防范個人信息處理風險點

文/錢隆

作者單位 上海江三角（蘇州）律師事務所

在勞動關系領域，企業基于勞動關系處理信息的目的、范圍和方式，都具有較大的彈性，因此，企業利益和勞動者權利衡量十分重要。這就要求我們從勞動關系的本質和具體場景出發，界定企業在信息處理過程中的正當利益，并與勞動者隱私和個人信息權利受到侵擾程度進行比較和權衡，從而判斷企業的個人信息處理行為是否具有合法目的?！秱€保法》在二審稿基礎上增加了一項無須取得個人同意的個人信息處理法定情形，即“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”（第十三條）。該規定為企業在勞動管理之中涉及的員工個人信息收集提供了例外的安排。企業管理權對勞動者個人信息權構成制衡，但企業對勞動者個人信息的收集亦不能超過合理的限度。

勞動者個人信息保護的獨特價值

個人信息保護的主要價值在于保護信息主體的人格尊嚴和自由。勞動者個人信息保護除了個人信息保護的一般價值之外，還具有其獨特價值。這種獨特價值主要體現在對隱私和個人信息的保護有助于保護勞動者（包括求職者）的平等權、言論自由權和工作中的權利等其他權利。

第一，保護求職者和勞動者的平等權。平等就業權是公民的一項基本權利。在求職階段，企業往往要求求職者提供各種信息或者主動收集信息，并在一定程度上基于收集到的信息做出是否錄用的決定。隨著技術的發展，企業除了傳統上要求求職者提供個人信息之外，還可以通過網絡手段收集到求職者的信息，甚至可以通過第三方對求職者實施背景調查等。這些信息可能與工作有關，也可能與工作無關，如果不對信息處理行為進行規制，企業可能基于法律禁止的理由或者其他不合理的理由拒絕求職者的入職申請，從而損害求職者的就業平等權。

第二，保護勞動者的言論自由權。隨著網絡通信技術的發展，社交媒體越來越流行。同時，越來越多的企業會對勞動者的言論尤其是在網絡上的言論進行監控。言論自由是公民的一項基本權利，也是勞動者的一項基本權利。如果放任企業對勞動者的言論尤其是社交媒體言論信息的處理，企業就可能基于勞動者或求職者的言論做出對其不利的決定（包括解雇），勞動者的言論自由權可能受到極大限制。

第三，保護勞動者工作中的權利。對勞動者隱私和個人信息的不當侵入可能損害勞動者工作中的權利，包括影響勞動者的工作表現、人格尊嚴和身心健康。對勞動者隱私和個人信息的不當處理，比如實時監控和實時定位，可能抑制勞動者的創新和潛能，影響勞動者的工作效率和工作表現，甚至可能造成勞動者的緊張和焦慮，限制其行為自由，從而損害勞動者的人格尊嚴和身心健康。

第四，矯正勞動關系中勞動者的不利地位。在職場中，如果勞動者對企業個人信息政策或者做法有異議，其選擇權會受到很大限制，難以像消費者選擇商家一樣，自由選擇企業，往往只能接受企業的不當做法。此外，當勞動者個人信息遭到侵害時，雖然勞動者可以尋求救濟，但由于企業和勞動者存在持續性的合作關系，勞動者往往擔心企業對自己采取不利措施而不敢或不愿向企業提起訴訟。

企業對勞動者個人信息收集的正當性

《個保法》第十三條中規定的無須取得個人同意的個人信息處理的情形——“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”——體現了企業基于管理權在必要的范圍內收集使用勞動者個人信息有其正當性。

第一，有利于優化企業管理，提高工作效率。招聘階段，了解求職者基本信息是找到合適勞動者的前提；工作過程中，對勞動者行動信息的分析處理有助于保護其人身安全，維護企業設施和保障工作環境安全，降低企業生產經營風險。智能化監控手段可幫助企業了解勞動者行為，防止勞動者濫用工作設備和浪費工作時間，保護公司財產、提高生產效率。此外，企業可利用智能手段對勞動者的歷史數據和日常表現進行分析，更加準確地進行工作評估，優化人力資源管理方式。

第二，有利于防范工作安全風險。我國勞動法規定，企業對勞動者的健康安全負有保障義務。為履行此義務，企業有必要在一定范圍內收集勞動者的健康、生物數據，預防工作過程中的潛在健康風險。針對高危作業人群，企業可利用可穿戴設備實時收集、分析勞動者的身體行動信息，據此做出個性化風險提示，降低安全隱患，保證勞動安全。

第三，有助于保障公共安全，維護公共利益。不同行業對勞動者信息披露程度要求不同，涉及公共利益的行業要求從業者提供更多的個人信息。如食品加工行業，無傳染病是從業者應具備的基本條件，否則可能會影響食用者的健康。為維護公共健康安全，食品加工從業者有必要公開一定的健康信息。在航空運輸行業中，飛行員若在執行飛行時突發疾病，可能會將數百人的生命置于危險之中。為避免此種情況，航空企業應被允許在一定范圍內收集飛行員的基因信息，檢測是否攜帶不適合做飛行員的遺傳疾病基因，比如高血壓、亨廷頓舞蹈癥等，從而降低因飛行員健康問題導致飛行事故的風險?？傊?，當公共安全利益高于主體的個人信息利益時，勞動者有必要讓渡部分個人信息以換取公共安全。

如何合規保護勞動者個人信息

雖然立法肯定了企業在對勞動者個人信息的收集和使用中具有一定的正當性，但是這種正當性是有限制的，因此在《個保法》已經出臺的背景下企業需要盡快建立起勞動者個人信息保護體系，以達到合規經營的目的。

第一，收集前需要限制信息收集范圍并達成勞資合意。企業應根據勞動者個人信息與勞動內容的關聯性明確企業針對勞動者個人信息知情權的具體范疇。第一類是與勞動者工作能力密切相關，對企業是否會聘用勞動者起到決定性作用的信息，比如學歷、工作經驗、所學專業、職業經歷等。此類信息是企業決定是否雇用應聘者的基礎，在企業的知情權范圍內。第二類是與工作有間接關聯，能夠影響勞動合同履行、勞動者工作表現的個人信息，比如個人健康狀況、社會關系等。此類信息是否能被企業所知悉可根據不同的行業領域和工作屬性等做出個案判定。第三類是與工作無關的私密信息，比如家庭成員信息、社交媒體賬號等。此類信息在勞動者的隱私合理期待范圍內，企業不能以便于管理之名肆意收集上述信息，因此，企業在收集以上信息時，必須經過勞動者書面授權同意。

第二，收集后企業應建立相應制度和管理體系防止信息泄露。企業收集勞動者個人信息后，應當履行保護信息安全、保障信息不被侵犯的義務。一方面，企業應當做出積極的行動，保護勞動者個人信息安全；另一方面，對勞動者的信息利用應基于明確、正當的目的，杜絕對信息的不合理使用。企業作為信息的收集者、利用者和保管者，需承擔起一系列安保義務防止信息泄露。面對技術進步給個人信息保護帶來的新挑戰，保障個人信息安全的方法也應不斷更新升級。比如利用隱私增強技術，如編碼、加密、假名和匿名、防火墻、匿名通信技術等措施，減少勞動者信息被黑客竊取或非法利用的風險。必要時可在企業內部設立專門的數據保護崗位，對企業日常數據信息的收集、處分和開發進行合規審查和監督。

第三，企業要防止對勞動者信息的不合理利用。我國《個保法》規定處理個人信息應明示處理信息的目的、方式和范圍，即個人信息處理應基于特定的目的，該目的是具體的、明確的、正當的，且對個人信息的處理不應逾越初始目的。企業利用勞動者個人信息的目的是方便企業管理、提升企業效益，超越此目的利用勞動者個人信息是對勞動者個人信息權的侵犯，未經勞動者同意轉賣、泄露其個人信息更是違法的。

此外，企業收集信息的目的要具有合理性，收集信息不能超過應有的邊界，進而侵犯勞動者的基本隱私權和休息權。比如利用可穿戴設備收集勞動者個人信息，監控勞動者的一舉一動以達到經濟效益最大化，無視勞動者的隱私權和休息權，此種以侵犯勞動者基本人格權為前提才能達到的目的不具合理性，該行為侵犯了勞動者的個人信息權。