(本文选自第五届长三角劳动法律师业务交流会论文集)
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年11月1日起正式施行,其中《个人信息保护法》第十三条第一款第(二)项之规定引起了各方热议,在对该法条内容的理解与适用上存在着一定的争议。该规定涉及到用人单位处理劳动者个人信息的合法性基础问题,笔者浅谈一点个人看法,供大家批评指正。
一、《个人信息保护法》第十三条第一款第(二)项规定的理解
《个人信息保护法》第十三条第一款第(二)项规定,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的,处理个人信息不需取得个人同意。这是《个人信息保护法》在确立以“告知+同意”为核心的个人信息处理原则基础上,考虑到经济社会生活的复杂性和个人信息处理的不同情况,对基于个人同意以外合法处理个人信息的情形作出的规定。
众所周知,在《个人信息保护法(草案)》的一审稿和二审稿中并没有这一内容。当时有观点认为,人力资源管理的内容非常广泛,人力资源管理所必需的范围可能无法限制,不利于劳动者个人信息的保护;但也有观点认为,用人单位从招聘录用应聘者,到与劳动者签订劳动合同、办理录用手续、支付劳动报酬、缴纳社会保险等都必须使用到劳动者的个人信息,而这些个人信息如果要以劳动者的同意为前提,则不符合用人单位与劳动者之间存在管理与被管理的人身属性,用人单位人力资源管理行为难以正常开展,管理的效率和效果都难以实现,不利于建立和谐稳定的劳动关系。《个人信息保护法》的出台采纳了后一种观点,加上了这一项例外情况规定。
《劳动合同法》第八条规定,用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。可见,用人单位要了解劳动者与劳动合同相关的基本情况,必然要会涉及到劳动者的个人信息甚至个人隐私内容。作为与用人单位建立劳动关系的劳动者一方,应当如实说明,不得隐瞒或拒绝。
例如,在招聘录用和劳动合同订立阶段,用人单位通过从收集到应聘者的简历中选择面试人员,在面试过程中有权了解与劳动合同直接相关的劳动者个人信息,在订立合同过程中基于向劳动者支付劳动报酬、缴纳社会保险、代扣代缴个人所得税等,必需使用到劳动者的身份证号、银行卡号、社保账号等信息;为了方便用人单位的直接管理和内部联系,建立包含劳动者姓名、职位、电话号码、邮箱地址等个人信息的通讯录,也必然会使用到劳动者的个人等信息;基于保障劳动者身体健康和提供安全卫生的工作环境需要,用人单位对入职劳动者进行健康检查、要求其进入工作场所出示健康码、行程卡等,也会涉及到处理其医疗健康信息、行踪轨迹等敏感个人信息。《个人信息保护法》这一规定的出台与《劳动合同法》在了解劳动者与劳动合同相关的个人信息的规定上互相呼应,保持了一致。
对于用人单位处理劳动者敏感个人信息,是否应当取得劳动者同意问题,实践中存在有较大的争议。有观点认为,根据《个人信息保护法》第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。因此用人单位在实施人力资源管理过程中涉及到需要使用到劳动者指纹、人脸识别等生物识别、医疗健康、行踪轨迹等个人敏感信息时,应当取得劳动者个人的单独同意,用人单位不能直接根据《个人信息保护法》第十三条进行处理,而是应当优先适用《个人信息保护法》第二十九条的特别规定。对此观点,笔者并不认同。
笔者认为,《个人信息保护法》第十三条和第二十九条二者并非是一般规定和特别规定的关系,不存在优先适用《个人信息保护法》第二十九条的问题。《个人信息保护法》第二章“个人信息处理规则”中一共有三节,第三节“国家机关处理个人信息的特别规定”相对于第一节确实是“特别规定”,而第二节是针对“敏感个人信息的处理规则”并不是特别规定。
《个人信息保护法》第十三条第二款之规定,“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”可见,“依照本法其他有关规定”显然包含了《个人信息保护法》第二十九条之规定。从法条内容上理解,《个人信息保护法》第十三条第一款第二项至第七项,就是处理个人信息不需要取得个人同意的例外情形,不管该个人信息是否属于敏感个人信息。因此,《个人信息保护法》第二十九条并不是优先适用条款。
实际上,在劳动用工过程中,劳动者的真实意志因用人单位和劳动者之间的经济地位以及权利义务上的不对等而难以真正实现,很多时候的“同意”也可能迫于就职需求的无奈。例如,用人单位在招聘过程中,会要求应聘者提供各类相关个人信息资料包括敏感个人信息,应聘者只能同意,否则应聘者就会丧失被录用的机会。
事实上,采用强化劳动者同意为前提的立法要求,不仅难以起到应有的保护效果,反而会加剧劳动者与用人单位之间的信息不对等。当用人单位与劳动者在敏感个人信息获取方面存在着冲突时,用人单位通常会基于用自身利益及管理秩序的需要来进行选择,而处于弱势地位的劳动者在面对用人单位给出的“工作机会与个人信息及隐私”二选一进行抉择时,大多数人只能作出妥协和让步,此时的“同意”难以认定为劳动者真实的意思表示。如果将劳动者个人信息保护主要依赖于劳动者的“同意”上,实质是将个人信息处理的风险转移至劳动者方,而劳动者作为弱势的一方,难以真正通过对个人信息的有效控制实现其信息处理结果的实质公正。
二、《个人信息保护法》第十三条第一款第(二)项规定的适用
根据《个人信息保护法》第十三条第一款第(二)项规定,用人单位在处理劳动者信息时无需以本人同意为前提,而是转化到用人单位实施人力资源管理所必需上来。这种立法转变实际上是一种进步,注重用人单位作为信息处理者为其行为承担责任,而不是将重心放在收集数据之初取得劳动者本人同意上。《个人信息保护法》着重强调的是用人单位处理劳动者个人信息的目的正当性和实施必要性,即为订立、履行合同所必需和实施人力资源管理所必需。
为了实现用人单位人力资源管理的用工自主权与保护劳动者个人信息之间的冲突与平衡,《个人信息保护法》在尊重用工自主权的同时强调了管理依据的民主程序要求,即依照劳动规章制度或集体合同来实施管理权和依法处理劳动者个人信息。《劳动合同法》第四条规定,直接涉及劳动者切身利益的劳动规章制度,是用人单位经过与职工代表大会或者全体职工讨论,提出方案和意见后与工会或者职工代表平等协商确定的。用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示,或者告知劳动者。可见,由于用人单位的劳动规章制度是通过民主程序制定的,对全体劳动者具有约束力。例如,用人单位在制定考勤管理制度时,决定采用电子考勤的,需要采集全体劳动者的指纹,用人单位在处理该劳动者个人信息时,并不需要事先取得劳动者的同意,而劳动者则有义务配合用人单位,接受用人单位的管理。
《劳动合同法》第五十一条规定,用人单位职工一方与用人单位通过平等协商,可以就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项订立集体合同。集体合同草案应当提交职工代表大会或者全体职工讨论通过。由于集体合同也是职工一方与用人单位平等协商确定的,对用人单位和全体劳动者均有约束力。用人单位依照集体合同进行相应的人力资源管理,涉及到处理劳动者个人信息情形的,同样无需征得每一位劳动者的同意为前提。例如,集体合同在涉及到为劳动者安排健康体检等疗休养福利过程中,也可能会涉及到劳动者的个人信息甚至个人隐私,劳动者也同样应当配合;集体合同中规定了劳动者个人信息的分类分级保护机制、不同劳动者的信息访问权限以及敏感个人信息处理机制等内容的,依据上述规定或约定处理也无需再征得劳动者个人同意。
用人单位在处理劳动者个人信息的目的正当性外,还需要证明处理劳动者个人信息对所预期实现的目的是“必需”的,“必需”决定了用人单位实施用工自主权的边界。因此在法律适用上,有必要明确劳动用工不同阶段信息处理目的“必需”之内涵。
在招录用与劳动合同订立阶段,用人单位为了招聘到与岗位所需要的最合适人才,需要充分掌握其与履行劳动合同直接相关的个人信息,属于“为订立合同所必需”之目的作为处理个人信息的合法性基础来选择合适的求职者。例如,用人单位可以通过浏览简历方式收集到求职者的姓名、性别、年龄、教育背景、工作履历、家庭住址、联系方式等个人信息,也可以要求其进行入职体检等了解其健康状况,以确保其符合岗位的具体要求。
在劳动合同履行阶段,用人单位可以根据“实施人力资源管理所必需”来实现信息处理目的。例如,用人单位向劳动者支付劳动报酬、缴纳社会保险等履行用人单位法定义务时,需要处理劳动者的银行账号、身份证号、社保账号等个人信息;在工作场所安装指纹或人脸识别考勤,对工作电脑进行软件加密,在公共工作场所安装监控,对工作邮箱进行监控等,目的是用来加强人力资源管理和保护用人单位的知识产权以及商业秘密。需要指出的是,用人单位在实施人力资源管理所必需而处理劳动者个人信息的,虽然无需劳动者同意但应当履行告知劳动者义务,同时不能超越权限侵犯到劳动者的个人隐私。
在劳动关系解除或终止后,用人单位与劳动者基于后劳动合同义务如履行保密协议或竞业限制协议的,“为订立合同所必需”,可以收集并存储劳动者的姓名、身份证号、联系方式、新入职岗位等相关个人信息。
最后,用人单位在处理劳动者个人信息除了需遵循合法、正当和必需原则外,仍应遵循诚信和最小化利用原则,尽可能地缩小信息收集、使用以及储存的范围,当劳动者个人信息不再成为“必需”时,除了法律法规规定外,用人单位应当及时予以删除或销毁。