职场智能监控技术使劳动者个人信息权益保护遭受到前所未有的挑战,算法技术使劳动从属性产生的不平等结果加剧,如何把握用人单位和劳动者管理利益和个人信息权益价值对立冲突的平衡成为关键问题。本文将从用人单位使用智能监控的正当性、保护劳动者个人信息的价值及重新阐释个人信息保护法中保护个人信息的基本原则等角度,提出企业合规的方案。一、智能监控下产生的问题职场智能监控即用人单位通过先进技术实时监控劳动者的工作状态及工作表现,从而实现高效的职场管理目的。常见的职场监控手段包括在工作场地安装监控摄像头、上下班打卡器、手机定位等方式,而一些特别的监控手段还包括为员工配备智能坐垫、智能手环,或者安装电脑端、手机端监控软件。智能监控的特点就是自动收集+处理信息,甚至有的系统会在自动演算得出结论的基础上,做出自动化决策。
这种技术正在侵犯劳动者的私人生活,这种侵犯表现为以下几个方面:
其一,智能监控可能以劳动者不知情的形式收集个人相关信息,导致劳动者的隐私被窥探,例如在不告知劳动者的情况下就在其使用的电脑上安装智能监控软件;
其二,智能监控技术会在算法的处理与推演下会挖掘更深层的信息,进一步掌握劳动者的私密信息,例如智能手环和座垫通过收集压力、心率、呼吸、坐姿等数据,判断员工是否在工位上,工作时是否专注,甚至能够判断员工当下的情绪状态,而这些信息可能会收集、挖掘信息主体的健康状况、生物识别等敏感个人信息;
其三,智能监控技术具有持续性,模糊了工作和私人时间和场合,对劳动者个人信息的攫取已经超过了时间和场合应有的限制;其四,职能监控的自动决策性会替代管理者做决定,一步步损害劳动者的权益,例如外卖平台通过算法规划出最短的路线,并根据外卖员的送餐速度不断“精确化”送餐时间,导致外卖员为了在规定时限内送到指定地点不得不选择违背交通规则,提高了交通事故发生的隐患。
二、职场智能监控下用人单位管理与劳动者个人信息保护的权源
(一)用人单位行使管理权的正当性劳动者与用人单位建立劳动关系便意味着其应当接受用人单位的管理,需要将自己的一部分权利让渡给单位。《中华人民共和国劳动合同法》(以下简称“《劳动合同法》”)第8条规定了用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明;《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)第13条第2款中“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”也对用人单位收集劳动者个人信息行为正当性进行了确认。一般认为,用人单位行使管理权,在职场中设置监控系统主要有以下几个目的:一是维护本单位的财产安全。尤其是一些商业秘密及其他知识产权对单位的价值非同寻常,用人单位往往需要借助智能化监控手段保护其无形资产。二是保护劳动者的安全与健康。三是维护职场秩序,保证员工遵守单位的规章制度,防止员工懈怠工作。这种智能监控既能对劳动者产生威慑作用,又能在事后为单位提供关键线索与证据,并成为单位惩罚或者辞退员工合法性的有力证明。
(二)劳动者保护个人信息权益的必要性个人信息保护的本质是人作为主体所享有的人格尊严,劳动者即便受到用人单位的管理,也应当得到单位的尊重,维持其作为人应当具有的体面。若单位在管理目的所需的必要限度之外仍大肆攫取劳动者的个人信息,将严重侵犯劳动者的私人空间与隐私利益,损害其人格尊严。若不重视劳动者的个人信息保护问题,则一方面会纵容单位利用其强势地位进一步迫使劳动者同意单位不合理的信息收集与利用行为,加剧劳动关系中的不平等性;另一方面会侵犯劳动者的其他人格权益,例如言论自由权,若放任单位对劳动者在社交媒体的言论进行不当监控并能够以此作出不利于劳动者的决定,会严重限制劳动者的言论自由。除此之外,劳动者在个人信息权益受损后寻求司法救济时也会因缺乏有针对性的法律依据而难以得到有力的事后补救与赔偿方案,导致该群体的利益被进一步侵蚀。且用人单位作为大规模收集和处理劳动者个人信息的主体,也应当受到《个人信息保护法》的规制。
三、职场智能监控收集与处理劳动者个人信息的限制《个人信息保护法》信息处理原则中第5条规定了处理信息合法、正当、必要和诚信原则;第6条规定了目的明确、合理与相关原则,以及重要的比例原则;第7条规定了信息处理规则、目的、方式和范围公开透明原则;第8条规定了信息准确、完整原则;第9条规定了信息安全原则;第14条规定了同意原则;第17条规定了告知原则。从这几条原则中可以分别总结归纳出以下几个原则:
(一)目的正当原则用人单位收集劳动者个人信息的目的应当仅限于职场管理目的,不能出于其他目的收集与处理劳动者的个人信息。这里的目的正当原则包含目的明确、目的合理与目的相关三个层面。目的明确即用人单位收集信息的目的是具体的而非概括的,例如用人单位在办公场所设置摄像头的目的是“防止员工偷盗、破坏属于公司的财物”,那么其不能以该目的为由在员工衣帽间也安装摄像头;目的合理要结合必要性与所欲实现的价值利益来判断,例如单位在员工使用的办公电脑中安装监视软件监督劳动者是否在工作时间完成工作任务,则这种监视程度应当止步于分辨劳动者是否正在使用办公软件或其他娱乐软件,而不能进一步监视劳动者在其微信、网上银行等具有私人属性的软件中的聊天记录、金融账户处理等私密信息;目的相关则要求用人单位收集与处理信息的目的与劳动行为强相关,否则在没有明确告知劳动者相关行为的情况下不能进行收集。
(二)比例原则比例原则即用人单位应当用侵犯劳动者个人信息程度最轻的手段实现单位的用人管理目的,只要用人单位的目的达到了,就不能再收集更多的信息。单位是否履行这一原则可以通过以下几个维度进行比较:一是工作时间上,单位应当只在工作时间中收集个人信息,不得在员工下班后仍然收集其个人信息;二是工作场所中,除有特别理由,单位不得在非工作场合中监视员工;三是区分一般个人信息与敏感个人信息的范围,我国《个人信息保护法》第28条规定对敏感个人信息作出了明确规定。例如,单位通过人脸、指纹识别完成员工上下班打卡、进出工作场所已经成为单位收集其相关生物识别信息的合理理由,但生物识别信息不仅限于此,单位若不存在其他特别理由,原则上是不能继续收集其他生物识别信息的;四是保存期限上,《个人信息保护法》第19条就规定单位对监控收集的劳动者个人信息的保存期限应当为实现处理目的所必要的最短时间。
(三)公开透明原则公开透明原则要求用人单位将信息收集的范围、收集目的、信息处理的规则与方式等透明化,明确告知劳动者。例如有些智能监控软件在算法的加持下,综合其记录的记录员工待在工位的时间、员工上下班打卡的时刻、员工在工作时间内浏览与工作无关的软件或网站的时间等,通过自动处理,得出员工表现优良差情况的结论,并据此自动得到是否对员工做出奖励性或惩罚性后果的结论,这一整个系统实际上直接涉及劳动者的切身利益,因此应当将监控系统收集了哪些信息、如何处理这些信息以及信息推演的规则和可能得出的结论等集过程与结果为一体的所有信息以一般人能够理解的方式明确告知和解释给劳动者。
(四)同意原则同意原则即用人单位收集和处理个人信息应当取得劳动者的明确同意。首先应当对用人单位是否需要得到劳动者同意才能收集的信息范围进行区分。劳动者的基本个人信息,例如姓名、年龄、联系方式、住址、学历背景等与劳动合同直接相关的基本情况属于《个人信息保护法》第13条第2款和《劳动合同法》第8条后半条规定中劳动者应当如实说明的信息;此外,对于其他与劳动行为没有强相关性、对实现单位管理权和提高管理效率的意义并不显著的个人信息,若单位进行收集和处理时,应当明确取得劳动者的同意。这种同意应当是自愿的、书面的、特定的且明示的同意,而非概括性的、口头的、默示的同意。
(五)信息安全原则用人单位作为信息处理者,有义务对其收集到的个人信息采取相应的保护措施,防止其被盗取或者泄露。用人单位实施管理权,既包含相关的权能,也包含保护劳动者的职责。如同保护劳动者人参与财产安全一样,劳动者的个人信息安全同样不容忽视,尤其是对于用人单位收集和处理的个人信息涉及敏感个人信息,一旦泄露会严重损害其人格尊严或者财产安全,单位更应当采取信息数据存储与防盗技术措施,确保劳动者的个人信息有效得到保护,防止受到外部的侵入。
四、企业保护员工个人信息合规路径为了修正劳动关系不平等性、算法技术的信息不对称性导致的职场智能监控系统侵犯劳动者个人信息权益的结果,单位应当采取有效的措施和手段自我规制相关监控行为,保障劳动者的个人信息。
(一)履行民主程序《劳动合同法》第4条规定了用人单位制定涉及劳动者切身利益的规章制度时应当经过民主程序。现有的职能监控技术已经可以做到代替人力自动做出涉及劳动者劳动权利义务的决策,根据该条规定,单位也应当在设置相关智能监控手段之前通过规章制度的形式将智能监控的使用目的、使用范围、使用规则等内容确定下来,并通过工会或职工代表审查。此外,用人单位应当在劳动者入职前明确告知其使用智能监控技术对劳动者的工作表现进行监督一系列具体事项,例如通过员工培训、在员工手册中通过加宽加粗字体等手段提示劳动者相关具体内容明确告知,并且获得劳动者的书面签字来获取劳动者的同意。若用人单位因特殊原因需要额外获取劳动者的其他个人信息或者改变、增加监控的手段,则应当重新修改相关规章制度,或者重新获取员工的同意。
(二)发挥第三方力量,提升劳动者协商能力既然劳动者个人的力量难以与用人单位抗衡,无法为自己争取话语权,那么可以借助工会等第三方组织的力量,提升自己的平等协商能力。《劳动合同法》第6条规定,工会应当帮助、指导劳动者与用人单位依法订立和履行劳动合同,并与用人单位建立集体协商机制,维护劳动者的合法权益。《个人信息保护法》第13条也规定用人单位应当根据依法制定的规章制度与依法签订的集体合同的规定处理个人信息。因此工会可以通过带头与用人单位协商确定集体合同相关规则的方式,确保劳动者的个人信息保护有规则可依,来修正劳动者的协商不平等性。
(三)发挥行业自律,有针对性地建立个人信息保护制度各个行业都存在不同的特性,例如餐饮服务行业对员工的身体健康状况要求较高,单位更多需要掌握其健康与疾病相关的个人信息;交通运输行业对运输人员的行踪及运输工具的运输状态进行实时追踪,需要掌握其位置、运输工具内环境、司机身体状况等信息;网络安全及通信技术行业、电商行业及其他高精尖产品制造行业对掌握和控制商业秘密及知识产权等无形财产的要求更高,需要掌握员工携带、传输、获取相关数据过程中的每一步操作,因此对获取哪些范围的个人信息、如何处理信息等要求是不同的,且并非所有从事相关行业的员工都会被要求收集相关的个人信息,越触及行业核心和主要领域的员工可能约会被要求披露更多的信息,而这一过程很可能会触及其员工的敏感个人信息;此外,收集和处理的个人信息越多越敏感,越要采取安全性能更高的信息保护措施和技术,这些不同的要求体现在不同的行业中差别各异。因此可以由行业内的管理协会或者龙头企业牵头,协同劳动行政管理部门和其他职能部门针对本行业具体情况制定具体的劳动者个人信息保护操作守则,进行不同行业的规则构建。
五、结语面对职场智能监控技术带来的劳动者个人信息侵害这一巨大威胁,必须从多方面进行矫正,有效规制相关技术在人力资源管理中的运用,才能保障劳动者的个人信息和隐私不受干扰。同时,必须要厘清用人单位在职场智能监控中的限度,有效解决单位利益最大化与劳动者人格尊严保护这一矛盾。职场智能监控这一技术应当止步于帮助用人单位行使管理权,不能超过这一限度,不合理地窥探劳动者的私人空间,最终将劳动者变成了数字化的工具。