劳动者个人信息保护制度研究

胡朝晖

摘  要：随着个人信息保护立法的完善，劳动者个人信息保护制度开始受到更多关注。囿于管理和被管理关系的存在，个人信息保护的相关理念不能完全照搬到劳动者个人信息保护之上。在立法层面，当前对于劳动者个人信息保护的法律体系缺乏系统性，法律解释较为含糊；在司法层面，普通劳动者在诉讼中举证难度过大，难以获取赔偿，存在维权主体单一等问题。未来在劳动者个人信息保护的完善上，可以通过区分不同阶段对用人单位的行为提出不同的义务要求，从而更好地保障劳动者的正当数据权益。

关键词：劳动者；个人信息；用人单位；管理关系；知情同意

中图分类号：D922.16       文献标识码：A      文章编号：1671-9255（2023）03-0058-05

随着大数据时代的深入发展，个人信息成为愈发重要的一项的社会资源，在市场竞争中发挥着更加突出的作用。2021年1月1日，《中华人民共和国民法典》（以下简称《民法典》）在我国正式生效施行，其中人格权独立成编更是引起了高度关注。作为《民法典》的一项重要创新和亮点，人格权编部分对个人信息和隐私权都作了专门的规定。此后不久，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）出台，与《民法典》人格权编一同为规范个人信息的收集使用作出了重要贡献，至少在平等的民事主体之间提供了行为指导。

然而，对于劳动关系中的劳动者——这类特殊群体的个人信息保护很难完全适用《民法典》及《个人信息保护法》的相关规定，或者说这两者所提供的保护力度在目前看来是远远不够的。原因也是显而易见的，《民法典》所要调整的社会关系是平等的民事主体之间的人身和财产关系。在劳动关系之下，劳动者和用人单位之间是不平等的，前者具有天然的从属性。因此，在劳动关系中的个人信息冲突可以表现为劳动者对于个人信息的无力维护和用人单位权力的过度扩张。由于这种“管理权”的存在，保护劳动关系下的劳动者个人信息乃至隐私既需要参考现有民法的制度设计，也需要突出劳动领域的特征。^[1]

一、劳动者个人信息保护的基本理论

（一）劳动者个人信息的界定

在研究具体的制度问题之前，有必要先从法律逻辑和法律定义上对劳动者个人信息作一个界定。

目前，我国法律并未对劳动者个人信息作出专门且权威的官方解释，从法教义学的体系出发，可先回顾这一概念的上位概念，并结合部门法的特征进行界定。就劳动者个人信息而言，其上位概念无疑是个人信息，因此需要先厘清个人信息这一法律术语应当具备的内涵。

参考我国现行的法律体系，不难发现《民法典》和《个人信息保护法》都通过法律条文的形式对这一概念进行了阐明，但两者并不完全相同。除却对“可识别性”这一核心概念的共识，双方的主要分歧在于如何看待匿名化处理后的个人信息。换言之，当原本具备可识别性的个人信息经过了匿名化处理之后是否应当同等地受到法律保护。从顺位的角度考虑，《个人信息保护法》出台在《民法典》之后，并且是专门针对个人信息的立法，无论是从后法还是特别法的角度来看，应该采纳《个人信息保护法》的理解。因此，在个人信息的定义上，可以得出这样的结论，即受到法律保护的个人信息应当具备识别特定自然人的功能，无论这种信息是以单个还是组合的方式才能发挥效果，并且当然地不包括匿名化处理后的个人信息。

基于上述定义，劳动者个人信息应当是建立在劳动关系之下，即在劳动关系存续期间劳动者在工作中所产生的具有可识别性的各类信息，显然这种信息可以是单个或组合之后发挥作用的。从具体的内容上看，劳动者个人信息的属性应该是复合的。回归到对个人信息的研究中来，理论界在个人信息的属性的界定上曾经长期处于争论之中，较为流行的学说包括但不限于人格权、隐私权、财产权等。这些学说反映出人们对于个人信息的认识是处在不断变化和发展之中的，并且个人信息在当今社会中的地位愈发突出，逐渐成为竞争中的重要资源。因此，个人信息应当是兼具人格权和财产权属性的，并且与隐私权有着千丝万缕的关系。相应地，劳动者个人信息具备人格属性和财产属性。

（二）劳动者个人信息保护的价值

基于上文对劳动者个人信息的初步界定，可以得出劳动者个人信息保护的内涵也是基于一般的个人信息保护并突出劳动关系所具备的管理属性，围绕用人单位的权限和劳动者据此的权利义务展开，因此，本文所探讨的劳动者个人信息保护是尽可能维持劳资关系下双方的平衡。具体来说，是保障劳动者在劳动关系存续期间，以及在建立劳动关系的各个必要环节对其产生的个人信息有一定的知情权和控制权，并能以此要求用人单位停止过度侵害。借用传统民法学领域的权利学说，这种法律保护既包括积极的权利要求，也包括在面对侵权时要求排除侵害的被动权利。相应地，前述權利与劳动者在订立劳动关系时必须履行的如实告知义务相对应。从另一个角度看，劳动者在劳资关系下的自主性也与一般个人信息保护中的“知情同意”息息相关。用人单位在多大程度上限制劳动者的“知情同意”，也就在多大程度上影响着劳动者个人信息保护的落实，这种角力的关系恰恰是实践中导致劳动者个人信息常常遭受侵害且难以寻求救济的重要原因。

劳动者个人信息保护的强化与劳动者、用人单位及劳资关系都是密不可分的。对劳动者本人来说，个人信息保护强化了社会个体的人格尊严，这不仅是基于法的基本价值，也是出于对现实中劳动者精神权利的保障。劳动者个人的身心健康和信息安全应当得到足够的关注。而对用人单位来说，在法律允许的范围内合理正当地行使自己的权利，避免权利的过度扩张，有利于保护劳动者的工作热情，激发雇员对工作及单位的认同感。从长久看，不仅能改进单位形象，更能促进效率的提升。此外，对劳资关系来说，如果能在工作中真正落实对劳动者个人信息的保护，必将有利于缓和劳资关系下的双方力量失衡和潜在的冲突，对于矫正劳动者的弱势地位也有一定的效果。

二、劳动者个人信息保护的现状及困境

（一）劳动者个人信息的立法保护

1．现行法对劳动者个人信息保护的规定

对所有法律概念的抽象分析都无法脱离概念在现实中的具体运作，这也是法理学中提到的法在现实生活中的表征。因此，对于劳动者个人信息的法律保护应当着眼于上层建筑，即研究我国现行法律体系的具体规定。

从立法现状来看，我国当前对这一问题作出规定的法律规范是相对零散的。其中，最具有代表性的就是《民法典》和《个人信息保护法》。参照前文所述，这两部法所起到的最根本性的作用是在个人信息的基础之上对劳动者个人信息的内涵进行确认，或者说在不违反法律解释的基本原则下对这一概念进行宏观上的合理推断。此外，《个人信息保护法》也明确了用人单位在收集和使用劳动者个人信息上的权限，一定程度上考虑了管理属性的独特地位，这也与劳动者个人信息保护中经常涉及的另一原则——“知情同意”原则息息相关。除了基本概念的厘清，现行法律还对劳动者个人信息保护的权利、义务及违反特定行为模式后的法律效果进行了说明。譬如，《中华人民共和国劳动合同法》（以下简称《劳动合同法》）指明了用人单位的知情权范围，以及劳动者的告知义务，《中华人民共和国刑法修正案（九）》明确规定了侵犯公民个人信息罪，以及其他一些涉及公民信息、就业和社会保障的单行法中都有所涉猎。从整体上看，这些法律规定未形成一定体系，并且散见于不同的部门之间。

2．劳动者个人信息保护的法理困境

目前立法上对于劳动者个人信息保护作出了一定的努力，但从法理的角度上看，存在的问题也是非常明显的。

从法律体系上看，目前的立法保护严重缺乏系统性，也未能在应对实践上提供足够的法律依据。从这一保护的行为模式上看，传统的民法领域所构建的隐私权和个人信息权二元框架不能有效适用于劳动者个人信息保护^[2]，这主要是由于当前的规范没有突出劳动者个人信息的特殊性，并且忽视了管理属性在这一问题下的独特地位。并且在一些放大用人单位权限的特殊条款中，用人单位的行为很难完全受到前述二元框架的支配，对于这种“豁免”的解释也是不确定的。此外，劳动领域的立法也未能肩负起应有的职责，对个人信息保护的规定鲜少提及，条款更是表现出明显的滞后性。因此，专门性保护规范的缺失导致劳动者个人信息保护在体系上不具备坚实的基础。

从法律规范的内容上看，条文表述过于原则化，适用难度大。事实上，这一问题主要表现在用人单位收集和使用劳动者个人信息的具体行为上。回顾我国现行的《个人信息保护法》不难发现，我国所采取的立法构建模式是以“知情同意”原则为核心的，符合国际上对于个人信息保护的通行做法。但由于未注重对用人单位和劳动者之间的管理与被管理的关系，《个人信息保护法》赋予一般个人信息主体的权利却不能当然地在劳动关系下进行兑现。这就导致了劳动者在大多数情况下是无能为力的，所谓的选择和拒绝的权利在维系职业发展时往往无法正常行使。另一项难以有效适用的原则是“最小必要”，即最小范围和必要限度，这在《个人信息保护法》中也有明确规定。在一般的个人信息保护中，我国对“最小必要”作出了一定的明确，^[3]尤其是在很多APP的信息收集上进行了分类化的规定，为实践提供了必要指导。但用人单位在工作关系存续期间的信息收集范围却并没有一定的参考，这也常常导致了用人单位行为的越位。因而，在法律解释上，劳动者个人信息保护是较为含糊的。

（二）劳动者个人信息的司法保护

分析司法实践中的劳动者个人信息保护，就要厘清现实中此类冲突的协调路径。显然，在现行的法律体系下，涉及劳动者个人信息的争议应当属于劳动争议。从我国的救济途径上看，可以分为劳动监察、劳动仲裁及劳动诉讼。对劳动者而言，这三种方式均可用于权利救济。考虑到劳动监察和劳动仲裁结果的封闭性，本文对于司法现状的分析将集中在劳动诉讼所形成的法律案例上。

1．  举证难度较大

在劳动者个人信息被侵权之后，必须予以高度重视的是该主体在诉讼中所应承担的举证责任。而在此类问题上，法律认识也呈现出了一定的变化。早前的国内理论认为，由个人信息所引发的侵权案件应当适用一般的过错原则。随着《个人信息保护法》的出台，我国的法律立场转变为过错推定原则。毫无疑问，这一转变体现了对现实的考量，尽管这是适用于一般的信息处理者和信息产出者之间，但对于用人单位和劳动者而言也有一定的借鉴性，毕竟过错推定原则正是考虑到侵权主体和被侵权对象之间悬殊的差距，试图通过加重信息处理者的举证责任来尽量保持平衡。但在劳动者个人信息的保护上却是捉襟见肘，至少对于劳动者本人来说，很难在现实中得到法院支持。

在“邝洁文与珠海市千层纸品包装有限公司劳动合同纠纷案”中，员工邝某质疑公司在其工位正上方安装攝像头的行为，认为其超出了正常的使用范围，构成对其隐私权的侵犯，并主张该摄像头的使用不符合证据的相关规定，要求否定其效力。法院则认为，工作地点不属于私人空间，因此摄像头的位置是符合相关规定的，不能作为侵犯隐私权的依据，更不能否定视频监控所产生的证据效力。事实上，本案中用人单位对其行为的合理性未做过多阐述，在工作场所安装视频监控的行为得到了法院的认可。“依据不足”这样的简单推断，使得包括邝某在内的劳动者处于更加弱势的地位。

2．  赔偿获取较难

纵观涉及劳动者个人信息保护的相关案例，不管是在《个人信息保护法》出台之前的隐私权纠纷还是此后的个人信息侵权纠纷，劳动者能够胜诉的比例都是较低的。即便是能够胜诉，劳动者的诉讼请求往往很难得到支持。一般来说，在个人信息侵权的纠纷中，可能出现的赔偿形式包括消除影响、赔礼道歉和金钱偿付等。值得注意的是，涉及金钱款项的诉讼请求，往往只能获取必要费用，劳动者若注重精神损害赔偿或其他惩罚性赔偿，通常会被驳回此类诉讼请求。

在“吴恒玲诉上海方德自动化设备股份有限公司隐私权案”中，争议焦点在当事人QQ聊天记录被公司擅自获取是否构成侵权。由于该案件经历了二审，法院在认定上也存在前后变化。一审法院认为，聊天记录显然属于当事人的通信秘密，用人单位在未经当事人许可的情形下擅自收集、使用并在公司内部传播，构成了对陆某信息的侵害。二审法院则指出，当事人所使用的电脑属于公司财产，在当事人被辞退后公司有权查询该聊天记录，并且后续的信息传播应当被认定为证据提交的必要行为，不构成侵权。此外，无论是一审还是二审，对于当事人所提起的精神损害赔偿均不予支持，即便是判决胜诉的一审也只支持了消除影响和赔礼道歉。由此观之，劳动者想在此类纠纷中获取必要的赔偿是较为困难的。

3．维权主体单一

值得肯定的是，《个人信息保护法》引入了公益诉讼制度，允许检察院、法律规定的消费者组织和国家网信部门确定的组织等单位代为起诉，这样的规定既能弥合个人信息主体和信息收集利用方之间的实力差距，也能很好地丰富维权主体的数量，缓解诉讼压力，更好地保障个人信息的权益。

通过查询案例可知，当对个人信息权利的侵犯落入了刑法的规制范围中，检察院可以提起刑事附带民事诉讼，提供刑法和民法下的双重保护。类似地，当主体以消费者的身份出现，消费者组织也可以代为提起诉讼。但显然，无论是人民检察院还是消费者组织都无法在发生在用人单位和劳动者之间的纠纷发挥作用。前者是因为这种纠纷通常不会上升到刑事犯罪的高度，后者则是身份上的不符。另一种可能提供帮助的网信部门所确定的组织尚不确定，至少在劳动者个人信息保护的问题上无法提供有力的支援。因此，不难发现在当前的规范体系下，劳动者更多地只能依靠自身的力量去参与诉讼，维权主体制度有待进一步优化。

三、劳动者个人信息保护的完善思考

当重点转向劳动者个人信息保护的完善时，视角就不应当局限于劳动者本身，也就是说要关注劳动关系建立的前后各个阶段。从整体上看，劳动关系的建立、存续和消亡是一个系统的过程，在不同的阶段劳动者都在持续产生个人信息。用人单位如何正确收集和使用劳动者个人信息、劳动者如何恰当地维护自身权利是进一步推动劳动者个人信息保护完善所必须直面的问题。

（一）求职阶段

在劳动关系建立之前，也就是大众所理解的求职阶段，也存在个人信息被不当利用的风险。由于尚未签订劳动合同，双方并未构建法律意义上的劳动关系，此间所产生的一切接洽可被视为合理的磋商。因此，求职阶段对于劳动者和用人单位来说遵循《个人信息保护法》的一般规定即可，并不要求过高的义务。

具体来说，这一阶段“知情同意”原则的适用不是绝对的，这主要是考虑到数据时代信息交换和共享的属性过于突出。劳动者出于求职的目的借助一些公共平台向有意向的用人单位输出信息，此时关系具有不确定性，这种信息往往具备一定的公开性。^[4]这种默示的同意多是出现在一些开放的公开平台上，劳动者在上传求职信息时会被相应的平台提请注意，因此，平台需要严格遵守监管方面的规定。此外，平台应当承担更高的信义义务，不应过当使用互联网技术对劳动者个人信息进行过度分析，从而导致出现算法歧视，影响求职者的后续表现。考虑到该阶段用人单位和劳动者都存在较高的自由度，用人单位此时应当做到对所获取信息妥善储存、保管及适时删除，不管这种信息是通过前述平台还是以简历投递的形式收集。一般来说，拥有较为规范招聘流程的用人单位，对于所收集到的简历等求职者个人信息都有一定的处理规定，虽然可能是出于合规的考量，但这种处理也能很好地保护劳动者的个人信息，尤其是这些经过自动化处理后的信息会丧失可识别性，在很大程度上能够避免潜在冲突。相应地，劳动者作为独立的个体就个人的信息享有一定的数据权利，包括但不限于删除权、更正权和查询复制权，等等。另外《劳动合同法》应当明确规定，劳动者一旦求职成功在与用人单位签订劳动合同时，应当将保护劳动者个人信息的内容作为必备条款纳入劳动合同中。与此同时，劳动者也要受到《劳动合同法》第8条项下对其如实告知义务的约束，这不仅仅是对于数据权利的应尽责任，也能推动劳动关系的构建。

（二）用工阶段

在劳动关系存续期间，也就是签订了正式的劳动合同到劳动关系终止之前的阶段，劳动者个人信息保护必须考虑到管理和被管理的关系。参照前文所述，鉴于专门性规范的缺失和对具体条款解释使用的困境，在改善劳动者个人信息保护上要适当做出一些突破。一方面，在制度设计上要在原有的二元保护框架下进行创新，考虑参照合规审计等规定进行评估调整^[5]，同时也要加快劳动领域专门立法的出台，在弥补法律空白的同时，增强制度活性。比如，在维权主体单一的问题上，明确引入传统个人信息保护中公益诉讼的启动条件。另一方面，提升法律技术，给出更加细致和具备操作性的条款解释。这就涉及对现行个人信息保护框架中核心原则的细化和解读，从而更好地明确劳动关系下就该问题用人单位和劳动者分别享有的权利义务。就“知情同意”原则来说，可以考虑区分劳动者作为个体的信息权利属性^[6]，即积极信息权利和消极信息权利。显然不同属性的权利所应获取的同意程度不应一概而论，否则容易导致“知情同意”原则的僵化。而在“最小必要”的理解上也需要与时俱进，考虑用人单位作为企业存在的运营特征，对旗下的员工意愿要尽可能尊重。

从另一个维度考虑，劳动关系存续期间可以被拆解得更加场景化，也就是区分在工作场所中和工作场所外。当劳动者置身工作场所中，围绕个人信息所产生的权利义务与前述基本相同。而位于工作场所之外，也是新型劳动关系下劳动者个人信息被频繁侵权的原因，数据技术的迭代使得视频监控和定位丰富了劳动者个人信息的收集渠道。对劳动者而言，这种场景的切换更容易产生理解上的偏差。传统劳动法下对工作场所的研究可能多见于工伤领域，但在个人信息的侵权问题上，更要慎重把握定位和监控的使用。毕竟，脱离工作场所之外依赖技术手段所获取的劳动者个人信息往往是夹杂着劳动者个人的生活信息，并且容易不为劳动者所知晓。因此，从法律保护的层面来看，用人单位在涉及日常办公场所之外的劳动者个人信息收集需要負担更高的义务要求，接受个人信息和隐私保护乃至劳动法领域的多重约束。

（三）離职阶段

当劳动关系消亡后也可能存在争议，即若劳动者在办理完离职手续或被辞退的阶段中与用人单位发生纠纷，劳动者个人信息收集和使用应当遵守一定的原则。前文所提到的“吴恒玲诉上海方德自动化设备股份有限公司隐私权案”就涉及被辞退后员工个人聊天记录能否被用人单位无授权使用。尽管法院作出了不同解释，笔者仍然是倾向一审法院的结论，即涉案个人信息系劳动者通信秘密，也体现着劳动者的人格尊严，用人单位不能以所享有的财产归属权来支配人格利益，并且这也不利于构建和谐的劳动关系。随着用工关系的多元化，上述义务需要结合更加具体的情形加以识别。因此，当出现类似情况时，用人单位应当参照《个人信息保护法》的一般规定，充分尊重劳动者作为个人信息主体所享有的正当的数据权利。

参考文献：

[1]丁晓东.法律如何调整不平等关系？论倾斜保护型法的法理基础与制度框架[J].中外法学，2022（2）：445-464.

[2]丁晓东.劳动者个人信息法律保护面临的挑战及其应对[J].中国人民大学学报，2022（3）：161-175.

[3]程啸.论我国个人信息保护法的基本原则[J].国家检察官学院学报，2021（5）： 3-20.

[4]田野.雇员基因信息保护的私法进路[J].法商研究，2021（1）：54-67.

[5]梁桂平.劳资关系中劳动者个人信息权的法律救济[J].重庆邮电大学学报，2016（3）：51-58.

[6]朱晓峰.数字时代劳动者权利保护论[J].浙江大学学报，2020（1）：37-55.

Research on the Protection of Personal Information Protection

Hu Zhaohui

（School of Culture and Law， Anhui Business College， Wuhu Anhui 241002）

Abstract： With the improvement of personal information protection and legislation， the system of personal information protection of workers has begun to receive more attention. In the existence of management and management relationships， the relevant concepts of personal information protection cannot be completely moved to the protection of the personal information of the workers. At the legislative level， the current legal system for the protection of the personal information of the workers is lacking systematically， and the legal interpretation is vaguer. At the judicial level， ordinary workers have difficulty in proof in the lawsuit， it is difficult to obtain compensation， and there are single problems such as rights protection. In the future， the improvement of the personal information protection of the workers can put forward different obligation requirements for the behavior of the employer at different stages to better protect the legitimate data rights of the workers.

Keywords： Workers; Personal information; Employer; Management relationship; Informed consent