还剩20页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
作为劳动基准的个人信息保护据媒体2019年4月初报道,作为“智能环卫”项目的一部分,南京市的部分环卫工人被要求在上班时佩戴用人单位配发的一款智能手环,该智能手环具备实时定位、监控心率、一键呼叫等功能,可以显示环卫工人是否按时出勤,有无脱离工作区域,而且只要环卫工人上班时在原地停留20分钟,就会自动发出“加油”的语音,提示他继续工作,相关数据都会上传到单位,成为奖惩的依据从劳动者的个人信息保护角度来审视“智能手环监工”事件,上述部分问题已经在2021年8月20日出台的《个人信息保护法》中给出答案,但仍有部分问题并未得到解决,还需要进一步立法完善一劳动者个人信息保护的特殊之处劳动关系中的个人信息保护与一般语境下的个人信息保护相比较,主要有以下不同
(一)资强劳弱和人格从属性背景下知情同意规则的失并非否定私法保护路径,只是它经常是在劳动关系没有成功建立或者劳动关系结束之后才发挥作用第二,劳动合同的顺利履行有赖于双方之间的信赖与和平,充斥着提防和猜忌的工作氛围必然是有害的,借助公权力实现个人信息保护有利于促进劳资双方的信任和合作;反之,劳动者提起仲裁或诉讼主张权利往往意味着和用人单位“撕破脸”,可能影响到劳动关系的稳定和谐第三,劳动关系具有很强的外部性,劳动关系中的个人信息处理经常是大规模、持续性发生,涉及公共利益和秩序,应该配置公法效力三劳动基准法中保护个人信息的特殊安排
(一)主体上的适用范围设定作为劳动基准的个人信息保护机制不应该严格地以存在劳动关系为适用前提,而应该吸收域外法经验采取功能性的定位,即权利主体不应该局限于劳动者不管是在招录阶段为了签订劳动合同进行磋商,还是在劳动合同解除或终止之后处理后续的相关问题,应聘者与招聘单位之间、前员工与前用人单位之间都存在着类似合同的信赖关系,产生处理个人信息的需求也基本源于即将成立劳动关系或曾经有过劳动关系,所以应该适用同样的个人信息保护机制招聘单位出于招录员工的目的处理求职者的个人信息,都是容易出现个人信息保护问题的典型场景在劳动关系结束之后,一方面,劳动关系存续期间已经收集的个人信息还存在着再次处理的问题;另一方面,用人单位还有可能为履行离职竞业限制约定的支付义务和通知义务,支付企业补充养老保险待遇等,需要继续收集处理前员工的个人信息更重要的是,我国裁审实践中认定劳动关系大多适用的是原劳社部2005年5月25日发布的《关于确立劳动关系有关事项的通知》,往往要求劳动者“主体适格”,所以一直以来大学生兼职、实习、退休人员或超龄人员再就业等认定劳动关系存在困难,但是在用工过程中一样存在着个人信息处理的问题另外,平台经济近年来发展迅猛,目前我国有数以千万计的网约车司机、外卖配送员等依托互联网平台的就业人员,平台对劳动过程的控制与传统的劳动管理有所不同,导致平台与劳务提供者之间的法律关系定性争议很大因此,假设我们只给予与用人单位有劳动关系的劳动者以个人信息保护,那么上述群体大多会被排除在适用范围之外实际上,由于上述平台从业人员往往工作时间和地点灵活机动,平台不能像传统用人单位那样“在眼皮底下”进行管理,所以反而会为了达到监督控制的目的收集更多信息就平台从业人员的基本劳动权益保护,人社部等部门于2021年7月16日发布的《关于维护新就业形态劳动者劳动保障权益的指导意见》已经做出表率该意见首次提出“不完全符合确立劳动关系情形”的表述,即不完全符合确立劳动关系情形,但企业对劳动者进行劳动管理的,以后要将此类就业人员纳入“最低工资和支付保障、休息和劳动定额、劳动安全卫生责任”等制度的覆盖范围内这些正是劳动基准制度的核心内容,将来新就业形态的劳动者权益保障也应该包含个人信息保护另外,义务主体方面应该考虑设置小微企业和个体工商户的豁免条款一方面,小微企业和个体工商户用工人数不多,处理的个人信息有限,数字化技术和设备也不是很普及,老板与员工之间的强弱对比不是那么明显,人身信任关系却更强,相应造成的个人信息保护的风险和可能的威胁也没那么大另一方面,小微企业和个体工商户规模小、资金少,往往缺乏个人信息保护方面的专业人才、知识和意识,而过高的合规成本和保护标准可能导致其财务负担和经营困难
(二)“知情同意”规则适用的限制由于劳动关系中往往缺乏真正的知情基础上的自主选择、自由决定,大多数情况下用人单位不能基于劳动者的同意进行个人信息处理当然,这并不意味着在劳动关系框架下,劳动者的同意绝对不能单独作为用人单位处理其个人信息的合法性基础我国劳动基准法立法可以借鉴相关经验,规定原则上只有在劳动者可以获得法律上或经济上的好处时,或者在用人单位与劳动者的利益诉求一致时,用人单位可以基于劳动者的同意处理其个人信息,用人单位能证明劳动者的同意是自愿做出的除外由于《个人信息保护法》第13条第1款第2项、第3项和第4项都有“所必需”的要求,第5项和第6项有“在合理的范围内”的限制,而第1项没有这样的表述,所以作为劳动基准的个人信息保护尤其要强调,即使劳动者的同意是充分知情、自愿、明确的,用人单位基于劳动者的同意处理其个人信息还是要受到正当必要原则、目的限制和最小化原则、公开透明原则等各种限制另外,《个人信息保护法》第23条、第25条、第26条、第29条、第39条分别规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,公开其处理的个人信息的,将所收集的个人图像或身份识别信息用于维护公共安全的目的之外的其他目的时,处理敏感个人信息时,向境外提供个人信息的,需”取得个人的单独同意二实践中有观点误以为上述个人信息处理活动都只能以个人的单独同意作为合法性基础,忽略了《个人信息保护法》第13条第2款的表述实际上,单独同意的要求在劳动关系中能够发挥的保护效果有限,而在特殊情况下劳动者与用人单位发生矛盾的,又有可能被劳动者当作对抗用人单位的武器,妨碍正常的用工管理
(三)人力资源管理需求的满足由于在大多数情况下劳动者的同意不能作为用人单位处理其个人信息的合法性基础,所以《个人信息保护法》第13条第1款第2项的规定,对于劳动关系中的个人信息处理至关重要由于立法者认为“订立或履行劳动合同所必需”不能完全覆盖劳动用工场景下的需求,所以增加了“实施人力资源管理所必需”这一独立的合法性基础严格从字面意义上看,订立或履行劳动合同并不包括解除或终止劳动合同,然而实践中此环节用人单位必然要处理劳动者个人信息还有一些人力资源管理的场景与劳动合同本身没有直接关系,需要收集相关信息然而,用人单位很可能会利用其优势地位扩大解释“人力资源管理所必需立法者正是意识到该路径被滥用的可能性,所以尝试用集体层面上职工利益代表的博弈来弥补不足虽然从逻辑上讲,人力资源管理的需求能够覆盖所有与劳动合同相关的情况,但是此时用人单位未必有“依法制定的规章制度”或“依法签订的集体合同”作为依据,而这一限制又是不可或缺的所以,将来劳动基准法中应该将“为订立、履行、解除或终止劳动合同所必需”与“按照依法制定的劳动规章制度或依法签订的集体合同实施人力资源管理所必需”作为两种并列的、相互独立的合法性基础予以列举不过,至少短期内不能对于劳资协商或民主程序起到的制约作用期待过高所以,司法实践中还是要对个人信息的处理是否属于实施人力资源管理所必需进行实质性审查
(四)“必需”的具体化与典型问题的规制判断是否“为订立、履行、解除或终止劳动合同所必需”“按照依法制定的劳动规章制度或依法签订的集体合同实施人力资源管理所必需“,是将来保护劳动者个人信息的核心问题然而,仅通过劳动仲裁或法院在个案中的裁判意见起到的救济效果和示范作用有限,行政机关、裁审部门需要更加清晰的规则依据,用人单位和劳动者也需要更为明确的行为指引考虑到劳动者个人信息保护的应用场景多样,科学技术和社会经济环境的发展变化迅速,而法律又需要保证一定的抽象性和稳定性,所以劳动者个人信息保护的典型场景不适合直接由劳动基准法本身进行规制,而是应该放在劳动基准法的配套性文件中处理将来可以针对实践中最普遍的、冲突最明显的问题,由人力资源和社会保障部出台专门的部门规章,配合以最高人民法院定期公布的劳动人事争议典型案例,从而兼顾确定性与灵活性的需要
(五)删除权、可携带权与自动化决策条款的修改L删除权《个人信息保护法》第47条的规定在劳动关系中适用可能面临困境部分情况下会有多种信息处理的合法性基础可供选择,但是开始时用人单位可能选择基于劳动者同意而进行个人信息处理如果之后劳动者和用人单位间产生矛盾,《民法典》与《个人信息保护法》基本都把信息主体的知情同意视为合法处理个人信息的前提然而,在劳动关系中适用《个人信息保护法》第14条及以下条款的知情同意规则却存在较大困难单个劳动者相对于用人单位,在信息、财力、技术等各方面事实上处于弱势地位劳动关系的核心特征又是人格从属性,即劳动者在工作时间、工作地点、工作内容和履行方式等方面听从于用人单位的指挥,融入用人单位的组织之中个人信息的种类、利用方式和途径非常复杂,原本普通用户就不大可能花费大量时间、精力去阅读企业不断更新的,复杂、冗长、专业的隐私政策,再加上缺乏理解相关条款的知识储备和能力,对于个人信息被侵犯造成的危险后果更是认识有限在劳动关系中大量、持续进行个人信息处理的背景下,劳动者同样缺乏时间、精力及能力了解情况,有时甚至难以察觉其个人信息处理的发生,无法达到充分知情的要求更重要的是,普通用户还有可能因为个人信息保护方面那么劳动者可能会撤回同意此时按照第47条第1款第3项,用人单位有义务删除相关信息,未主动删除的,劳动者有权请求删除然而,劳动关系中往往需要保证处理个人信息的连续性和完整性,如果由于劳动者撤回同意而删除之前的信息,就算之后的信息处理用人单位还能援引其他的合法性基础,仍然会使得用人单位难以进行病假管理,“因病解雇”导致仲裁、诉讼时也会无法举证
2.可携带权在我国《个人信息保护法》的制定过程中,就是否应规定数据可携带权原本就有相当大的争议,所以第45条也做了和缓化处理即使是赞成可携带权的学者,主要论据也是此举有助于预防和制止平台经济领域的垄断行为,促进市场公平竞争,激励技术创新,维护消费者利益和社会公益然而,劳动关系的语境下并不需要追求打破用户锁定效益、防止企业数据垄断的目的,反而可能出现反对引入可携带权的学者提到的风险,还容易影响到同事等第三人的个人信息,以及用人单位商业秘密的保护此外,对于劳动者最可能主张可携带权的场景,即解除或终止劳动合同后的档案转移,《劳动合同法》第50条已经规定用人单位的义务所以,目前不宜在劳动基准法中赋予劳动者可携带权
3.自动化决策面对劳动关系中应用自动化决策带来的歧视、压榨、误判等危害,一禁了之显然不是正确的选择暂且不谈效率低下的问题,人类决策也不能避免前述风险,所以法律规制应重点关注如何减少自动化决策方式带来的额外不利影响聚焦到劳动基准的问题上,按照《个人信息保护法》第24条要求,用人单位保证决策过程的透明度和结果的公平、公正,并赋予劳动者针对自动化决策要求用人单位予以说明的权利和拒绝权,有益却作用有限算法的可解释性受到诸多质疑,单个劳动者在职期间行使该项权利的机率也不大更有效的或许是在引入自动化决策机制时,根据《劳动合同法》第4条,认定此举属于直接涉及劳动者切身利益的重大事项,要求用人单位就其对劳动者的权益影响向职工代表大会或者全体员工做出解释,并就相关方案进行平等协商拒绝权行使的前提是决定由算法单独做出、没有任何的人为影响,用人单位却很容易宣称,算法只是起到辅助作用,自己保留了最后决策权,劳动者很难验证和证明是否的确如此行使拒绝权的法律效果如何也有待厘清劳动基准法立法时还应补充两点一是避免劳动者“被透视”,坚持数据最小化原则和目的限制原则二是强调算法取中,不得任由用人单位追求“最优解”
(六)主管机构、救济方式与法律责任的协调L主管机构虽然立法时有过争论,但是我国目前并未将个人信息保护监管职责统一到一个部门,而是在《个人信息保护法》第60条规定,由国家网信部门统筹协调,有关部门在各自领域内各司其职劳动基准法出台后,增强劳动监察的力量是大势所趋,将来中央与地方各级人力资源与社会保障部门应该在内部设置专门的个人信息保护机构,配备个人信息保护方面的专门人员,负责履行劳动用工领域的个人信息保护职责
2.救济方式在救济方式上也不能太过依赖行政力量的介入,而应该在劳动者愿意主动维权时给予制度设计上的支持按照传统观念,劳动保护更多针对生产安全和身体健康,劳动条件则多指工作所需的场所、设施、用品等,将来应该更新观念,认定个人信息保护也属于劳动保护的范畴,或者直接将“用人单位严重侵害劳动者个人信息权益的”情形列入其中
3.法律责任涉及用人单位违法处理劳动者个人信息的法律责任,《个人信息保护法》第七章的规定已经相当完备,需要解决的更多是协调性问题,尤其是行政处罚方面的顾虑而放弃使用或者选择其他应用程序,而应聘者在激烈的就业市场中则不太可能为此牺牲工作机会,甚至可能为了获得竞争优势而主动公开相关信息所以,事实上和法律上的弱势地位导致劳动者难以真正自由、自愿地选择反之,若劳动关系中个人信息保护得不到落实,又会导致用人单位对劳动者的监督和控制更加肆无忌惮,从而导致进一步的人身依附和地位悬殊-工作数字化后劳动者被透视和被操控的风险劳动关系中个人信息暴露得彻底和全面,需要防止用人单位对劳动者的“透视”劳动者日常生活的大部分时间都在工作场所度过,即使在私人时间的活动也可能直接或间接地与工作相关,劳动关系中用人单位原本就会持续获得大量的劳动者个人信息,而劳动世界的日益数字化更是加剧了这一状况在数字化的工作过程中,用人单位可以收集到海量个人信息,配合以相应的算法,智能化的管理系统可以飞速地进行分析、关联、预测、判断、反馈,而自动化决策的过程往往又是频繁而隐蔽的,劳动者难以应对,甚至无法觉察,用人单位却容易“抽身事外”,但在发生争议时把责任推卸给算法如此一来,劳动者可能沦落为被系统、算法操控的对象,《个人信息保护法》的规定却更多地面向消费者保护的场景
(三)有组织生产的合作关系中个人信息处理的需要一般语境下,个人信息保护主要是解决信息主体的权益保护和信息业者或国家机关对信息的开发利用之间的矛盾然而,劳动关系中的用人单位并非信息业者,其角色更多是介于信息业者与国家机关之间用人单位处理个人信息是为了提高工作效率,确保服务质量,保护人身和财产安全,维持营业场所秩序,履行社保缴纳义务和合规要求等目的,与之相冲突的是劳动者的隐私保护、安全健康、劳动报酬、平等就业等各种权益用人单位是生产经营的组织者,要维持这个组织体的正常有序运转,必然要对劳动力所有者的个人信息进行处理劳动合同又是典型的继续性合同,存续时间往往比较长,而且期间不断产生给付义务和附随义务,双方之间有比较强的信赖关系用人单位对于劳动者负有各种照顾义务,同时负有各种社会责任,在履行义务和承担责任的过程中也不可避免地要处理劳动者的个人信息制度设计必须考虑到这些特征和需求,所以很有必要将“人力资源管理所必需”设置为个人信息处理的合法性基础与此同时,个人信息也有社会流通属性,用人单位这个“小社会”内部并非一般的陌生人场域,其中的社会交往和信息流通更为频繁密切,赋予劳动者过多的控制权并不合适二个人信息保护作为劳动基准的必要性
(一)数字化时代人权保护的挑战劳动基准法最重要的功能在于保障劳动者的基本人权,然而随着移动互联网、大数据、云计算、人工智能等科技迅猛发展,人类进入数字化时代,人权形态正在经历着深刻的数字化重塑一方面,人权保护面临着全新的威胁和侵蚀,另一方面,新兴数据和信息权利正在理论和制度层面、国内和国际范围、私法和公法领域逐步获得确认和保护,大大丰富了生存权、发展权的时代内涵,开启了以“数字人权”为代表的“第四代人权”具体到劳动关系中,人权保护同样面临着结构性的变化,可以说,数字化社会中个人信息保护和利用的矛盾冲突在劳动用工的场景下表现得更为明显
(二)对其他劳动基准实现的意义用人单位掌握着大量的劳动者个人信息,可以运用先进的数据处理技术在此基础上利用算法做出决策,除了可能导致就业歧视,自动化决策还会影响到劳动者休息休假、劳动报酬、职业安全等各方面的劳动条件如果任由用人单位使用智能系统对劳动者进行全方面监控,可能导致劳动强度不断增加,休息时间难以得到保证,劳动报酬受到影响等后果长期来看,剥夺劳动者的自主空间对用人单位也未必是好事,因为异化为“工具”的劳动者是缺乏能动性和创造力的严格监管的机制之一就是加强劳动者个人信息保护,因为从源头上看,劳动者的个人信息是用人单位进行算法管理的“原材料”;从结果上看,用人单位又是针对性地将算法运用在劳动者个体身上,所以规制用人单位对劳动者个人信息的处理,也是预防用人单位利用算法过度“压榨”劳动者的重要路径,关系到其他劳动基准的保障
(三)私法、公法双重规制的必要个人信息私法保护的作用不容忽视然而,仅在私法上进行权益界定和保护不足以完全解决问题,还需要借助公法的保护机制之所以在劳动关系中实现个人信息保护需要配备公权力保障,主要因为以下几方面的原因第一,实践中指望劳动者来主张《民法典》或《个人信息保护法》所赋予的权利可能性不大,尤其是在劳动关系的存续期间,劳动者缺乏主动维权的能力、精力和动力,却直接面对着不听从用人单位命令就会被处罚,甚至解雇的风险,侵害发生之时不敢反抗,事后维权又存在着举证困难、赔偿有限等种种障碍相反,行政监管可以在侵害发生之时就介入,甚至之前就发挥警示预防等作用,执法效率也更高这。