勞動者個人信息處理法定許可情形的范疇與適用

[中圖分類號]D922.5［文獻標識碼］A[文章編號］2095-7416（2025）04-0097-14

一、問題的提出

在全球化與信息化迅速發展的當今社會，個人信息保護已成為一個國際性的重要議題。在勞動用工場景下，隨著互聯網技術的廣泛應用，職場智能監控的發展使得個人信息的收集、使用變得愈發頻繁，這不僅涉及勞動者個人信息權益的保障，也關系到用人單位人力資源管理合法性的問題。2021年《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的頒布，標志著我國對于個人信息保護的法律框架有了系統性的規范，其中第13條第1款首次規定了勞動者個人信息處理的法定許可情形。然而在實踐中，這一條款卻因規定模糊、適用體系混亂等原因而并未得到廣泛適用。從現有司法實踐來看，法院在審理涉及勞動者個人信息保護與處理糾紛時存在裁判不一的現狀 ① ，同時也開始更加注重用人單位用工管理權與勞動者個人信息保護之間的利益衡量。例如在因智能監控引發的爭議中，多數法院將管理行為的目的正當性作為審查標準，判斷信息處理行為是否超過公司用工管理的合理范疇②。隨著《個人信息保護法》的實施，其審查重點將進一步轉化為對“人力資源管理所必需”的解釋與認定，尤其是對“必需”標準的把握，其背后實質是用人單位用工管理權與勞動者個人信息保護之間的利益平衡。

從更深層的意義來看，上述問題出現的本質在于，用人單位在有組織生產過程中存在天然的處理勞動者信息的正當需求;然而，由于勞動者在人身、經濟和組織上高度依附于用人單位，其出于爭取工作機會、獲取競爭優勢抑或保住就業崗位的顧慮③，往往被迫選擇接受用人單位的信息處理要求，這種結構性不平等使得勞動法語境下個人信息保護的問題尤為復雜與迫切。基于此，《個人信息保護法》從立法層面作出了制度回應，為勞動者個人信息處理提供了法定依據。然而，該條款在適用過程中仍面臨諸多解釋與適用難題：“必需”的判斷標準應當如何把握？“人力資源管理”的內涵與外延如何界定？上述規范的適用邏輯應如何展開？以及在具體的用工場景中，如何在確保勞動者個人信息安全與維護用人單位合法權益之間找到平衡點？立法并未給出明確的指引，理論界對此亦缺乏系統性的深人研究。盡管部分學者已經認識到了勞動者個人信息處理與保護的特殊性，并從目的合法、程序規范④、目的原則③、必要性原則⑥、比例原則 ⑦ 等方面對勞動者個人信息處理的限制性依據加以探討，但總體仍停留于理論層面，未能就《個人信息保護法》中所規定的法定許可情形的規范邏輯以及具體適用作進一步的研究，這就使得相關條款在司法實踐中面臨諸多障礙，難以實現立法者所預期的規范價值。因此，有必要圍繞勞動場域下個人信息保護規則的具體適用展開更為精細化的討論，以更好地契合《個人信息保護法》的規范意旨，實現勞動者個人信息保護與用人單位用工管理權保障的平衡。

二、《個人信息保護法》第13條第1款第2項的內在架構與邏輯展開

（一）本條規范的內在架構

《個人信息保護法》分別從“為訂立、履行個人作為一方當事人的合同所必需”（第13條第1款第2項前半句）與“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”（第13條第1款第2項后半句）兩個層面規定了勞動者個人信息處理的法定許可情形。其中，前半部分以“合同”為中心，強調個人信息處理的必要性應當與合同目的直接關聯，其核心邏輯在于，當個人信息的處理是為了實現合同目的所必需時，個人信息處理者則無須取得個人的單獨同意。關于此處的“合同”是指狹義上的民事合同還是勞動合同亦可囊括其中，理論界存有爭議。有觀點認為，該條款的適用范圍應當限定于信息處理者與個人作為平等的民事主體時訂立或履行合同的場合，即《民法典》中所規定的處理者向個人提供產品或服務而訂立或履行的合同 ① ；但亦有觀點主張用人單位與勞動者之間的勞動合同可以涵攝于這一規則之內②。事實上，盡管在價值理念層面存在特殊性，由于勞動合同涉及的是對用人單位與勞動者這一私主體間權利義務關系的設定，其本質仍為（民法意義上的）合同，況且市場配置勞動資源這一基本前提也決定了勞動法無法完全從傳統市場經濟的一般規律中分離③。此外，《個人信息保護法》旨在全面保護個人信息權益，促進個人信息的合理利用 ④ ，若任意限縮其適用場景，則無益于其立法目的之實現。因此，無論是單純從文義解釋出發，還是回歸本條的規范目的來理解，此處的“合同”應包括但不限于民法上的合同、勞動法上的合同、行政法上的合同等③。基于此，用人單位有權以訂立、履行勞動合同所必需為由依法處理員工的個人信息。例如，用人單位在招聘錄用勞動者時，可以基于為員工支付勞動報酬、繳納社會保險等目的收集勞動者的身份證號、銀行卡號、社保賬號等信息;為方便用人單位用工管理與聯系，建立包含勞動者姓名、電話號碼、郵箱地址等個人信息的通訊錄等。

該條后半部分則圍繞“集體合同”與“勞動規章制度”展開，明確了用人單位在實施人力資源管理過程中，有權依據本單位的勞動規章制度以及集體合同的約定，對勞動者的個人信息進行相應處理，由此進一步擴展了用人單位處理勞動者個人信息的合法性基礎。作為在《個人信息保護法》草案一審稿、二審稿基礎上新增的條款，在立法起草過程中，圍繞是否應當規定人力資源管理所必需這一法定情形，存在較大爭議。鑒于現實中用人單位在日常工作管理中處理個人信息的需要，最終憲法和法律委員會采納了將此類情況作為允許收集和處理個人信息情形的意見，對集體合意的表現形式進行擴張性規范，即依法簽訂的集體合同與依法制定的勞動規章制度均可構成勞動者同意的替代性依據 ① 。其理由在于，用人單位的管理行為需要一定的信息支持，而這些信息的處理是為了維護用人單位的正常運營和管理秩序，如用人單位根據勞動規章制度對勞動者進行績效考核、考勤管理時，需要獲取并處理勞動者相關的個人信息。同時，“實施人力資源管理所必需”這一要件既是對其目的正當性的要求，也是對其適用比例原則的約束，由此在實質上構成了對上述替代機制行使的雙重限制。

（二）本條規范的邏輯展開

盡管《個人信息保護法》分別從訂立履行合同和人力資源管理兩個層面規定了勞動者個人信息處理法定許可的情形，但在具體的規范適用過程中，二者存在一定的區別。具體表現為：第一，在適用場景方面，前者直接服務于勞動合同的訂立和履行過程，其目的在于確保合同雙方能夠實現約定的權利義務;而后者主要適用于用人單位在人力資源管理過程中，依據勞動規章制度或集體合同處理勞動者個人信息的行為，其適用范圍更具廣泛性與持續性。第二，在合法性基礎方面，前者以勞動合同雙方當事人的合意為基礎，強調合同關系的對等性和意思自治;而后者則以勞動規章制度和集體合同為依據，并不完全依賴勞動者與用人單位之間的個別合意。相應地，后者在程序要求上更為嚴格，不僅需要履行民主協商程序，還應當進行公示告知，這也在一定程度上解決了缺乏個別合意時的個人信息處理合法性問題，進一步拓展了法定許可的適用范圍。第三，在適用范圍的限制上，前者僅限于與勞動合同訂立和履行直接相關的個人信息處理行為，不得超出合同約定目的之必要范圍，體現出較強的目的限制性；后者則限于與勞動規章制度或集體合同直接相關的個人信息處理行為，且需遵循最小必要原則，其范圍限制既包括目的限制，也包括處理方式與程度的限制。

事實上，這種區分化的制度安排也反映了立法者在解決勞動者個人信息處理問題上的特殊考量。一方面，在企業有組織生產的過程中，基于人力資源管理、維護職場秩序以及生產經營的需要，企業具有持續處理勞動者個人信息的現實需求，通過規定無須取得勞動者的單獨同意的法定情形，可以有效提升勞動管理的效率，在優化企業管理的同時，確保勞動關系的穩定運行；另一方面，用工場景下勞動者個人信息保護的需求更為迫切，勞動者與用人單位之間的從屬性特征加劇了原有信息主體與信息處理者之間力量結構的失衡。然而，個人信息的主體性決定了其處理應當尊重個人的意思或選擇 ② ，不能僅以用工管理為由肆意剝奪勞動者對其個人信息的自主決定權利。因此，為防止用人單位濫用管理權限，必須嚴格限定其信息處理行為的邊界，確保其處理行為的合法性、必要性和正當性，避免對勞動者個人隱私權造成不當侵害。通過在勞動合同約定之外，結合勞動法特有的制度框架，增設集體合同與勞動規章制度的專門性法定許可依據，既充分保障了用人單位合理的管理需求，又有效避免了勞動者在勞動關系中的弱勢地位導致的“被迫同意”，由此實現勞動者個人信息權益保護與用人單位管理需求的動態平衡。

從規范體系的視角來看，這一規范結構也契合了我國現有勞動關系協調機制的核心制度安排。不同于傳統民法調整民事關系、決定民事主體權利義務的二元制度體系，勞動法構建了包括國家強制（勞動基準法）、私人自治（勞動合同、用人單位指示權）以及集體勞動法（集體合同、用人單位規章）在內的多元化調整機制①。也正是這種多維度的權利義務決定機制，實現了勞動法從最初單維的價值命題向制度與現實的轉化，并有效推進了勞動法在市場化用工、勞動者保護等多重價值之間的平衡②。其中，勞動合同、集體合同與用人單位規章制度便分別對應了《個人信息保護法》第13條第1款第2項內容的核心要素，加之第1款規定的勞動者個人同意，共同構成了我國勞動者個人信息處理的合法性基礎框架。因此，該條款前后兩句的規范意旨共同統一于勞動關系協調機制的體系框架之下，應當將第2項整體作為法定的處理勞動者個人信息的規范性依據，這也是正確理解并適用該條款的基本前提。值得注意的是，“必需”標準作為貫穿于勞動合同、集體合同與用人單位規章制度的共同規則，其具體內涵的界定與適用成為實踐中把握這一條款的重要切口。如何準確理解“必需”的實質內涵，不僅關系到用人單位處理行為的合法性判斷，更是平衡勞資雙方利益、實現制度設計初衷的關鍵所在。

三、勞動者個人信息處理法定許可情形的界定與范疇

毋庸置疑，通過立法明確用人單位可以處理勞動者個人信息的法定情形，體現了立法者對于個人信息保護與合理使用兩者利益的衡量與兼顧，于數字時代而言具有其獨特的立法價值及現實意義所在。然而，考慮到立法術語的模糊性以及現實的復雜性，《個人信息保護法》第13條第1款第2項未能進一步明確此規則的要件與標準，由此導致了其在司法實踐中“形同虛設”的尷尬境地。因此，有必要借助法律解釋方法來彌補其中法律規定的模糊性，以恰當陳述該項法定許可規范的內容及其適用范圍③，為更好地理解實踐中用人單位合法處理員工信息的情形提供借鑒。

（一）文義解釋：以“必需”為中心

1.“必需”的限制性把握

為避免用人單位過度收集與處理勞動者個人信息，在勞動合同的訂立、履行以及人力資源管理的各個環節中，《個人信息保護法》均將“必需”作為處理個人信息的限制性條件。因此，對于“必需”的理解成為判定用人單位信息使用邊界的關鍵所在。從文義解釋來看，其要求個人信息的處理必須是實現合同訂立或履行不可或缺的手段，在含義上與“必要性”接近，但其更加強調處理行為的不可或缺性或直接相關性。鑒于職場領域的勞動者個人信息保護仍屬于個人信息保護的范疇，這一概念的理解亦應遵循《個人信息保護法》所確立的一般性原則。《個人信息保護法》第5條至第9條詳細規定了個人信息處理的基本原則，涵蓋合法、正當、必要、誠信原則，自的原則，公開透明原則，質量以及責任原則。其中，自的原則在規范信息處理過程中具有重要意義，在上述基本原則中占據核心地位 ① 。結合勞動者個人信息處理的特殊背景，作為信息主體處理的限度標準，此處的“必需”可以從目的正當性、最小化原則以及比例原則三個層面進行規范化解讀。

首先，目的正當性要求個人信息處理必須與人力資源管理的具體職能直接相關。以職場智能監控為例，雇主須具備明確且合理的監控目的，實踐中可以通過評估監控行為所追求的利益是否正當且必要來判斷其合理性。同時，雇主還應確保收集與處理雇員信息與既定目的直接相關。以招聘階段為例，雇主僅能收集與崗位需求直接相關的姓名、學歷、工作經歷等信息，除特殊崗位要求外不得過度收集無關的敏感信息，如宗教信仰、政治傾向等，如若不能證明其具備合理的收集目的或必要性，則顯然超出了合同訂立和履行的必要范圍，不符合法律條文中所規定的“必要”標準。其次，最小化原則是指個人信息處理的范圍和方式應當限定在實現管理目的所必要的最低限度內。《個人信息保護法》第6條又具體從“對個人權益影響最小的方式”和“實現處理目的的最小范圍”兩個維度對“最小化”作了規定。據此，對“必需”的理解可以參照上述標準，從處理方式影響最低和處理范圍最小化兩個方面，檢驗雇主收集與處理信息是否符合最小化原則，進而評估信息處理行為的合法性與正當性。

此外，如何在用人單位的正當管理需求與勞動者個人信息保護之間找到最佳的平衡點，這實際上是一個動態的利益衡量過程。理論界也基本達成了共識，認為“‘必需’的解釋與比例原則的運用存在一定的共通之處，實踐中可以適當參照適用比例原則的評估標準，將其作為利益衡平的分析工具”②。從國際經驗來看，運用比例原則判斷雇主信息處理行為的正當性已然成為大多數國家和地區的選擇。具體而言，比例原則主要從程序方式層面提供了更具操作性的標準，其包括適當性、必要性和衡量性（狹義比例原則）三個子項，三者共同構成一個系統的評估框架。從比例原則的視角來看，在分析雇主的信息處理行為是否為《個人信息保護法》第13條所規定的“必需”時，一是要判斷雇主收集、處理以及保存雇員信息是否適合于既定目的的實現，即不能超越所欲實現目的之必要限度;二是要分析相關處理行為是否為對雇員利益的影響最輕微的手段，即處理方式所造成的損害應當為最小；三是需衡量個人信息處理的手段與管理目的之實現是否相匹配，以績效管理為例，雇主可以通過考勤記錄和工作成果評估員工表現，但若擅自監控、窺探員工的私人通信來獲取信息，則顯然不符合比例原則的要求。需注意的是，勞動法的社會法屬性決定了其背后承載的不僅是勞動者作為弱勢一方的權利保障使命，更蘊含著更深遠的社會公共利益。因此在運用比例原則對“必需”的范疇作出判斷時，亦需兼顧對于社會公共利益的考慮與影響評估。這意味著用人單位的信息處理行為不僅要符合個人信息權益保護的要求，還需要在更廣泛的層面上符合社會整體利益的需要。

2.“人力資源管理”的界定與范疇

針對勞動用工管理的特殊性，《個人信息保護法》第13條第1款第2項后半句中新增了“人力資源管理所必需”的專門化要求。從構成要件看，此類“必需”事由包括特定目的與“必需”兩個部分，對“必需”的理解應當建立在該特定的目的基礎之上，即個人信息的處理只能在為實現該特定目的的情況下才能夠被處理，由此對用人單位的信息處理行為之目的與手段進行雙重規制。那么，何為人力資源管理？作為現代組織管理的重要組成部分，人力資源管理是指通過科學系統的技術手段和方法體系，對組織內部勞動力資源進行戰略性開發與優化配置的管理過程。這一過程涵蓋人力資源的獲取、培育、維護以及效能提升等多個維度，旨在通過規劃、組織、協調和控制等管理職能的有效實施，最終實現組織目標的全過程管理 ① 。從實踐層面來看，人力資源管理主要包含以下核心職能：崗位分析與設計、人力資源戰略規劃、人才招募與配置、績效管理體系構建、薪酬福利制度設計、員工職業發展培訓、勞動關系協調以及員工社會保障管理等系統性工作②。在現實社會情境中，用人單位在處理員工信息時應當嚴格遵循目的限制原則和最小必要原則，將信息處理的范圍和方式限定在實現人力資源管理目的所必需的最小限度之內，緊密圍繞人力資源管理活動的各個環節及目的依法依規開展工作，不得隨意擴大管理權限，確保員工信息的合法、合理、安全使用。例如，企業以業績管理需要為由擅自調取員工的微信聊天記錄，或者收集員工的家庭情況、健康狀況等個人私密信息等，顯然已經超出了正常的企業管理范圍，不僅違背了人力資源管理活動的初衷，也嚴重侵犯了員工的個人信息合法權益。

（二）目的解釋：把握實質意義上的利益衡平

所謂目的解釋，是指根據法律規范所包含和追求的目的來闡明法律含義的解釋方法。任何法律均有其立法目的，解釋法律應以貫徹、實踐立法宗旨為其基本任務 ③ 。通過考察立法原意可知，法定許可處理勞動者個人信息情形的設立初衷即在于考慮到了用人單位現實中必要的人力資源管理需求，加之《個人信息保護法》保護個人信息權益與促進合理利用同步推進的宗旨，其強調在確保勞動者個人信息安全的前提下，依法促進個人信息的合法利用，化解以信息自決為核心的多元價值及利益沖突④。因此，《個人信息保護法》第13條第1款第2項在此所確立的不僅僅是用人單位的管理權邊界，亦是勞動者個人信息權益保護的邊界，同時還是界定雙方法律責任的邊界 ⑤ ，在適用時應當準確把握立法對于二者利益衡平的目的。

從目的論解釋的角度來看，一方面，“必需”應結合合同目的和信息主體的合理期待進行判斷，嚴格受目的限制原則的約束①。信息處理行為須嚴格限定于實現合同或人力資源管理目的所必需的范圍，并采取對信息主體權益影響最小的方式;同時，信息處理者應當尊重信息主體在訂立合同時對個人信息的使用范圍及方式的合理期待，且處理行為不應超出這種期待，這也是適用《個人信息保護法》中勞動者個人信息處理法定許可情形的基本前提。另一方面，“必需”作為利益衡量的產物，旨在確立雙方權利（益）的行使邊界或限度，在具體的實踐運用過程中，其判定應當綜合考慮雙方之間的利益要素與實際力量對比，避免過分僵硬地強調保護與利用絕對的均等而忽視了實質意義上的利益衡平。尤其是，鑒于用工管理過程中資強勞弱的特殊性，以及數字時代智能監控的普及，現實中用人單位處理勞動者信息的手段更趨復雜化、隱蔽化，這就要求在司法審查過程中應當著重對于用人單位的信息處理行為進行實質性審查，圍繞其是否為人力資源所必需進行充分的舉證與說明，對明顯超出正常管理需求的不正當收集與使用行為予以糾正，從而保障勞動者的信息自主權益不為智能化管理的浪潮所淹沒，同時確保用人單位的自主管理權得到尊重與保障。

關于數據處理者與數據主體的利益平衡，可參照歐盟以及德國等相關標準與措施。歐盟最早在《關于個人數據處理保護及自由流通的個人保護指令（第95/46/EC號）》中規定了合法性利益豁免機制，其要求在數據處理過程中，當數據控制者或第三方基于追求合法利益而開展必要的數據處理活動時，必須確保此類處理行為不與數據主體的合法權益、基本權利及自由產生沖突。同時，針對“合法利益”的適用范圍限定以及可執行性問題，歐盟29條工作組進一步規定了在數據處理前所應進行的“平衡測試”，包括（a）評估數據控制者或第三方的合法利益、（b）評估對數據主體的影響、（c）臨時性平衡措施以及（d）防止對數據主體產生不當影響的額外保障措施等四項內容，有關信息處理活動必須經過上述合法性評估，并指出了在個案分析中應當遵循必要性、目的限制以及合比例性等基本原則，需要結合具體場景中的各個因素進行綜合考量。具體到雇傭場景中，德國《聯邦數據保護法》（BDSG）在規定雇主處理雇員個人數據的合法基礎的同時，明確了數據收集、處理和使用應當用于與雇傭相關的目的，只允許在對雇傭決定、執行或終止雇傭合同有必要的情況下進行數據處理;西班牙法院亦在對雇員的隱私權利益與雇主的“正當商業利益”進行平衡時，提出了對合法商業目標的有用性、無法通過嚴格要求實現合法商業目標以及采取平衡措施以避免過度犧牲等三項測試，雇主只有當完全滿足上述內容時方可采取必要的監控措施以進行信息處理②。無論是在立法或司法解釋中明確“合法利益”的評估標準，還是在實踐中落實相關規則的要件或步驟，都為我國《個人信息保護法》中勞動者個人信息處理法定許可情形的理解與適用提供了較為有益的借鑒。

（三）體系解釋：于法律體系中探尋規范性依據

1.《個人信息保護法》自身條款之間的解釋

除上述解釋外，有必要根據該條在《個人信息保護法》中所處的地位，聯系其他關聯法條之法意，以探求并闡明勞動者個人信息處理法定許可規則的規范要旨。一方面，《個人信息保護法》“總則”部分規定了處理個人信息的基本原則與要求，用人單位在處理勞動者個人信息的過程中應當首先遵循對信息處理的原則性規定。例如，《個人信息保護法》第13條第1款第2項中“為所必需”的標準體現了信息處理活動與合同訂立履行以及人力資源管理之間“目的—手段”的關聯性，應當結合該法第5條所確立的正當性、必要性基本原則，同時參照第6條關于最小化的細致規定予以綜合把握，以真正詮釋法律體系的內在邏輯①。其中，第6條②明確規定了處理個人信息的目的限制原則，其中包括“目的特定”“直接相關”以及“最小范圍”等三個層次③。具體到法定許可處理勞動者個人信息情形的適用中，用人單位應當確保其對于員工個人信息的處理嚴格限定于人力資源管理之需，并與這一法定目的之實現直接相關，同時按照比例原則中“最小損害”的要求，盡量減少對勞動者個人信息的收集與處理。同時，《個人信息保護法》第7條確立了處理個人信息的公開透明原則，其要求用人單位在獲取和使用勞動者個人信息時，必須公開相關處理規則，并明確告知勞動者信息處理的目的、方式及范圍。另一方面，《個人信息保護法》亦詳細規定了個人在信息處理活動中的權利，具體包括知情權、決定權、拒絕權（第44條）、更正權（第46條）以及釋明權（第48條）等，并明確了信息處理者的制定內部管理制度、信息分類管理、采取安全技術措施以及制定信息安全事件應急預案等義務（第51條），故在判斷用人單位的信息處理行為合法正當性時，亦不能與法律中所規定的各主體的權利義務履行有所沖突。

2.《個人信息保護法》與其他部門法的銜接適用

在《個人信息保護法》出臺之前，已有部分法律規范針對實踐中的個人信息保護問題作出了一定回應。基于法體系適用的統一性，有必要對《個人信息保護法》與其他部門法的銜接適用關系進行探討。從勞動法領域的規范體系來看，《勞動合同法》第8條明確規定了勞動者在締約階段的說明義務，即用人單位有權要求勞動者提供其與訂立勞動合同密切相關的個人基本信息，但告知范圍僅限于與勞動合同“直接相關”，這一限定性規定所體現的比例原則，為《個人信息保護法》第13條關于個人信息處理“必需”標準的審查提供了重要的規范參照和法理依據。同時，《勞動法》《勞動合同法》中有關勞動合同的形式要件、效力性條款以及勞動規章制定與集體合同訂立的民主程序規定等，亦可成為個人信息處理活動合法性、正當性以及勞動者知情權實現的重要保障。

作為民事領域的基礎性法律，《民法典》將個人信息保護置于“人格權編”下進行了專門規定，并初步對個人信息的界定、處理個人信息的原則、免責事由以及信息主體權利予以規范，這也構成了此后《個人信息保護法》的初步制度框架。盡管《個人信息保護法》在性質上兼具公法與私法的特質，但其內容大多仍是關于民事權利義務的規定，因此在個人信息保護的司法實踐中，應當注重《個人信息保護法》與《民法典》相關規定的體系化適用與協調①。具體而言，在適用《個人信息保護法》所規定的勞動者個人信息處理法定許可情形時，應結合《民法典》第1035條所規定的合法、正當、必要原則進行體系化的理解，同時還應當注意《民法典》中有關隱私權保護的要求，如果用人單位處理的勞動者個人信息涉及私密信息，在不能提供正當管理目的的情況下，則顯然超出了“人力資源管理所必需”的范疇，應適用有關隱私權保護的特別規定。在權利救濟方面，《民法典》確立的人格權益保護制度，包括人格權請求權制度、精神損害賠償機制以及人格權侵害禁令等，均可為勞動者個人信息權益受損時提供多元有效的法律救濟途徑;其中關于侵權責任的規定于《個人信息保護法》適用而言亦具有重要的補缺與兜底價值②。這種跨部門法的協同適用，不僅體現了私法體系的內在統一性，也能夠為勞動者個人信息權益保護構建多層次的法律保障機制。此外，針對《個人信息保護法》第13條中“必需”的解釋，也可參照國家網信辦等四部門聯合印發的《常見類型移動互聯網應用程序必要個人信息范圍規定》第3條③對“必要個人信息”的定義，且第5條又詳細對必要個人信息范圍進行了類型化界定，這一思路對于勞動者信息處理法定許可規則的實施具有重要的借鑒意義。

四、勞動者個人信息處理法定許可情形的場景化應用

在個人信息使用的界定問題上，場景理論的應用正逐漸獲得理論界與實務界的廣泛認同。“場景”一詞源于美國海倫·尼森鮑姆教授的“情境脈絡完整性”理論 ④ ，該理論主張，個人信息的收集、傳播和使用應嚴格遵循其最初被采集時的特定情境，后續的處理行為不應超出這一最初的情景脈絡。個人信息的定義與邊界與其所處的具體場景密切相關，相對于傳統理論，置于具體的適用場景中來審視個人信息保護及處理的合理程度更為準確，也更加符合信息的流動性本質，能夠有效規制不同場景下的信息處理行為 ⑤ 。因此，通過引人場景理念，對求職招聘階段、勞動關系存續期間以及勞動關系終止后等不同階段予以界分，分別探討用人單位在不同場景下處理員工信息的義務與邊界，能夠為既有法定許可規則的適用提供更具操作性的指導。

（一）求職招聘階段

考慮到用人單位自身基本的人才需求，以及勞動關系所具備的持續性、穩定性以及高度人身信賴性等特質，在招聘階段，需要用人單位對于應聘勞動者與工作相關的個人信息有足夠、充分的了解，以對勞動者的工作能力及其與崗位的匹配程度進行準確評估①。因此，在求職與招聘階段，用人單位存在收集、處理信息的正當性與必要性。但現實中，由于就業崗位“僧多粥少”的競爭局面，加之雙方懸殊的地位對比，用人單位在招聘期間過度收集求職者信息的爭議時有發生。從立法來看，《勞動合同法》第8條明確規定，用人單位僅能了解與勞動合同直接相關的勞動者基本情況；人社部《就業服務與就業管理規定》第7條 ② 進一步細化了勞動者求職時應當如實提供的信息范圍，但仍存在較大的彈性空間。一般而言，用人單位應遵循必要、直接相關等個人信息處理的一般原則，具體可收集的信息資料范圍包括姓名、年齡、與應聘崗位相關的知識技能、工作經歷、就業現狀等;而涉及婚姻、家庭、財產以及健康狀況的信息不應屬于用人單位可收集的范疇。同時，在對人職者進行背景調查時，可以采取階段化的思路，將招聘過程具體細分為面試招聘階段與擬錄取將入職兩個階段分別進行個人信息的收集，由此既能滿足用人單位后續的勞動用工需求，又不至于落入過度收集而侵犯勞動者個人信息權益的“灰色地帶”。

針對實踐中常見的“簡歷造假”問題，亦需要遵循上述信息收集與處理的基本原則，結合個案的具體情況，判斷勞動者的隱瞞或虛假告知行為是否會導致用人單位作出違背其真實意愿的判斷，以及這一行為對于現階段勞動關系履行的實質影響，由此來綜合認定用人單位以此為由主張勞動合同基礎的合法性。此外，有關勞動者健康、犯罪記錄等信息的收集亦容易引發實務爭議。原則上，除了有關法律、行政法規、部門規章等明文規定的情況，或者特定職業的特殊要求，用人單位不得強制性地收集勞動者有關身體健康、犯罪前科等信息。例如，《公司法》《商業銀行法》《證券投資基金法》均對董事、高管等人員的任職資格作出了具體要求，《中小學幼兒園安全管理辦法》第35條亦明確規定因故意犯罪受到刑事處罰的人或有精神病史的人不得擔任教職工，此時用人單位可以基于上述法律規定收集應聘者的相關信息，否則將可能存在過度收集之嫌。

（二）勞動關系存續期間

在勞動關系存續期間，出于高效組織管理、維護雇主或客戶財產利益、保證工作場所的健康安全以及履行法定義務等目的，雇主享有對勞動者進行監管的權利③。然而，職場監控在方便管理的同時，長時間、高強度的深入監控也帶來了員工個人信息被濫用或權益受到侵犯的擔憂。尤其是隨著智能監控手段的興起與普及，數字時代下這一用工管理權與隱私權、信息權益保護的矛盾更加突出。從裁判現狀來看，大多數法院采取了以屬于企業自我管理行為為由判定員工敗訴、支持單位合法解除勞動合同的態度，而較少對用人單位的權利與勞動者信息權益進行權衡，致使現實中勞動者面對單位的不合理監控時更加被動。總體而言，監控必須基于正當的目的與人力資源管理需求，并合乎比例原則 ① ，重點考察監控方式、手段是否與其目的實現成比例，并將對權利主體的損害程度降到最低，而非簡單地將企業行使管理權與可以處理勞動者個人信息畫等號。與此同時，基于透明度原則，用人單位在開展監控活動之前，應當履行事先告知的法定義務，真實、準確、完整地向員工告知其信息處理的目的、方式、種類、保存期限，以及員工行使個人信息權利的方式和程序。例如，在實行人臉識別打卡前，應當向員工個人告知處理其面部生物識別信息的處理目的、處理方式、保存期限、必要性以及對個人權益的影響等信息，并向員工個人提供是否同意的選項，由此尊重與保障員工的知情權及自主決定權。

應當注意到，《個人信息保護法》在規定勞動者個人信息處理法定許可規則的同時，明確將用人單位的規章制度以及集體合同作為合法處理員工個人信息的重要依據，這也為實踐中規范用人單位的信息處理行為指明了方向。一方面，圍繞規章制度大多為企業單獨制定的痛點，相關職能部門可以適當介入，加強對用人單位用工管理制度的合法合規性審查，并督促企業積極推進內部民主程序的制定、修改與完善，修正現實中放任不管的用工管理格局;另一方面，在當前相關法律規范缺失的背景下，上級工會組織可以集中對集體合同制度工作進行統一規范與要求，通過完善集體合同制度，充分發揮工會組織在促進集體協商、穩定企業勞動關系方面的積極作用，并完善有關集體合同履行爭議的司法、行政救濟渠道，將勞動者個人信息權益保障這一時代課題納入集體合同的規范之下，在保障員工知情權、參與權的同時，促進職工與企業互相交流與理解，對于解決數字時代員工個人信息保障難題、穩定職工隊伍、建設和諧勞動關系等方面都具有重要意義。

（三）勞動關系終止后

在勞動關系存續期間，用人單位基于用工管理的需要，保存并處理了大量勞動者的個人信息。故在勞動關系解除或終止后，如何在滿足用人單位存檔管理需求的同時，妥善保護離職員工個人信息，成為雙方共同關注的重要議題。圍繞目前實務中常見的勞動者離職后信息使用權的歸屬問題，可從以下幾個方面做好銜接處理：第一，用人單位提前在企業規章制度中就信息使用與保管行為予以規范，或者在勞動合同簽訂時事先對相關信息權益的歸屬、使用范圍以及爭議處理作出約定，以此明確權利歸屬，做到未雨綢繆;如用人單位確實存在勞動者離職后繼續使用其個人信息的必要性而又沒有事先約定的，則用人單位應當就勞動者個人信息使用的問題重新與勞動者協商，另行簽署勞動者信息使用協議等文件，進一步明確特定個人信息的使用授權。第二，在勞動關系終止之后雙方積極協商共同履行“消除影響”的義務。在前述杭州某網絡公司與湯某某勞動爭議案中，法院在詳細論證用人單位無權要求勞動者移交社交賬號管理權限的同時，創新性地提出了“用人單位既可以與勞動者協商一致，共同向網絡社交平臺申請賬號主體變更，亦可依據法院生效判決，單獨申請賬號主體變更\"①。這種安排既保障了勞動者的個人信息安全，又規范了用人單位對網絡社交賬號的使用權限，且不損害網絡平臺的利益，不失為互聯網時代下妥善處理此類爭議的應時之舉。第三，原用人單位與新單位之間應就勞動者的信息管理義務做好銜接。例如，當原用人單位不再為員工提供補充醫療保險，或者雙方約定的個人信息保存期限已經屆滿時，原用人單位應當及時刪除此前為購買補充醫療保險而收集的員工個人信息;在新用人單位對員工進行背景調查并向前用人單位請求提供員工個人信息時，前用人單位在披露這些信息之前，必須首先獲得員工的明確同意，并且保持在必要且合理的限度之內提供相關信息。

此外，針對實踐中用人單位提供勞動者工作信息作為證據時的可采性問題，法院應當建立多維度、多層次的實質性審查標準，著重對信息收集場景與條件、用人單位是否履行告知公示義務以及雙方保護法益對比進行審查，以此判斷用人單位利用員工工作信息作為證據時的正當性與否。例如，用人單位在合理范圍內收集的信息，如果與勞動爭議的解決密切相關且對勞動者權益的影響較小，則可能被認定為具有正當性;反之，如果信息收集超出了合理范圍或對勞動者權益造成了較大損害，則不應予以認可。

五、結語

在數字化和信息化蓬勃發展的當代社會，個人信息保護已然成為各界所共同關注的課題。在勞動法語境下，除了企業傳統的有組織生產與工作管理所涉及的信息收集與處理行為，職場智能監控技術的廣泛運用以及遠程在線工作的興起等，亦為勞動者個人信息保護提出了新的挑戰。《個人信息保護法》第13條第1款第2項有關勞動者個人信息法定許可情形的規定，反映了立法對于現實中勞動者個人信息保護困境的關注與回應。如何正確理解與適用這一條款，規范用人單位在人力資源管理中的合法性基礎和界限，進而平衡好用人單位管理權與勞動者個人信息權益之間的關系，是新時代和諧勞動關系構建不可繞開的重要議題。尤其是，在勞動關系從屬性的特殊背景下，原有知情同意規則形同虛設，非對稱的信息權力結構使得勞動者往往面臨著更大的個人信息保護障礙，如何破解這一難題成為推動《個人信息保護法》在勞動法領域銜接適用并行之有效的關鍵切口。未來，隨著技術的發展和社會對個人信息保護意識的加強，《個人信息保護法》的適用和完善還需持續關注與深人研究，特別是在確保法律適應性、合理性及有效性等方面。通過不斷調整和優化勞動者個人信息的處理規則，推動相關法律規范的明確化與精細化，注重立法與司法實踐的實證研究，在具體場景的分析中明確勞動者信息處理的邊界與條件，有效平衡勞動者個人信息保護與用人單位管理權行使之間的利益關系，實現勞動者信息權益的實質性保護，促進新時代勞資關系和諧穩定與長遠發展。

Abstract：Article 13（1）（2）of of the Personal Information Protection Law outlines statutory permits for the processing of workers’personal information from two perspectives： contract formation and performance，and human resource management. However，due to vague legislative language，an unclear legal application system，and the diffculty in defining the scope of“necessary”，this provision faces numerous challenges in judicial application，hindering its effctive regulatory value.At its core，these challenges stem from the conflict between the legitimate needs of enterprises for information processing in organized production and the protection of workers’ personal information. Balancing these interests is crucial for understanding the“necessary”standard in legislation.To address this，itis essential to employ legal interpretation methodssuch as textual，purposive，and systemic interpretations，along with basic requirements of personal information processing like the principle of purpose limitation，the principle of minimization，and the principle of proportionality，to deepen the understanding of statutory permits for the processing of workers personal information.Additionally，by introducing the concept of scenarios，this paper explores the legal boundaries of employers’ processing of workers’personal information at different stages—job hunting and recruitment，the continuation of labor relations，and after the termination of labor relations—to promote a dynamic balance between employers’ management rights and the protection of workers’personal information，thereby fostering harmonious and stable laborcapital relations in the new era.

Keywords：workers； personal information protection； necessity； principle of proportionality：scenario concept

（責任編輯：楊 真）