職場智能監(jiān)控中個人信息保護(hù)的有效同意：現(xiàn)實困境與優(yōu)化路徑

一、問題的提出

隨著全球公共衛(wèi)生事件的爆發(fā)，遠(yuǎn)程工作模式和混合制工作制度迅速興起，成為許多用人單位應(yīng)對外部沖擊的一種方式。然而，這種轉(zhuǎn)變也帶來了一系列新的挑戰(zhàn)，其中最突出的就是職場監(jiān)控與個人信息保護(hù)?，F(xiàn)實中，許多用人單位正在采取網(wǎng)上流量監(jiān)控、智能坐墊、監(jiān)視軟件甚至可植入皮下的微型芯片等先進(jìn)科技手段對勞動者進(jìn)行深度監(jiān)控。根據(jù)VPN評論網(wǎng)站Top10VPN的數(shù)據(jù)，自2019年以來，員工監(jiān)測軟件需求的增幅高達(dá) 60% ，而在2020年3月至2022年7月期間，“員工監(jiān)測軟件”的搜索量更是較2019年增加了 59% 。這種持續(xù)增長的趨勢在高德納咨詢公司（Gartner）的研究中也得到了印證，該機構(gòu)預(yù)計到2025年，將有 70% 的大型企業(yè)采用員工監(jiān)測軟件 ① 。

身處個人信息“裸奔”的時代，如何通過提升同意的有效性來加強對勞動者個人信息的保護(hù)，成為職場環(huán)境中一個亟待解決的問題。然而，既有研究主要側(cè)重于從事前角度對個人行為及同意規(guī)則本身進(jìn)行相對靜態(tài)的分析，忽略了用人單位的資合屬性以及成本在其決策過程中的重要影響。基于“成本—收益”原理，違法行為代價的嚴(yán)厲程度直接影響用人單位遵守法律的意愿。因此，應(yīng)當(dāng)從事前和事后兩個角度探討如何強化同意的有效性。事前角度關(guān)注勞動者在信息處理全過程中的知情與參與，確保同意的知情性和自愿性；事后角度則強調(diào)對用人單位違規(guī)行為的處罰和對勞動者的救濟(jì)，通過加強監(jiān)管和法律責(zé)任以保證同意的有效性。

二、個人同意的有效條件

《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）第十四條規(guī)定：“處理個人信息的同意，應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出?！雹诰唧w而言，個人信息處理中個人同意的有效要件包括以下幾項。

（一）知情性

傳統(tǒng)同意理論認(rèn)為，同意人的知情源于被告知。這是因為在個人信息處理活動中，“告知—知情—同意”是一個遞進(jìn)的邏輯關(guān)系，既在時間維度上反映個人信息收集的不同階段，即先有“告知”后有“知情”再有“同意”，又在關(guān)系維度上體現(xiàn)個人信息收集的交互性質(zhì)，即“告知”“知情”與“同意”是關(guān)聯(lián)交互、不可分割的整體?！秱€人信息保護(hù)法》全文共出現(xiàn)16處“告知”，集中體現(xiàn)在第十七、十八、二十三、三十、三十五、三十九條，突出了告知在保障知情權(quán)中的核心地位。有效告知不僅關(guān)乎形式層面，更涉及實質(zhì)內(nèi)容。在形式上，《個人信息保護(hù)法》一方面規(guī)定了告知的具體事項，包括但不限于信息處理者的身份信息、與處理行為相關(guān)的信息、個人信息的分享程序、敏感信息的處理方式、個人行使法定權(quán)利的方式和程序以及個人信息的跨境傳輸?shù)取Ａ硪环矫?，法條中還規(guī)定了告知的要求，即方式顯著、語言簡潔、條理清晰、內(nèi)容真實、準(zhǔn)確完整，針對不同情況，可采取適當(dāng)措施降低信息主體的閱讀負(fù)擔(dān)。在實質(zhì)上，告知的標(biāo)準(zhǔn)應(yīng)使一般人能夠理解。具言之，一般人能夠充分認(rèn)識到個人信息的處理目的、方式以及同意或拒絕同意所產(chǎn)生的各種法律后果。此外，《個人信息保護(hù)法》對不同類型的個人信息的告知方式也做了特殊規(guī)定，如敏感個人信息要采用單獨告知的方式，以保障信息主體能夠充分知情。

（二）自愿性

《布萊克法律詞典》對自愿性的解釋是：“一種不受強迫的自愿與自由的特性，不受外界的干涉和他人的影響”①。這一定義強調(diào)了行為的自發(fā)性和決策的獨立性。盡管判斷一個行為自愿與否往往涉及對個人內(nèi)心狀態(tài)的評估，但依然可以通過客觀標(biāo)準(zhǔn)進(jìn)行推定，如行為前后是否一致、是否符合商業(yè)慣例等?！吨腥A人民共和國民法典》（以下簡稱《民法典》）第五條規(guī)定了意思自治原則，賦予民事主體有權(quán)基于自己的意志自由進(jìn)行法律行為的權(quán)利。作為特別法的《個人信息保護(hù)法》在遵循《民法典》指導(dǎo)原則的基礎(chǔ)上，進(jìn)一步要求個人信息處理行為的同意必須自愿作出。由此可見，自愿性即自由形成同意的意思表示，，意味著個人做出同意決定時不存在任何威脅、欺詐或脅迫等形式的壓迫，信息主體享有完整的信息自決權(quán)。

（三）明確性

明確的同意意味著勞動者必須采取積極的、無歧義的行動，向用人單位就自己的某項個人信息授予明示同意。這主要涉及三個方面的內(nèi)容：其一，在表示行為方面，強調(diào)主體主觀意思的客觀表達(dá)，即個人有意通過某行為將允許處理個人信息的效果意思對外表達(dá)。其二，在表達(dá)方式方面，《信息安全技術(shù)個人信息處理中告知和同意的實施指南》提供了進(jìn)一步的規(guī)范，明確同意應(yīng)基于對收集目的及處理規(guī)則的充分理解，以防止被動接受或默認(rèn)選擇的情況發(fā)生，這包括但不限于主動勾選、點擊“同意”、進(jìn)行電子簽名、主動填寫或提供信息等行為。其三，在表達(dá)對象方面，《個人信息保護(hù)法》規(guī)定個人信息的處理行為必須針對明確的對象，禁止采用混合同意、捆綁同意等模糊方式，以排除對個人信息處理行為的不加區(qū)分的全部同意。在大多數(shù)場景下，明確性要求采取明示同意的方式實現(xiàn)。不過，在某些特殊情況下，如存在顯著提示標(biāo)識且個人看到后并未離開該區(qū)域，該行為也可以被認(rèn)定為對處理活動的明確同意。此外，單純的沉默僅在法律規(guī)定、當(dāng)事人約定或符合當(dāng)事人之間的交易習(xí)慣時，才能被視為具有同意的意思表示。因此，對于“明確同意”的認(rèn)定并非一概而論，需要結(jié)合具體場景進(jìn)行分析。

三、有效同意的實踐困境與學(xué)理反思

同意規(guī)則起源于“小數(shù)據(jù)”時代的單一來源的個人信息收集場景，長期以來被視為個人信息保護(hù)的核心原則。然而，隨著大數(shù)據(jù)時代的到來，個人信息來源的多樣化、信息收集與處理的密集化，以及數(shù)據(jù)利用方式的復(fù)雜化，導(dǎo)致同意規(guī)則在實踐中面臨諸多困境。

其一，信息不對稱下的知情形式化：告知內(nèi)容的復(fù)雜性導(dǎo)致閱讀負(fù)擔(dān)加重、理解難度提升。“告知同意”規(guī)則設(shè)置的初衷是保護(hù)信息主體的合法權(quán)益。然而，在實際應(yīng)用中，用人單位提供的勞動合同中有關(guān)個人信息處理的條款往往冗長且專業(yè)。一方面，鑒于“告知同意”規(guī)則是用人單位合法處理個人信息的必經(jīng)之路，用人單位在制定該條款時通常事無巨細(xì)，全面描述且包裹多項免責(zé)聲明。盡管這一做法形式上符合規(guī)定，卻因篇幅過長、層次復(fù)雜，過分強調(diào)表示意思的發(fā)生而忽視表示意思應(yīng)達(dá)到的效果，導(dǎo)致告知、知情的實際效果大打折扣。另一方面，過于復(fù)雜和詳盡的“告知同意”內(nèi)容使得勞動者在面對這些條款時感到無所適從。勞動者在加人新的工作環(huán)境時，已經(jīng)面臨著許多挑戰(zhàn)和不確定性，密集的個人信息保護(hù)條款只會增加他們的心理負(fù)擔(dān)，而不是提供清晰、有用的指導(dǎo)。此種情形下，信息主體的合法權(quán)益反而可能因為無法充分理解所同意的內(nèi)容而受到損害，違背了“告知同意”規(guī)則的初衷。雖然通過簡化文本、強調(diào)關(guān)鍵內(nèi)容等方式可以在一定程度上緩解這一問題，但極易引發(fā)告知不全面或者以偏概全的風(fēng)險。隨著技術(shù)發(fā)展帶來的新的信息應(yīng)用場景的出現(xiàn)，需要告知的事項不斷增加，相應(yīng)地，勞動者需要知情的事項也在增多，進(jìn)一步加劇了勞動者的閱讀負(fù)擔(dān)。再加上，告知的內(nèi)容并非越多越細(xì)越好，海量的彈窗提醒、復(fù)雜的操作機制，多數(shù)情況下會讓勞動者無法把握所做選擇是否真正符合自己的需求。

“知情”是個人做出授權(quán)決定以及限制或拒絕他人處理其個人信息的前提。在智能監(jiān)控的背景下，從監(jiān)控目的到數(shù)據(jù)處理方式，用人單位的每一項告知內(nèi)容都可能涉及大量復(fù)雜的技術(shù)和法律術(shù)語。這種語言上的隔閡產(chǎn)生的信息過載大大超出了普通勞動者的理解能力與認(rèn)知水平。面對這些專業(yè)性強且內(nèi)容晦澀的處理條款，勞動者通常不愿意去閱讀;即便閱讀，因勞動者大多是普通公眾，不具備專業(yè)法律知識及計算機基礎(chǔ)知識，難以真正理解條款含義以及用人單位收集、處理個人信息行為對自身權(quán)益的具體影響;即便理解，勞動者也難以知曉用人單位是否真正按照約定的條款處理其個人信息。因此，這種形式上的告知并不必然產(chǎn)生勞動者知情的效果。

其二，經(jīng)濟(jì)控制下的同意強制化：用人單位利用優(yōu)勢地位強迫勞動者同意?；趧趧雨P(guān)系內(nèi)部固有的權(quán)力差異，用人單位通過“套路條款”“霸王條款\"等格式條款設(shè)定不利于勞動者個人信息保護(hù)方面的條款，而勞動者在這些條款的具體內(nèi)容設(shè)置方面沒有選擇性排除或改變的權(quán)限。勞動者要么同意用人單位提供的格式條款，要么不同意進(jìn)而承擔(dān)失去工作機會的風(fēng)險。這種“接受或離開”的二選一機制使得勞動者迫于隱性或顯性的壓力，“不得不同意”監(jiān)控措施，這樣的同意實際上背離了其真正內(nèi)涵，很難被認(rèn)定為基于自由意愿決定①。尤其是在經(jīng)濟(jì)下行的背景下，勞動者對勞動合同存續(xù)的期待以及對降薪、調(diào)崗、解雇等懲戒措施的擔(dān)憂，幾乎剝奪了其在個人信息保護(hù)方面的任何議價能力。為了最大限度保持職位的穩(wěn)定性，勞動者通常會避免向用人單位提出保護(hù)個人信息的需求或主動請求用人單位公開有關(guān)信息處理的細(xì)節(jié)，這種缺乏職業(yè)安全感的狀態(tài)，減弱了其在面對個人信息保護(hù)問題時的積極性，勞動者覺得自己別無選擇，不得不接受所有的職場要求，包括對個人信息的侵犯。與此同時，智能手段的運用加劇了用人單位不當(dāng)利用管理權(quán)獲取勞動者同意的問題，看似扭轉(zhuǎn)權(quán)力勢差的同意常被企業(yè)的智能管理權(quán)“裹挾”②。如果勞動者拒絕接受用人單位的智能監(jiān)控，可能會招致用人單位的差別對待，如被孤立或限制職業(yè)發(fā)展機會等。反之，同意接受智能監(jiān)控行為所產(chǎn)生的后果具有滯后性與隱蔽性，導(dǎo)致勞動者會更多地考量短期評價和結(jié)果而非長期的個人權(quán)益。在司法實踐中，法院更傾向于保護(hù)用人單位的用工管理權(quán)，對涉及輕微侵犯個人信息而未造成嚴(yán)重后果的行為表現(xiàn)出較為寬容的態(tài)度，勞動者很容易因證據(jù)不足而敗訴。這種司法傾向進(jìn)一步加劇了獲取有效同意的困境。

其三，權(quán)力不平衡下的授權(quán)概括化：勞動者的再次同意被模糊或省略。在處理勞動者的個人信息時，原則上每次處理行為均需征得勞動者的明確同意。盡管如此，現(xiàn)實操作中，許多用人單位依賴于勞動者最初簽署的同意協(xié)議，將這份初次同意授權(quán)的有效性延續(xù)至整個就業(yè)周期，導(dǎo)致勞動者的個人信息被二次甚至多次收集和使用。尤其是在智能監(jiān)控技術(shù)這一“黑箱\"操作的輔助下，用人單位違規(guī)收集勞動者個人信息的行為變得更加隱蔽，勞動者再次給出同意的機會變得模糊不清。更嚴(yán)重的是，某些用人單位為了節(jié)省交易成本，直接超越最初的同意范圍，在勞動者毫不知情的情況下，擅自收集其個人信息，加深了雙方在事實上的權(quán)力不對等。以吳某軍與騰某豐科技有限公司勞動合同糾紛案為例，該公司在未征得勞動者同意的情況下，私自對吳某軍遮擋電腦的行為予以視頻監(jiān)控，侵犯了其隱私權(quán)。勞動者和用人單位之間的關(guān)系很大程度上建立在相互信任的基礎(chǔ)之上，一旦用人單位通過省略再次獲取同意的環(huán)節(jié)，侵犯勞動者的個人信息時，這種信任就會被破壞，不僅違反了知情同意的原則，也損害了勞動者的基本權(quán)益。這種一次授權(quán)便被不正當(dāng)?shù)責(zé)o限延伸的情形，使勞動者對其個人信息的后續(xù)處理過程一無所知，直至負(fù)面影響顯現(xiàn)，方才意識到個人信息已遭受侵犯。

面對有效同意在實踐中的諸多困境，學(xué)界進(jìn)行了深人反思與討論。有學(xué)者主張以目的原則為中心，認(rèn)為基于智能監(jiān)控處理勞動者的個人信息應(yīng)當(dāng)具備明確、合理且與勞動直接相關(guān)的目的①。然而，現(xiàn)實中用人單位的目的往往模糊且難以量化，如“關(guān)鍵時段、特定場所”“有跡象表明的違法行為”，這些標(biāo)準(zhǔn)缺乏具體性和實際操作性。此外，目的原則可能無法完全覆蓋技術(shù)應(yīng)用中出現(xiàn)的新型隱私侵權(quán)類型，如 App 內(nèi)置 SDK 插件違規(guī)收集信息。一方面，SDK 在軟件開發(fā)中是常見且重要的工具，許多開發(fā)團(tuán)隊借用第三方提供的SDK，以低成本和低耗時實現(xiàn)應(yīng)用程序的多種功能服務(wù);另一方面，這些SDK也可能獲取設(shè)備信息和用戶個人信息，帶來隱私風(fēng)險。另有學(xué)者主張以比例原則為核心，認(rèn)為用人單位進(jìn)行的電子監(jiān)控應(yīng)滿足適當(dāng)性、必要性以及均衡性的要求②。但是，該主張缺少對用人單位違規(guī)行為的監(jiān)督和處罰機制，難以保證同意規(guī)則在實踐中被嚴(yán)格遵守。亦有學(xué)者主張職場電子監(jiān)控的三元治理模式，即通過多層次的保護(hù)實現(xiàn)對勞動者隱私權(quán)的全面保障③。然而，該模式缺乏對勞動者同意的關(guān)注，這是賦權(quán)員工和確保知情決策的關(guān)鍵，且在不同工作環(huán)境中實施如此全面的模式可能面臨資源限制、管理復(fù)雜性等挑戰(zhàn)。此外，還有學(xué)者提出根據(jù)勞動關(guān)系的不同階段對職場個人信息進(jìn)行規(guī)制，主張在勞動關(guān)系存續(xù)期間，監(jiān)控必須具有正當(dāng)目的，合乎比例原則，采取適當(dāng)方式且不得過度收集信息，并應(yīng)遵守透明原則④但是，如何在不同職場環(huán)境中具體操作和落實這些原則，確保其被有效遵守，依然是一個實踐難題。

綜上所述，目的原則、比例原則、三元治理模式以及勞動關(guān)系階段規(guī)制各有其優(yōu)勢和不足，難以全面應(yīng)對實踐中的諸多挑戰(zhàn)。同意規(guī)則本身的規(guī)范效力已經(jīng)明確，關(guān)鍵問題在于保障其有效實現(xiàn)的具體條件未能充分回應(yīng)各方的利益期待，導(dǎo)致其可操作性和社會基礎(chǔ)薄弱，進(jìn)而陷入失效境地。僅依靠重申、解釋同意規(guī)則等一系列原則進(jìn)行事前指導(dǎo)，難以規(guī)避用人單位為了追求巨大利益而挺而走險。同意規(guī)則的有效性取決于其能否在利益各方的博弈中體現(xiàn)出均衡。為促成這一博弈均衡，需構(gòu)建內(nèi)外并舉的激勵機制。理性的做法是在現(xiàn)有制度框架內(nèi)，通過規(guī)則解釋和制度續(xù)造等方式探究有效同意的實現(xiàn)路徑。要解決以上問題，需要從事前和事后兩個角度入手。事前，確保勞動者對信息處理全過程的知情與參與，增加透明度；事后，加強對用人單位違規(guī)行為的監(jiān)督和處罰，加碼對抗主體，提高違法成本，真正實現(xiàn)法規(guī)的威懾力和預(yù)防效果。

四、有效同意的路徑優(yōu)化

《個人信息保護(hù)法》雖然明確規(guī)定了個人同意的有效要件，但判斷處于相對被動地位的勞動者的“同意”是否出于內(nèi)心真實意愿變得尤為困難，且處理個人信息的行為客觀上可能對勞動者個人權(quán)益造成一定程度的損害，鑒于此，應(yīng)當(dāng)強化實際操作中的同意規(guī)則體系。具體而言，主要包括以下幾項措施。

（一）強化用人單位主動告知義務(wù)

首先，在告知內(nèi)容上，應(yīng)實現(xiàn)告知過程透明化。用人單位主動告知的事項包含使用網(wǎng)絡(luò)、電腦等設(shè)備的基本規(guī)則，比如使用的時間、方式，尤其需要明確是否可以用于私人目的或者在用于私人目的時是否存在限制;用人單位目前正在采取的監(jiān)控措施以及其各自的目的;各種監(jiān)控措施的內(nèi)容、范圍、時間、頻率和監(jiān)控主體等。同時，應(yīng)明確告知在此過程中有可能采集到的勞動者個人信息類型，尤其針對涉及敏感個人信息和個人隱私的監(jiān)控行為應(yīng)特別提醒勞動者注意，并更加詳細(xì)地說明監(jiān)控內(nèi)容與行為后果以及對勞動者的潛在不利影響，如將監(jiān)控結(jié)果作為懲戒員工的依據(jù)等。還應(yīng)告知勞動者可以采取的救濟(jì)措施及用人單位對于通過監(jiān)控行為采集到的員工個人信息所采取的保護(hù)措施。在告知方式上，用人單位應(yīng)當(dāng)使用清晰、易懂的語言，避免使用帶有歧義或?qū)挿旱恼Z言，例如“完成管理體系迭代”“形成管理閉環(huán)”等，確保提供信息的真實性、準(zhǔn)確性、完整性，并附有解答義務(wù)。

其次，在告知效果上，應(yīng)實現(xiàn)告知效果可視化。用人單位需要對勞動者充分知情承擔(dān)證明責(zé)任。鑒于充分知情屬于主觀心理事實，加之勞動者的教育水平和理解能力良莠不齊，告知的標(biāo)準(zhǔn)必須確保一般人也能理解。但現(xiàn)實是，傳統(tǒng)的文本告知方式往往篇幅過長、晦澀煩瑣、再疊加無實質(zhì)作用的內(nèi)容過多等原因，導(dǎo)致告知的閱讀率極低。因此，為了滿足告知效果的可視化要求，應(yīng)從勞動者不愿閱讀告知內(nèi)容的行為習(xí)慣和個人信息處理者變相強迫勞動者同意個人信息處理規(guī)則的角度出發(fā)，在完整告知的基礎(chǔ)上，用人單位應(yīng)采用圖表、流程圖或者動畫等可視化手段，將復(fù)雜的監(jiān)控機制、個人信息處理流程等內(nèi)容形象化展示，使勞動者能夠迅速掌握關(guān)鍵信息。在可視化材料中要突出顯示最為核心和重要的法律后果，力求告知可以在客觀上達(dá)到令一般人充分知情的效果，既要防止告知、同意實施中可能存在的“敷衍了事”“偷工減料”，也要盡可能避免告知、同意實施中的“教條死板”“舍本求末”。此外，除了單獨向勞動者進(jìn)行書面或電子告知外，還應(yīng)當(dāng)將告知置于容易被勞動者看到的顯眼位置，如公告欄或公司內(nèi)網(wǎng)，防止以概括同意或者集體同意代替勞動者的真實意愿。

最后，應(yīng)當(dāng)強化行業(yè)自律，由行業(yè)協(xié)會制定科學(xué)的告知文本。國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)個人信息處理中告知和同意的實施指南》（GB/T42574—2023），為落實個人信息保護(hù)的相關(guān)法律法規(guī)提供了一套詳細(xì)的操作框架。該指南通過區(qū)分一般告知、增強告知、即時提示等多樣化的告知方式，以及明示同意、單獨同意、書面同意等不同的同意形式，為個人信息處理的合法性提供了明確的操作指導(dǎo)。在此背景下，為滿足各種類型用人單位的具體需求，行業(yè)協(xié)會應(yīng)發(fā)揮關(guān)鍵作用，推動建立針對細(xì)分領(lǐng)域行業(yè)的個人信息保護(hù)自律組織，引導(dǎo)和協(xié)助制定行業(yè)特定、科學(xué)嚴(yán)謹(jǐn)?shù)母嬷谋?，發(fā)揮自查、自糾、自治、自律作用。其一，行業(yè)協(xié)會要深入研究和理解所屬行業(yè)的特定需求和風(fēng)險，確保告知文本充分涵蓋各類用人單位的個人信息處理活動;其二，行業(yè)協(xié)會要采取包容性的策略，通過研討會、咨詢會等形式，聚集行業(yè)內(nèi)的多方意見與建議，確保告知文本的廣泛適用性;其三，注重參考國內(nèi)外的最佳實踐，結(jié)合最新的法律法規(guī)和技術(shù)發(fā)展趨勢，不斷完善和更新告知文本，確保其始終反映最新的法律法規(guī)和社會期待;其四，行業(yè)協(xié)會應(yīng)當(dāng)設(shè)立監(jiān)督和評估機制，定期審查成員單位的實施情況，以識別并糾正潛在的不足，督促、引導(dǎo)從業(yè)機構(gòu)嚴(yán)格遵守個人信息保護(hù)的相關(guān)法律規(guī)范和監(jiān)管自律要求。

（二）引入第三方評估機構(gòu)

第三方評估是規(guī)范市場、監(jiān)督用人單位政策執(zhí)行的一劑良方。超越傳統(tǒng)用人單位與勞動者之間的簡單二元關(guān)系，第三方機構(gòu)能夠通過事先評估，有效緩解信息不對稱問題，協(xié)助勞動者在知情同意基礎(chǔ)上作出更加理性的選擇。此外，第三方機構(gòu)設(shè)立的個人信息安全標(biāo)準(zhǔn)具有多樣化與靈活性，相較于政府部門制定的統(tǒng)一性強制安全標(biāo)準(zhǔn)，更能有效彌補市場和政府監(jiān)督的不足。勞動者可以通過第三方評估機構(gòu)頒發(fā)的認(rèn)證標(biāo)志，快速識別相關(guān)用人單位的個人信息保護(hù)水平。通過影響用人單位的市場聲譽，第三方機構(gòu)不僅引導(dǎo)形成更為良性的市場競爭環(huán)境，還激勵用人單位采取更為嚴(yán)格的個人信息保護(hù)措施，進(jìn)而推動整個行業(yè)安全標(biāo)準(zhǔn)的提升。

具體而言，第三方評估機構(gòu)負(fù)責(zé)對用人單位采用智能監(jiān)控收集與處理信息的行為進(jìn)行深入調(diào)查，評估其是否符合現(xiàn)行的個人信息保護(hù)法律法規(guī)。對于執(zhí)行不到位的條款，評估機構(gòu)將敦促用人單位落實到位；對于不可行的條款，則提出合理的替代方案。為了預(yù)防風(fēng)險的再次發(fā)生，評估機構(gòu)可以借鑒互聯(lián)網(wǎng)誠信聯(lián)盟的“互聯(lián)網(wǎng) + 誠信評價 + 信用監(jiān)管”機制，建立一套完整的褒獎和懲戒機制，如連續(xù)三次評估不合格的用人單位，可以采取暫停認(rèn)證或限制、禁止其參與特定項目，以引導(dǎo)相關(guān)用人單位自我管理和改善服務(wù)。評估過程還包括個人信息保護(hù)認(rèn)證與網(wǎng)絡(luò)安全等級保護(hù)測評，根據(jù)評估結(jié)果給予用人單位不同級別的認(rèn)證標(biāo)簽，并及時在網(wǎng)站上更新這些信息。除此之外，第三方評估機構(gòu)還需要實時通報用人單位的不合理監(jiān)控行為，通過強有力的監(jiān)督提升其公信力。在用人單位根據(jù)評估反饋進(jìn)行改正后，第三方機構(gòu)要及時進(jìn)行驗收評估。引人第三方評估機構(gòu)，一方面提高了用人單位實施智能監(jiān)控活動的透明度和安全性，另一方面也增強了勞動者對企業(yè)的信任和凝聚力。

（三）實施動態(tài)同意管理機制

一方面，動態(tài)同意管理賦予信息主體中心地位，允許其根據(jù)所了解到的事實自主做出進(jìn)入或退出信息處理活動的決定，顯著提高了同意授權(quán)的有效性，規(guī)避了在初始信息收集階段個人信息決策自由的一次性耗盡，從而充分地實現(xiàn)意思自治?！秱€人信息保護(hù)法》第十五條不僅規(guī)定了信息主體的同意撤回權(quán)，還明確了信息處理者提供便捷撤回同意方式的義務(wù)。實踐中，國外一些企業(yè)已經(jīng)開發(fā)并提供了如OneTrust、Osano等同意管理工具，使勞動者能夠直觀地查看、管理和修改自己的同意設(shè)置。國內(nèi)相關(guān)用人單位可以借鑒這一形式，建立集中式同意存儲庫，支持勞動者針對不同類型的數(shù)據(jù)處理活動進(jìn)行個性化的同意或拒絕操作，滿足信息處理的知情權(quán)要求。與此同時，還可以建立一個以技術(shù)為支持的反饋機制，連接個人信息處理者與負(fù)責(zé)個人信息保護(hù)的政府部門。一旦遇到變相強迫勞動者同意個人信息處理的情形，有關(guān)問題就可以通過反饋機制便捷地報告給相應(yīng)的職能部門。依靠職能部門的權(quán)力保護(hù)個人信息安全，建立個人與政府在個人信息保護(hù)上的聯(lián)動機制，充分發(fā)揮政府在數(shù)智時代保護(hù)個人信息的積極職能。

另一方面，在基于同意處理個人信息的情況下，無條件的任意撤回權(quán)雖然保護(hù)了信息主體的知情權(quán)與決定自由，但缺乏彈性的利益衡量機制，最終可能導(dǎo)致個案中的過度保護(hù)，這與同意有效性的初衷背道而馳。因此，為避免用人單位負(fù)擔(dān)過重，應(yīng)當(dāng)嚴(yán)格落實《個人信息保護(hù)法》第十六條關(guān)于信息主體同意撤回權(quán)的行使，并細(xì)化其具體適用規(guī)則。首先，應(yīng)當(dāng)明確撤回同意的實現(xiàn)流程及其后果，將可能出現(xiàn)的相關(guān)風(fēng)險控制在合理范圍之內(nèi)，以降低用人單位在合法利用個人信息方面的成本，正向激勵用人單位獲取勞動者的有效同意。其次，應(yīng)允許不同行業(yè)之間存在一定的差異，在保護(hù)勞動者個人信息利益的同時兼顧用人單位的發(fā)展需求，防止勞動者隨意濫用撤銷權(quán)，避免給用人單位帶來不必要的困擾。

（四）加大用人單位的民事責(zé)任、行政責(zé)任

在民事責(zé)任中引人懲罰性賠償制度至關(guān)重要。根據(jù)理性人假設(shè)，經(jīng)濟(jì)活動參與者總是追求以最低的成本獲得最大的利益。當(dāng)實施不法行為的收益遠(yuǎn)高于侵權(quán)后所需支付的成本時，對行為人來說，實施不法行為才是“合乎理性”的選擇。特別是對財力雄厚的大企業(yè)而言，僅補償性賠償無法形成實際拘束力，法律往往淪為其成本核算的一部分，不僅對當(dāng)事者起不到懲罰作用，對其他潛在的違法者也不能構(gòu)成威慢?，F(xiàn)行處罰措施的威懾力度不足，導(dǎo)致個人信息的竊取和濫用屢禁不止。以陸某訴某商貿(mào)公司隱私權(quán)糾紛案為例，法院僅判決商貿(mào)公司公開道歉，并支付精神損害撫慰金4000元。這一過低的賠償金額反映了現(xiàn)行制度的懲罰性不足，無法對違法者形成實質(zhì)性的經(jīng)濟(jì)壓力。懲罰性賠償不僅是對具體受害人的私人賠償，更是對社會公共利益和秩序的報償。因此，對于嚴(yán)重的侵權(quán)及違約行為，理應(yīng)通過懲罰性賠償制度予以民事威慢，“嚴(yán)重”的判斷標(biāo)準(zhǔn)可參考《民法典》中關(guān)于懲罰性賠償?shù)囊?guī)定。通過大幅提高違法行為的代價，使用人單位在事前充分認(rèn)識自身所面臨的責(zé)任，從而在收集和使用個人信息時更加審慎，確保同意的有效性，進(jìn)而實現(xiàn)個人信息的強化保護(hù)。

提高行政責(zé)任中的罰款上限是保障同意有效性的關(guān)鍵措施。行政執(zhí)法因其高效性能夠彌補民事追責(zé)與刑事定罪的局限，從而增強對違法行為的威懾力。從《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》到《個人信息保護(hù)法》，三部法律的罰款上限不斷提高，體現(xiàn)了立法者對侵害個人信息社會危害性的重視。從全球范圍來看，近年來各國對于個人信息違法違規(guī)行為法律責(zé)任的規(guī)定呈現(xiàn)出加重趨勢。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）作為世界上最全面的數(shù)據(jù)保護(hù)框架之一，針對不同類別的數(shù)據(jù)處理違法行為，分別確立了靜態(tài)最高金額與動態(tài)最高金額。一般違法行為，如違反GDPR第83（4）條數(shù)據(jù)保護(hù)、數(shù)據(jù)評估、數(shù)據(jù)監(jiān)管義務(wù)的，最高罰款為1000萬歐元或者上一財年全球總營業(yè)額的 2% ;嚴(yán)重違法行為，如違反GDPR第83（5）、83（6）條數(shù)據(jù)監(jiān)管、數(shù)據(jù)跨境傳輸、侵犯數(shù)據(jù)主體權(quán)利等行為的，最高罰款為2000萬歐元或者上一財年全球總營業(yè)額的 4% 。例如，歐盟先后給亞馬遜公司和Facebook母公司Meta分別開出了7.46億歐元和12億歐元的罰單，這些“天價罰款”對用人單位形成了強烈的震慢力，促使其更加重視個人信息保護(hù)。盡管有觀點認(rèn)為監(jiān)管過嚴(yán)可能阻礙用人單位發(fā)展，但從長期來看，更嚴(yán)格的監(jiān)管有助于用人單位在全球市場中的成長和競爭。雖然“天價罰款”可能不適用于我國，但是《個人信息保護(hù)法》應(yīng)當(dāng)借鑒有益的域外立法經(jīng)驗，并結(jié)合我國的實際情況，提高罰款上限，以高額處罰來糾正、遏制違法行為，從根本上提高用人單位的個人信息保護(hù)意識。

（五）推動個人信息保護(hù)公益訴訟和集體訴訟制度的適用

個人信息兼具私益與公益雙重屬性?！秱€人信息保護(hù)法》在第七十條設(shè)立公益訴訟條款，將個人信息保護(hù)納人檢察公益訴訟的法定領(lǐng)域。有關(guān)機關(guān)和組織介人個人信息案件，一方面，能夠顯著增強博弈中較弱一方的實力，解決信息主體在選擇同意策略時的擔(dān)憂;另一方面，公益訴訟的審理和判決過程可以暴露現(xiàn)行法律制度中的漏洞和不足，促使立法機關(guān)和監(jiān)管部門進(jìn)一步完善個人信息保護(hù)的法律和政策，提高同意的規(guī)范性和有效性。但在司法實踐中，個人信息保護(hù)檢察民事公益訴訟的規(guī)定仍較為抽象，受案范圍與訴訟主體有待明確。對此，應(yīng)當(dāng)進(jìn)一步明確受案范圍，發(fā)揮個人信息保護(hù)公益訴訟在風(fēng)險預(yù)防中的作用。通過訴訟手段，督促“信息控制者”減少風(fēng)險，履行避免個人信息濫用義務(wù)。檢察機關(guān)應(yīng)積極主動履職，支持并推動其他適格主體提起與個人信息保護(hù)相關(guān)的民事公益訴訟。

我國《民事訴訟法》已經(jīng)規(guī)定了集體訴訟制度，相關(guān)司法解釋也進(jìn)行了一定程度的細(xì)化。然而，現(xiàn)有的解決群體糾紛的集體訴訟主要限于證券糾紛，該制度在實踐中并未得到廣泛應(yīng)用。盡管如此，集體訴訟制度在個人信息保護(hù)領(lǐng)域的適用仍然具有重要意義。首先，從理論上看，集體訴訟制度的目的主要是解決侵犯不特定民眾小額利益的大眾侵權(quán)中“集體行動困境”的難題。侵害個人信息案件正是這種典型的大眾侵權(quán)類型 ① 。其次，涉及眾多人利益的案件，未必一定會損害社會公共利益，公益訴訟難以適用。在這種情況下，集體訴訟可以作為有效補充，預(yù)防和制止用人單位的違法行為，使?jié)撛诘谋桓嬉庾R到違法行為將導(dǎo)致巨大的經(jīng)濟(jì)和名譽損失，進(jìn)而調(diào)節(jié)、管理或者迫使其遵守相關(guān)的公共政策。此外，集體訴訟的公開性和社會影響力可以提高勞動者對個人信息保護(hù)和同意有效性的認(rèn)識，使其在面對個人信息同意時更加警覺和主動。因此，集體訴訟制度不應(yīng)僅限于特殊法律關(guān)系的調(diào)整，而還應(yīng)適用于法律關(guān)系弱關(guān)聯(lián)但損害實質(zhì)同質(zhì)的場景。隨著群體糾紛的陸續(xù)演進(jìn)以及集體訴訟維權(quán)機制的不斷驗證成熟，未來應(yīng)當(dāng)將集體訴訟拓展至個人信息保護(hù)領(lǐng)域并加快出臺相關(guān)配套解釋，為司法實踐提供指引和依據(jù)。

Effective Consent of Personal Information Protection under Workplace Intelligent Monitoring：RealisticDilemmas and Optimization Paths

ZHANG Jing （School of Law，People's Public Security University of China，Beijing，100038）

Abstract：The protection of workers’ personal information is an important research area where labor law and personal information protection law intersect.As one of the core norms in personal information protection，effective consent includes three key elements：informedness，voluntariness，and clarity. However，against the backdrop of increasingly widespread inteligent workplace monitoring，the rules for consent face challenges such as formalized informedness，mandatory consent，and generalized authorization.The key to overcoming these existing pathologies lies in establishing a comprehensive and effective system of consent rules. From a pre-emptive perspective，this involves strengthening employers' duty to inform，introducing third-party evaluation agencies，and implementing dynamic consent management mechanisms to ensure that workers are fully informed and involved throughout the process. Fromapost - incident perspective，it entails enhancing employers’civil and administrative responsibilities，promoting the application of public interest litigation and class action systems for personal information protection，and ensuring the effctiveness of consent rules to safeguard workers' personal information rights.

Key words ：intelligent workplace monitoring; effective consent; personal information protection

（責(zé)任編輯：楊真）