非为欧盟GDPR 所专属。早在欧盟GDPR 颁布前,“必需”一词已出现在《欧洲人权公约》《关于自动化处理的个人数据保护公约》《个人数据保护指令》《欧盟基本权利宪章》等文件之中,成为限制权利干涉的核心概念。[18]1

在《欧洲人权公约》框架下,个人的数据权益尚未成为一项独立的权利,但考察过去和现在的立法可以发现,个人数据保护发端于《欧洲人权公约》第8 条,数据权利也能够被“私人和家庭生活和通信的被尊重权”所涵盖。[20]437“必需”作为权利干涉的限度,在《欧洲人权公约》第8 条中被表述为“在民主社会中必需”,体现的是一种紧迫的社会需求。欧洲人权法院曾明确提出“必需”是一个较为模糊的概念,在不同场景中会有不同的含义,其与“不能缺少”(indispensable)有不同的含义,但也不如“ 可容许”(admissible)、“普 通”(ordinary)、“实 用”(useful)、“合理”(reasonable)或者“可取”(desirable)等表达具有弹性。[21]在司法判例中,欧洲人权法院主要通过以下三个要素评估必要性:一是迫切的社会需求,即评估社会需求的严重程度以及对社会造成的损害和紧迫性的影响;二是比例性要求,即该措施所造成的干扰应当与所追求的合法目标相称,权利干涉不得超过实现目的的需要;三是相关和充分的理由,即在前两者测评基础上提供充足的证据加以证明。[22]

在《欧洲基本权利宪章》框架下,数据权利被正式纳入公民的基本权利。[23]其中,第52 条第1 款规定权利干涉应当遵循比例原则,对数据权利的干涉应是根据法律为了满足一般利益目标或者保护他人自由和权利所必需。[9]111欧洲法院通过判例总结出确定“必要性”的方法,提出在评估处理是否必需时,原则上应当审查是否存在相应的措施不仅能够更少地影响权利,还能为实现目标作出贡献。[24]1欧洲数据保护监管机构(EDPS)特别指出,数据保护法中的必要性是一个基于事实典型的“语境依赖型”(contextdependent concept)概念,而不仅仅是一个抽象的法律概念,该概念必须考虑围绕案件的具体情况以及该措施的规定及其旨在实现的具体目的来考虑。一项措施的必要性应有相应的证据支持,这些证据说明了该措施要解决的问题,如何通过该措施来解决,以及为什么现有的或采用较少的侵入性措施不能充分解决的原因。[25]1

综上所述,《欧洲人权公约》与《欧洲基本权利宪章》所构建的权利保护基础框架对数据权利的定位存在一定差异,但在权利干涉的限度上均采用了“必需”这一核心概念。作为二级立法的欧盟GDPR,在适用“必需”一词时遵循了上述一级立法的语境理解。从文义解释来看,“必需”体现的是信息处理的限度,主要包含两层内涵:一是数据处理行为的紧迫性与有效性;二是数据处理的最小化原则。从评估标准来看,“必需”还与比例原则存在密切的关联,两者在理念上具有共通性,但具体内容呈现明显的差异,这已然超出了“必需”的字面含义。

2.“必需”与比例原则

欧 盟GDPR 序 言 第4 条、第156 条、第170 条将必要性与比例性作为数据处理的基本原则,其正文第6 条将必需作为数据处理的合法性标准,第35 条第7 款(b)项则将必要性与比例性测试作为数据保护影响评估的一部分。追溯必要性与比例性的渊源,两者均发端于《欧洲人权公约》第8条的相关判例中(即尊重私人和家庭生活的权利),在评估权利干涉的限度中往往同时出现。[26]

值得注意的是,从《欧洲人权公约》到《欧盟基本权利宪章》,必要性与比例性之间的关系发生了根本性变化。根据欧洲人权法院的判例,在对干预或限制基本权利行使的措施的合法性进行评估时,必要性是其重要的法律依据,也是《欧洲人权公约》的核心内容。[27]在《欧洲人权公约》中比例性以必要性子测试的形式出现,也就是说,必要性在形 式 上 包 含 了 比 例 性 的 具 体 要 求。[20]437在《欧盟基本权利宪章》框架下,欧洲法院一定程度上吸收了欧洲人权法院对“必要性”的评估方法,以紧迫的社会需求作为必要性的评估要素,并将此评估标准运用到数据保护法中。[28]与欧洲人权法院不同,欧洲法院在理解“必需”时未将比例性作为子测试,而是整体上遵循比例原则的具体要求。为了满足比例原则,所采取措施带来的正向价值必须高于其负面影响,这一要求使得比例性(狭义的比例原则)与广义的比例原则分离,形成了与必要性相区分的评估测试。比例性被赋予了新的内涵,侧重于成本与效益的对比,或者说是利益与风险的平衡。由于数据权利产生于《欧盟基本权利宪章》,欧盟GDPR 对必要性与比例性之间关系的理解参考了《欧盟基本权利宪章》第51 条第1 款以及欧洲法院的判例。[20]440数据权利与其他基本权利一样,权利限制与干涉的限度主要遵循比例原则,该原则贯穿于欧盟数据保护框架之中,其中的必要性与比例性成为了欧盟GDPR个人数据保护影响评估的重要因素。[29]无论数据处理的法律依据如何,都应在开始前进行比例性测试,以考虑处理是否达到合法目的以及必须采取的措施,以确保将侵犯私人生活权和通信保密权的行为限制在最低限度。[30]

比例原则亦被应用到劳动场景中,成为域外立法中劳动者信息保护制度的核心原则。一些国家和地区针对劳动场景专门制定了明确的测试标准,以必要性与比例性平衡用人单位的用工管理权与劳动者个人信息权益保护。西班牙法院在雇员隐私权和雇主的商业合法需要之间进行利益平衡时,要求雇主采取的任何视听监控措施必须满足三段式测试:一是对合法商业目标的有用性(充分性测试);二是严格要求无法成功实现这些合法的目标(必要性测试);三是采取平衡措施,避免代表小商业利益过度牺牲工人权利(严格意义比例测试)。[31]日本通过制定法结合判例的方式来保护雇员隐私和个人信息,个人信息处理的合法性通常考虑四个因素:一是雇主是否具有信息处理的正当目的;二是信息处理对个人造成不利影响的程度;三是处理个人信息与实现目的的必要程度;四是雇主处理个人信息的方式是否适当。[32]《香港个人资料(私隐)条例》第1 原则“收集个人资料的目的及方式”也充分考量了个人资料收集、使用的必要性与比例性,个人资料是为了直接与资料使用者的职能或者活动有关的合法目的而收集,且该目的是必需、足够但不超乎适度,否则不得收集资料。香港个人资料私隐专员公署在《保障个人资料私隐指引:雇主监察雇员工作活动须知》中专门针对雇主从雇员监察活动中所收集的个人资料的必要性问题进行了规定,明确了雇主决定是否以及在哪些情形下并以何种方式对雇员进行监察,雇员是否已经获取足够的信息以了解雇主的监察活动,以及监察对雇员的隐私可能造成的影响等内容。同时,该指引还引入“3A”程序评估,以判断雇主对雇员实施监察活动是否符合实际需要并具有适当性。①“3A”程序分别为风险评估(Assessment)、替代选择(Alternatives)和尽责管理(accountability)三项。风险评估是指在顾及业务职能或者活动的合法目的时,评估雇主需管理的风险以及进行雇员监察活动所能达到的益处,其追求的是信息风险与收集、处理目的相对称。替代选择是指雇主应当考虑其他代替方法,采取同样具有相似成本效益但是对隐私侵犯程度较低的可行方法。尽责管理,即用人单位有责任采用并实施一套符合保障个人资料隐私原则的管理方法,妥善处理从雇员监察活动中收集的个人资料。

尽管不同国家和地区的立法与执法实践对必要性与比例性的关系存在不同认识,但两者都是判定个人信息处理的合法性标准。反观我国立法,《个人信息保护法》第五条将“必要”作为个人信息处理的基本原则,第十三条将“必需”作为个人信息处理的合法性基础,却始终未提及比例性。②需要说明的是,我国《个人信息保护法》虽然没有提及比例性的概念,但第六条“处理个人信息应当与处理目的直接相关”“采取对个人权益影响最小的方式”的表述以及第五十六条个人信息保护影响评估制度均在一定程度上隐含了比例原则的内容。如前所述,“必需”是一个场景依赖性概念,局限于文义解释会阻滞信息处理者合法利益的实现。事实上,比例原则的内核原理是在既定场景中衡量信息处理行为的利益与风险,高度契合了必要性语境依赖的特征,能够帮助“必需”脱离文义的束缚,有助于综合考量具体场景中个人信息处理的目的、范围和方式等因素,对判断用人单位信息处理的合法性与合理性具有重要意义。与此同时,比例原则还与《个人信息保护法》第五十六条所规定的个人信息保护影响评估机制相互融通,有助于实现“必需”的内涵从数据最小化向风险最小化进行延展。以比例原则优化“必需”的适用,能够促使信息处理者在确定合法性基础时便能预先判断信息处理活动所带来的风险。换言之,当用人单位在适用合法性基础时发现信息处理活动的利益与风险明显不成比例时,就能及时触发个人信息保护影响评估机制以防止风险的发生,真正做到未雨绸缪。因此,在后续《个人信息保护法》的实施及适用上应对“必需”内涵进行扩张解释,不应局限于文义解释,还应当涵盖比例原则的具体内容,让合法性事由的评估测试成为个人信息保护影响评估的初筛机制。如此一来,不仅可以细化基于场景的个人信息处理规则,符合我国《个人信息保护法》风险控制的基本理念,还能为用人单位处理劳动者个人信息提供明确的行为指引,有效防止过度采集和非法使用等问题。

三、构建劳动场景“必需”事由的评估测试

劳动者信息处理行为是否合法,并非僵化审视是否取得了劳动者个人同意,而需要结合具体场景评估信息处理是否符合必要性要求,以及是否有可能造成了不合理的风险。[33]即使针对个案场景进行动态的评估与裁量,立法上亦应设置评估测试以考量具体场景中各类要素的相关性与重要性。结合前文对“必需”事由的拆解,“必需”事由可分为目的正当性与必需两部分,由此“必需”事由的评估测试也应分为目的正当性测试与信息处理行为的必要性测试。前者要求信息处理行为合乎法律规定,后者则包括四层涵义:信息处理行为的紧迫性、有效性、风险最小化以及比例性。

(一)评估信息处理目的的正当性

确定信息处理特定、明确的目的是应用收集个人信息的充分性、相关性、比例性和准确性等要求的先决条件。[34]信息处理行为与实现正当性目的之间存在逻辑联系,用人单位选择不同的目的需要承担相应的证明责任。[25]1具体到“必需”事由中,目的正当性的适用和评估是“必需”事由的起始步骤。目的不正当则行为不合法,无论该行为能否带来收益。[35]从劳动关系建立到终止的整个过程来看,用人单位处理劳动者个人信息可以分为劳动关系缔约阶段、劳动合同履约阶段以及劳动关系终止阶段,不同阶段对应不同的信息处理目的。

在劳动关系缔约阶段,用人单位为了招聘到与岗位适配度高的求职者并与之缔结劳动合同,需要充分掌握其个人信息,以“为订立合同所必需”之目的作为处理个人信息的合法性基础来筛选合适的求职者。比如,通过简历或者社交媒体尽可能收集求职者的姓名、性别、年龄、邮箱、住址、联系方式、教育背景、工作经历等个人信息,以确保其符合岗位的具体要求。

在劳动合同履约阶段,用人单位可以根据不同情形分别实现“为履行合同所必需”“为履行法定义务所必需”以及“实施人力资源管理所必需”之信息处理目的。比如,用人单位要求员工入职时填写入职登记表,以处理劳动者的姓名、年龄、身份证号、学历、住址、家庭情况等个人信息。又如,为了履行支付劳动报酬、社会保险等法定义务,需要处理劳动者的银行账号、社保账号等个人信息。再如,在工作场所安装指纹打卡、面部识别打卡、视频监控等技术设备,以评估劳动者的工作表现从而优化人力资源管理、保护企业财产安全和商业秘密。

在劳动关系终止阶段,用人单位基于与员工之间的保密协议以及竞业禁止协议,可以收集并存储员工的姓名、身份证号、电子邮箱、新入职岗位等相关的个人信息。虽然原有的劳动关系已终结,但基于双方签订的协议形成的权利义务关系,即“为履行合同所必需”,用人单位具有为了实现特定的合同权利而处理劳动者个人信息的目的正当性。

上述数个“必需”事由均存在特定且独立的适用空间,不过彼此之间并非完全割裂,还存在着交叉与重叠的情况。例如,用人单位为了支付劳动报酬而处理劳动者的姓名、身份证号、银行卡号等个人信息,既是为了履行劳动合同所必需,也是为了履行法定义务所必需。在工作场所中使用指纹识别、视频监控等方式处理劳动者个人信息,用人单位既可能是出于保证劳动场所安全的考虑,也可能是为了评估劳动者的工作绩效。用人单位收集劳动者的健康医疗信息、体检报告等敏感个人信息,可能是为了订立、履行劳动合同或者实施人力资源管理时确定劳动者的工作能力,也可能是为了履行法定义务确保工作场所安全以及食品和产品质量。在信息处理行为同时符合数项正当性目的时,用人单位应当根据具体场景评估信息处理行为与正当性目的之间的关联度,两者间的关联度越高则用人单位信息处理行为的合法性越为充分,结合场景进行综合考量后应当选择关联度最高的“必需”事由,再进行后续“必要性”评估测试。

(二)评估信息处理行为的必要性

必要性意味着对信息处理的手段进行基于事实的综合评估,主要包括信息处理行为的紧迫性、有效性、风险最小化以及合比例性。

1.信息处理行为的紧迫性

信息处理行为的紧迫性应当是现时的,即评估用人单位在不采取某一信息处理行为的情况下,是否会带来不可逆转的损害。[24]1倘若有证据证明用人单位不采用某一信息处理行为会招致不可逆转的伤害,招致的伤害越大则不作为的后果越为严重,信息处理行为的紧迫性也会相应增强。信息处理行为的紧迫性应当根据社会的整体态度作出评估,不能够超越一般人的认知和观念。在具体场景中信息处理行为的紧迫程度是存在差异的,法益的优先级以及不处理个人信息所招致的损害都会影响信息处理行为的紧迫程度。①例如,在国泰航空诉行政上诉委员会及个人资料私隐专员案中,香港特别行政区高等法院原诉讼法庭认为个人资料私隐专员与行政上诉法院的理解错误,主张在特定情况下可以强制披露个人信息,例如出于雇员个人利益以及社会利益的考量,在通知拒绝披露的后果后可以强制披露核电站雇员的医疗记录。香港特别行政区高等法院进一步指出,本案中基于公共利益以及企业用工管理的考虑,雇员有义务提供个人资料,并且国泰航空也履行了不良后果的通知义务,最终撤销了个人资料私隐专员与行政上诉法院的决定。参见香港特别行政区高等法院原讼法庭宪法及行政诉讼2008年第50号判决书。一般而言,出于法益优先、利益平衡的价值理念,相较于公司财产、人力资源管理等财产法益,人身法益、公共法益具有更高的优先级。[36]由此,用人单位为了工作场所安全、产品和食品安全、公共卫生安全等与人身法益、公共法益相关的目的处理劳动者个人信息往往具有更高的紧迫性。

2.信息处理行为的有效性

信息处理行为的有效性,是指信息处理行为能够有效地促进预期目的的实现。评估信息处理行为的有效性不能局限于拟采取措施本身的有效性,还应当充分考虑现有措施对于实现特定目的的有效程度。对现有措施的执行和审查不足,可能导致缺乏足够的理由和证据来证明拟采取的措施对于实现目的是必要和成比例的。[37]因此,用人单位在评估拟采取措施的有效性时,还应当评估现存措施的有效性是否充足。倘若其无法完成上述证明责任,则意味着拟采取的措施对于实现目的非但不存在有效性,反而会对劳动者造成不必要的个人信息风险。例如,为了维护公司财产而安装、增加工作场所内的监控设备,用人单位应当证明现有的监控设备不足以维护公司财产安全,以及安装、增加新的监控设备能够弥补监控盲点,提高公司财产的安全性。否则公司安装监控设备的行为仅是出于提高财产安全的设想,实际中并未发挥真正的效用。再如,为了考勤打卡而安装指纹识别、面部识别,用人单位不仅应证明现有的签到表、打卡机、磁卡签到、手机应用签到等手段不足以实现考勤目的,还须证明指纹识别、面部识别能够有效实现考勤打卡的目的,否则该信息处理行为对于考勤目的不具备有效性。

3.信息处理行为的权益侵扰与风险最小化

权益侵扰与风险最小化是指在同等有效的信息处理行为中选择对劳动者权益侵扰与风险最小的行为。用人单位应当在确保有效性的基础上,评估拟采取的信息处理行为是否比现存信息处理行为以及其他替代性方案具有更低的权益侵扰和风险。劳动场景中的风险特指信息处理行为给劳动者带来财产、情感、私人生活等方面的潜在风险。即使用人单位在信息处理上存在正当性目的,但当其给劳动者所带来的风险明显过大时,信息处理行为的正当性会相应减弱。行为、空间、环境、设备等要素都会影响个人信息处理行为的风险,社会习惯、法律责任、风险控制能力等规则也在同步塑造着信息主体对个人信息保护的合理预期和对个人信息处理风险的容忍度。特定社群或特定共同体影响着信息主体的权益,在规范劳动场景下的个人信息保护限度时,必须参考劳动场景的特点和合理预期设定一般标准。具体而言,用人单位应当基于个人信息处理的范围、期限、个人信息影响三个角度进行分析。一是信息处理限于实现特定目的的最小范围。用人单位信息处理的范围越大,则对劳动者可能造成的潜在信息风险就越高。用人单位为特定目的处理劳动者的个人信息,应当尽可能地缩小信息收集、使用以及储存的范围,严格限制和禁止粗放式、批量化的信息处理行为。例如,用人单位在收集劳动者个人信息之初,应采集仅供实现其特定处理目的的尽可能少的个人信息,限制采集宗教信仰、特定身份、生物识别等敏感个人信息。二是信息处理限于实现特定目的的最短期限。用人单位基于特定目的处理劳动者个人信息,目的本身具有存续期限。这意味着当特定目的不再存续或已经实现时,继续处理个人信息不再具有正当性,用人单位应当及时删除或销毁相关个人信息。三是信息处理应当采取对劳动者个人信息权益影响最小的方式。这要求用人单位审慎评估信息处理的方式,并采取有效措施降低信息处理所带来的风险。例如,用人单位在收集劳动者个人信息时,可以通过匿名化处理降低识别员工身份的可能性。在收集劳动者个人信息后,通过实施个人信息加密、分散化储存以及限定访问权限等方式最大程度降低劳动者个人信息被泄露、篡改、非法使用等风险。

4.信息处理行为的合比例性

信息处理行为的紧迫性与有效性体现了用人单位在信息处理上的合法性利益,权益侵扰与风险则体现了信息处理行为对劳动者个人信息权益的影响。利益与风险的合比例性测试即是检验用人单位用工管理权与劳动者个人信息保护是否达到实质上的平衡。不论是过分夸大利益的重要性,还是过度关注风险的严重程度,都必将导致两者之间利益关系的失衡。具体而言,从利益角度出发,用人单位处理劳动者个人信息的紧迫性和有效性越高,则信息处理的正当性越强。然而,片面注重用人单位信息处理的效率,又极易落入功利主义的泥沼,对劳动者的个人信息造成不必要的侵扰和风险。从风险角度出发,用人单位的信息处理行为所造成的风险越低,则信息处理行为的合比例性就越为稳定。但过低的风险则意味着用人单位的信息处理范围、期限以及手段都极为保守,在一定程度上又制约了用人单位的用工管理权。合比例性测试正是通过平衡劳动者个人信息处理过程中的利益与风险,将信息安全保护措施纳入信息处理的合法性判定中,从而实现用人单位与劳动者之间利益和风险的平衡与稳定。在此项测试中,用人单位在处理劳动者个人信息时应当结合具体场景综合考量利益与风险是否平衡,以及所采取的相应措施是否足以控制风险。倘若经评估信息处理的风险利益失衡或存疑,用人单位可以考虑以侵害较小的措施替代拟制措施,或者采取隐私增强技术等附加技术措施,触发个人信息保护影响评估机制以重新恢复信息处理行为的比例性。

四、结语

数字技术的革新与发展,使得信息主体权益被侵害的风险不断增加,提升个人信息保护水平的呼声日益强烈。采用赋权模式对个人信息权益进行保护的思路过于理想化,在日益复杂、隐匿化的技术面前,缺乏技术认知能力、处于信息不对称弱势方的信息主体往往难以真正行使法律所赋予的权利。“同意”事由在劳动场景中的虚化困境只是问题的一个侧面,实质是传统意义上静态的、强调赋权的个人信息保护框架已经无法适应数字时代纷繁复杂的个人信息处理场景。个人信息保护领域的基本法——《个人信息保护法》获得高票通过,标志着我国个人信息保护进入一个新时期,如何在具体案件中贯彻实施相关条款及立法意旨,对企业的内部合规、监管机构的执法活动和司法机关的法律适用都提出相应的要求。“魔鬼藏在细节之中”,只有建立更为细致和客观的评估测试标准,实现个人信息处理合法性事由的“场景化”“动态化”“具象化”,才能更好提升个人信息保护规则的适用性,有效回应不同情境下个人信息保护的差异化诉求。

猜你喜欢
信息处理合法性用人单位
“毫米波雷达系统设计与信息处理技术”专题征文通知
东营市智能信息处理实验室
基于Revit和Dynamo的施工BIM信息处理
性骚扰的用人单位法律责任研究
Westward Movement
1.举证责任倒置对劳动争议仲裁有什么意义?
合法性危机:百年新诗的挑战与应战
面向地震应急响应的互联网信息处理
集体合同纠纷,用人单位“三不能”
浅谈汽车养护品生产的合法性