數字權利視域下職場電子監控的三元治理模式

摘 要：職場電子監控技術的廣泛應用對勞動者的隱私權、個人信息等人格利益造成了顯著的負面影響，因此有受法律規制的必要。然而，現有規制體系卻面臨著針對性措施匱乏的窘境，其合理完善方向應當是建立一套以勞動者數據隱私權保護為核心、差分隱私和職業健康法律制度為輔助的“一軸兩翼”式的三元治理模式，令內部各項制度間能夠互為呼應，做到兼具層次性及體系性。此外，由于電子監控帶來的勞動者精神損害問題可視作數智技術沖擊傳統勞動關系的一個縮影，故該治理模式也需要能夠被移植進其他數智技術的規制策略中，彰顯其維護數智時代和諧勞資關系的積極作用。

關鍵詞：電子監控；勞動者；數據隱私權；層次化規制措施；差分隱私

中圖分類號： D 912 文獻標志碼：A 文章編號：2096?9783（2023）05?0040?10

隨著數智時代的到來，愈來愈多企業認識到數智技術作為一項生產要素對提升企業競爭力的重要價值，包括對外部市場信息獲取便利和內部企業勞動管理優化的雙重助益，作為數智技術之典型的電子監控因此得到廣泛應用。誠然，勞動者從職場電子監控中收獲的利好不容否認，但總體而言，資方從數智技術中取得的增益要遠勝于勞方，這令本就不甚穩定的勞資利益天平愈發失衡，并且這種失衡的代價沾染了新的時代特征，不再局限于財產利益的損失，更多表現為對勞動者人格利益的侵蝕，最終外顯為勞動者遭遇的心理問題。由于既有研究所給出的應對方案很少談及具體操作手段，并且往往疏于論證新舊制度銜接之可能，尤其缺乏技術規范的法律化嘗試，因此，為彌補上述不足，需要為治理模式之完善規劃出一條明晰路徑。申言之，應當在廓清勞動者數字權利邊界的基礎上，結合職場電子監控的種種應用現實，實現算法標準與勞動法規范在“數智時代新型勞資關系”語境下的有機結合。

一、職場電子監控應用泛化導致的困局

電子監控被定義為監控主體借助計算機等電子設備，對被監控者使用的符號、語言、文字等進行觀測追蹤以獲取并分析其信息的一項活動[1]，合理的職場電子監控同時利好勞資雙方。但從技術發展的脈絡上看，企業需求天然蘊含著無限化、無序化的基因，出于獲得超額利潤和信息優勢等目的，合法名義掩蓋下實行過限和實質違法的電子監控技術大行其道，造就了如今雇主加冕“信息主宰”，勞動者淪為“算法囚徒”的現實困境。

在算法加持下，現代職場電子監控日益呈現出監控方式隱蔽化和信息攫取全面化兩項突出特征，二者加劇了勞資力量失衡的局面，成為致使勞動者人格利益受侵害的導火索。其中，“監控方式隱蔽化”側重從形式手段而非實質功能層面強化監控效果。由于現代電子監控技術的發達程度已超越了多數員工的認知水平，若雇主經行實施秘密監控以回避履行信息告知義務，勞動者對自身權益可能受侵害的事實將處于無意識狀態，“無請求則無賠償”，加之勞動者相對薄弱的證據收集能力，其知情權與勝訴權難以獲得保障。例如：在一起典型案例中①，企業未經勞動者同意便擅自指使IT部門運用技術手段讀取其辦公電腦的數據并更換登錄密碼，從而占據了訴訟優勢。另一項特征“信息攫取全面化”則描述了電子監控技術具備的強大數據收集能力和高度隱私侵權隱患，具體涵蓋兩方面內容：一是突破時空條件制約。工業4.0時代，就業形態不再局限于傳統坐班制，遠程用工與非全日制用工的普及催生了針對前者的GPS和RFID技術（Radio Frequency Identification）與針對后者的AI考勤技術。GPS 和RFID 技術被用于實時監控員工位置，如在引發社會廣泛熱議的“南京環衛工智能手環事件”中[2]，環衛公司強制其員工佩戴具備自動上報行動軌跡并發出休息超時警告功能的智能手環，涉嫌嚴重侵害勞動者隱私；AI考勤技術則不僅能監視員工工作進度，甚至可通過測量員工心率、大腦專注度等生理指標以評估其是否處于工作狀態。以美團外賣平臺推行的“微笑行動”為例，該行動會隨時隨地對騎手的工作表現進行抽檢，騎手被要求在收到隨機彈窗信息后約10分鐘內上傳自拍，違規者將受到封號或罰款處罰。二是兼顧內外部信息源。內部信息與勞動過程密切相關，收集方式包括按鍵記錄與流量監測等；外部信息獲取自員工職業活動之外，如企業可通過訪問員工的社交媒體來了解其成長經歷、愛好、人際關系等私人信息，部分信息可能成為企業濫用獎懲權甚至違法解雇勞動者的依據②。

然而，勞動法對此作出的回應卻相當有限，原因在于規制對象難以界定。在傳統勞動法理論框架下，企業勞動管理權的觸手不得侵犯神圣的私人領地，因此上述干涉勞動者私生活的行為系屬非法毋庸置疑。但由于數智時代的多元就業形態令私人領域和公共領域的界限消弭、家庭身份的私主體屬性與勞動者身份的社會人屬性二元重疊，以傳統方式區分職業活動與私人生活的觀念變得不切實際，以上案例中涉及的電子監控行為之合法性邊界也隨之模糊。

二、職場電子監控治理的價值取向與法理遵循

歷史規律表明，技術迭代對原先勞資關系的沖擊和既有利益格局的擾動無法完全避免。因此，在確定規制對象和手段前需要明確職場電子監控技術的治理目標：一是應將勞動者人格利益損失之代價控制在法律和社會觀念皆容許的范圍內；二是應避免過分嚴苛的規制標準阻礙技術發展乃至影響社會整體福祉最大化的實現。達成上述目標的關鍵在于厘清規制的法理依據，從而為治理對象的界定與具體策略的設計提供指引。

（一）勞動管理權學說對雇主權力的限制

在勞動管理權學說的框架下，電子監控技術與心理健康損害分別是雇主行使勞動管理權和勞動者隱私權、個人信息自決權、人格尊嚴等權利受侵犯的具象化表現，故二者的沖突實質上是雇主勞動管理權與勞動者人格權之間的角力。勞動管理權學說在闡釋雇主支配勞動者之正當性來源的同時也表達了相應的價值傾向：行使勞動管理權應恪守雇主維護組織秩序之“固有權”和勞動者訂立勞動合同之附隨義務所共同劃定的界限[3]，避免影響勞資雙方的力量均衡。

然而，以電子監控為代表的數智技術的介入帶來了區別于傳統勞動管理方式的新爭議。首先是歸類爭議，即雇主能夠采用電子監控技術究竟是基于“固有權”還是“附隨義務”抑或兼而有之？通常來說，“固有權”的權源與雇主所擁有生產資料的財產權密不可分，但電子監控的實施卻并不以雇主自持相關技術設施為必要。現實情況是，部分雇主更青睞于通過采購第三方技術服務或要求勞動者自購可穿戴設備上報數據信息的方式來實現監控目的。“附隨義務”說則強調勞動合同的樞紐作用，但數智時代多樣化的靈活用工形態往往僅構成事實勞動關系，未必存在勞動合同，這就掐斷了網約車司機、外賣騎手等數量可觀的勞動者群體對抗不合理職場電子監控的維權路徑。由此可見，單獨把雇主電子監控實施權歸為“固有權”或“附隨義務”的做法均會不恰當地縮小受保護勞動者的范圍，將二者結合以解釋雇主電子監控技術實施權之權源的理論或許更為妥當。

其次是界限厘定爭議，即“固有權”和“附隨義務”共同劃定的合法疆域究竟為何？本文認為，“固有權”和“附隨義務”共同關注的焦點在于實質層面的勞動過程與勞動關系，而非形式層面的一紙書面勞動合同。重視勞動過程決定了勞動法在確定電子監控之正當性邊界時，應檢視的核心內容是“雇主實施職場電子監控與其期待實現的生產管理目標間有著多大程度的關聯性”；勞動關系的從屬性特征則要求界限之確定應采嚴格的“強關聯”標準，因為電子監控技術能夠在現有的合法框架內事實上延展雇主的管理能力，令權力天平向雇主傾斜，打破勞資雙方在長期博弈中維持的相對均勢局面。因此，為重新衡平利益，在對電子監控技術予以規制時貫徹傾斜保護勞動者的原則有其必要性。

（二）數字人格理論對勞動者權利的塑造

數智時代，大數據技術通過全面記錄分析人們在日常社會交往中留下的電子足跡賦予了人類天然生物屬性之外的數字屬性[4]，塑造了自然人的“數字人格” [5]（Digital Personality）或稱“ 電子人格” [6]（ElectronicPersonality）。數字人格理論指出[7]，數字人格是數智時代個人信息權利的有機結合和主體體現，核心為“個人提供有限信息權”和“必要信息服務權”，即個人在法定范圍內享有決定信息供給限度的自主權，同時也承擔依據創造數字身份的目的提供與之相應信息的義務。《中華人民共和國民法典》（以下簡稱《民法典》）將個人信息歸入人格權編，從而肯定了個人信息利益的人格權屬性，投射到勞動法領域亦然。一方面，職場電子監控在勾勒勞動者數字輪廓的同時通常伴隨對后者的精神困擾，因此對勞動者數據的使用須慎之又慎。在權利義務的分配上，勞動者數據雖由雇主生成和存儲，但其所有權和信息自決權仍應歸屬勞動者方，雇主負有“僅得在符合法定必要事項或征得勞動者同意之情形下”謹慎使用數據并在事后及時刪除或向勞動者轉交數據的信息管理義務。另一方面，數智時代勞動關系的“算法從屬性”為數字人格理論在勞動法領域的變通適用提供了策略指引。在勞動關系被納入算法權力秩序體系的時代背景下，勞動法對勞動者的保護力度需要進一步突破民法中意思自治原則的局限，通過引入強制性規范的方式將勞動者數字人格權益之保護打造成一項勞動基準[8]。

綜言之，數字人格理論和勞動管理權學說分別從正反兩面界定了應受保護的勞動者人格利益之疆界。在算法視域下，與雇主合理經營目的高度關聯的事項之集合構成了勞動法上的公共領域。這一領域是一個半封閉的圓圈，除獲勞動者明確同意的監控事宜可有限擴張其范圍外，圓圈之外的廣袤空間原則上均屬于勞動者的私人領域，雇主對后者實施的電子監控即具有違法性的基因，應當成為法律規制的對象。

三、核心規制策略：勞動者數據隱私權保護

治理對象的確定為規制策略的選擇指明了方向。對勞動者而言，這意味著其在主張救濟前首先需要覓得正當的請求權基礎。基于我國對人格利益的定性和司法實踐現狀，以個人信息權和隱私權為受害對象的人格權侵權路徑是較為主流的訴因選擇。需要釋明的是，《民法典》將個人信息與隱私分而治之的做法存在爭議，因為二者之內涵在“私密信息”一處存在重合。一種意見認為，個人信息應被傳統隱私的概念涵攝[9]，以便接軌域外通行規則和應對數智時代信息樣態復雜化的現實；也有觀點指出，以勞動者個人信息保護囊括職場隱私保護的做法在語境上與數智時代背景更為契合[10]。本文對此不作特別區分，凡論述中涉及的“隱私”或“個人信息”均為廣義概念，內含個人私密領域和信息自主兩方面的內容。

對于個體在數字化社會交互中占有的私人空間及關聯信息，域內外表述方式不一。加拿大、歐洲、美國分別稱之為“信息隱私” [11]（Informational Privacy）、“個人數據” [12] （Personal Data）和“數據隱私” [13]（DataPrivacy），我國早期采用過“網絡隱私”的稱謂。近年來，不少學者也開始引入域外表達并圍繞由此衍生的利益之性質進行了研究，相繼提出了“ 網絡隱私權” [ 14]、“信息隱私權” [15]、“數據隱私權” [16]的初步概念，用以描述個人對其數字疆域中私密空間與生成信息所享有的利益。由于“信息隱私權”易于令人聯想到“個人信息權”而產生混淆，弱化隱私權的統攝地位；而“網絡隱私權”中“網絡”一詞劃定的數據交互范圍局限于互聯網，與如今萬物互聯的現實環境并不適配。相較之下，“數據”一詞不僅新穎全面，而且反映了信息轉換為二進制代碼并通過數字模型被賦予意義的“數字化”過程，因此，本文認為采用“數據隱私權”的表述為宜。

（一）勞動者數據隱私權的內涵

作為勞動法與民法糅合的產物，勞動者數據隱私權并非獨立的人格權范疇，而是隱私權的一項派生權利。“勞動者”與“數據”兩項限定詞分別賦予了隱私權在“數智時代勞動關系”這一特殊語境中的某些修正特征，如圖1所示，使其內涵發生嬗變而區別于傳統隱私權。

1.權利復合：從二元到三元

傳統隱私權本身已經復合了憲法權利和民事權利。關于民事權利，《民法典》規定了隱私權和個人信息保護；關于憲法權利，《中華人民共和國憲法》中雖未明確提及隱私權，但實際上形成了以人格尊嚴條款為抽象概括、通信自由秘密條款與住宅不受入侵條款為具象細分的總分式隱私權體系，而當勞動者被列為主要保護對象時，隱私權的第三重權利屬性——勞動權利屬性得以顯露。鑒于勞動者的隱私權與勞動關系密切相關，因此對隱私權作為一項三元復合權利的理解也應從勞動關系切入：其一，區別于傳統隱私權的終身性，勞動者隱私形成及隱私權保護范圍均以勞動關系之存續為條件，至多覆蓋締約期間和勞動關系消滅后的一定時間；其二，勞動關系中主體地位不平等，勞動關系的從屬性導致雇主擁有收集和支配勞動者隱私信息的便利條件，且在需高度依賴證據來證明勞動者精神利益之損害與職業活動相關的隱私權訴訟中占據天然優勢。為平衡之，給予勞動者適當的傾斜保護是必要的，這一點也是常按民事權利來理解的傳統隱私權很少考慮的問題。

2.人格權與財產權雙重屬性

依大陸法系主流觀點，隱私作為人類尊嚴的重要象征并不全歸個人掌握，而是由個人所處的社群創造并賦予個人，故不能被充作交換其他利益的等價物。我國也肯定了傳統隱私權的人格權屬性，一方面，《民法典》將隱私權納入人格權編；另一方面，根據民事訴訟規則，精神損害索賠訴訟的案由被歸入人格權糾紛。然而，在隱私權概念的誕生地美國，隱私權“散發著粗獷的個人主義傾向”，比之隱私，個人自由和自主權的位階較為優越，故前者可被用作換取其他權利或利益的對價，這包括勞動關系中的一些權益，如薪資福利和晉升機會。因此可以說，美國的隱私權定義甫經提出便兼附財產權屬性。

作為傳統隱私權的派生，勞動者數據隱私權的財產權屬性更為明顯。進入數智時代，職業活動中數字信息的經濟價值開始得到承認和挖掘，勞動者對其隱私信息享有經濟利益逐漸成為一項共識，這主要體現在兩個方面：一是積極利用的權利，作為隱私主體的勞動者獲得基于所有權的個人隱私信息的處分權，包括信息公開和數據交易兩種常見形式；二是排除妨害和妨害預防的請求權，即當隱私數據遭受雇主實際侵害或有受侵害之危險時，隱私權的財產權屬性拓寬了勞動者可選擇的請求權基礎之范圍，同時也有利于精準衡量損失的確切價值。

3.從消極防御權到積極利用權

勞動者對隱私數據的積極利用構成勞動者數據隱私權的另一項特征，因為隔離空間和信息囚室的消弭客觀上要求隱私權人擺脫傳統的消極防御思維，轉而以積極作為的姿態尋求自身隱私利益的保護，表現為積極控制與積極收益。對于這種積極利用的權利基礎存在兩種不同的解釋路徑：其一是從雙重屬性中的財產權屬性出發，這在上文中已有提及；其二是從人格權的積極利用屬性出發。王利明教授認為，人格權本身便兼具消極防御和積極利用的效力，精神性人格權的主體資格和人格利益可以拆分，如姓名權、肖像權等[17]。勞動者的數據隱私權同理。從發展脈絡上看，“排斥外界干涉”的消極權能是傳統隱私權的核心權能，彼時的隱私利益主要體現為私人領域的安寧與不受侵犯。然而，數智時代降臨，隱私數據在量與質上均迎來飛躍，前者是指數據種類、數目和豐沛度大幅增加，后者意味著數據的非完全自愿交換成為社會交往的必需，數字人格理論便很好說明了數據的集聚性和綜合性及其對數字人的刻畫功能。在這種趨勢下，隱私利益中經濟性成分的權重不斷提升，信息主體正當使用隱私數據并取得收益行為之合理性值得肯定。相應地，勞動者的數據隱私權也成為隱私權由防御性權能為中心發展成由積極權能主導這一變向在勞動領域的映射。

4.權利場域限定

“氣球理論” [18]（Balloon Theory）有助于理解隱私權權利場域的彈性。該理論認為，隱私空間如同一個伴隨主體始終的氣球，其大小因主體與外界對象間的不同交互作用而異，人們在與親朋團聚時會有意縮小氣球，而在與陌生人如雇主相處時則會膨脹氣球以宣示空間主權。可見，傳統隱私權的權利場域雖原則上包含無限時空，但實際上會根據權利人身處公共領域抑或私人領域而受到不同程度的制約[19]。相較之下，勞動者的數據隱私權受到數字信息和勞動關系兩項因素的疊加影響，其權利場域進一步限縮為虛擬空間和工作場所。不過，這一狹窄空間仍有其意義。一方面，職場數字化隱私空間可以幫助勞動者屏蔽外部世界的干擾，從而以自主感知的方式完成虛擬領域的自我表達、自我認同及自我身份定義；另一方面，該空間的存在提供了一項勞動者權利的合法性解釋，據此，即使是在符合處于工作時間內且完全使用公司生產資料的苛刻條件下，勞動者仍擁有一定的隱私領域，雇主不僅無權入侵，還需負擔領域創設和維護義務。

（二）應受重點規制的職場電子監控類型

為實現對職場電子監控技術的有效治理，一方面需要在理順法理邏輯的基礎上設計出一套普適性的綱領規范，另一方面也需要對部分具備特殊性的監控技術類型予以重點關照。在分類依據的選擇上存在著多樣化標準：一是目的分類法。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第十三條將“為實施人力資源管理所必需”確定為雇主處理勞動者個人信息的合法事由。經補充解釋，該條款可被拆解為“履行雇主義務之必需”“實現勞動合同目的之必需”“確保企業正常運作秩序之必需”，有悖上述合法信息處理目的的監控應用將成為重點規制對象。二是特征分類法，即通過提煉具備高度侵權可能的監控技術之共同特征并判斷某項職場電子監控類型是否符合之的方式來界定重點規制對象，轉化為對應問題便是：具備何種特征的職場電子監控技術應當享有更高的規制優先級？

勞動經濟學上把影響勞動者精神健康的因素歸納為工作環境和心理資本（Psychological Capital）兩類[20]，前者為客觀因素，涵蓋物理環境、工作組織、主管行為等；后者為主觀因素，被定義為“能夠給個體帶來積極組織行為的心理狀態” [21]。二者與勞動者的心理健康狀況均呈正相關關系，其共同作用將最終決定勞動者之精神利益是否因從事職業活動而受損以及受損幾何。從職場電子監控技術的影響機制上看，其通常直接作用于工作環境，通過影響上下級間的信任關系、團隊氛圍的融洽度等來間接影響勞動者的心理資本，最終反映為勞動者的精神狀況。這是一個漸進式的過程。因此，一般而言，短期性監控（如為調查職場性騷擾事件而采取臨時監控取證）不會導致心理資本的大幅波動，因為后者具備一定彈性和自我調整能力；但長期性監控對個體心理資本的弱化效應卻不容忽視，勞動者心理承受力閾值的下降將會在其退出勞動過程或進入新工作環境中時凸顯出來。此外，電子監控的“侵入程度”和“秘密程度”也會通過該影響機制產生效果。研究發現[22]：（1）高侵入性的電子監控技術（如攝像頭、按鍵記錄、電話語音監測）對員工工作態度、自我效能感和感知控制力有著顯著的負面影響；（2）當監控不可預測即員工缺乏“合理隱私期待”（Reasonable Expectation of Privacy）時，其精神狀態進一步惡化。由此可見，具備長期性、高侵入性、秘密性三項特質的電子監控手段對勞動者人格利益有著突出的威脅，無疑應受重點規制。

（三）層次化保護措施的理念及具體構造

根據對上文的總結，勞動者的數據隱私權可被簡明定義為勞動者對其在職業活動中形成的數字化信息所享有的不受干涉和積極利用的權利，這項權利與以電子監控為表征的企業勞動管理權天然相抗且不可偏廢。現代職場電子監控功能高度分化，常見的職場電子監控技術包括：視頻監控、電話和語音監測、電子郵件監控、流量監測、按鍵記錄、面板訪問記錄監控、AI考勤、GPS和RFID技術、社媒和搜索引擎監控。不同類型的監控技術在與職業活動的關聯性、對勞動者隱私領域的侵入性和心理健康的危害性等方面皆存在差異，彼此間存在一定的順位關系。因此，本文提出的一種構想是，在設計具體規制方案時需要遵守合法、目的、透明、責任四項原則以平衡勞資雙方的利益關系，并以此為指引，在綜合考量9類監控技術對勞動者數據隱私權威脅程度的基礎上將其分為三檔并適用層次化的規制措施。

在四項原則中，合法原則要求職場電子監控的手段、應用場域等均嚴格遵守法律框架的制約，這涉及調整勞動關系的《中華人民共和國勞動法》《中華人民共和國勞動合同法》和維護電子信息利益的《中華人民共和國數據安全法》《個人信息保護法》兩大部類。合法原則在所有原則中居于統率地位，與公序良俗、公共利益等諸多抽象概念共同起到良善價值指引的作用，但其本質上只是一種概括式的通用規定，并不專為保護勞動者的數據隱私權而設。

對目的原則可以通過總分方式進行解構。首先，電子監控的目的整體上必須合法、正當。其次，從局部來講，目的原則可被拆解為必要性原則和比例原則兩項子原則。必要性的研判須結合個案情形做出，如在（2020）鄂01民終3509號案中，武漢市中院認為，企業為“避免貨物缺損”而在工作區域安裝攝像頭的行為即滿足必要性條件。比例原則要求雇主應采取“非突兀的方式”（Non-Obtrusive Manner）來盡量弱化監控對勞動者數據隱私權的侵害程度，實現雇員隱私信息的最小范圍慎用，如英國《雇傭實踐數據保護準則》中明確規定，雇主必須消除與雇傭關系“無關或過度”的個人信息的收集，為此還專門設置了“影響評估”（ImpactAssessment）程序來提供制度保障。

透明原則要求雇主欲實施電子監控時須事先告知雇員，且若無法律的特別規定，還需征得后者的同意方可實施。對同意的理解包括三點：其一，同意的前提是充分知情，雇員需要詳細了解個人數據的特定處理途徑，概括式同意是不可接受的；其二，同意應當以明確形式做出；其三，同意必須出于自愿，雇主不能以簽署監控豁免協議等方式變相獲得監控許可。透明原則最大的實踐價值體現在秘密監控場合，美國法中通常會考量雇員是否擁有合理隱私期待，如果雇主公示其監視計劃，提醒雇員密切關注并明確告知后者監視可能會在其不知情狀況下進行，那么雇員對隱私期待的合理性便會大幅下降，雇員在精神損害索賠中勝訴的概率也會愈低[23]。當然，囿于勞動關系的從屬性，同意的自愿性很難保證，國內判例③甚至顯示，若員工執意拒絕企業的電子監控要求，可能構成對后者經營管理自主權的損害，企業可以員工違反勞動規章為由解除勞動合同。

責任原則實際上是對數據安全、數據質量等要求的提煉和概括，這意味著雇主作為決定數據處理目的和方式的控制者，有責任采取適當技術手段來確保雇員的隱私數據符合精確性、完整性、機密性、留存時限等要求。具言之，責任原則為雇主設定了兩項義務，一項是為數據提供安全的收集、存儲和使用環境的義務；另一項是完善數據訪問的勞動規章制度的義務，即雇主只能在受到嚴格外部監督的條件下，對具有合法需求的、接受過數據管理專門培訓的人員開放數據訪問權限。并且雇主的努力應盡量以可視化的方式呈現，這將幫助其規避可能的不利后果，如在（2020）渝05民終2737號案中，勞動者利用職務之便查詢、下載并泄露公司存儲的數據，因公司事先通過規章制度及保密協議進行了風險防范，法院據此做出了有利于公司的判決。

四項原則勾勒出了職場電子監控的合法性框架，因此，分檔時的核心理念在于衡量監控技術與原則間的契合程度以及其是否符合目的分類法或特征分類法項下的重點規制要求。至于分檔技術標準的選取則可以借鑒勞動法上的相似制度。譬如，對監控與勞動管理目標間關聯性的認定便可以仿效工傷認定規則中的“三工原則”進行檢視，即考慮某種監控類型在多大程度上滿足“工作時間”“工作場所”“工作原因”三項要件。在此基礎上最終設計出的層次化規制措施，如表1所示。

第一檔監控手段對雇員隱私和心理健康的侵害程度最低。電子面板一般被用于控制電梯、停車場等限定區域，員工通過輸入密碼、提供指紋或虹膜掃描等方式解鎖通道，同時在系統中留下記錄。這一類面板訪問記錄監控恰當，符合目的原則中的必要性和比例要求，因為普通面板的智能化程度較低，僅具備被動記錄簡單訪問信息并決定放行與否的消極防御功能，收集到的數據被用于員工定期審查、紀律處分或解雇決定，屬于雇主正常行使勞動管理權的應有之義。因此，面板監控通常滿足“三工原則”，其應用合法性得到論證。唯一應被禁止的是雇主為監督和提高員工工作效率而在工作場所私人空間（如衛生間和更衣室）設置的面板監控，因為這很可能違反比例原則的要求。

第二檔監控手段雖然主要通過公司計算機進行，應用目的也與正當企業管理需求的關聯度較高，但其收集到的隱私數據已不限于從事職業活動所必要的信息，而且可能涉及秘密監控方式，從而加劇員工的不安和焦慮情緒并構成對透明原則的違反。不過，以預防雇主責任為目標的、嚴格遵守透明原則、責任原則的數據收集行為應當被允許，這對雇主提出了兩項操作要求，一是須對收集到的數據進行分類，二是須及時刪除與職業活動無關的隱私信息。從域外經驗來看，如果雇主行為能符合上述要求，將為應用此檔電子監控技術打上實踐性和合法性的“補丁”。以流量監測為例，流量監測軟件被用于追蹤員工的網絡電子足跡、向企業呈現員工瀏覽網頁的整體數據并分析個別員工是否在工作時間內頻繁訪問特定網站。美國法院通常支持雇主享有進行此類監控的權利，理由是雇員無法在工作時間訪問的網站上對隱私產生合理的期待。

第三檔監控手段智能化程度最高，對員工的情緒困擾更甚，收集信息的范圍也進一步擴大。除極少部分恪守原則的謹慎做法（如限用于特定時段和區域的、明確告知員工的、及時覆蓋無關數據的視頻監控）以外，得益于技術的強化，只要雇主愿意，監控可能完全突破工作場所④、工作時間和工作原因⑤的限定。在極端情形下，任何原則都將失效，勞動者將被剝奪全部的隱私感，“雇主會毫無顧忌地審查雇員的每一個決定，從而收獲構成后者日常生活的一塊塊拼圖” [24]。

由此可見，上述三檔電子監控技術對勞動者數據隱私權的侵害程度逐檔遞增，對其持有的規制態度也應當由寬至嚴，依次是：第一檔為“原則允許，例外禁止”；第二檔為“數據篩選基礎上的有限許可”；第三檔為“原則禁止，例外允許”。

四、輔助規制策略：差分隱私與職業健康法律制度

勞動者的數據隱私權作為本源性權利，不僅覆蓋勞動關系生滅全程，且為未造成嚴重后果的監控應用提供了規制依據。然而，僅憑其一項尚不足以完全支撐起龐大的勞動者人格利益保護體系，因為勞動者數據隱私權保護本質上是一條從傳統法學理論出發的侵權保護路徑，手段單一，在應對快速迭代且種類繁多的電子監控技術時頗感力絀。輔助規制策略存在的意義正是彌補其不足，其中包括以現代算法技術為根基的預防措施——差分隱私（Differential Privacy）和以勞動法為依據的職業健康法律制度，前者關注損害的事前預防，后者聚焦勞動者人格權受損衍生的精神利益損害。但策略的針對性既是優勢也是局限，成為劃分核心規制策略與輔助規制策略的重要理由。

（一）差分隱私技術標準的援用

差分隱私概念最初在2006年被提出[25]，其擁有技術和標準兩個維度的內涵。技術維度，差分隱私是一項個人數據的去識別化技術，也被認為是隱私在統計和機器學習分析語境中的數學定義。差分隱私技術常被用來收集、分析和共享基于個人數據的各種統計估計值，其特點是在保護數據中的個人隱私時會犧牲一定的數據準確度。從發展脈絡來看，差分隱私技術經歷了從集中化到本地化的演化。早期的差分隱私技術建立在中央數據服務器上，通過添加隨機噪聲來模糊兩個相鄰數據集之間的統計差別。隨著技術進步，噪聲添加步驟擺脫了對第三方服務器的依賴轉移到本地[26]，借助在云端和客戶端之間設置的洗牌器對數據進行亂序處理以達到匿名效果。

標準維度，差分隱私提供了一項衡量算法安全性的檢驗標準。算法邏輯簡言之就是輸入數據經運算轉化為輸出數據的過程，那么，任何人一旦了解運算公式，便可以通過逆運算將輸出數據還原為輸入數據，從而挖掘出可用于辨識特定數據主體的隱私信息，這也被稱為隱私攻擊（Privacy Attack）。隱私攻擊的方式包括重新識別、鏈接記錄和差分攻擊等，其攫取信息和繪制數據畫像的能力易對個人隱私造成直接威脅并引起普遍的隱私焦慮和不安。為解決之，差分隱私標準要求所有被用于分析敏感個人信息的工具都應當同時滿足兩個條件[27]：（1）任何主體均無法通過逆向推導獲得原始輸入數據；（2）單數據項的存無對數據分析結果造成的偏差須在可接受范圍內。

這實際上是一種巧妙的轉圜保護設計，因為任何運算公式皆無法完全避免被破解風險，一味追求算法升級來強化防御功能的傳統方式反倒會落入盲目“軍備競賽”的陷阱。由此可見，差分隱私的核心在于“數據去識別化”。域外法上也出現了將數據去識別化作為隱私保護法定標準的嘗試，如美國《家庭教育權利和隱私權法案》（FERPA）規定，教育機構獲準披露學生的受教育記錄應當以“已刪除所有可被用于辨識個人身份的信息”為前提條件，即機構必須有合理依據證明任何第三方均無法憑借其發布的學生教育記錄鎖定后者的實際身份；2022年6月公布的《美國數據隱私和保護法案》（ADPPA）草案將受保護的消費者信息限定為“單獨或與其他信息結合后可識別或合理鏈接到個人及設備的信息，可能包括派生數據和唯一的持久標識符”；日本《個人信息保護法》第二條則提出了“匿名加工信息”的概念，用以指代“為無法識別特定個人而對其個人信息進行加工并使之無法復原后所得到的信息”。類似條款收獲了不錯的實踐效果，因為模糊化處理的信息打消了公眾疑慮，非但未造成信息失真，反而促進了數據在社會學統計研究方面的廣泛使用，從而彰顯了差分隱私的積極作用。據此，有理由相信適用差分隱私將帶來正向的社會價值。

最后需要解決的是將差分隱私應用于我國職場電子監控治理的可行性問題。關于可行性的探討包括三個方面：其一，從技術開發的底層邏輯來看，電子監控技術從外界抓取信息、轉碼后存儲于磁盤等介質、數據分析和輸出有效信息的全程均以算法為基礎，本質上是一種非典型信息處理工具；其二，從跨法律部門適用的可操作性上來看，數據去識別化標準具有普適性，不屬于部門法專有規則，任何法律部門中涉及隱私保護的方案設計都可以借鑒之，勞動法領域亦不例外；其三，從法律移植的可能性上來看，差分隱私具有獨立淵源，與勞動者的數據隱私權侵權保護路徑及風險評估、工傷賠償等制度相兼容，不會造成我國現有法律體系的大幅擾動。因此，綜合來看，采用差分隱私技術并援引差分隱私標準作為可行性和合法性指標來規制職場電子監控是大有裨益的。

（二）職業健康法律制度的完善方向

職業健康法律制度是以職業病防治為導向建立的一套旨在維護勞動者身心健康相關法益的法律規范，心理風險評估和精神損害類工傷賠償是其中的兩項重要內容，二者分別從事前預防和事后救濟的角度切入來保障勞動者的工作環境權。如前所述，勞動者心理健康問題正是職場電子監控應用缺陷的實然表現，后者因此落入了職業健康法律制度的規制區間。

心理風險評估是工傷預防的形式之一，該程序通過分析整體工作環境或單項工作任務中可能出現的問題源，如超長工時、績效壓力和職場欺凌等，向雇主遞交評估報告并提出合理改進建議，從而避免損害的真正發生。因此，從理論上講，心理風險評估為雇主額外設置了一項安全論證義務，有利于限縮其選擇職場電子監控類型、適用場域的恣意程度。可遺憾的是，從實踐層面來看，我國長期以來對高度抽象的精神利益的匱乏認知導致現有風險評估制度中心理要素的權重極低，且缺少剛性標準和實施細則。以《中華人民共和國職業病防治法》中規定的職業病危害預防評價制度和工作場所職業病危害因素評價制度為例，其中的評估和監測內容便僅限物理因素，主要指工作環境中有毒有害物質的類型與含量。相比之下，德國勞動法對精神壓力方面的風險評估要重視得多，德國《職業安全與健康法》和《關于實施心理壓力風險評估的意見》明確規定了心理風險評估的開展時間、員工對未經評估的工作任務的拒絕權、勞資委員會的共同決定權以及授權第三方進行評估的許可條件等內容，在構建心理風險評估制度初步框架的同時為職場電子監控的治理提供了法制保障，具有比較法上的借鑒意義。

與風險評估制度類似，我國目前的工傷認定制度也呈現出“重身體損傷，輕精神損傷”的樣態。立法上，《工傷保險條例》規定的工傷和視同工傷的情形均為圍繞事故引起的物理傷害；司法上，法院一般主張精神損害賠償不屬于《工傷保險條例》規定的工傷保險待遇和《中華人民共和國勞動爭議調解仲裁法》規定的勞動爭議受理范圍。然而，在工作環境權語境下，勞動者遭受的機械性損傷與精神性損傷實際上并無保護位階的先后之分，二者的區別僅體現在現實認定難度的差異上。因此，裁判中將不當職場電子監控所導致的勞動者精神疾病納入工傷保護范圍進行解釋的做法并不存在理論障礙。近年來，法院的態度也確實有所松動，一些判例開始有限度地承認精神傷害損失的工傷屬性，如在（2020）遼05行終8號案中，沈某在工作時被操作車撞擊，經醫院診斷為“創傷后應激障礙及癔癥性人格”后被依法認定為工傷。不過，類似嘗試并不具有普遍性，仍需要立法層面給出統一且明確的回應，具體的改進方法包括兩類：一是在《工傷保險條例》第十四條第七款所規定的“其他情形”中釋明精神損害當屬該款情形之一；二是從該條第四款“患有職業病”入手，更新擴容職業病目錄來納入職場精神損害，如此便能暢通將電子監控所致勞動者精神損害納入工傷賠償救濟范圍的進路，賦予勞動者更多救濟選擇。

五、規制前景展望

通過對上述規制策略的有機整合，以勞動者數據隱私權為核心，差分隱私和職業健康法律制度為輔助的職場電子監控法律規制體系得以初具雛形，如圖2所示。從宏觀上看，以“與雇主合理經營目的無關或弱相關的電子監控”為治理對象的“一軸兩翼”式的職場電子監控三元治理格局初步形成；從微觀上看，差分隱私和職業健康法律制度充當了局部保護措施，勞動者數據隱私權則給予了勞動者全面保護，各項具體策略擁有差異化的功能和屬性，能夠起到很好的針對作用，使整個體系兼備層次性和全面性。

其中，除差分隱私面臨“從無到有”的標準創制問題外，剩余策略均只要求對現有制度進行微調，使之契合數字化、智能化的時代需要，最終形成制度合力以保障新舊就業形態勞動者的人格利益。此外，由于電子監控是數智技術的重要象征，該體系實際上也建立了一套數智時代勞動者權益保護的新范式，以便立法者更好應對工業4.0時代勞資關系的諸多變化。

參考文獻：

[1] 許慶永， 單寶雄. 我國社區矯正中電子監控的法律規制研究[J]. 人權研究（輯刊）， 2020， 23（1）： 504-579.

[2] 裴睿. 南京環衛工停留超20 分鐘手環就喊“努力工作”？ 已叫停[EB/OL]. （2019-04-04） [2023-04-10].https： //www. thepaper. cn/newsDetail_forward_3256944.

[3] 田思路. 智能化勞動管理與勞動者隱私權的法律保護[J]. 湖湘論壇， 2019， 32（2）： 2-27.

[4] 馬長山. 數字時代的人權保護境遇及其應對[J]. 求是學刊， 2020， 47（4）： 103-111.

[5] FROOMKIN A M. Flood control on the information ocean：living with anonymity， digital cash， and distributed databases[J]. JL amp; Com. ， 1995， 15： 395.

[6] ROBERT G， . The electronic personality and digital self[J]. Dispute Resolution Journal， 2001， 56（1）： 8-19.

[7] 朱程斌. 論個人數字人格[J]. 學習與探索， 2021（8）：82-90.

[8] 王倩. 作為勞動基準的個人信息保護[J]. 中外法學，2022， 34（1）： 183-201.

[9] 喻術紅， 湯曉瑩. 勞動者隱私保護問題研究現狀及其評述[J]. 時代法學， 2020， 18（5）： 33-39.

[10] 田野. 職場智能監控下的勞動者個人信息保護——以目的原則為中心[J]. 中國法學， 2022（3）： 17.

[11] LASPROGATA G， KING N J. Regulation of electronicemployee monitoring： identifying fundamental principlesof employee privacy through a comparative study of dataprivacy legislation in the European Union， United Statesand Canada[J]. Stan. Tech. L. Rev. ， 2004： 4.

[12] KIM P T. Data mining and the challenges of protectingemployee privacy under US Law[J]. Comp. Lab. L. amp;Pol'y J. ， 2018， 40： 405.

[13] REID P. Regulating online data privacy[J]. SCRIPTed，2004（1）： 488.

[14] 王利明. 隱私權的新發展[J]. 人大法律評論， 2009（1）：3-27.

[15] 余成峰. 信息隱私權的憲法時刻規范基礎與體系重構[J]. 中外法學， 2021， 33（1）： 32-56.

[16] 李振利. 數字經濟高質量發展下數據隱私權保護新途徑的研究[J]. 宏觀質量研究， 2022， 10（1）： 107-126.

[17] 王利明. 人格權的屬性： 從消極防御到積極利用[J]. 中外法學，2018， 30（4）： 845-861.

[18] YANISKY-RAVID S. To read ornot to read： privacy within socialnetworks， the entitlement of employeesto a virtual private zone，and the balloon theory[J]. Am. UL Rev. ， 2014， 64： 53.

[19] 鄒開亮， 丁穩. 大數據時代勞動者隱私權保護路徑構造[J]. 價格理論與實踐， 2022（10）： 60-212.

[20] 李庭輝， 黃子媚. 心理健康經濟學研究進展[J]. 經濟學動態， 2021（7）： 132-148.

[21] 周評. 心理資本視角下企業員工心理健康教育的思考[J]. 中國勞動關系學院學報， 2011， 25（2）： 40-43.

[22] JESKE D， SANTUZZI A M. Monitoring what and how：psychological implications of electronic performance monitoring[J]. New Technology， Work and Employment，2015， 30（1）： 62-78.

[23] CAVICO F J. Invasion of privacy in the private employmentsector： tortious and ethical aspects[J]. Hous. L.Rev. ， 1993， 30： 1263.

[24] CIOCCHETTI C A. The eavesdropping employer： a twenty‐ first century framework for employee monitoring[J].American Business Law Journal， 2011， 48（2）： 285-369.

[25] DWORK C， KENTHAPADI K， MCSHERRY F， et al.Our data， ourselves： privacy via distributed noise generation[C]//Advances in Cryptology-EUROCRYPT 2006：24th Annual International Conference on the Theoryand Applications of Cryptographic Techniques， St. Petersburg，Russia， May 28-June 1， 2006. Proceedings25. Springer Berlin Heidelberg， 2006： 486-503.

[26] 劉利康， 周春來. RCP： 本地差分隱私下的均值保護技術[J]. 計算機科學， 2023， 50（2）： 333-345.

[27] WOOD A， ALTMAN M， BEMBENEK A， et al. Differentialprivacy： a primer for a non-technical audience[J].Vand. J. Ent. amp; Tech. L. ， 2018， 21： 209.