【摘要】用人单位对劳动者的个人信息享有知情权,但在一定程度上也侵犯劳动者个人信息安全。综观国外对个人信息的立法,借鉴欧盟模式及美国安全港模式的先进经验,我国的劳动立法应从明确用人单位知情权的权利界限、规定用人单位保护劳动者个人信息的规章制度以及设定特定的劳动法责任三个方面,有效保护劳动者的个人信息。
【关键词】知情权 个人信息 劳动法保护
【中图分类号】D912 【文献标识码】A
用人单位享有知情权背景下劳动者个人信息安全问题凸显
根据《劳动合同法》第八条规定,用人单位与劳动者订立劳动合同之时以及劳动合同存续期间,都有权获悉劳动者的相关个人信息。大数据时代,由于信息能够创造商业价值的诱惑,公民的个人信息日益陷入被非法买卖、泄露的困境。①
用人单位对劳动者行使知情权,收集和利用劳动者的个人信息是用人单位经营管理的常态,甚至整个单位内部秩序的正常运转、企业谋取利润都依赖于此。在这种形势下,用人单位对劳动者行使知情权欲尽可能“知”。基于“劳弱资强”的现实,劳动者个人信息安全面临着被侵犯的现实困境。
首先是用人单位招聘劳动者阶段。在与劳动者建立劳动关系之前,用人单位往往要求求职者投放简历或者填写内容详尽的表格,以此来选拔最适合招聘岗位的人才。求职者投放的纸质或电子文档形式的简历中包含了大量的个人信息,包括姓名、性别、移动电话、电子邮箱、家庭住址、学历等情况。用人单位收集了大量的应聘简历,如果筛选后将不被看中的简历随意丢弃,简历中求职者的个人信息将可能被他人非法收集使用,从而损害求职者个人信息隐私权的正当权益。用人单位即使未披露或公开任何信息,不当收集个人信息本身就足以侵害个人的信息隐私,进而侵犯劳动者的隐私权。
其次是用人单位与劳动者劳动关系存续阶段。在这一阶段,用人单位收集的诸如身体健康情况、疾病历史、医疗记录等劳动者个人信息,属于劳动者的个人隐私信息,用人单位知悉后未经劳动者同意,不能向第三人公布。现实中,有的用人单位将劳动者的个人隐私信息转移给保险公司或金融机构,致使劳动者成为保险公司或金融机构销售人员产品销售的对象,可能导致劳动者做出不自愿的购买行为。用人单位对劳动者个人信息的这种处理方式,背离了劳动法律赋予其享有知情权的目的,在结果上极有可能侵害劳动者的个人信息隐私权。②另外,用人单位对劳动者的个人信息进行正常管理,也应做好适当的安全保护措施。否则,缺乏严谨系统化的信息管理制度,或者内部信息管理人员的不当操作,都可能会导致劳动者个人信息的遗失、被窃取、不当披露等,从而侵害劳动者的个人信息隐私权。
最后是用人单位与劳动者劳动关系结束之后。劳动者离职后,其个人信息转化为个人档案,为用人单位保管。根据《劳动合同法》相关法条规定,用人单位应在十五日内为离职劳动者办理档案转移手续。随着互联网的普及,整个社会档案的管理模式正在从以保管档案实体为重点,转向以数字化档案的形式向社会提供服务为重点。③数字化档案的普及,给用人单位留存劳动者的个人信息提供了无限可能。《劳动合同法》规定,用人单位对已经解除劳动关系的劳动合同文本至少应该保存两年。实践中,当劳动者离开所在用人单位后,有些用人单位主客观上并不采取措施销毁劳动者的人事档案,更有甚者,为了谋取经济利益,将其所掌握的在职和离岗劳动者的个人信息打包销售给猎头公司、非法调查公司以及保险公司等,肆无忌惮地出售、泄露劳动者的个人信息。
我国现行立法缺乏对劳动者个人信息的有效保护
第一,我国现行个人信息保护相关立法层级较低,且缺乏针对性。在较高层级的法律立法方面,首次涉及到公民个人信息保护的法律是2000年12月28日全国人大常委会发布的《关于维护互联网安全的决定》,该法将“侵犯公民通信自由和通信秘密”的行为入罪。后又于2012年12月通过了《关于加强网络信息保护的决定》,该决定直接指出企事业单位在收集、使用公民的个人电子信息时,应遵循合法、正当等原则,向个人信息提供者明示其收集处理信息的目的、方式和范围。民事立法方面,2014年3月15日实施的经过修订的《消费者权益保护法》第十四条提出,消费者在购买、使用商品和接受服务时,其个人信息依法应得到保护。刑事立法方面,2005年通过的《刑法修正案(五)》增加了“窃取、收买、非法提供信用卡信息罪”。《刑法修正案(七)》更是将非法获取公民个人信息的行为首次入罪。2015年8月《刑法修正案(九)》将“出售、非法提供公民个人信息罪”的犯罪主体扩大到所有单位以及个人,这其中自然包括用人单位及其内部人力资源管理人员。
其次,在较低层级的行政法规和部门规章方面,仅2013年,国务院及相关部门就相继修订了《征信管理条例》,发布了《电信和互联网用户个人信息保护规定》《信息安全技术-公用及商用服务信息系统个人信息保护指南》。其中,《信息安全技术-公用及商用服务信息系统个人信息保护指南》首次规定了我国个人信息保护国家标准。
综合以上关于个人信息保护的法律、行政法规及部门规章来看,对个人信息保护的规定在数量上并不缺乏,但总体上这些规范还较零碎、法条规定偏原则化、立法层级较低,能够适用于劳动者个人信息保护的法规较少,尚无对劳动者个人信息保护的针对性的适用条款。
第二,劳动法缺乏对劳动者个人信息保护的规定。《劳动合同法》总则中的第一条开宗明义,提出保护劳动者的合法权益,从而构建和谐的劳动关系,明确了倾斜保护劳动者权益的立法目的。其中第八条赋予了用人单位和劳动者对各自信息的知情权以及相互应尽的如实告知义务。该条规定对用人单位和劳动者而言,权利和义务是对等的。鉴于用人单位一些具有商业价值的信息的重要性,《劳动合同法》第二十三条规定,用人单位“可以”在劳动合同中与劳动者约定关于用人单位的相关信息的保密事项。为了保障第二十三条的法律效果,第九十条规定,劳动者如果违反了第二十三条中的保密义务,应当承担给用人单位造成损失的责任。反观劳动者方面,却无相关法条规定用人单位“应该”或“可以”采取相关措施保护劳动者的个人信息。显然,在劳动立法上,劳动者的个人信息是没有受到相应法律保护的。劳动者个人信息的保护在劳动法上处于缺失的状态,更无法谈及有效保护。
个人信息保护立法的欧盟模式与美国模式
第一,欧盟模式。早在1980年,当时的欧洲议会就通过了《保护自动化处理个人数据公约》适用于各成员国,至1995年10月24日,欧盟通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》即通称的“欧盟指令”。该指令明确规定了两个方面:一是个人数据管理者的责任和义务。具体指个人数据处理应基于特定、合法的目的公正收集,以数据主体能够识别的形态保存等的数据质量原则;处理个人数据应符合法定义务等的数据处理合法化原则;个人数据收集应告知数据主体的告知原则以及特殊类型数据(包括种族、宗教信仰、性生活等)处理原则。④二是个人数据主体的权利。数据主体享有的权利包括访问权(资料主体可以不受时间限制地确认个人资料是否经过处理)、拒绝权(资料主体能够拒绝处理或直营自己的个人资料)、自主决策权(资料主体可以不服从仅仅基于自动化处理的资料的基础之上的决定)以及获得救济的权利(资料主体对侵权行为有权获得赔偿)。
第二,美国模式。美国在1995年公布了《个人隐私和国家信息基础设施:个人信息的使用和提供原则》,提出了对个人信息的相关处理的基本原则。但该文件并不具备法律强制效力,只对个人信息保护起到引导作用。1997年美国政府又发布了《全球电子商务框架》,鼓励支持私营企业制定自律规范,进一步发挥保护网络隐私权的主导作用。相较于欧盟的统一立法,美国采取的正是“政府引导+行业自律”的模式,这就是所谓的“安全港”模式。安全港模式具有以下特点:首先,企业应当遵守自律规范中的实体内容和执行程序,其执行程序甚至可以代替联邦贸易委员会的审查执行程序。其次,全行业而非具体企业入“港”。联邦贸易委员会直接审查整个行业的个人信息保护自律规范,而非行业内具体的信息收集处理主体的自律规范。再次,对于进入安全港模式的信息处理主体而言,其制定的个人信息保护自律规范要接受行业和联邦贸易委员会的双重监督。最后,在安全港模式下,个人信息权利主体在权利受到侵害时,可依据自律规范寻求救济。为了保障救济的效力,实行联邦贸易委员会最终裁决的原则。⑤
保护我国劳动者个人信息的三条建议
综合以上对个人信息保护的欧盟模式和美国模式的分析,结合我国对劳动者个人信息保护的现实,笔者认为有以下两点启示:一是对欧盟指令中对“个人数据管理者的责任和义务”的借鉴。二是对美国安全港模式中的“行业自律”的借鉴。我国劳动者个人信息保护的具体措施包括以下几方面。
首先,明确用人单位知情权的权利界限。根据《劳动合同法》第八条的规定,劳动者对用人单位负有对本人“与劳动合同直接相关的基本情况”如实告知的义务。但“基本情况”到底指什么,在法条中并未划定具体范围。建议根据与劳动合同是否密切相关的不同,将劳动者的个人信息大致分为两类:直接关系到用人单位对劳动者的有效管理的信息和直接与劳动者的工作能力相关,决定着劳动合同是否能够履行的个人信息。对于这两类信息,建议将其确定为劳动者应如实告知的范围。对于那些与劳动者的劳动能力无关、涉及到劳动者的个人隐私的信息,劳动者有权拒绝告知。⑥
其次,规定用人单位保护劳动者个人信息的规章制度。对用人单位而言,作为劳动者个人信息的持有、利用者,其保有的个人信息量是集中的、巨量的,立法必须对此予以重视。建议将劳动者个人信息保护的内容以法定义务的方式列入用人单位的规章制度中,对劳动者个人信息保护的具体内容由用人单位自主决定,通过单位内部的民主程序取得劳动者的同意。根据《劳动保障监察条例》第十一条的规定,将劳动者个人信息保护的事项也纳入劳动监察部门对用人单位规章制度的监察范围,由此实现用人单位自律与劳动行政部门监管的结合。
第三,设定用人单位侵犯劳动者个人信息的劳动法责任。目前,对于侵犯劳动者个人信息所应承担的责任尚适用民事法律和刑事法律来解决。由于个人信息在概念外延上与隐私权呈交叉关系,⑦因此侵犯个人信息的救济途径也部分适用民事法律《侵权责任法》中关于侵犯隐私权的责任体系。具体而言,其救济方式包括:停止侵害,排除妨碍,消除危险,返还财产,恢复原状,赔偿损失,赔礼道歉,消除影响、恢复名誉。就刑事责任方面,用人单位能够成为犯罪主体,承担罚金责任,其主管人员也面临个人刑罚。由于劳动法律关系具有人身依附性的专属特点,适用民事法律和刑事法律进行追责对劳动者而言有局限性,应设定特定的符合劳动关系特点的劳动法责任。建议在责任形式上,由劳动行政管理部门对用人单位实施的侵犯劳动者个人信息的不同情形给予不同程度的行政处罚;另外,劳动立法还应通过一定的措施鼓励劳动者向劳动行政部门举报其所属单位或其他用人单位侵犯劳动者个人信息的行为。劳动行政部门接到举报后,依职权展开调查,核实情况后对用人单位施以相应处罚,最终达到防止用人单位侵害劳动者个人信息的目的。
(作者单位:信阳师范学院政法学院)
【注:本文系河南省政府决策研究招标课题阶段性成果,项目编号:2015B296】
【注释】
①崔聪聪:《个人信息损害赔偿问题研究》,《北京邮电大学学报(社会科学版)》,2014年第6期。
②刘青杨:《社会多元化转型期隐私权与知情权关系研究》,《北方论丛》,2015年第5期。
③冯静:《档案信息化及档案信息化建设》,《兰台世界》,2014年第4期。
④郎庆斌:《国外个人信息保护模式研究》,《信息技术与标准化》,2012年第1期。
⑤齐爱民:《个人信息保护法研究》,《河北法学》,2008年第4期。
⑥廖宇羿:《我国个人信息保护范围界定—兼论个人信息与个人隐私的区分》,《社会科学研究》,2016年第2期。
⑦王利明:《论个人信息权的法律保护—以个人信息权与隐私权的界分为中心》,《现代法学》,2013年第4期 。
责编/潘丽莉 孙娜(见习) 美编/王梦雅(见习)
