【摘要】用人單位對(duì)勞動(dòng)者的個(gè)人信息享有知情權(quán)，但在一定程度上也侵犯勞動(dòng)者個(gè)人信息安全。綜觀國(guó)外對(duì)個(gè)人信息的立法，借鑒歐盟模式及美國(guó)安全港模式的先進(jìn)經(jīng)驗(yàn)，我國(guó)的勞動(dòng)立法應(yīng)從明確用人單位知情權(quán)的權(quán)利界限、規(guī)定用人單位保護(hù)勞動(dòng)者個(gè)人信息的規(guī)章制度以及設(shè)定特定的勞動(dòng)法責(zé)任三個(gè)方面，有效保護(hù)勞動(dòng)者的個(gè)人信息。

【關(guān)鍵詞】知情權(quán)  個(gè)人信息  勞動(dòng)法保護(hù)    

【中圖分類號(hào)】D912     【文獻(xiàn)標(biāo)識(shí)碼】A

用人單位享有知情權(quán)背景下勞動(dòng)者個(gè)人信息安全問題凸顯

根據(jù)《勞動(dòng)合同法》第八條規(guī)定，用人單位與勞動(dòng)者訂立勞動(dòng)合同之時(shí)以及勞動(dòng)合同存續(xù)期間，都有權(quán)獲悉勞動(dòng)者的相關(guān)個(gè)人信息。大數(shù)據(jù)時(shí)代，由于信息能夠創(chuàng)造商業(yè)價(jià)值的誘惑，公民的個(gè)人信息日益陷入被非法買賣、泄露的困境。①

用人單位對(duì)勞動(dòng)者行使知情權(quán)，收集和利用勞動(dòng)者的個(gè)人信息是用人單位經(jīng)營(yíng)管理的常態(tài)，甚至整個(gè)單位內(nèi)部秩序的正常運(yùn)轉(zhuǎn)、企業(yè)謀取利潤(rùn)都依賴于此。在這種形勢(shì)下，用人單位對(duì)勞動(dòng)者行使知情權(quán)欲盡可能“知”?；?ldquo;勞弱資強(qiáng)”的現(xiàn)實(shí)，勞動(dòng)者個(gè)人信息安全面臨著被侵犯的現(xiàn)實(shí)困境。

首先是用人單位招聘勞動(dòng)者階段。在與勞動(dòng)者建立勞動(dòng)關(guān)系之前，用人單位往往要求求職者投放簡(jiǎn)歷或者填寫內(nèi)容詳盡的表格，以此來選拔最適合招聘崗位的人才。求職者投放的紙質(zhì)或電子文檔形式的簡(jiǎn)歷中包含了大量的個(gè)人信息，包括姓名、性別、移動(dòng)電話、電子郵箱、家庭住址、學(xué)歷等情況。用人單位收集了大量的應(yīng)聘簡(jiǎn)歷，如果篩選后將不被看中的簡(jiǎn)歷隨意丟棄，簡(jiǎn)歷中求職者的個(gè)人信息將可能被他人非法收集使用，從而損害求職者個(gè)人信息隱私權(quán)的正當(dāng)權(quán)益。用人單位即使未披露或公開任何信息，不當(dāng)收集個(gè)人信息本身就足以侵害個(gè)人的信息隱私，進(jìn)而侵犯勞動(dòng)者的隱私權(quán)。

其次是用人單位與勞動(dòng)者勞動(dòng)關(guān)系存續(xù)階段。在這一階段，用人單位收集的諸如身體健康情況、疾病歷史、醫(yī)療記錄等勞動(dòng)者個(gè)人信息，屬于勞動(dòng)者的個(gè)人隱私信息，用人單位知悉后未經(jīng)勞動(dòng)者同意，不能向第三人公布?，F(xiàn)實(shí)中，有的用人單位將勞動(dòng)者的個(gè)人隱私信息轉(zhuǎn)移給保險(xiǎn)公司或金融機(jī)構(gòu)，致使勞動(dòng)者成為保險(xiǎn)公司或金融機(jī)構(gòu)銷售人員產(chǎn)品銷售的對(duì)象，可能導(dǎo)致勞動(dòng)者做出不自愿的購(gòu)買行為。用人單位對(duì)勞動(dòng)者個(gè)人信息的這種處理方式，背離了勞動(dòng)法律賦予其享有知情權(quán)的目的，在結(jié)果上極有可能侵害勞動(dòng)者的個(gè)人信息隱私權(quán)。②另外，用人單位對(duì)勞動(dòng)者的個(gè)人信息進(jìn)行正常管理，也應(yīng)做好適當(dāng)?shù)陌踩Ｗo(hù)措施。否則，缺乏嚴(yán)謹(jǐn)系統(tǒng)化的信息管理制度，或者內(nèi)部信息管理人員的不當(dāng)操作，都可能會(huì)導(dǎo)致勞動(dòng)者個(gè)人信息的遺失、被竊取、不當(dāng)披露等，從而侵害勞動(dòng)者的個(gè)人信息隱私權(quán)。

最后是用人單位與勞動(dòng)者勞動(dòng)關(guān)系結(jié)束之后。勞動(dòng)者離職后，其個(gè)人信息轉(zhuǎn)化為個(gè)人檔案，為用人單位保管。根據(jù)《勞動(dòng)合同法》相關(guān)法條規(guī)定，用人單位應(yīng)在十五日內(nèi)為離職勞動(dòng)者辦理檔案轉(zhuǎn)移手續(xù)。隨著互聯(lián)網(wǎng)的普及，整個(gè)社會(huì)檔案的管理模式正在從以保管檔案實(shí)體為重點(diǎn)，轉(zhuǎn)向以數(shù)字化檔案的形式向社會(huì)提供服務(wù)為重點(diǎn)。③數(shù)字化檔案的普及，給用人單位留存勞動(dòng)者的個(gè)人信息提供了無限可能?！秳趧?dòng)合同法》規(guī)定，用人單位對(duì)已經(jīng)解除勞動(dòng)關(guān)系的勞動(dòng)合同文本至少應(yīng)該保存兩年。實(shí)踐中，當(dāng)勞動(dòng)者離開所在用人單位后，有些用人單位主客觀上并不采取措施銷毀勞動(dòng)者的人事檔案，更有甚者，為了謀取經(jīng)濟(jì)利益，將其所掌握的在職和離崗勞動(dòng)者的個(gè)人信息打包銷售給獵頭公司、非法調(diào)查公司以及保險(xiǎn)公司等，肆無忌憚地出售、泄露勞動(dòng)者的個(gè)人信息。

我國(guó)現(xiàn)行立法缺乏對(duì)勞動(dòng)者個(gè)人信息的有效保護(hù)

第一，我國(guó)現(xiàn)行個(gè)人信息保護(hù)相關(guān)立法層級(jí)較低，且缺乏針對(duì)性。在較高層級(jí)的法律立法方面，首次涉及到公民個(gè)人信息保護(hù)的法律是2000年12月28日全國(guó)人大常委會(huì)發(fā)布的《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，該法將“侵犯公民通信自由和通信秘密”的行為入罪。后又于2012年12月通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，該決定直接指出企事業(yè)單位在收集、使用公民的個(gè)人電子信息時(shí)，應(yīng)遵循合法、正當(dāng)?shù)仍瓌t，向個(gè)人信息提供者明示其收集處理信息的目的、方式和范圍。民事立法方面，2014年3月15日實(shí)施的經(jīng)過修訂的《消費(fèi)者權(quán)益保護(hù)法》第十四條提出，消費(fèi)者在購(gòu)買、使用商品和接受服務(wù)時(shí)，其個(gè)人信息依法應(yīng)得到保護(hù)。刑事立法方面，2005年通過的《刑法修正案（五）》增加了“竊取、收買、非法提供信用卡信息罪”。《刑法修正案（七）》更是將非法獲取公民個(gè)人信息的行為首次入罪。2015年8月《刑法修正案（九）》將“出售、非法提供公民個(gè)人信息罪”的犯罪主體擴(kuò)大到所有單位以及個(gè)人，這其中自然包括用人單位及其內(nèi)部人力資源管理人員。

其次，在較低層級(jí)的行政法規(guī)和部門規(guī)章方面，僅2013年，國(guó)務(wù)院及相關(guān)部門就相繼修訂了《征信管理?xiàng)l例》，發(fā)布了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》。其中，《信息安全技術(shù)-公用及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》首次規(guī)定了我國(guó)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)。

綜合以上關(guān)于個(gè)人信息保護(hù)的法律、行政法規(guī)及部門規(guī)章來看，對(duì)個(gè)人信息保護(hù)的規(guī)定在數(shù)量上并不缺乏，但總體上這些規(guī)范還較零碎、法條規(guī)定偏原則化、立法層級(jí)較低，能夠適用于勞動(dòng)者個(gè)人信息保護(hù)的法規(guī)較少，尚無對(duì)勞動(dòng)者個(gè)人信息保護(hù)的針對(duì)性的適用條款。

第二，勞動(dòng)法缺乏對(duì)勞動(dòng)者個(gè)人信息保護(hù)的規(guī)定。《勞動(dòng)合同法》總則中的第一條開宗明義，提出保護(hù)勞動(dòng)者的合法權(quán)益，從而構(gòu)建和諧的勞動(dòng)關(guān)系，明確了傾斜保護(hù)勞動(dòng)者權(quán)益的立法目的。其中第八條賦予了用人單位和勞動(dòng)者對(duì)各自信息的知情權(quán)以及相互應(yīng)盡的如實(shí)告知義務(wù)。該條規(guī)定對(duì)用人單位和勞動(dòng)者而言，權(quán)利和義務(wù)是對(duì)等的。鑒于用人單位一些具有商業(yè)價(jià)值的信息的重要性，《勞動(dòng)合同法》第二十三條規(guī)定，用人單位“可以”在勞動(dòng)合同中與勞動(dòng)者約定關(guān)于用人單位的相關(guān)信息的保密事項(xiàng)。為了保障第二十三條的法律效果，第九十條規(guī)定，勞動(dòng)者如果違反了第二十三條中的保密義務(wù)，應(yīng)當(dāng)承擔(dān)給用人單位造成損失的責(zé)任。反觀勞動(dòng)者方面，卻無相關(guān)法條規(guī)定用人單位“應(yīng)該”或“可以”采取相關(guān)措施保護(hù)勞動(dòng)者的個(gè)人信息。顯然，在勞動(dòng)立法上，勞動(dòng)者的個(gè)人信息是沒有受到相應(yīng)法律保護(hù)的。勞動(dòng)者個(gè)人信息的保護(hù)在勞動(dòng)法上處于缺失的狀態(tài)，更無法談及有效保護(hù)。

個(gè)人信息保護(hù)立法的歐盟模式與美國(guó)模式

第一，歐盟模式。早在1980年，當(dāng)時(shí)的歐洲議會(huì)就通過了《保護(hù)自動(dòng)化處理個(gè)人數(shù)據(jù)公約》適用于各成員國(guó)，至1995年10月24日，歐盟通過了《關(guān)于與個(gè)人數(shù)據(jù)處理相關(guān)的個(gè)人數(shù)據(jù)保護(hù)及此類數(shù)據(jù)自由流動(dòng)的指令》即通稱的“歐盟指令”。該指令明確規(guī)定了兩個(gè)方面：一是個(gè)人數(shù)據(jù)管理者的責(zé)任和義務(wù)。具體指?jìng)€(gè)人數(shù)據(jù)處理應(yīng)基于特定、合法的目的公正收集，以數(shù)據(jù)主體能夠識(shí)別的形態(tài)保存等的數(shù)據(jù)質(zhì)量原則；處理個(gè)人數(shù)據(jù)應(yīng)符合法定義務(wù)等的數(shù)據(jù)處理合法化原則；個(gè)人數(shù)據(jù)收集應(yīng)告知數(shù)據(jù)主體的告知原則以及特殊類型數(shù)據(jù)（包括種族、宗教信仰、性生活等）處理原則。④二是個(gè)人數(shù)據(jù)主體的權(quán)利。數(shù)據(jù)主體享有的權(quán)利包括訪問權(quán)（資料主體可以不受時(shí)間限制地確認(rèn)個(gè)人資料是否經(jīng)過處理）、拒絕權(quán)（資料主體能夠拒絕處理或直營(yíng)自己的個(gè)人資料）、自主決策權(quán)（資料主體可以不服從僅僅基于自動(dòng)化處理的資料的基礎(chǔ)之上的決定）以及獲得救濟(jì)的權(quán)利（資料主體對(duì)侵權(quán)行為有權(quán)獲得賠償）。

第二，美國(guó)模式。美國(guó)在1995年公布了《個(gè)人隱私和國(guó)家信息基礎(chǔ)設(shè)施：個(gè)人信息的使用和提供原則》，提出了對(duì)個(gè)人信息的相關(guān)處理的基本原則。但該文件并不具備法律強(qiáng)制效力，只對(duì)個(gè)人信息保護(hù)起到引導(dǎo)作用。1997年美國(guó)政府又發(fā)布了《全球電子商務(wù)框架》，鼓勵(lì)支持私營(yíng)企業(yè)制定自律規(guī)范，進(jìn)一步發(fā)揮保護(hù)網(wǎng)絡(luò)隱私權(quán)的主導(dǎo)作用。相較于歐盟的統(tǒng)一立法，美國(guó)采取的正是“政府引導(dǎo)+行業(yè)自律”的模式，這就是所謂的“安全港”模式。安全港模式具有以下特點(diǎn)：首先，企業(yè)應(yīng)當(dāng)遵守自律規(guī)范中的實(shí)體內(nèi)容和執(zhí)行程序，其執(zhí)行程序甚至可以代替聯(lián)邦貿(mào)易委員會(huì)的審查執(zhí)行程序。其次，全行業(yè)而非具體企業(yè)入“港”。聯(lián)邦貿(mào)易委員會(huì)直接審查整個(gè)行業(yè)的個(gè)人信息保護(hù)自律規(guī)范，而非行業(yè)內(nèi)具體的信息收集處理主體的自律規(guī)范。再次，對(duì)于進(jìn)入安全港模式的信息處理主體而言，其制定的個(gè)人信息保護(hù)自律規(guī)范要接受行業(yè)和聯(lián)邦貿(mào)易委員會(huì)的雙重監(jiān)督。最后，在安全港模式下，個(gè)人信息權(quán)利主體在權(quán)利受到侵害時(shí)，可依據(jù)自律規(guī)范尋求救濟(jì)。為了保障救濟(jì)的效力，實(shí)行聯(lián)邦貿(mào)易委員會(huì)最終裁決的原則。⑤

保護(hù)我國(guó)勞動(dòng)者個(gè)人信息的三條建議

綜合以上對(duì)個(gè)人信息保護(hù)的歐盟模式和美國(guó)模式的分析，結(jié)合我國(guó)對(duì)勞動(dòng)者個(gè)人信息保護(hù)的現(xiàn)實(shí)，筆者認(rèn)為有以下兩點(diǎn)啟示：一是對(duì)歐盟指令中對(duì)“個(gè)人數(shù)據(jù)管理者的責(zé)任和義務(wù)”的借鑒。二是對(duì)美國(guó)安全港模式中的“行業(yè)自律”的借鑒。我國(guó)勞動(dòng)者個(gè)人信息保護(hù)的具體措施包括以下幾方面。

首先，明確用人單位知情權(quán)的權(quán)利界限。根據(jù)《勞動(dòng)合同法》第八條的規(guī)定，勞動(dòng)者對(duì)用人單位負(fù)有對(duì)本人“與勞動(dòng)合同直接相關(guān)的基本情況”如實(shí)告知的義務(wù)。但“基本情況”到底指什么，在法條中并未劃定具體范圍。建議根據(jù)與勞動(dòng)合同是否密切相關(guān)的不同，將勞動(dòng)者的個(gè)人信息大致分為兩類：直接關(guān)系到用人單位對(duì)勞動(dòng)者的有效管理的信息和直接與勞動(dòng)者的工作能力相關(guān)，決定著勞動(dòng)合同是否能夠履行的個(gè)人信息。對(duì)于這兩類信息，建議將其確定為勞動(dòng)者應(yīng)如實(shí)告知的范圍。對(duì)于那些與勞動(dòng)者的勞動(dòng)能力無關(guān)、涉及到勞動(dòng)者的個(gè)人隱私的信息，勞動(dòng)者有權(quán)拒絕告知。⑥

其次，規(guī)定用人單位保護(hù)勞動(dòng)者個(gè)人信息的規(guī)章制度。對(duì)用人單位而言，作為勞動(dòng)者個(gè)人信息的持有、利用者，其保有的個(gè)人信息量是集中的、巨量的，立法必須對(duì)此予以重視。建議將勞動(dòng)者個(gè)人信息保護(hù)的內(nèi)容以法定義務(wù)的方式列入用人單位的規(guī)章制度中，對(duì)勞動(dòng)者個(gè)人信息保護(hù)的具體內(nèi)容由用人單位自主決定，通過單位內(nèi)部的民主程序取得勞動(dòng)者的同意。根據(jù)《勞動(dòng)保障監(jiān)察條例》第十一條的規(guī)定，將勞動(dòng)者個(gè)人信息保護(hù)的事項(xiàng)也納入勞動(dòng)監(jiān)察部門對(duì)用人單位規(guī)章制度的監(jiān)察范圍，由此實(shí)現(xiàn)用人單位自律與勞動(dòng)行政部門監(jiān)管的結(jié)合。

第三，設(shè)定用人單位侵犯勞動(dòng)者個(gè)人信息的勞動(dòng)法責(zé)任。目前，對(duì)于侵犯勞動(dòng)者個(gè)人信息所應(yīng)承擔(dān)的責(zé)任尚適用民事法律和刑事法律來解決。由于個(gè)人信息在概念外延上與隱私權(quán)呈交叉關(guān)系，⑦因此侵犯?jìng)€(gè)人信息的救濟(jì)途徑也部分適用民事法律《侵權(quán)責(zé)任法》中關(guān)于侵犯隱私權(quán)的責(zé)任體系。具體而言，其救濟(jì)方式包括：停止侵害，排除妨礙，消除危險(xiǎn)，返還財(cái)產(chǎn)，恢復(fù)原狀，賠償損失，賠禮道歉，消除影響、恢復(fù)名譽(yù)。就刑事責(zé)任方面，用人單位能夠成為犯罪主體，承擔(dān)罰金責(zé)任，其主管人員也面臨個(gè)人刑罰。由于勞動(dòng)法律關(guān)系具有人身依附性的專屬特點(diǎn)，適用民事法律和刑事法律進(jìn)行追責(zé)對(duì)勞動(dòng)者而言有局限性，應(yīng)設(shè)定特定的符合勞動(dòng)關(guān)系特點(diǎn)的勞動(dòng)法責(zé)任。建議在責(zé)任形式上，由勞動(dòng)行政管理部門對(duì)用人單位實(shí)施的侵犯勞動(dòng)者個(gè)人信息的不同情形給予不同程度的行政處罰；另外，勞動(dòng)立法還應(yīng)通過一定的措施鼓勵(lì)勞動(dòng)者向勞動(dòng)行政部門舉報(bào)其所屬單位或其他用人單位侵犯勞動(dòng)者個(gè)人信息的行為。勞動(dòng)行政部門接到舉報(bào)后，依職權(quán)展開調(diào)查，核實(shí)情況后對(duì)用人單位施以相應(yīng)處罰，最終達(dá)到防止用人單位侵害勞動(dòng)者個(gè)人信息的目的。

（作者單位：信陽師范學(xué)院政法學(xué)院）

【注：本文系河南省政府決策研究招標(biāo)課題階段性成果，項(xiàng)目編號(hào)：2015B296】

【注釋】

①崔聰聰：《個(gè)人信息損害賠償問題研究》，《北京郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，2014年第6期。

②劉青楊：《社會(huì)多元化轉(zhuǎn)型期隱私權(quán)與知情權(quán)關(guān)系研究》，《北方論叢》，2015年第5期。

③馮靜：《檔案信息化及檔案信息化建設(shè)》，《蘭臺(tái)世界》，2014年第4期。

④郎慶斌：《國(guó)外個(gè)人信息保護(hù)模式研究》，《信息技術(shù)與標(biāo)準(zhǔn)化》，2012年第1期。

⑤齊愛民：《個(gè)人信息保護(hù)法研究》，《河北法學(xué)》，2008年第4期。

⑥廖宇羿：《我國(guó)個(gè)人信息保護(hù)范圍界定—兼論個(gè)人信息與個(gè)人隱私的區(qū)分》，《社會(huì)科學(xué)研究》，2016年第2期。

⑦王利明：《論個(gè)人信息權(quán)的法律保護(hù)—以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》，2013年第4期 。

責(zé)編/潘麗莉 孫娜（見習(xí)） 美編/王夢(mèng)雅（見習(xí)）