个人信息保护的劳动基准立法探析

陈迪文

（湖南大学 法学院，湖南 长沙 410012）

劳动者的隐私权保护问题从21 世纪初就引发了社会的广泛关注，且科技的进步使得侵犯劳动者隐私权的现象层出不穷，每一次新技术的问世都将该问题以一种不同的面貌呈现在大众面前，例如早年间互联网普及时期，企业购置网络监控软件监视员工的现象就已引发了社会对用人单位管理权和员工隐私权边界的思考［1］，2009 年前后的乙肝携带者就业歧视案件［2］以及相关的基因歧视案件［3］进一步引发了社会和法学界对劳动者隐私权的关注。如今这种对劳动者隐私权的关注逐渐转化为对劳动者个人信息保护的关注，一方面是由于《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的出台在法律上明确了个人信息的概念内涵，另一方面则是由于传统隐私权已不足以应对大数据和人工智能带来的新挑战，例如南京某环卫公司给环卫工人发放智能手环来进行监工①、深信服科技公司研发行为感知系统（Behavior Awareness System）用于模拟分析员工的工作效率和离职倾向［4］，这种通过可穿戴设备或者智能监控系统收集员工信息并进行人工智能算法分析以实现人力资源管理的行为已远超传统隐私权保护制度的规制范畴。

现有的个人信息保护制度虽然建立起了一般性的规则，但对处于弱势地位的劳动者而言却是远远不够的。劳资关系具有其特殊性，《民法典》《个人信息保护法》提供的救济手段也不利于维系劳资关系的和谐稳定，劳动者的个人信息保护问题需要在一般规则的基础上辅以倾斜保护规则进行解决，而目前的劳动法又缺少对劳动者个人信息保护的关注。全国人大社会建设委员会关于第十三届全国人大第四次会议的报告中指出基本劳动标准②立法已列入十三届全国人大常委会立法规划③，此时通过《中华人民共和国基本劳动标准法》（以下简称《基本劳动标准法》）建立起劳动者个人信息保护的基本规则是十分恰当的时机，本文将进一步分析该立法对于实现劳动者个人信息保护的必要性和可行性，并尝试提出相应的立法建议。

一、个人信息安全作为劳动基准的必要性分析

劳动基准法一般又称劳动条件基准法，主要由以实现劳动关系中劳动者权益基准化为基本职能的各项劳动法律制度所构成［5］，就规范内容而言，劳动基准一般涉及劳动者工资、工时、休息休假、安全卫生、伤病医疗、死亡抚恤，以及女工、童工、学徒特殊保护等有关事项，而劳动者的个人信息安全并不在传统的劳动基准范围内。劳动基准法诞生于传统工厂生产时代，该背景下的劳动条件主要指向劳动者的生命健康以及薪资待遇，而数字经济时代的发展赋予了数据作为生产要素的重要价值，这也推动着劳动条件由实到虚的发展趋势，因而劳动基准的内涵也必然随着社会的进步而扩展，这使得个人信息安全作为劳动基准成为可能。

（一）数字经济时代的劳动基准包含个人信息安全

劳动条件包含劳动者人权保障，而劳动者个人信息安全属于劳动者人权保障的范畴。国际劳工组织1999 年第87 届国际劳工大会的局长报告中首次提出“体面劳动”的概念，将满足劳动者精神需求作为劳动者保护的要求之一［6］，联合国经济、社会和文化权利委员会也在2006 年通过的第18 号一般性意见的第7 条中指出，体面工作尊重工人的基本人权和精神健康。物质性保障是实现体面劳动的基础，但缺乏个人信息安全的工作同样无法让劳动者享有精神层面的“体面”，例如在2020 年广东省高院审理的一起劳动合同纠纷案中④，员工张某因不服用人单位在其工位正上方安装高清摄像头而引发纠纷，最终被公司解聘，该员工作为公司的中层管理干部享受着充分的物质保障，但公司过度的监视并未让她感到本应在劳动中获得的体面和尊重，广东省高院支持了用人单位的诉讼请求，充分肯定了用人单位的自主管理权，但员工在工作场所是否完全不存在私人领域，这种因过度监视带来的精神困扰是否同样需要得到法律客观的评价？事实上此案不久后颁布的《个人信息保护法》第6 条所确立的最小损害原则一定程度上能够作为支持原告诉求的法律依据，因为该摄像头的摆放位置和清晰度已超出用人单位所欲实现之目的，在用人单位对员工惰性的担忧之下实则隐含着对劳动者个人信息安全的漠视。近年来此类“摄像头之争”案频繁发生足以说明劳动者个人信息安全意识的不断增强与用人单位过度监视之间的矛盾正愈演愈烈，而处在矛盾中心的个人信息权益对劳动者人权保障的重要性已不言而喻，这进一步揭示了其在客观上已构成劳动者工作所必需的劳动条件。

在劳动法理论中，有学者认为除了作为劳动水平的基准，还有作为劳动关系运行规则的基准［7］，大数据、算法以及自动化决策等新技术显著增强了用人单位对劳动者劳动过程的支配性，而劳动者的个人信息为过度支配提供了不合理的基础，从劳动过程的控制规则上而言，劳动者个人信息安全属于劳动基准的范畴。新技术的出现实际上革新了劳动关系的运行规则，一方面互联网、云计算的普及使得更多用人单位能够享受大数据、算法以及自动化决策等计算机技术带来的人力资源管理红利，它能够帮助企业挖掘员工潜力、优化组织架构，提高人力资源绩效管理的工作效率［8］，另一方面它也可以轻易地实现对劳动者关于工作能力和表现的数字画像。沦为被操控的“数字人”似乎成为了数智时代劳动者不可逃脱的宿命［9］，这种区别于从属性的强支配性已经被默认为数字时代劳动关系的新特征，只要掌控了劳动者关键的个人信息就足够产生驱动劳动者的支配力，这也是为何新业态下美团等众包工作用人单位可以不依赖劳动合同的从属性而支配劳动者的原因，不加约束的算法规则所营造出的“多劳多得”实际上是数字剥削的骗局，劳动关系从弱从属性走向强支配性已然改变了传统劳动关系的运行规则。劳动基准法需要对这种非传统的劳动关系运行规则进行基准化，尤其是对劳动过程的控制规则设置底线性的约束，因此就必然需要通过劳动基准法对劳动者的个人信息进行保护。

（二）现有的个人信息保护立法对劳动者救济不足

首先，个人信息保护的规则本身缺乏对劳动者弱势地位的考量。个人信息保护立法本身承载着个人信息的保护和利用之间的矛盾［10］，其规则的设计是建立在主体平等地位的基础之上的，例如《个人信息保护法》中最重要的“知情同意”规则就是适用于平等主体之间的意思自治理念的体现。劳动者所面临的首要问题是如何防止因弱势地位导致的对其个人信息安全的侵害，而不是合理开发和利用其个人信息的问题，这种立法理念的偏差注定了《个人信息保护法》在规则设计上难以负担对劳动者倾斜保护的任务。

其次，个人信息保护立法在私人救济路径和公力救济路径的选择上同时存在适用障碍和不完善的问题。《民法典》《个人信息保护法》提供的救济路径主要基于侵权法，劳动者通过诉讼或者仲裁的私人路径寻求个人信息权益的救济一方面容易导致劳资关系破裂，另一方面即便劳动者在事后进行维权也面临着举证困难、维权成本过高的问题，这种因欠缺对劳资关系特殊性的考量导致的路径障碍倒逼劳动者接受个人信息被侵犯的现实。此外，《个人信息保护法》虽然同时具备公法和私法属性，但在解释与适用时，公私法如何配合与适用仍莫衷一是［11］，并且其所提供的公法救济主要依赖国家网信部门协调，而劳动部门的执法权限也尚未明确，公力救济路径的不完善导致难以实现对劳动者的有效保护。

最后，劳动者个人信息保护的立法现状要求在劳动基准法中奠定劳动者个人信息保护的体系基础。《个人信息保护法》对劳动者的保护仅仅依靠第13 条第2 项规定显然是远远不够的，这说明现有的立法体系放弃了在《个人信息保护法》中采取专门章节立法保护劳动者的模式，这种做法符合我国个人信息保护实践基础薄弱的现实，《个人信息保护法》生效后以第13 条第二项的实践状况为依据在劳动法体系中进一步完善对劳动者的个人信息保护制度是更为稳妥的立法路径，而劳动基准法是劳动者权益保护的底层立法，是目前探索并构建劳动者个人信息保护体系基础的最佳选择。

（三）个人信息安全攸关劳动者其他基准权益

前文述及用人单位借助新技术结合个人信息强化了对劳动关系的过程控制，在这个过程中同时也危害了劳动者其他基准权益的实现。首先，因劳动者个人信息安全得不到保障而导致的就业歧视问题最为明显。这种现象普遍发生于招聘求职阶段，除了基于生理条件的歧视以外，越来越多的用人单位利用《中华人民共和国劳动全国法》（以下简称《劳动合同法》）中劳动者的告知义务条款，通过心理测试、背景调查，甚至询问怀孕计划、原生家庭状况等生活资讯来筛选劳动者［12］，其中部分措施实际上已超过了《劳动合同法》中用人单位了解劳动者的权利范围。

其次，使用劳动者个人信息进行人力资源开发也对工时、休息等劳动基准的实现产生严重破坏，例如美团外卖利用算法不断压缩骑手的送餐时间［13］本质上就超出了人力资源优化的合理限度，是对劳动者剩余价值的压榨，放任这种做法会导致对劳动基准法中工时、休息制度的变相破坏［14］，同时也十分容易引发职业安全事故，2021 年国家市场监督管理总局颁布的《关于落实网络餐饮平台责任切实维护外卖送餐员权益的指导意见》中要求平台不得将“最严算法”作为考核要求，应当遵循“算法取中”的理念，这实际上就是一种规范用人单位的劳动者个人信息处理规则的做法，本质上就蕴含着保护劳动者个人信息安全以保障其他劳动基准权益的理念。

二、劳动基准立法实现劳动者个人信息保护的可行性分析

劳动基准法具有底线性、法定性、强制性的特点，通过劳动基准法实现劳动者个人信息保护的可行性在于劳动基准法本身的这些特性与目前劳动者个人信息保护所面临的困境之间具有契合性，同时它们也决定了这种可行性的限度，通过劳动基准法一劳永逸地解决劳动者个人信息保护问题也是不切实际的。可行性分析既要指出劳动基准法解决劳动者个人信息保护问题的积极作用，同时也要避免使其负担不合理的立法任务。

（一）底线性与个人信息的保护不足问题

劳动基准法具有底线性，旨在保障劳动者最大限度的工作待遇，而我国劳动者的个人信息保护亟须托底性的基础性规则。首先，《个人信息保护法》为劳动者提供的特别保护规则仅有第13条第2 款，但严格来说，该条款也并不能解释为是对劳动者的倾斜保护，而应当解释为一种“双保护”，该条款一方面通过“必需”来限制用人单位处理劳动者个人信息，另一方面也肯定了用人单位基于劳动合同和人力资源管理来开发利用劳动者个人信息的权利，可见《个人信息保护法》并不包含倾斜保护原则的视角，更无从基于该原则为劳动者的个人信息保护建立有效的底线保护。其次，劳动者的个人信息安全状况既是客观的劳动条件又是劳动关系运行规则的重要影响因素，如同工资、工时、休息休假制度一样，劳动者的个人信息安全也可以设定最低的基准，包括劳动关系不同阶段、劳动者个人信息不同处理场景下的最低要求，劳动基准法对于这一点的实现是具有可行性的。

劳动基准法的底线性也意味着其提供的保护仅在最低限度内具有可行性。由于个人信息的概念内涵和法律属性具有复杂性，尤其是劳动者基于工作领域产生的个人信息具有特殊性，例如用人单位监督员工履行劳动义务以及进行人力资源管理本身具有合法性，这表示对于更复杂的劳动者个人信息处理情景，通过基准化的路径来保护劳动者的可行性会大打折扣，而罔顾劳动基准法底线性的特点强行提供高标准的保护同样也不利于劳动基准的普及和执行［15］。但这种保护不足的现象并不能完全否定劳动者个人信息基准化路径的可行性，而是引导劳动基准法在力所能及的范围内对劳动者个人信息提供恰当的保护。

（二）法定性与个人信息的协商利用问题

劳动基准法具有法定性，是国家干预不平等主体之间的意思自治以实现实质平等的表现，这意味着劳动者个人信息保护基准化后，部分关于劳动者个人信息的权利义务关系将直接预设为劳动关系的内容，同时也将排除当事人对个人信息处理的意思自治，有助于纠正目前企业以自主管理权为名过度侵犯劳动者个人信息权益的乱象。

同时需要明确的是，基准化的法定性并非完全否定“知情同意”规则，排斥意思自治以保护劳动者个人信息的可行性建立在完善“知情同意”规则的基础之上。数字经济时代中，数据作为生产要素有开发利用的巨大价值，劳动者的个人信息也不例外，这也是驱使企业开发利用劳动者个人信息的原动力之一，但劳资双方因个人信息处理而产生权利冲突的根本原因在于法律的缺位。除了限缩“知情同意”规则，劳动基准的法定性则要求确立劳资双方对于个人信息处理的权利边界，例如明确劳动者个人信息的类型及其权利范围、实现劳动者个人信息处理规则的场景正义［16］等等，这些措施都将为劳资之间的协商谈判奠定有效的磋商基础。

（三）强制性与劳动监察成本问题

劳动基准法具有强制性的特点，通过劳动基准法为劳动者的个人信息保护提供公权力保障具有可行性，尤其是来自劳动监察部门的执法监管。目前的劳动者个人信息保护缺乏公权力保障，《个人信息保护法》提供的救济途径以私力救济为主，在公力救济方面的主导部门也并非劳动部门，同时《个人信息保护法》第7 章所规定的法律责任也并不适合劳动者个人信息保护的情景，例如第66 条第2 款中按营业额的百分比进行罚款以及停业整顿和吊销许可的做法鲜见于劳动监察立法中，该做法并不利于保护劳动者，甚至与劳动者的利益需求背道而驰，而劳动基准法产生的公法效果以责令改正和罚款补偿为主，既能对用人单位产生威慑效果也能保障劳资关系的和谐稳定。

与此同时，公权力保障事实上还面临着行政执法成本的问题。我国目前的劳动监察范围本身已经十分宽泛［17］，将个人信息保护纳入劳动基准立法中必然引发由成本问题导致的有效性方面的质疑。但首先需要澄清的是，提供公权力保护劳动者个人信息的主张并非完全建立在“国家本位”的传统行政思想，而是基于劳动者个人信息保护的必要性，并且为其提供公权力保障也不意味着不计成本地进行行政干预。尽管劳动监察成本的增加难以避免，但这也是政府面对数字时代无法回避的问题，并且只要选择差异性监管等成本节约型方案来消解行政成本问题，劳动者个人信息保护的基准化路径就具有可行性。

（四）小结

劳动基准法的底线性和法定性共同指向了现有劳动者个人信息保护规则的适用困境。同时，劳动基准法的强制性特点则契合于目前的劳动者个人信息保护的救济困境。尽管受限于“最大限度保护”、劳动者个人信息开发障碍、公力救济成本问题等阻碍因素，但整体而言，根据底线性与法定性的要求限缩“知情同意”规则以及类型化劳动者个人信息处理规则、通过强制性特点补充有效的公力救济手段等措施都体现了劳动基准法路径实现劳动者个人信息保护的可行性。

三、《基本劳动标准法》中劳动者个人信息保护的立法建议

通过劳动基准法实现对劳动者的个人信息保护是建立在我国目前一般个人信息保护制度的基础上的，是一般规则下的特殊规则，因而我国《基本劳动标准法》中的个人信息保护制度既要符合劳动基准保护的一般规律，也要实现与现有个人信息保护制度的有效衔接。

（一）设立禁止性规范限缩劳动者个人信息处理规则

由于我国目前的个人信息保护立法缺乏对劳动者的针对性保护，如何限缩目前的个人信息处理规则在劳动关系领域中的适用已成为劳动者个人信息保护议题的重点。首先，关于“知情同意”规则，劳动者面临着因其弱势地位而难以做出“有效同意”的困境，因而澳大利亚、德国、芬兰、法国和英国等国家的个人信息保护立法都否认将劳动者同意作为信息处理的合法性依据［18］，也有学者主张通过目的限制与比例原则平衡劳动者的个人信息权益保护与信息利用［19］；其次，《个人信息保护法》第13 条第2 款中的“必需”作为一种典型的“语境依赖型”概念，如何进行法律解释以限制该条款的滥用也十分困难［20］。此外，《劳动合同法》第8 条关于劳动者的说明义务，对于“与劳动合同直接相关”的解释也面临着同样的问题，在个人信息保护的范畴中“直接相关”的解释方向需要转向限缩以实现对劳动者的保护。上述问题的解决方案往往以对“合理原则”“最小损害原则”“比例原则”等抽象规则的把握作为重心，但在劳动基准法中重述一遍个人信息保护的原则性规定并无多大裨益。

劳动基准法作为强行性规范，通过设立禁止性规范对个人信息处理的一般规则进行具体化是更具可操作性的方案。劳动基准法应当尽可能地通过禁止性规范列举实践中侵犯劳动者个人信息权益的常见情形，例如背景调查、非常规的性格测试、询问怀孕计划、基于面部识别的智能监控、非工作场所的视频监控等情形，积极将取得共识的侵犯劳动者个人信息权益的行为转化为禁止性规范。一方面禁止性规范有利于用人单位保护劳动者个人信息权益合规工作的开展，另一方面也能够帮助劳动者形成客观的个人信息权益“边界感”，准确认知用人单位侵犯个人信息权益的行为，更重要的是，劳动基准法可以借禁止性规范帮助更好地揣摩国家对弱者保护的实际尺度，发挥其对抽象原则适用的指导作用［21］。

（二）劳动者个人信息的分级处理

由于劳动者个人不同信息的功能、价值和作用不同，因而对劳动者个人信息保护进行基准化应当建立在分级处理的基础之上。就个人信息的重要程度而言，劳动者的个人信息可以分为敏感信息和一般信息，这也是基于《个人信息保护法》的一种重要区分方式，即使存在处理敏感个人信息的合法性基础，企业也需要遵循更严苛的处理规则；就劳动者的个人信息的作用来说，劳动者的个人信息可以划分为与劳动关系无关的其他社会关系所产生的个人信息、劳动者在工作场所产生的一般信息、完全由劳动关系赋予的个人信息，与劳动关系结合越紧密的个人信息对企业管理的作用越大，用人单位处理该个人信息的合法性基础就越强，对其保护必要性也就越弱，这也与劳动者的从属性认定具有一致的法理逻辑。

首先，劳动者的敏感个人信息与劳动者的人格尊严和财产安全具有重要关联，因而处于劳动基准保护的第一阶梯。劳动基准法对该层次的个人信息可以沿用个人信息保护法对于敏感个人信息的处理规则，在除了劳动者的个别同意以外，劳动基准法还应当列举法定的允许处理的情形，具体化基于公益原则、劳动者利益等情形下的规则适用。

其次，与劳动关系无关的其他社会关系所产生的个人信息处在劳动基准保护的第二阶梯，因为该类型的信息与劳动关系的关联性较弱，用人单位缺少收集该类型信息的必要性和合法性基础，对于该类型的劳动者个人信息的处理和收集应当适用严格的比例原则。

再次，劳动者在工作场所产生的一般信息位于劳动基准保护的第三阶梯，例如网页浏览记录、监控画面、工作地点定位等，劳动基准法对该类型的信息应当在收集上放宽标准，在信息处理与存储规则上设置指引性规范，例如保障劳动者对个人信息处理规则的知情权、增强用人单位自动化决策的透明度、规范劳动者个人信息存储介质的运行安全等等。

最后，完全由劳动关系赋予的个人信息则缺乏保护的必要性，如职位信息、工资数额、职务行为等。总体上说，劳动基准法主要关注对于第一、二阶梯信息的保护，此外的信息通过倡导性规定提供指引即可，而对于不同行业的劳动者个人信息处理规则也可以依据该原则进行具体细化。

（三）强化劳动监察保障劳动者个人信息安全

劳动基准的执行依赖劳动监察部门的参与和监督，保障劳动者的个人信息权益则要求将该事项纳入劳动监察的范围。《个人信息保护法》第60 条确立了国家网信部门作为个人信息保护工作的主导和统筹部门，而劳动者的个人信息保护困境与其人身从属性关系息息相关，劳动保障行政部门更适于为之提供更丰富且直接有效的保障措施，例如直接进入有关用人单位检查、要求用人单位配合查阅和复制有关劳动者个人信息处理的资料以及询问有关人员、宣传国家关于劳动者个人信息保护的相关政策法规、引导和要求用人单位整改落实劳动者个人信息保护制度等等。

在强化劳动监察保障劳动者个人信息安全的同时也应当做好配套措施。一方面需要强化劳动监察的执法力量，劳动监察行政部门应当建立起与工会的联合监督机制，寻求公力救济与社会救济的最大合力，除了及时查处劳动违法行为，劳动监察行政部门可以借助工会缩小劳动者与用人单位之间对于个人信息处理协商利用的谈判能力差距［22］，增强劳动者的维权意识与用人单位的守法意识，实现柔性监管。另一方面也要建立差异性监管的机制以缓解行政成本的负担，例如根据《个人信息保护法》第62 条的规定考虑减轻或免除小型企业的个人信息处理责任；对于涉及劳动者较多的企业，如劳务派遣公司、互联网公司等，可以根据《个人信息保护法》第60 条建立起劳动监察部门与网信部门的协调工作机制。

此外，对于新业态下的劳动者管理形式，劳动基准立法可以秉持开放的立场，既要满足企业合理使用劳动者个人信息的正当需求，也要尊重劳动者享有“体面劳动”的权利，通过劳动监察部门的介入来平衡劳资关系，强化协商谈判的有效性。

四、结语

人工智能和大数据技术的发展和应用使得量化劳动者成为可能，在机器全面代替人类实现生产劳动的时代到来之前，劳动者的个人信息已成为演绎和束缚劳动者自身的代码标签，劳动者像机器一样工作正成为现实。劳动关系的从属性决定了发生在劳动领域的信息剥削问题一定更为严重，而现有的劳动法却缺少将劳动者的个人信息安全作为劳动条件的自觉性，作为保障劳动者基本权益的劳动基准法应当担负起在数字时代保卫劳动者“数字人权”［23］的使命。劳动基准法应当做好与《个人信息保护法》的衔接工作，此外，通过设立禁止性规范进一步限缩知情同意规则，进一步回应背景调查、智能监控、非常规性格测试、基于生物信息的自动化决策等频发的侵犯劳动个人信息权益的职场问题，对劳动者个人信息采用更清晰的分级管理规则，平衡用人单位与劳动者对个人信息使用的利益冲突，通过劳动监察实现对劳动者个人信息保护的现实依托。

注释

①参见《环卫工智能手环“监工”功能惹争议，原地停留20 分钟就“报警”》，载凤凰网，https：／ ／v.ifeng.com／c／v／38558eb5-b938-46f4-b567-f976f1241ee3，2022 年11 月1 日访问。

②我国文献中“劳动标准”与“劳动基准”存在混用情况，后文将采用“劳动基准”的表述，两者概念内涵基本一致，参见刘俊主编.劳动与社会保障法学［M］.北京：高等教育出版社，2017：189；王全兴，沈同仙，冯彦君，王文珍.专家谈：劳动基准问题［J］.中国劳动，2011（05）：7.

③参见全国人大社会建设委员会关于第十三届全国人大第四次会议审议报告，载中国人大网，http：／ ／www.npc.gov.cn／npc／c30834／202110／beac3521f2df434ca84bcec655aa5133.shtml，2023 年2 月25 日访问。

④参见张学娟、深圳市领达小额贷款有限公司劳动合同纠纷案，广东省高级人民法院（2020）粤民申8843 号再审审查与审判监督民事裁定书。