勞動者個人信息保護問題研究

曾新宇

(四川大學(xué) 法學(xué)院，四川 成都 610207)

勞動者個人信息保護是勞動法和個人信息保護法的重要內(nèi)容，但目前對勞動關(guān)系中勞動者個人信息保護的研究還很薄弱。2021年8月20日，《中華人民共和國個人信息保護法》(以下簡稱《個人信息法》)正式頒布，并于2021年11月1日起施行。作為我國第一部個人信息層面的專門立法，《個人信息保護法》明確了對個人信息的“合法、正當、必要”保護原則，并構(gòu)建了“告知—同意”為核心的個人信息處理規(guī)則，進一步對個人權(quán)利進行了保護。作為個人信息保護的特定領(lǐng)域，勞動者個人信息保護應(yīng)當適用個人信息保護的一般原則和規(guī)則。在《個人信息保護法》頒布后，其確定的個人信息保護原則和保護規(guī)則在勞動關(guān)系中的具體適用還存在許多問題。本文圍繞個人信息處理的原則和規(guī)則，對勞動關(guān)系下的實踐問題提出思考，以期完善個人信息保護在勞動領(lǐng)域的適用。

一、勞動關(guān)系中個人信息處理的一般原則和規(guī)則

個人信息保護法確定了對個人信息保護的原則，個人信息保護的基本原則是“合法、正當、必要”原則，個人信息保護法加強了以“告知—同意”為核心的個人信息處理規(guī)則。作為個人信息保護的特定領(lǐng)域，勞動者個人信息保護應(yīng)當適用個人信息保護的一般原則和規(guī)則，因此對勞動者個人信息保護也應(yīng)當遵守“告知—同意”規(guī)則和“合法、正當、必要”原則。

(一)“告知—同意”規(guī)則及例外

個人信息保護法緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益，構(gòu)建了以“告知—同意”為核心的個人信息處理規(guī)則?！案嬷狻币?guī)則要求處理個人信息應(yīng)當在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應(yīng)當重新向個人告知并取得同意。同時，個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利，在個人撤回同意后，個人信息處理者應(yīng)當停止處理或及時刪除其個人信息。

據(jù)此，用人單位根據(jù)《個人信息保護法》的要求，在一般情況下需要對勞動者進行事先充分告知，在征得勞動者同意后才能收集其個人信息并處理，在處理目的、手段等重要事項變更時需要重新征求勞動者的同意，未經(jīng)同意不得非法處理勞動者的個人信息。用人單位作為個人信息處理者不得過度收集勞動者的個人信息。勞動者有權(quán)拒絕提供個人信息，同時具有撤回同意的權(quán)利。勞動者撤回同意的，用人單位應(yīng)當停止處理或及時刪除勞動者的個人信息。

《個人信息保護法》第13條第1款第2項至第7項規(guī)定的情形，不需要取得個人同意即可合法使用。根據(jù)該條規(guī)定，用人單位作為信息處理者可以為訂立和履行勞動合同所必需、根據(jù)勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需或為了公共利益等處理勞動者的個人信息，而無需經(jīng)過勞動者同意。但個人信息保護法除此之外未對什么是訂立、履行合同所必需做明確規(guī)定，勞動規(guī)章制度目前也未對勞動者的個人信息保護進行規(guī)定?！秳趧雍贤ā返?條規(guī)定用人單位有權(quán)了解勞動者與勞動合同直接相關(guān)的基本情況，除此之外，法律并沒有進行進一步具體明確規(guī)定，與勞動合同直接有關(guān)的情況是不是訂立或者履行勞動合同所必需還需要商榷。用人單位可能濫用上述例外條款非法收集或者處理勞動者的個人信息，侵害勞動者的合法權(quán)利。目前勞動規(guī)章制度尚未明確用人單位處理勞動者個人信息的具體規(guī)定。而集體合同一般由工會與用人單位簽訂，用集體合意替代勞動者的個人同意實施人力資源管理，仍需要滿足合法、正當、必要的要求以保障勞動者信息權(quán)益[1]。

(二)勞動個人信息處理的基本原則

“合法、正當、必要”原則是個人信息處理的基本原則，主要是對個人信息處理的形式合法性、目的正當性和手段必要性進行評價。“合法、正當、必要”原則的內(nèi)容具有整體性，合法原則主要涉及形式合法性，指個人信息的處理應(yīng)當符合法律規(guī)定，包括符合告知同意程序等方面；“正當原則”“必要原則”是對實質(zhì)合法性的要求，個人信息的處理目的和手段應(yīng)當具有合理性。

根據(jù)正當原則的要求，用人單位對勞動者的個人信息處理需要滿足處理目的特定、明確、合理的要求，不能為了不正當?shù)哪康奶幚韯趧诱叩膫€人信息。當前法律對個人信息處理的正當原則規(guī)定得較為寬泛，用人單位對勞動者的個人信息處理進行模糊、寬泛的目的表述，會出現(xiàn)用人單位對勞動者的個人信息收集范圍過大、使用場景過多等情況，使得個人信息處理的正當原則被架空，勞動者的個人信息也會因此受到侵害。在特定、明確的基礎(chǔ)上，用人單位的處理目的也應(yīng)當滿足合理的要求，應(yīng)符合公共利益和合法的私人利益。由于目前法律在勞動法領(lǐng)域沒有明確規(guī)定，用人單位處理勞動者的個人信息時仍然存在不符合“合理”標準的情形。

個人信息處理除了應(yīng)遵循目的正當原則，還應(yīng)符合處理手段必要原則。必要原則要求用人單位的行為不得超出正當目的，并且對勞動者造成最小損害，禁止損害過度。同時，正當原則也要求用人單位積極作為，采取必要的技術(shù)措施預(yù)防勞動者個人信息被侵害的風(fēng)險，在損害發(fā)生后采取必要的補救措施，最大程度保護個人信息，禁止保障不足。根據(jù)《個人信息保護法》第6條的要求，用人單位應(yīng)當限于實現(xiàn)處理目的的最小范圍收集勞動者的個人信息，并應(yīng)當采取對勞動者個人權(quán)益影響最小的方式處理?！秱€人信息保護法》對用人單位提出了更高的要求，用人單位在實踐中的行為必要性是判斷其行為是否合法的重要標準，需要進一步明確。

二、勞動關(guān)系中個人信息保護的實踐問題

(一)“告知—同意”規(guī)則的適用問題

1.用人單位告知行為流于形式

勞動關(guān)系之下用人單位告知的行為流于形式，使得整個流程實際被用人單位所操控，勞動者的同意并沒有實質(zhì)表達。

(1)用人單位直接忽略告知程序。用人單位在取得勞動者同意的過程中，經(jīng)常不具備合理詳盡的隱私政策或者個人信息保護條款，在勞動關(guān)系下利用勞動者不設(shè)防的心理，直接跳過告知環(huán)節(jié)讓勞動者交出個人信息。其次，用人單位在向勞動者進行告知、明確隱私政策和個人信息保護規(guī)定時，本來應(yīng)該更加尊重勞動者的個人信息，并在此過程中弱化用人單位管理的權(quán)威，降低勞動者對被強迫同意的擔(dān)憂。但在實際中，用人單位在告知時并沒有體現(xiàn)這一點，反而更加利用自己的優(yōu)勢地位，使得告知流于形式而不具備現(xiàn)實實質(zhì)意義，加重了雙方的地位差距和信息不對稱的局面。

(2)用人單位利用優(yōu)勢地位對應(yīng)當告知的信息不明確告知。用人單位的告知發(fā)生在勞動關(guān)系締結(jié)時，在勞動合同中對與個人信息的收集和處理相關(guān)的內(nèi)容進行模糊化、寬泛化的表述，以此規(guī)避自己的責(zé)任。用人單位在勞動合同中對個人信息進行格式條款規(guī)定，使用“用人單位對勞動者在勞動關(guān)系持續(xù)過程中的個人信息有收集的權(quán)利，勞動者有義務(wù)配合用人單位進行收集”“一旦出現(xiàn)個人信息糾紛，視為勞動者同意，用人單位不承擔(dān)責(zé)任”等說辭，以此加重勞動者的義務(wù)，并免除自己的責(zé)任。勞動者往往為了取得工作而同意有關(guān)個人信息的不平等條款并簽訂合同，事后用人單位在面對個人信息糾紛時會拿出當初簽訂的勞動合同以證明其已經(jīng)提前告知，并以勞動者簽訂勞動合同就是同意為由逃避其責(zé)任。

(3)用人單位用通知代替告知。在勞動關(guān)系持續(xù)的過程中，用人單位進行告知的手段一般有單獨通知或者公告兩種，前者一般由上至下和同事之間互相傳達或者挨個發(fā)消息通知，后者則是通過在公司公告版貼出告示、在員工大會上進行告知或者通過一些互聯(lián)網(wǎng)手段進行公告。單個告知時，勞動者能更好進行詢問和了解，公司的告知也更明確，而通過公告或者統(tǒng)一告知時，用人單位常常模糊其詞，只說需要征集勞動者的個人信息，而不明確說出其目的、處理方式等，或者籠統(tǒng)地說明，并不直接、明確地說出有關(guān)個人信息處理的內(nèi)容。再者，用人單位的行為更多像一種通知而不是告知并征求同意，很多時候直接視為群體或者少數(shù)服從多數(shù)的同意，少數(shù)異議完全忽略不計。勞動者在這類場合中擔(dān)心自己在同事和領(lǐng)導(dǎo)中留下不好印象，不愿意當出頭鳥，也就更難從群體中單獨爭取其合法權(quán)益，群體同意或者默示使得“告知—同意”規(guī)則更加流于表面。

2.勞動者同意的表示不真實

(1)勞動者意思自由受限。在勞動合同中，由于用人單位與勞動者之間的關(guān)系具有從屬性，勞動者的意思自由因此受限。由于勞動者在勞動關(guān)系中與用人單位形成了一種事實上的生存依賴關(guān)系，勞動者的意志往往會受到用人單位的經(jīng)濟壓制和事實控制，雙方在經(jīng)濟市場上的不平等地位使得勞動者的意思自由難以真正實現(xiàn)。

同時，勞動者與用人單位形成的合同關(guān)系與一般合同相比更為復(fù)雜，具有人身隸屬性和經(jīng)濟組織上的從屬性等。勞動關(guān)系中勞動者與用人單位之間形成的復(fù)雜關(guān)系極為緊密，勞動者更容易相信用人單位提供的信息和要求，這會導(dǎo)致雙方信息的不對稱和不對等，使得勞動者在此過程中盲目信任用人單位而表示同意。這種信賴關(guān)系使得勞動者在此過程中的同意很有可能并未經(jīng)過其深思，而只是單純基于信任，認為公司不會“騙”自己，或者認為沒必要“騙”自己而作出意思表示，使得同意的步驟更流于表面。

(2)勞動者因自身原因作出不真實意思表示。勞動者可能由于其本身的理解能力和協(xié)商能力不足從而無法作出正確的判斷，以至于在用人單位告知時作出違背真實意思的同意。在目前的社會資源配置中，了解勞動者相關(guān)權(quán)利并懂得保護自己、進行維權(quán)的勞動者是少數(shù)，許多勞動者的文化程度有限，即使用人單位在此過程中進行了充分和明確的告知，勞動者也很難理解什么是個人信息、用人單位要怎么處理這部分個人信息，更不懂在此收集和處理的過程中自己的個人信息需要進行保護。用人單位如果存有不良想法可以很輕易利用勞動者理解能力不足而誘騙勞動者作出同意，從而打著“已經(jīng)取得同意”的幌子對勞動者的個人信息進行非法收集和處理。這部分勞動者不懂得個人信息保護的重要性，也難以預(yù)料個人信息被侵害的后果，更難以承受這樣的損害結(jié)果。即使個人信息被損害，這部分勞動者也不具備很好的協(xié)商能力，常常從一個弱勢的角度尋求用人單位的良心發(fā)現(xiàn)，難以與用人單位進行很好的協(xié)商維護自己的權(quán)利。有良心的用人單位可能會與勞動者好好協(xié)商溝通，并努力作出補救和賠償措施，但不可否認很大部分用人單位會仗著自己的優(yōu)勢地位拒絕與勞動者進行協(xié)商，甚至威脅勞動者再進行維權(quán)就開除勞動者。勞動者面對用人單位拒絕協(xié)商的強硬態(tài)度，極有可能為了保住工作或者維持稍微良好的勞動關(guān)系而被迫降低自己的賠償要求甚至放棄。也有部分勞動者會在此過程中尋求工會的幫助，希望通過第三者和集體的方式縮小雙方之間的地位差距從而更好地進行協(xié)商。一般而言，工會的介入會使勞動者與用人單位之間的協(xié)商比勞動者直接單獨與用人單位協(xié)商對勞動者更有利一些。但由于工會的介入畢竟是第三方，不如當事人對情況的了解全面，且工會的介入也需要流程和時間，可能會使勞動者的個人信息因沒有及時得到充分保護和補救而造成更大損失。

(3)勞動者的再次同意被模糊或省略。在初次告知同意后，后續(xù)的個人信息處理也可能因為方式、目的的變更而需要重新征求勞動者的同意。在后續(xù)管理的過程中，用人單位可能為了降低成本等原因直接默認勞動者同意，省略再次同意的步驟，以初步同意代替再次同意。勞動者在不知情的情況下被用人單位安排為“被同意”，并未真正進行再次同意，也很難知曉后續(xù)個人信息處理變更的內(nèi)容，更難保護自己的個人信息，只能在損害結(jié)果發(fā)生之后才察覺，但往往為時已晚。

(4)用人單位利用優(yōu)勢地位強迫勞動者同意。勞動者在經(jīng)濟市場下的弱勢地位決定了其在勞動關(guān)系中很難具備話語權(quán)，用人單位很容易掌控勞動者并以優(yōu)勢地位強迫勞動者同意。用人單位可能會在公司章程規(guī)定或者其他規(guī)章制度中對勞動者的個人信息作出強行性規(guī)定，要求勞動者必須配合用人單位對其個人信息進行處理。勞動者如果出于保護個人信息的目的拒絕同意，用人單位很可能會以公司管理制度規(guī)定為由給勞動者施加管理壓力，迫使其同意。也有用人單位直接虛構(gòu)勞動者的同意，在事后被勞動者發(fā)現(xiàn)后以解除勞動合同相要挾，以管理所必需強迫勞動者承認其虛構(gòu)的同意。而在大數(shù)據(jù)和人工智能的社會背景下，智能手段的運用增加了用人單位不當獲得勞動者同意的可能。用人單位以采用人臉識別進行打卡等要求收集勞動者的指紋或者人臉識別信息，或者以提高管理效率為由要求勞動者提供位置信息等，勞動者面對勞動管理和勞動形式的智能化很難對用人單位的要求作出不同意的意思表示。

3.例外情形的濫用

一般情況下，用人單位收集、處理勞動者個人信息需經(jīng)過勞動者同意，在例外情形時可以不經(jīng)過勞動者同意。但對于例外情形，法律沒有明確其具體內(nèi)涵，用人單位可能會濫用例外情形侵害勞動者的個人信息權(quán)利。

首先，用人單位擅自擴大“勞動合同所必需”的內(nèi)涵，非法收集勞動者的個人信息并進行處理。一般而言，勞動者的工作能力、是否適崗等與勞動合同直接相關(guān)的個人信息，是法律允許用人單位收集的范圍。而對是否婚配、是否生育、是否有過往疾病史和家庭背景信息的收集則屬于過度收集。除此之外，有的用人單位甚至?xí)谡衅笗r要求勞動者提供基因檢測報告來判斷勞動者是否具有加班猝死可能性，或者進行潛在性格分析或者其他潛在疾病分析。這種基因信息處理行為明顯超過了勞動合同所必需的范圍，過分侵害了勞動者人格尊嚴或人格自由，不符合正當必要性的要求[2]。

其次，用人單位以加強對勞動者管理為由擅自擴大其收集范圍和處理權(quán)限。紙質(zhì)的簽到或者簽字打卡屬于用人單位基于勞動管理所需的考勤管理，是合法收集勞動者個人信息的途徑，而人臉識別或者虹膜信息等個人信息超出了一般考勤管理的必要范圍，不能被視為勞動管理所需。除非是工作環(huán)境有安全或者保密要求需要身份認證，人臉識別或者虹膜識別的信息收集才可以被視為勞動管理所必需。

(二)“合法、正當、必要”原則的適用問題

“合法、正當、必要”原則是個人信息保護的基本原則，貫穿始終。“告知—同意”規(guī)則的適用本身也需要滿足“合法、正當、必要”的要求。實踐中對“合法、正當、必要”原則的適用還尚不規(guī)范，法院可能盲目擴充“告知—同意”規(guī)則的內(nèi)涵和適用范圍，對并不在其規(guī)定范圍內(nèi)的情況適用規(guī)則，而并未適用“合法、正當、必要”原則進行認定。

首先，“告知—同意”規(guī)則的不完善和不全面會使得其存在漏洞，需要通過對“合法、正當、必要”原則的適用進行彌補。“告知—同意”規(guī)則中的“告知”強調(diào)用人單位需要進行明確告知，且告知的范圍包含處理的目的和方式等，“同意”強調(diào)勞動者的同意應(yīng)當出于真實意思表示，同時防止例外規(guī)則被濫用。用人單位告知其處理個人信息的目的準確和告知形式合法是“告知—同意”規(guī)則的要求，但規(guī)則中并沒有對用人單位處理的目的進行規(guī)范，判斷處理目的是否合法需要根據(jù)“合法、正當、必要”原則的內(nèi)涵對其正當性和必要性進行判斷。其次，用人單位對個人信息收集和處理的后續(xù)行為是否超過法律的限度也應(yīng)當根據(jù)“合法、正當、必要”原則的內(nèi)涵進行判斷。實踐中用人單位在處理勞動者個人信息時，或單方強調(diào)管理權(quán)行使的正當性不履行同意規(guī)則，或假借“告知—同意”獲取合法性而忽視正當性與必要性[3]。用人單位處理勞動者的個人信息需要滿足形式合法性的要求，在此基礎(chǔ)上關(guān)注其處理是否具有正當性和必要性。

其次，用人單位對個人信息收集和處理的后續(xù)行為可能超出“告知—同意”規(guī)則的適用范圍，實踐中需要根據(jù)“合法、正當、必要”原則進行認定。在大數(shù)據(jù)時代，數(shù)據(jù)的高流通性和易處理性使得勞動者個人信息在初步收集之后的整合、流傳和使用可能會遠超出預(yù)期。用人單位在收集勞動者的個人信息時也很難準確預(yù)料信息處理的方式和范圍，之后的信息處理也很可能超出用人單位的預(yù)見。而勞動者相比用人單位對此更難具有預(yù)見可能性，無法真正評估風(fēng)險，也很難基于判斷而作出正確的同意決定。用人單位常常會以需要權(quán)限為由，收集勞動者的指紋或面部數(shù)據(jù)等，有的也會收集勞動者的位置信息。這些數(shù)據(jù)與用人單位收集的群體信息相結(jié)合，用人單位據(jù)此往往會獲知更多超出勞動者最初同意披露范圍的個人信息[4]。在此情況下，勞動者的初步同意可能會演變成對自身不利的決策基礎(chǔ)，導(dǎo)致勞動者可能會因此獨立承擔(dān)不利后果。

三、勞動者個人信息保護的完善

(一)完善“告知—同意”規(guī)則

1.明確告知

首先，明確用人單位在告知時的義務(wù)范圍。用人單位直接處理勞動者個人信息時，作為信息處理者需要告知勞動者其聯(lián)系方式；用人單位委托第三方作為信息處理者時，用人單位只是代為收集勞動者的個人信息，需要明確告知勞動者真正的個人信息處理者的身份和聯(lián)系方式，防止勞動者不知曉隱秘的第三方而在后續(xù)行使其權(quán)利過程中無法明確其權(quán)利行使對象，使得用人單位或者被委托的第三方借此逃脫責(zé)任。

其次，用人單位需要告知勞動者個人信息處理的目的、方式、種類和保存期限等。用人單位需要告知勞動者個人信息的處理目的，且具有多個處理目的時需要分別明確告知并分別取得同意，而不能一次性概括告知并獲得同意。對于不同的處理方式，用人單位需要明確告知勞動者。用人單位需要在告知時明確個人信息的種類，不能以“與勞動合同有關(guān)的信息”“與是否適崗有關(guān)的信息”“健康信息”等范圍過大的措辭簡單告知勞動者，需要遵循公開透明的原則明確具體的種類，比如“工齡”“工作經(jīng)歷”等。個人信息的保存期限越長，越容易出現(xiàn)泄露或者非法使用的可能性，對勞動者的不利影響也越大[5]。用人單位需要明確告知勞動者個人信息的保存期限，便于勞動者及時行使刪除權(quán)。

第三，用人單位需要明確告知，不能使用寬泛、模糊的措辭籠統(tǒng)告知，或者用籠統(tǒng)的格式條款規(guī)避自身責(zé)任。由于個人信息處理具有極強的技術(shù)性和專業(yè)性，用人單位須以顯著方式、清晰易懂的語言進行告知。用人單位應(yīng)當以勞動者能理解的方式進行告知，要求以不具備個人信息處理專業(yè)知識的一般個人也能理解為告知的標準。勞動者需要理解個人信息處理對自己的權(quán)益有何利弊和風(fēng)險，才能作出自由的決定。要求用人單位不能將應(yīng)當告知的內(nèi)容隱藏在一大堆信息中或者用極小的字號等不顯著的方式進行告知，也不能用難以辨別的符號或者極易混淆、帶有歧義的詞語混淆勞動者的判斷，并在勞動者有疑問時及時為勞動者進行解答，防止用人單位為了規(guī)避法律風(fēng)險以捆綁式直接列出內(nèi)容冗雜的隱私政策條款給勞動者帶來閱讀和理解困難。同時，用人單位在告知時需要考慮勞動者的教育背景不一對個人信息處理的理解能力有所偏差帶來的現(xiàn)實困境[6]。

第四，用人單位不得為規(guī)避法律責(zé)任以“便于管理”“改善公司配置”等模糊的表述進行告知，使得用人單位的處理目的不明確。限制用人單位在勞動合同中使用格式條款進行免責(zé)，限制用人單位使用“用人單位有權(quán)收集勞動者的個人信息”等表述，勞動者簽訂包含該條款的勞動合同不視為對勞動合同不涉及的其他個人信息處理的同意，用人單位處理為管理所需的勞動者的其他個人信息時，仍需按照“告知—同意”規(guī)則的要求征求勞動者的同意。用人單位以公告的方式告知時，需要在公告時明確告知上述應(yīng)當告知的范圍，在公告之后，用紙質(zhì)版或者電子數(shù)據(jù)的方式征得勞動者的個人同意，允許勞動者拒絕而不是單純以概括同意或者集體同意直接代替勞動者的真實意思表示。

第五，確保用人單位的告知和收集同意的流程公開、透明，且便于查閱。根據(jù)《民法典》第1035條和《個人信息保護法》第18條第3款的規(guī)定，用人單位的處理規(guī)則是必須公開且便于查閱的，以防止用人單位私自變更規(guī)則。用人單位需在管理流程或者公司規(guī)章制度中明確告知同意的流程。在糾紛發(fā)生后如果用人單位無法證明其規(guī)則是公開且便于查閱和保存的，在沒有其他證據(jù)證明用人單位履行了明確告知義務(wù)時，應(yīng)當認為用人單位沒有履行告知義務(wù)。鼓勵用人單位用知情同意書等書面文件代替單純口頭告知和收集同意。

2.保障勞動者的同意意思自由

首先，對勞動者進行幫助教育，提高勞動者的理解能力和協(xié)商能力。大部分勞動者在入職時和入職后的學(xué)歷都是固定的，學(xué)歷一定程度上決定了勞動者的理解能力。因此，學(xué)校加強對學(xué)生的勞動教育有助于其就業(yè)成為勞動者后的理解能力上升和相關(guān)知識儲備增加。各高職院校和高等院?？梢栽黾佑嘘P(guān)勞動教育的課程，鼓勵學(xué)生進行選修，并在畢業(yè)生就業(yè)前開設(shè)有關(guān)勞動教育的講座，幫助學(xué)生在正式成為勞動者之前多了解個人信息保護和其他有關(guān)的勞動教育內(nèi)容。在相關(guān)課程和講座內(nèi)容中設(shè)置勞動者個人信息保護的有關(guān)內(nèi)容，讓未來的勞動者們了解個人信息處理的相關(guān)問題，包括用人單位可能會如何規(guī)避自己的責(zé)任、個人信息被侵害的后果、勞動者如何有效進行維權(quán)等。除了學(xué)校之外，人力資源管理部門和工會幫助勞動者提高理解能力和協(xié)商能力也是重要的方面。人力資源管理部門可以對勞動者進行入職前的培訓(xùn)。用人單位在勞動者的入職后培訓(xùn)中也可以加入對個人信息處理的說明部分，并對勞動者的同意作出提醒。

其次，發(fā)揮工會的應(yīng)有作用。工會作為第三方介入，代替勞動者個人與用人單位進行協(xié)商，有利于改善勞動者在勞動關(guān)系中的弱勢地位，幫助勞動者維護自己的合法權(quán)益。以集體同意代替單獨同意時需要注意勞動者的真實意思，召開職工代表大會或者職工大會對勞動者的意思進行統(tǒng)一收集和反饋，了解勞動者的真實訴求，幫助勞動者在個人信息糾紛中保護自己的權(quán)利。同時，由于數(shù)據(jù)流通的特性和個人信息流轉(zhuǎn)的特殊性，需要及時對個人信息泄露等后果進行補救，簡化工會的流程有利于更快保護勞動者的個人信息。但這并不意味著需要簡化必要的對勞動者意思的收集流程，而是簡化工會對個人信息泄露情況的了解流程和與用人單位的協(xié)商流程，使用更簡潔、直接的方式。

再次，限制用人單位強迫勞動者同意。禁止用人單位在章程規(guī)定或者勞動合同中對勞動者的個人信息直接進行默認處理，或者以此剝奪勞動者的合法權(quán)利，如撤回權(quán)、再次同意權(quán)等。用人單位在勞動合同中使用“用人單位有權(quán)收集處理勞動者個人信息”“勞動者有義務(wù)提供其個人信息”等表述的，該格式條款對勞動者不產(chǎn)生任何實質(zhì)影響。勞動者簽訂勞動合同的，不認為是對用人單位收集處理個人信息的同意，用人單位在收集處理時需要根據(jù)法律規(guī)定和要求，按照“告知—同意”規(guī)則的要求進行逐一告知并征求同意。在勞動關(guān)系持續(xù)過程中，用人單位以行使管理權(quán)為由強迫或者變相強迫勞動者進行同意的，視為沒有征得同意，應(yīng)當承擔(dān)相應(yīng)責(zé)任?！秱€人信息保護法》規(guī)定了行政執(zhí)法、個人投訴舉報、司法訴訟、公益訴訟等多種保護機制。據(jù)此勞動者具有投訴舉報和司法救濟的任意選擇權(quán)。用人單位要求勞動者提供個人信息，勞動者拒絕后，用人單位對勞動者進行不當處分的，勞動者可以尋求工會的幫助，也可以進行投訴舉報。勞動者向工會尋求幫助的，工會應(yīng)當積極提供法律援助。用人單位因勞動者拒絕提供個人信息而開除勞動者或者在下一次簽訂勞動合同時惡意改動資薪的，勞動者可以根據(jù)法律規(guī)定提起勞動仲裁，不在勞動仲裁范圍內(nèi)的勞動者可以直接提起訴訟。完善對勞動者的法律援助和法律幫助，幫助勞動者在個人信息被侵害后進行維權(quán)。勞動者與用人單位發(fā)生個人信息糾紛時，法院需要審查用人單位是否盡到合格的告知義務(wù)，是否有勞動者的同意，勞動者的同意是否意思表示真實。

3.限制對例外情形的適用

在例外情形中，因為用人單位無需經(jīng)過勞動者同意而可以直接收集、處理勞動者的個人信息，對勞動者的個人信息安全造成了更多泄露和非法使用的風(fēng)險，應(yīng)當對例外情形進行限制適用。

首先，明確“為勞動合同所需”和“為人力資源管理所需”的范圍。謹慎判斷跟勞動合同有關(guān)的內(nèi)容是否屬于“為勞動合同所必需”，需要根據(jù)實際情況和工種判斷用人單位收集勞動者的個人信息的最大必要范圍，超出必要范圍的行為會侵害勞動者的個人信息權(quán)利。對用人單位行使管理權(quán)而必需的勞動者的個人信息，需要根據(jù)多方面進行綜合判斷，一般而言沒有嚴格保密或者安全規(guī)定的，用人單位無權(quán)收集勞動者的生物識別信息。

其次，制定勞動規(guī)章制度，對用人單位的告知義務(wù)作出細化的規(guī)定，明確不需要告知的情形。勞動規(guī)章制度以及集體合同中對勞動者隱私權(quán)讓渡的設(shè)置應(yīng)當僅限于與工作內(nèi)容有關(guān)[7]。同時，個人信息保護涉及的領(lǐng)域廣，相關(guān)制度措施的落實有賴于完善的監(jiān)管執(zhí)法機制。根據(jù)《個人信息保護法》要求，勞動行政部門應(yīng)當在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下制定個人信息保護具體規(guī)則、標準，針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個人信息保護規(guī)則、標準。同時，勞動行政部門也需要根據(jù)行業(yè)特征，制定勞動領(lǐng)域的個人信息保護規(guī)章與條例。根據(jù)個人信息保護工作實際，《個人信息保護法》明確，國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負責(zé)個人信息保護和監(jiān)督管理工作，同時，對個人信息保護和監(jiān)管職責(zé)作出規(guī)定，包括開展個人信息保護宣傳教育、指導(dǎo)監(jiān)督個人信息保護工作、接受處理相關(guān)投訴舉報、組織對應(yīng)用程序等進行測評、調(diào)查處理違法個人信息處理活動等。

(二)加強對“合法、正當、必要”原則的審查

“合法、正當、必要”原則作為基本原則，對“告知—同意”規(guī)則的適用具有指導(dǎo)和兜底的作用。對“告知—同意”規(guī)則的適用可以結(jié)合原則的內(nèi)涵進行。在無法具體判斷勞動者是否是真實意思表示，用人單位收集、處理個人信息的目的是否合法等情況時，可以結(jié)合原則的內(nèi)涵對用人單位的目的和行為進行認定。

首先，加強對用人單位處理勞動者個人信息的合法性、正當性、必要性審查。對合法性的審查主要是對用人單位在收集處理勞動者個人信息時是否滿足“告知—同意”規(guī)則的形式要求。第一，對同意的形式進行審查，判斷是否是一般情形下需要征得勞動者同意才能收集處理個人信息的情況，在此情況下勞動者是否有同意的意思表示，是書面的同意意思表示還是由用人單位單獨征求的勞動者的同意，用人單位是否以管理權(quán)或者開除、處分等懲戒相威脅，勞動者的同意是否真實可撤回等。第二，對于無需經(jīng)過勞動者明示同意的“訂立、履行合同所必需”的情況，需要結(jié)合勞動者個人信息的目的類型具體審查是否與“訂立、履行勞動合同”相關(guān)。同時，對于勞動規(guī)章制度的制定需要根據(jù)法律要求并具備民主程序，保障勞動者同意的自治性，讓勞動者參與到規(guī)章制定中來，充分行使其參與權(quán)。而集體合同中的集體合意也需要滿足協(xié)商代表產(chǎn)生與集體合同表決的程序合法性。勞動者個人信息處理行為的合法性來源廣泛多元，且存在互相轉(zhuǎn)化的可能性，需要集合對正當性和必要性的審查進行整體判斷。

其次，通過“合法、正當、必要”原則彌補“告知—同意”規(guī)則的漏洞。在“告知—同意”規(guī)則具有漏洞或者超出其適用范圍時，適用“合法、正當、必要”原則有助于對用人單位的行為和目的進行認定。根據(jù)“合法、正當、必要”原則的內(nèi)涵對用人單位收集處理個人信息的目的的正當性和必要性進行判斷。對用人單位進行目的審查，審查用人單位的處理目的是否正當、明確、特定，是否保證勞動者明確知悉目的并同意。同時，需要審查用人單位收集個人信息是否滿足處理目的；個人信息的收集處理是否超出用人單位的預(yù)期，同時是否超出勞動者的預(yù)期；個人信息的性質(zhì)、范圍以及對勞動者的影響；用人單位是否采取了保護或者補救措施等。

最后，根據(jù)“合法、正當、必要”原則的內(nèi)涵判斷用人單位的責(zé)任承擔(dān)。在用人單位對個人信息收集和處理的后續(xù)行為超過限度造成損害的情況下，責(zé)任承擔(dān)應(yīng)當根據(jù)“合法、正當、必要”原則的內(nèi)涵進行判斷，并對此風(fēng)險進行平衡分擔(dān)，不能將此風(fēng)險完全轉(zhuǎn)嫁給本就沒有承受能力的勞動者，需要讓用人單位共擔(dān)風(fēng)險。用人單位對收集的勞動者個人信息有安全保障義務(wù)，需要采取技術(shù)措施對勞動者的個人信息進行保護，在必要時最好對勞動者的個人信息進行處理以消除一部分識別性。同時，用人單位在勞動者的個人信息被泄露或者侵害時負有補救的義務(wù)。用人單位在收集勞動者的個人信息時的理由正當且必要，但是在后續(xù)的保存過程中發(fā)生了客觀變化使得其處理的理由不符合原則要求時，需要根據(jù)具體情形進行判斷，盡可能平衡風(fēng)險的分擔(dān)。運用比例原則對勞動者的損害程度和行為的必要性進行比較和權(quán)衡，判斷用人單位是否存在正當利益，對勞動者的損害與獲益是否成比例，是否是對勞動者損害最小的方式，如果對勞動者的人格權(quán)或人格尊嚴造成嚴重侵害，應(yīng)認為不符合正當性、必要性的要求，是違法行為，用人單位應(yīng)當承擔(dān)相應(yīng)責(zé)任。

四、結(jié)語

我國《個人信息保護法》作為基本法，對個人的信息安全保護提出了新的要求和挑戰(zhàn)，也直接關(guān)系到我國勞動者群體的個人信息權(quán)益。勞動關(guān)系下的“告知—同意”規(guī)則的適用是勞動特殊場景下的個人信息保護的核心，在此基礎(chǔ)上需要結(jié)合“合法、正當、必要”原則的要求對勞動者的合法權(quán)益進行保護。要完善“告知—同意”規(guī)則的內(nèi)涵，明確“合法、正當、必要”原則的審查范圍，建議由行政監(jiān)管機關(guān)、最高人民法院出臺部門規(guī)章或司法解釋對此加強規(guī)則闡明與規(guī)范解釋，形成相應(yīng)的制度限制，進一步對勞動者的個人信息進行保護。