论目的原则对劳动者个人信息处理法定许可的限制

郑玉亭

（青岛农业大学人文社会科学学院，山东青岛 266000）

0 问题的缘起

数字时代用人单位采用智能坐垫、智能手环、智能行为感知系统等手段对劳动者进行管理，[1]场景日益丰富、形式日益多样。数字技术的使用在提高管理效率的同时，也在不断侵蚀劳动者个人信息保护的边界，劳动者个人信息面临被过度收集和过度处理的风险。现行劳动立法对劳动者个人信息权益鲜有规定，劳动者个人信息处理的合法性基础主要源于2021年出台的《中华人民共和国个人信息保护法》（下文简称《个人信息保护法》）。作为利益衡量之法，《个人信息保护法》构建了以告知同意为核心辅以法定许可的信息处理规则。[2]具体到劳动场景中，用人单位处理劳动者个人信息的法定许可有“为订立、履行劳动合同所必需”“实施人力资源管理所必需”以及“为履行法定义务所必需”。除此之外，用人单位合法处理劳动者个人信息一律应取得劳动者同意。

个人信息上附有信息主体的人格尊严和人格自由，处理个人信息时应当尊重个人意志，因此，告知同意规则是建立在尊重信息主体信息自决权和保护个人信息权益的基础之上的信息处理规则。[3]此外，为了促进个人信息的合理利用和数字产业的蓬勃发展，法律在保护公共利益、他人合法利益等特殊情形下设定了信息处理法定许可规则，即在法定许可的情形下信息处理者处理个人信息是以法律规定作为合法性基础，而非个人同意。所以，法定许可作为告知同意的例外，是法律对个人信息权益进行的合法限制，是个人信息权益保护向促进信息的合理利用而作的让步。[4]但是此种让步应严格控制在法定范围内，扩大化适用法定许可规则势必会排斥适用告知同意规则，挤占私人自治的空间，有违信息自决和风险自担的法理基础，过分侵扰个人信息权益。

信息是数字社会重要的生产要素之一，用人单位无疑会最大限度地处理劳动者个人信息，以推进精准高效的信息化管理，实现企业利润最大化。[5]例如，在卫生间安装坑位计时器以及在座椅安装红外感应器防止员工摸鱼；在办公电脑安装监控软件，收集员工上网记录，分析其离职倾向和怠工情况。在信息处理过程中，与法定许可规则相比，显然适用告知同意规则更有利于劳动者知情权和决定权的实现，更有利于劳动者个人信息权益保护。但是用人单位会因此面临成本巨大或因遭受个别劳动者拒绝而无法开展信息处理活动的困境，故而用人单位更倾向于适用法定许可规则。而且用人单位作为劳资关系中占据权力、资源等优势地位的一方，掌握更强的解释权并更倾向于对法定许可的适用范围作对自身有利的扩大化解释。[6]由此导致的后果是用人单位在信息处理的过程中会无限扩大法定许可规则的适用情形，在实质上排除了告知同意规则的适用，致使利益衡量的天平发生倾斜，不利于劳动者个人信息保护。本文通过对法定许可规则扩大化适用的风险进行分析，讨论目的原则对劳动者个人信息处理法定许可规则的限制，希冀能够为法定许可规则的适用范围提供更加精细化的解释，助力劳动者个人信息权益的保护与信息合理利用的平衡。

1 法定许可规则的扩大化适用风险

1.1 抽象的信息处理目的面临泛化适用的风险

现行法中劳动者个人信息处理法定许可规则规定，用人单位为实现“订立、履行劳动合同”“实施人力资源管理”以及“履行法定义务”之目的开展信息处理行为无须取得个人同意。但在具体的适用中，除了“法定义务”之目的源于法律的直接规定而具有清晰、明确的适用边界以外，其他信息处理目的囿于法律语言的抽象性而具有泛化适用的可能。

1.1.1 为订立、履行劳动合同之目的

为订立或履行劳动合同之目的进行信息处理是指在劳动合同的订立或履行过程中，用人单位只有处理劳动者的某些个人信息才能与之缔结或履行合同。例如，为了订立合同而使用劳动者的姓名、身份证号、电话号码以及地址等个人信息，为了履行合同义务而处理劳动者的金融账户、健康信息等个人信息。为履行劳动合同之目的进行信息处理的范围不得突破既已生效的劳动合同确定的法律义务范围，但是为订立劳动合同之目的进行信息处理面临泛化适用的风险。劳动合同的订立一般包括合同准备和合同磋商两个阶段。理论上，发布招聘广告、劳动者投递简历、用人单位接收简历、双方谈判磋商等环节都可纳入“订立劳动合同”的范畴，然而并不是所有经过合同准备阶段的劳资双方都会走到签订合同的归宿。若将谈判失败未进入签约阶段的信息处理纳入“订立劳动合同”的范畴，进而允许用人单位不经信息主体同意径自处理其个人信息，明显与诚实信用原则相悖，[7]也不符合该法定许可规则的实质要求。

1.1.2 为实施人力资源管理之目的

人力资源管理内涵丰富，涉及从单位发布招聘广告到员工办理离职的全部环节，例如处理应聘者简历、问及婚育情况、安排入职体检、缴纳社保、支付薪资、绩效考核、指纹或面部识别考勤、安装工作监控等行为，无一不关乎着劳动者个人信息的处理。法律语言的模糊和抽象导致法定许可规则的适用范围面临较大不确定性。立法者考虑到人力资源管理的范围过于宽泛，为此设置了“依法制定的劳动规章制度”和“依法签订的集体合同”两道限制。但是就劳动规章制度而言，我国劳动规章制度的制定采用“资方单决”制，劳动者对劳动规章的内容并不享有决定权，民主程序仅是用人单位听取意见的渠道。[8]通过用人单位单方确定的反映用人单位意志的劳动规章制度约束用人单位的人力资源管理，难以在实质上起到限制作用。就集体合同而言，我国的集体协商基本流于形式，在劳动者方和工会实力不强的企业中，由工会代表与用人单位签订的集体合同，并不能改变劳动者的弱势地位，对人力资源管理的限制不足。故而，为实施人力资源管理之目的面临泛化适用的巨大风险。

1.2 区别的必需标准难以发挥限制作用

必需标准是必要原则的体现，从文义来看，必需标准要求对于实现信息处理目的而言，信息主体实施的个人信息处理行为是必要的。换言之，只有开展该信息处理活动才能实现信息处理的目的，不开展该信息处理活动就不能实现信息处理的目的，此时的信息处理活动才是符合必需标准的。法律规范期望通过必需标准落实必要原则，进而将法定许可的适用情形限制在必要的范围内，但是在实践运用中，必需标准本身的模糊性和劳动场景必需标准的特殊性导致其难以发挥预期的限制作用。

1.2.1 必需标准的模糊性

必需不仅仅是一个抽象法律概念，更是一个典型的基于事实的“语境依赖型”概念，欧洲人权法院曾明确提出必需是一个较为模糊的概念，在不同场景中会有不同的含义。[9]立法中采用必需限制法定许可规则的适用范围，具有一定的先进性和科学性。然而，理论界尚未对必需标准形成统一认识，司法实践中法院也倾向于认可用人单位管理权的抗辩，而不对是否“必需”进行评估测试，模糊的必需标准使其限制效果大打折扣。例如，在熊某与某贸易公司一案中，熊某工作及住宿地均在某贸易公司的办事处，该办事处设在居民小区，为一室一厅及厨卫仓库。贸易公司在客厅安装摄像头（正对大门），并要求摄像头24 小时运行。法院认为熊某对安装摄像头的情况是知情的，且公司并未将监控获得的视频资料随意公开或泄漏给他人，所以公司出于管理需要在该办事处的客厅安装摄像头的行为并不必然构成对劳动者权益的侵犯。①用人单位为了保障财产安全而安装摄像头，这是基于用人单位监督权和管理权的客观需要而开展的信息处理活动毋庸置疑，但是24 小时运行摄像头显然不符合“必需”的标准。模糊的必需标准难以发挥立法者预想的限制作用，法定许可规则面临扩大化适用的风险。

1.2.2 劳动场景必需标准的特殊性

法律条文之间不是杂乱无章的，而是有逻辑联系的，其内在价值具有一致性。[10]《个人信息保护法》第13 条亦规定了履行法定职责所必需、应对突发公共事件所必需、紧急情况保护自然人生命健康和财产安全所必需等其他法定许可，劳动场景的法定许可明显有别于其他情形。首先，从利益衡量的角度出发，其他法定许可背后法理基础是个人信息权益让位于公共利益或自然人的生命健康和财产安全这一更高位阶的法益，而劳动场景法定许可主要追求的是用人单位管理的便利和经营的效率。与公共利益、自然人生命健康财产安全这些高位阶的法益相比，用人单位的便利和效率这一合法利益的范围更大且边界模糊，扩大化适用的可能性更高。其次，就信息处理行为的自由度而言，为了公共利益等进行信息处理的主体多为公权力机关，信息处理行为受到一系列诸如信息公开、权力清单、纪检监察、民主监督等制度的约束。与之相比，用人单位是以营利为目的的私主体，在信息处理的过程中受到极少的约束。用人单位行为的任意性与公权力机关的法定性存在实质差别，加之信息处理行为本身的隐蔽性，缺少监督而享有更多自主权的用人单位有极大概率为了单位利益而扩大化适用法定许可规则。

劳动场景的法定许可与其他情形存在实质差别，对其适用更严格的必需标准才更符合社会公众的合理期待。但是在一部法律中，相同的法律用语理应推定具有相同的内涵及外延，亦即言不同法定许可规则须采用相同尺度的必需标准，区别适用必需标准有悖法律价值的统一性。

2 原理厘定：劳动者个人信息保护中的目的原则

2.1 目的原则的缘起

目的原则，又称目的限制原则、目的拘束原则，是个人信息保护领域一项基本原则。最早由美国学者艾伦·威斯汀（Alan Westin）在《隐私与自由》一书中提出，后来被许多国家或地区的个人信息或数据保护立法广泛认可。例如，经济合作与发展组织（Organization for Economic Cooperation and Development，OECD）在1980 年《关于隐私保护与个人资料跨国流通的指针的建议》中对目的原则做了规定，“应当在采集个人数据之时或之前说明采集数据的目的，之后的使用应当限于先前说明的采集目的；如果之后的使用与先前说明的目的不一致，则每次变化时均应予以说明。”[11]欧盟在1995年的《个人数据保护指令》中规定个人数据的收集应当有特定、合法、明确的目的，处理和使用个人信息过程中的目的不应违反初始目的。2016年的《通用数据保护条例》（General Data Protection Regulation）（以下简称GDPR）保留了目的原则相关规定。

我国个人信息保护相关立法起步较晚，经历了由特别法到一般法的发展历程。目的原则在个人信息保护专门立法中没有明确规定，相应的法律精神主要体现在告知义务的规定中，例如《关于加强网络信息保护的决定》《网络安全法》《消费者权益保护法》等多部法律中均采用了“收集、使用个人信息应明示收集、使用信息的目的”类似表述。此外，在《全国经济普查条例》中“经济普查中收集的个人资料严格限定用于普查的目的”的规定也体现了目的原则。2021 年出台的《个人信息保护法》作为个人信息保护领域的一般法，在第6 条对目的原则进行了规定，正式确立了目的原则作为我国个人信息保护中一项重要的基本原则的法律地位。

2.2 目的原则的基本内涵

目的原则包括目的明确和使用限制两个子原则，分别对应信息处理的收集和使用两个阶段。[12]GDPR 的目的原则包含两层重要含义：在收集信息阶段要求目的明确，即必须是为了特定、明确、合法的目的而收集个人信息，对处理个人信息的逻辑起点作严格把控；在使用信息阶段要求信息处理行为不得违背初始目的。[13]考虑信息产业的发展日新月异，在信息处理过程中可能会产生具有重要价值的额外目的，若将信息处理行为严格控制在初始目的之内可能会使信息利用失去弹性、阻碍行业发展，对此，欧盟通过“兼容性测试”缓和目的原则的紧张规定。

我国法上目的原则由目的明确和使用限制两个子原则共同构成，相辅相成，在二者共同作用之下，明确、合理的目的贯穿信息处理的全部环节。在收集信息阶段，目的原则具化为目的明确子原则，要求收集个人信息时应当具有明确、合理的目的，最迟在收集信息之前将目的告知劳动者，收集信息的范围限于实现处理目的的最小范围，不得过度收集个人信息；在使用信息阶段，目的原则具化为使用限制子原则，要求信息处理行为与处理目的直接相关，并采取对个人权益影响最小的方式。

2.3 劳动场景中目的原则的立场选择

与欧盟“兼容性测试”有所区别，我国现行法上目的原则要求处理行为与处理目的之间直接相关，即具有强关联性，不允许有超越初始目的的使用行为。有观点认为“直接相关”的要求过于僵硬，可能阻碍大数据产业的发展。[14]然而，严格的目的原则对劳动者个人信息处理法定许可规则更具现实意义，避免通过功能渐变逐渐掏空目的原则的基础，[15]也避免法定许可规则的扩大适用挤占以个人同意为核心的私人自治空间。一方面，劳动关系中信息处理涉及的多是劳动者生物识别、金融账户、行踪轨迹、医疗健康等敏感个人信息，一旦被非法利用极易造成严重损害，包括财产损失、就业歧视、行为操纵、工作剥削、侵犯隐私等物质性和非物质性损害。另一方面，劳动关系中进行信息处理主要是基于用人单位人力资源管理等目的，与数据机构进行数据挖掘、数据分析、数据整合等有着实质差别，对此进行限制不仅不会阻碍数字产业的发展，反而可以缓和劳资双方紧张的利益冲突，平衡资强劳弱的信息处理局势，在一定程度上将信息处理活动带来的风险控制在信息主体的预期中。

3 目的原则限制法定许可规则的具体适用

3.1 目的明确对法定许可规则的限制

3.1.1 适用法定许可规则应有明确合理的目的

目的明确要求用人单位适用法定许可规则处理劳动者个人信息应具备明确、合理的目的。法定许可规则中涵盖了“为订立、履行劳动合同”“为实施人力资源管理”“为履行法定义务”等目的，但是具体的信息处理活动中，此类抽象的目的仅能满足合法之要求，而合法的目的并不一定是明确、合理的。因此，目的明确原则要求进一步评估合法的目的是否明确、合理，进而达到限制法定许可规则扩大化适用的效果。

明确性要求信息处理的目的应是具体的，抽象而模糊的目的实则是没有目的。比如，就实践中常见的采集员工指纹这一信息处理行为而言，采集的目的应是指纹打卡式考勤、指纹锁的使用等具体的带有明确指向性的目的，而非提高工作效率、提高智能化管理水平等笼统而抽象的目的。合理性要求用人单位处理个人信息的目的既要合乎法律规定，又要合乎社会一般人的理性认知。在个案中，应结合具体情形权衡用人单位管理权和劳动者的信息权益是否平衡，进而评估目的是否合理。比如，用人单位在厕所安装坑位计时器以防止劳动者工作时间“摸鱼”，加强管理效率，此目的可能是合法的，但是控制劳动者如厕时间显然过分侵扰了劳动者的信息权益乃至隐私，此目的便有悖常理。

此外，还应注意明确、合理的目的最迟应在收集个人信息前确定，以此迫使用人单位审慎地作出关于劳动者个人信息处理的决定，在一定程度上限制用人单位扩大化适用法定许可规则而恣意处理劳动者个人信息。

3.1.2 以明确、清晰的方式告知劳动者

明确、合理的目的应以明确言辞表达出来，隐秘的、仅为用人单位所知的目的亦不符合要求。用人单位应以显著的方式、清晰易懂的语言将信息处理目的告知劳动者，这既是落实目的原则的重要举措，又是告知义务的必然要求。用人单位适用法定许可规则处理劳动者个人信息时无须征得劳动者同意，但并不因此排除了用人单位的告知义务。虽然告知与同意通常被并列提及，但是二者所保护的法益存在实质差别，免除告知义务的情形与无需同意的情形理应也存在差别。此外，信息处理具有天然的隐蔽性和专业性，可能在劳动者不知不觉中个人信息已被非法收集处理，而权利救济的前提是知道个人权益受到侵害，因此更应该强调用人单位告知义务的落实，保障劳动者知情权的实现。

3.1.3 收集信息限于实现目的的最小范围

收集信息是信息处理的重要手段，也是其他信息处理行为的前提。因此，目的原则对个人信息的收集行为作了单独的规定。具体而言，收集信息限于实现信息处理目的的最小范围，只能收集实现目的不可或缺的、必需的信息，这也是必要原则的要求。用人单位不得提前收集信息以备后续处理，不得过度收集信息。非法收集个人信息往往是非法处理个人信息的起点，给劳动者个人信息权益保障增加不必要的风险，对于用人单位而言也增大了信息泄露的风险和信息保存的成本，因此，只要收集实现处理目的必要的信息即可。例如，为了考察劳动者是否符合本单位工作条件，用人单位收集劳动者的个人基本情况以及与应聘岗位直接相关的知识技能、工作经历、就业现状等信息，[16]但是劳动者的婚育状况等类似信息对于用人单位招聘劳动者而言并不是合法的必要信息，若无其他正当理由，劳动者可拒绝提供此类信息。当然，信息是否被实现目的的最小范围所涵摄，还应结合具体场景进行分析，不可一概而论。比如同样是劳动者健康信息，在卫生食品等特定职业、特定岗位属于必要信息，而一般岗位不得非法收集劳动者的此类信息。

3.2 使用限制对法定许可规则的限制

3.2.1 严格标准限制用人单位信息处理活动

劳动者在用人单位的场所开展劳动，受用人单位的管理，故而用人单位在劳动关系中掌握了劳动者的多种个人信息，一旦对这些信息进行数据挖掘、整合，其能量无疑是巨大的，劳动者可能因此成为“透明人”。目的原则要求处理个人信息应当与信息处理目的直接相关，此处的目的是前文所述的明确、合理的且在处理信息前已合法告知劳动者的目的。直接相关是一种强关联关系，在判断时应注意信息处理活动能否被目的所包含或具有紧密联系。比如，用人单位为了给劳动者缴纳社保、发放薪资等目的收集了劳动者的身份信息、银行账户、通讯信息等信息，在后续的缴纳社保、发放薪资等活动中可以处理上述信息，而其他处理活动，诸如推销公司产品、考评、背景调查等行为则属于不相关或间接相关。

3.2.2 处理信息采用对劳动者权益影响最小的方式

法定许可规则是《个人信息保护法》基于利益衡量之目的对劳动者个人权益作的合理限制，但是以免利益衡量的天平失衡，用人单位在信息处理时应采用对劳动者权益影响最小的方式。这与公法上比例原则中“最小损害原则”的精神一脉相承，在我国信息立法实践没有规定比例原则的情况下，也是正当必要原则在目的原则中的体现。这要求用人单位在实施信息处理行为时，既要满足正当目的的要求，也要满足手段正当的要求，即应在明确、合理的目的的指引下，评估是否有比拟实施的信息处理行为风险更小的替代性方案。比如，用人单位可以通过以下方式降低劳动者个人信息被非法利用的风险：对劳动者的个人信息进行加密或匿名化处理，在单位内部建立合规制度落实责任部门和负责人，对个人信息分类管理，合理限定访问权限，定期对从业人员进行安全教育和培训等。

4 结语

《个人信息保护法》作为利益衡量之法，为促进用人单位信息的合理利用，设定法定许可规则对劳动者个人信息权益进行合法限制。但在法律适用过程中，须谨慎对待用人单位扩大化适用法定许可的风险，坚持将目的原则贯穿信息处理的整个过程。在信息收集阶段，收集劳动者个人信息应具备明确、合理的目的，并将该目的告知劳动者以保障知情权的实现。在使用阶段应作两方面的评估测试：一是评估信息处理行为与信息处理目的的相关性，仅在具有强关联度的“直接相关”时方可实施处理行为，这也是必要原则的体现；二是评估是否有比拟实施的信息处理行为风险更小的替代性方案，实施对劳动者权益影响最小的方式。

注释：

①详见湖北省武汉市中级人民法院（2020）鄂01 民终3509号民事判决书。