【摘要】用人單位對(duì)勞動(dòng)者的個(gè)人信息享有知情權(quán),但在一定程度上也侵犯勞動(dòng)者個(gè)人信息安全。綜觀國外對(duì)個(gè)人信息的立法,借鑒歐盟模式及美國安全港模式的先進(jìn)經(jīng)驗(yàn),我國的勞動(dòng)立法應(yīng)從明確用人單位知情權(quán)的權(quán)利界限、規(guī)定用人單位保護(hù)勞動(dòng)者個(gè)人信息的規(guī)章制度以及設(shè)定特定的勞動(dòng)法責(zé)任三個(gè)方面,有效保護(hù)勞動(dòng)者的個(gè)人信息。
【關(guān)鍵詞】知情權(quán) 個(gè)人信息 勞動(dòng)法保護(hù)
【中圖分類號(hào)】D912 【文獻(xiàn)標(biāo)識(shí)碼】A
用人單位享有知情權(quán)背景下勞動(dòng)者個(gè)人信息安全問題凸顯
根據(jù)《勞動(dòng)合同法》第八條規(guī)定,用人單位與勞動(dòng)者訂立勞動(dòng)合同之時(shí)以及勞動(dòng)合同存續(xù)期間,都有權(quán)獲悉勞動(dòng)者的相關(guān)個(gè)人信息。大數(shù)據(jù)時(shí)代,由于信息能夠創(chuàng)造商業(yè)價(jià)值的誘惑,公民的個(gè)人信息日益陷入被非法買賣、泄露的困境。①
用人單位對(duì)勞動(dòng)者行使知情權(quán),收集和利用勞動(dòng)者的個(gè)人信息是用人單位經(jīng)營管理的常態(tài),甚至整個(gè)單位內(nèi)部秩序的正常運(yùn)轉(zhuǎn)、企業(yè)謀取利潤(rùn)都依賴于此。在這種形勢(shì)下,用人單位對(duì)勞動(dòng)者行使知情權(quán)欲盡可能“知”。基于“勞弱資強(qiáng)”的現(xiàn)實(shí),勞動(dòng)者個(gè)人信息安全面臨著被侵犯的現(xiàn)實(shí)困境。
首先是用人單位招聘勞動(dòng)者階段。在與勞動(dòng)者建立勞動(dòng)關(guān)系之前,用人單位往往要求求職者投放簡(jiǎn)歷或者填寫內(nèi)容詳盡的表格,以此來選拔最適合招聘崗位的人才。求職者投放的紙質(zhì)或電子文檔形式的簡(jiǎn)歷中包含了大量的個(gè)人信息,包括姓名、性別、移動(dòng)電話、電子郵箱、家庭住址、學(xué)歷等情況。用人單位收集了大量的應(yīng)聘簡(jiǎn)歷,如果篩選后將不被看中的簡(jiǎn)歷隨意丟棄,簡(jiǎn)歷中求職者的個(gè)人信息將可能被他人非法收集使用,從而損害求職者個(gè)人信息隱私權(quán)的正當(dāng)權(quán)益。用人單位即使未披露或公開任何信息,不當(dāng)收集個(gè)人信息本身就足以侵害個(gè)人的信息隱私,進(jìn)而侵犯勞動(dòng)者的隱私權(quán)。
其次是用人單位與勞動(dòng)者勞動(dòng)關(guān)系存續(xù)階段。在這一階段,用人單位收集的諸如身體健康情況、疾病歷史、醫(yī)療記錄等勞動(dòng)者個(gè)人信息,屬于勞動(dòng)者的個(gè)人隱私信息,用人單位知悉后未經(jīng)勞動(dòng)者同意,不能向第三人公布。現(xiàn)實(shí)中,有的用人單位將勞動(dòng)者的個(gè)人隱私信息轉(zhuǎn)移給保險(xiǎn)公司或金融機(jī)構(gòu),致使勞動(dòng)者成為保險(xiǎn)公司或金融機(jī)構(gòu)銷售人員產(chǎn)品銷售的對(duì)象,可能導(dǎo)致勞動(dòng)者做出不自愿的購買行為。用人單位對(duì)勞動(dòng)者個(gè)人信息的這種處理方式,背離了勞動(dòng)法律賦予其享有知情權(quán)的目的,在結(jié)果上極有可能侵害勞動(dòng)者的個(gè)人信息隱私權(quán)。②另外,用人單位對(duì)勞動(dòng)者的個(gè)人信息進(jìn)行正常管理,也應(yīng)做好適當(dāng)?shù)陌踩Wo(hù)措施。否則,缺乏嚴(yán)謹(jǐn)系統(tǒng)化的信息管理制度,或者內(nèi)部信息管理人員的不當(dāng)操作,都可能會(huì)導(dǎo)致勞動(dòng)者個(gè)人信息的遺失、被竊取、不當(dāng)披露等,從而侵害勞動(dòng)者的個(gè)人信息隱私權(quán)。
最后是用人單位與勞動(dòng)者勞動(dòng)關(guān)系結(jié)束之后。勞動(dòng)者離職后,其個(gè)人信息轉(zhuǎn)化為個(gè)人檔案,為用人單位保管。根據(jù)《勞動(dòng)合同法》相關(guān)法條規(guī)定,用人單位應(yīng)在十五日內(nèi)為離職勞動(dòng)者辦理檔案轉(zhuǎn)移手續(xù)。隨著互聯(lián)網(wǎng)的普及,整個(gè)社會(huì)檔案的管理模式正在從以保管檔案實(shí)體為重點(diǎn),轉(zhuǎn)向以數(shù)字化檔案的形式向社會(huì)提供服務(wù)為重點(diǎn)。③數(shù)字化檔案的普及,給用人單位留存勞動(dòng)者的個(gè)人信息提供了無限可能。《勞動(dòng)合同法》規(guī)定,用人單位對(duì)已經(jīng)解除勞動(dòng)關(guān)系的勞動(dòng)合同文本至少應(yīng)該保存兩年。實(shí)踐中,當(dāng)勞動(dòng)者離開所在用人單位后,有些用人單位主客觀上并不采取措施銷毀勞動(dòng)者的人事檔案,更有甚者,為了謀取經(jīng)濟(jì)利益,將其所掌握的在職和離崗勞動(dòng)者的個(gè)人信息打包銷售給獵頭公司、非法調(diào)查公司以及保險(xiǎn)公司等,肆無忌憚地出售、泄露勞動(dòng)者的個(gè)人信息。
我國現(xiàn)行立法缺乏對(duì)勞動(dòng)者個(gè)人信息的有效保護(hù)
第一,我國現(xiàn)行個(gè)人信息保護(hù)相關(guān)立法層級(jí)較低,且缺乏針對(duì)性。在較高層級(jí)的法律立法方面,首次涉及到公民個(gè)人信息保護(hù)的法律是2000年12月28日全國人大常委會(huì)發(fā)布的《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》,該法將“侵犯公民通信自由和通信秘密”的行為入罪。后又于2012年12月通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,該決定直接指出企事業(yè)單位在收集、使用公民的個(gè)人電子信息時(shí),應(yīng)遵循合法、正當(dāng)?shù)仍瓌t,向個(gè)人信息提供者明示其收集處理信息的目的、方式和范圍。民事立法方面,2014年3月15日實(shí)施的經(jīng)過修訂的《消費(fèi)者權(quán)益保護(hù)法》第十四條提出,消費(fèi)者在購買、使用商品和接受服務(wù)時(shí),其個(gè)人信息依法應(yīng)得到保護(hù)。刑事立法方面,2005年通過的《刑法修正案(五)》增加了“竊取、收買、非法提供信用卡信息罪”。《刑法修正案(七)》更是將非法獲取公民個(gè)人信息的行為首次入罪。2015年8月《刑法修正案(九)》將“出售、非法提供公民個(gè)人信息罪”的犯罪主體擴(kuò)大到所有單位以及個(gè)人,這其中自然包括用人單位及其內(nèi)部人力資源管理人員。
其次,在較低層級(jí)的行政法規(guī)和部門規(guī)章方面,僅2013年,國務(wù)院及相關(guān)部門就相繼修訂了《征信管理?xiàng)l例》,發(fā)布了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》。其中,《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》首次規(guī)定了我國個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)。
綜合以上關(guān)于個(gè)人信息保護(hù)的法律、行政法規(guī)及部門規(guī)章來看,對(duì)個(gè)人信息保護(hù)的規(guī)定在數(shù)量上并不缺乏,但總體上這些規(guī)范還較零碎、法條規(guī)定偏原則化、立法層級(jí)較低,能夠適用于勞動(dòng)者個(gè)人信息保護(hù)的法規(guī)較少,尚無對(duì)勞動(dòng)者個(gè)人信息保護(hù)的針對(duì)性的適用條款。
第二,勞動(dòng)法缺乏對(duì)勞動(dòng)者個(gè)人信息保護(hù)的規(guī)定。《勞動(dòng)合同法》總則中的第一條開宗明義,提出保護(hù)勞動(dòng)者的合法權(quán)益,從而構(gòu)建和諧的勞動(dòng)關(guān)系,明確了傾斜保護(hù)勞動(dòng)者權(quán)益的立法目的。其中第八條賦予了用人單位和勞動(dòng)者對(duì)各自信息的知情權(quán)以及相互應(yīng)盡的如實(shí)告知義務(wù)。該條規(guī)定對(duì)用人單位和勞動(dòng)者而言,權(quán)利和義務(wù)是對(duì)等的。鑒于用人單位一些具有商業(yè)價(jià)值的信息的重要性,《勞動(dòng)合同法》第二十三條規(guī)定,用人單位“可以”在勞動(dòng)合同中與勞動(dòng)者約定關(guān)于用人單位的相關(guān)信息的保密事項(xiàng)。為了保障第二十三條的法律效果,第九十條規(guī)定,勞動(dòng)者如果違反了第二十三條中的保密義務(wù),應(yīng)當(dāng)承擔(dān)給用人單位造成損失的責(zé)任。反觀勞動(dòng)者方面,卻無相關(guān)法條規(guī)定用人單位“應(yīng)該”或“可以”采取相關(guān)措施保護(hù)勞動(dòng)者的個(gè)人信息。顯然,在勞動(dòng)立法上,勞動(dòng)者的個(gè)人信息是沒有受到相應(yīng)法律保護(hù)的。勞動(dòng)者個(gè)人信息的保護(hù)在勞動(dòng)法上處于缺失的狀態(tài),更無法談及有效保護(hù)。
個(gè)人信息保護(hù)立法的歐盟模式與美國模式
第一,歐盟模式。早在1980年,當(dāng)時(shí)的歐洲議會(huì)就通過了《保護(hù)自動(dòng)化處理個(gè)人數(shù)據(jù)公約》適用于各成員國,至1995年10月24日,歐盟通過了《關(guān)于與個(gè)人數(shù)據(jù)處理相關(guān)的個(gè)人數(shù)據(jù)保護(hù)及此類數(shù)據(jù)自由流動(dòng)的指令》即通稱的“歐盟指令”。該指令明確規(guī)定了兩個(gè)方面:一是個(gè)人數(shù)據(jù)管理者的責(zé)任和義務(wù)。具體指?jìng)€(gè)人數(shù)據(jù)處理應(yīng)基于特定、合法的目的公正收集,以數(shù)據(jù)主體能夠識(shí)別的形態(tài)保存等的數(shù)據(jù)質(zhì)量原則;處理個(gè)人數(shù)據(jù)應(yīng)符合法定義務(wù)等的數(shù)據(jù)處理合法化原則;個(gè)人數(shù)據(jù)收集應(yīng)告知數(shù)據(jù)主體的告知原則以及特殊類型數(shù)據(jù)(包括種族、宗教信仰、性生活等)處理原則。④二是個(gè)人數(shù)據(jù)主體的權(quán)利。數(shù)據(jù)主體享有的權(quán)利包括訪問權(quán)(資料主體可以不受時(shí)間限制地確認(rèn)個(gè)人資料是否經(jīng)過處理)、拒絕權(quán)(資料主體能夠拒絕處理或直營自己的個(gè)人資料)、自主決策權(quán)(資料主體可以不服從僅僅基于自動(dòng)化處理的資料的基礎(chǔ)之上的決定)以及獲得救濟(jì)的權(quán)利(資料主體對(duì)侵權(quán)行為有權(quán)獲得賠償)。
第二,美國模式。美國在1995年公布了《個(gè)人隱私和國家信息基礎(chǔ)設(shè)施:個(gè)人信息的使用和提供原則》,提出了對(duì)個(gè)人信息的相關(guān)處理的基本原則。但該文件并不具備法律強(qiáng)制效力,只對(duì)個(gè)人信息保護(hù)起到引導(dǎo)作用。1997年美國政府又發(fā)布了《全球電子商務(wù)框架》,鼓勵(lì)支持私營企業(yè)制定自律規(guī)范,進(jìn)一步發(fā)揮保護(hù)網(wǎng)絡(luò)隱私權(quán)的主導(dǎo)作用。相較于歐盟的統(tǒng)一立法,美國采取的正是“政府引導(dǎo)+行業(yè)自律”的模式,這就是所謂的“安全港”模式。安全港模式具有以下特點(diǎn):首先,企業(yè)應(yīng)當(dāng)遵守自律規(guī)范中的實(shí)體內(nèi)容和執(zhí)行程序,其執(zhí)行程序甚至可以代替聯(lián)邦貿(mào)易委員會(huì)的審查執(zhí)行程序。其次,全行業(yè)而非具體企業(yè)入“港”。聯(lián)邦貿(mào)易委員會(huì)直接審查整個(gè)行業(yè)的個(gè)人信息保護(hù)自律規(guī)范,而非行業(yè)內(nèi)具體的信息收集處理主體的自律規(guī)范。再次,對(duì)于進(jìn)入安全港模式的信息處理主體而言,其制定的個(gè)人信息保護(hù)自律規(guī)范要接受行業(yè)和聯(lián)邦貿(mào)易委員會(huì)的雙重監(jiān)督。最后,在安全港模式下,個(gè)人信息權(quán)利主體在權(quán)利受到侵害時(shí),可依據(jù)自律規(guī)范尋求救濟(jì)。為了保障救濟(jì)的效力,實(shí)行聯(lián)邦貿(mào)易委員會(huì)最終裁決的原則。⑤
保護(hù)我國勞動(dòng)者個(gè)人信息的三條建議
綜合以上對(duì)個(gè)人信息保護(hù)的歐盟模式和美國模式的分析,結(jié)合我國對(duì)勞動(dòng)者個(gè)人信息保護(hù)的現(xiàn)實(shí),筆者認(rèn)為有以下兩點(diǎn)啟示:一是對(duì)歐盟指令中對(duì)“個(gè)人數(shù)據(jù)管理者的責(zé)任和義務(wù)”的借鑒。二是對(duì)美國安全港模式中的“行業(yè)自律”的借鑒。我國勞動(dòng)者個(gè)人信息保護(hù)的具體措施包括以下幾方面。
首先,明確用人單位知情權(quán)的權(quán)利界限。根據(jù)《勞動(dòng)合同法》第八條的規(guī)定,勞動(dòng)者對(duì)用人單位負(fù)有對(duì)本人“與勞動(dòng)合同直接相關(guān)的基本情況”如實(shí)告知的義務(wù)。但“基本情況”到底指什么,在法條中并未劃定具體范圍。建議根據(jù)與勞動(dòng)合同是否密切相關(guān)的不同,將勞動(dòng)者的個(gè)人信息大致分為兩類:直接關(guān)系到用人單位對(duì)勞動(dòng)者的有效管理的信息和直接與勞動(dòng)者的工作能力相關(guān),決定著勞動(dòng)合同是否能夠履行的個(gè)人信息。對(duì)于這兩類信息,建議將其確定為勞動(dòng)者應(yīng)如實(shí)告知的范圍。對(duì)于那些與勞動(dòng)者的勞動(dòng)能力無關(guān)、涉及到勞動(dòng)者的個(gè)人隱私的信息,勞動(dòng)者有權(quán)拒絕告知。⑥
其次,規(guī)定用人單位保護(hù)勞動(dòng)者個(gè)人信息的規(guī)章制度。對(duì)用人單位而言,作為勞動(dòng)者個(gè)人信息的持有、利用者,其保有的個(gè)人信息量是集中的、巨量的,立法必須對(duì)此予以重視。建議將勞動(dòng)者個(gè)人信息保護(hù)的內(nèi)容以法定義務(wù)的方式列入用人單位的規(guī)章制度中,對(duì)勞動(dòng)者個(gè)人信息保護(hù)的具體內(nèi)容由用人單位自主決定,通過單位內(nèi)部的民主程序取得勞動(dòng)者的同意。根據(jù)《勞動(dòng)保障監(jiān)察條例》第十一條的規(guī)定,將勞動(dòng)者個(gè)人信息保護(hù)的事項(xiàng)也納入勞動(dòng)監(jiān)察部門對(duì)用人單位規(guī)章制度的監(jiān)察范圍,由此實(shí)現(xiàn)用人單位自律與勞動(dòng)行政部門監(jiān)管的結(jié)合。
第三,設(shè)定用人單位侵犯勞動(dòng)者個(gè)人信息的勞動(dòng)法責(zé)任。目前,對(duì)于侵犯勞動(dòng)者個(gè)人信息所應(yīng)承擔(dān)的責(zé)任尚適用民事法律和刑事法律來解決。由于個(gè)人信息在概念外延上與隱私權(quán)呈交叉關(guān)系,⑦因此侵犯?jìng)€(gè)人信息的救濟(jì)途徑也部分適用民事法律《侵權(quán)責(zé)任法》中關(guān)于侵犯隱私權(quán)的責(zé)任體系。具體而言,其救濟(jì)方式包括:停止侵害,排除妨礙,消除危險(xiǎn),返還財(cái)產(chǎn),恢復(fù)原狀,賠償損失,賠禮道歉,消除影響、恢復(fù)名譽(yù)。就刑事責(zé)任方面,用人單位能夠成為犯罪主體,承擔(dān)罰金責(zé)任,其主管人員也面臨個(gè)人刑罰。由于勞動(dòng)法律關(guān)系具有人身依附性的專屬特點(diǎn),適用民事法律和刑事法律進(jìn)行追責(zé)對(duì)勞動(dòng)者而言有局限性,應(yīng)設(shè)定特定的符合勞動(dòng)關(guān)系特點(diǎn)的勞動(dòng)法責(zé)任。建議在責(zé)任形式上,由勞動(dòng)行政管理部門對(duì)用人單位實(shí)施的侵犯勞動(dòng)者個(gè)人信息的不同情形給予不同程度的行政處罰;另外,勞動(dòng)立法還應(yīng)通過一定的措施鼓勵(lì)勞動(dòng)者向勞動(dòng)行政部門舉報(bào)其所屬單位或其他用人單位侵犯勞動(dòng)者個(gè)人信息的行為。勞動(dòng)行政部門接到舉報(bào)后,依職權(quán)展開調(diào)查,核實(shí)情況后對(duì)用人單位施以相應(yīng)處罰,最終達(dá)到防止用人單位侵害勞動(dòng)者個(gè)人信息的目的。
(作者單位:信陽師范學(xué)院政法學(xué)院)
【注:本文系河南省政府決策研究招標(biāo)課題階段性成果,項(xiàng)目編號(hào):2015B296】
【注釋】
①崔聰聰:《個(gè)人信息損害賠償問題研究》,《北京郵電大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》,2014年第6期。
②劉青楊:《社會(huì)多元化轉(zhuǎn)型期隱私權(quán)與知情權(quán)關(guān)系研究》,《北方論叢》,2015年第5期。
③馮靜:《檔案信息化及檔案信息化建設(shè)》,《蘭臺(tái)世界》,2014年第4期。
④郎慶斌:《國外個(gè)人信息保護(hù)模式研究》,《信息技術(shù)與標(biāo)準(zhǔn)化》,2012年第1期。
⑤齊愛民:《個(gè)人信息保護(hù)法研究》,《河北法學(xué)》,2008年第4期。
⑥廖宇羿:《我國個(gè)人信息保護(hù)范圍界定—兼論個(gè)人信息與個(gè)人隱私的區(qū)分》,《社會(huì)科學(xué)研究》,2016年第2期。
⑦王利明:《論個(gè)人信息權(quán)的法律保護(hù)—以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》,《現(xiàn)代法學(xué)》,2013年第4期 。
責(zé)編/潘麗莉 孫娜(見習(xí)) 美編/王夢(mèng)雅(見習(xí))