摘要:劳动者个人信息保护作为未来劳动法典编纂中的一项重要制度,其与劳动法典的契合程度、规范路径与保护机制宜进行体系性思考与设计。劳动法典与个人信息保护法在保护利益、调整关系以及保护机制等方面都具有社会法属性与结构特征。个人信息保护规范进入劳动法典存在劳动私法、劳动公法与集体协议三条规范路径。在实现劳动者个人信息保护上三条路径各有优劣。劳动法典在立法选择上宜采用以劳动公法为主、劳动私法与集体协议为辅,三条规范路径协同互补的保护机制。
关键词:劳动法典;个人信息保护;劳动私法;劳动公法;集体协议
文章来源:《北方法学》2022年第6期 作者:吴文芳
一、个人信息保护法的社会属性与结构
第九届全国人大将社会法界定为“调整劳动关系、社会保障和社会福利关系的法律”,第十届全国人大法律委员会主任委员杨景宇将社会法解释为“规范劳动关系、社会保障、社会福利和特殊群体权益保障方面的法律关系的综合”,可见在立法机关的定义中,劳动法为社会法的重要组成。社会法以社会整体利益为本位,把公法和私法的调整方法结合起来。调整劳动法律关系的劳动法典必然以劳资双方私权为基础,在规制手段中引入公法调整,又因社会法体现团体社会之规则,必然包括以集体劳动关系为规范对象的条款。传统私法、公法与团体社会规则在法律体系中的逻辑不尽相同,故在劳动法典采用体系性模式,以形成前后一致、逻辑完备且融贯的法律表达的难度极大,更大的可能是采用汇编型模式,分别编纂劳动私法和劳动公法,以私法上的自治手段和公法上的管制和规制手段实现保障劳动权的社会目标,同时一定程度上将集体劳动关系规范特别化。2021年8月20日《个人信息保护法》出台,全面系统地对个人信息保护作出专门规范。长期以来,公法与私法学科从各自的学科视角出发探讨个人信息的性质、保护手段、救济方式与法律责任等问题。在经过多学科的长时间论证后,学界基本形成的共识是个人信息保护需公法与私法协同合力。个人信息保护采取的个人正当程序权利与合作治理方法结合的二元治理框架,不同于传统私法与传统公法的简单结合,继续从法律关系的深层结构中挖掘,可以发现个人信息保护法与劳动法典相近,具有很强的社会法属性,其法律规范也呈现出相似的社会法结构。
(一)个人信息的私益及公益双重结构
个人信息的私益属性是个人信息私法保护的起点。《民法典》总则编和人格权编中均遵循隐私权与个人信息分立的格局。《个人信息保护法》中也设置了私法性的条款,如告知同意规则、过错推定侵权责任等保障私法权益实现的规定。个人信息的公共属性或社会属性也早已为学界所熟知。在互联网与信息时代,个人信息的公共性愈发凸显。首先,个人信息虽源于自然人的独特生物属性与个人活动,但其产生过程实际上融合了相当多的公共性因素;其次,个人信息不仅是归属于个人的一种权益,也是一种需要有序流动与聚集叠合而发挥经济社会价值的生产要素;最后,虽然个人信息的首要功能特征在于对特定自然人的识别,但个人信息也承担着如认证、连接、声誉等数字基础设施功能,其公共性对社会治理具有重要意义。因而个人信息并不仅包含个人私益,而是具有私益与公益双重结构。
社会法中的劳动法对劳动者的倾斜保护,亦正是出于对劳动力所兼具的公私双重利益的保护。由于劳动力储存在劳动者体内,在生产中直接面临的生产风险会对个人生命健康产生直接威胁,劳动法对劳动者的保护不仅是为了改善劳动者个人境遇,也是为了维护劳动者所承载的劳动力这一重要生产要素的再生产,保证社会生产活动能顺利继续。个人信息保护法所保护的“信息”与劳动法所保护的“劳动力”均呈现出公私双重利益结构,这为采用社会法结构保护个人信息奠定了现实基础。由于个人信息关系到公益,仅靠私法救济难以抵御风险或实现个人信息的公共利益,但依赖公法手段对个人信息使用行为的干预,又难以实现均衡治理。劳动法典在保障劳动者兼具私益与公益的个人信息时彰显出先天优势。
(二)劳动者个人信息使用社会关系的特殊性
除个人信息本身具有私益与公益双重结构外,个人信息使用中的不平等社会关系是个人信息进入劳动法典的关系基础。就现实中个人信息使用存在的具体场景而言,主要包括两类共同体关系:分别是消费者与经营者之间的关系及劳动者与雇主之间的关系。这两类关系都属于不平等关系,前者之不平等因经营者与消费者之间的信息差异及市场地位而形成,后者之不平等因劳动者对雇主的从属性而产生。尽管两类不平等关系中的“消费者”与“劳动者”均被视为弱势群体,但因两者处于不同类型的共同体关系中,两种社会关系意志不自由的程度悬殊,不平等关系的时空维度有别,与另一方当事人的信赖关系相差甚远。将个人信息保护法中主要解决消费者与经营者之间的一次性不平等关系的制度,比如知情同意原则等,运用于持续不平等的劳动关系中明显不适应。因此,就个人信息保护法的制度设计而言,在针对消费者与劳动者两种不同身份的共同体成员时,为实现信息保护与信息社会化利用之间的平衡,宜分别采取具有针对性的思路。劳动关系中的个人信息保护,在劳动法典立法之际应考虑劳动法的特定手段安排。
(三)个人信息保护法接纳社会法保护机制
私法保护或公法规制在面对持续不平等的社会关系中的个人信息保护时表现出先天劣势,即使由公私法协同规制,仍面临两难处境:强调主体平等、意思自治的私法并不擅长调整实质不平等的主体之间的关系;而以公共监管与执行机制为中心的公法保护机制,也面对着行政执法成本高、无法应对场景化需要、当事人得不到有效救济等问题。《个人信息保护法》第13、70条等多个条款表明,集体保护机制、公益诉讼机制以及公共利益的调节机制已渗入个人信息保护制度的框架之内,说明在以公私法协同保护个人信息的视角外,以一种更为开阔的第三法域——社会法视角调整个人信息使用各方的利益在客观上具有必要性。劳动者个人信息保护作为劳动法典与《个人信息保护法》的交集区域,为二者的直接互动提供了现实基础,同时也伴随了相应的制度需求。凡是与劳动者个人信息保护相关的机制,都可以在社会法的支柱——劳动法典中,寻求基础性制度以帮助劳动者的个人信息保护的实现。
二、个人信息保护规范进入劳动法典的路径
个人信息保护法与劳动法典相似的社会法属性与结构,决定了个人信息保护规范进入劳动法典的路径可按图索骥,具体路径可以归之于劳动私法规范、劳动公法规范与集体保护规范三条路径。
(一)路径一:劳动私法规范
劳动私法对劳动者的个人信息保护遵循一般性私法原则与劳动合同法之原则,由劳动者与雇主双方在劳动合同中协商确定有关劳动者个人信息保护之事宜。《民法典》第1034条及以下条款对个人信息保护的规定以及《个人信息保护法》中的非场景化的一般性私法规定,当然适用于劳动者。有关个人信息保护的私法性规定建立在抽象的平等主体关系之上,为保护个人信息赋予了个人系列“本权权益”的权利,包括以“同意”作为处理个人信息前提的支配性权利以及知情、查阅、复制、转移、更正、补充、删除等个人信息处理过程中的救济性权利。可以看出个人信息保护的私法性规定贯穿了意思自治的基本原则。此外,《民法典》第1035条的合法、正当、必要原则对个人信息处理的自治原则进行了限制。劳动法典的劳动合同法部分可以吸收个人信息保护的一般性私法规定中的自治与限制原则。同时,在解决相关争议的司法实践中,特别应根据自治与限制原则对劳动关系下的信息处理做体系性的审查。
(二)路径二:劳动公法规范
个人信息保护的劳动公法规范路径主要是在劳动基准立法中就劳动者个人信息保护做专门性规定。劳动基准法是为保护劳动者而通过立法设置的强制性规定,包括对工资、工时、劳动条件等关键因素制定统一的最低标准。如今,劳动者个人信息保护不仅直接关乎劳动者数字人权保障,还关系到其他劳动基准能否实现。尤其是在劳动基准法已经纳入第十三届全国人大常委会立法规划的契机下,应抓住时机以基准化的方式划定劳动者信息权益的底线。
(三)路径三:集体协议
集体协议是实现劳动者信息保护的重要途径之一。在德国劳动法理论中,集体协议的当事人——工会具有团体协约自治的能力,其意思表达当然应当被视为不受雇佣关系从属性的干扰,而实现了充分自治性。德国《联邦数据保护法》第26条第4款明确规定,“在集体协议的基础上,允许处理个人数据,包括为雇佣关系目的而处理的雇员的特殊类别的个人数据。”我国《个人信息保护法》第13条明确规定了在同意的合法性来源之外,依法制定的劳动规章制度与依法签订的集体合同都可以成为替代劳动者同意的集体合意形式,而“实施人力资源管理所必需”应认为是对该两种替代方式行使的目的与比例限制。既然《个人信息保护法》第13条已经为集体协议对个人信息保护创设了制度空间,那么我国劳动法典就可以将劳动者个人信息保护列入集体协议的可协商范围,并对相关原则进一步具体化。
三、我国劳动法典的选择
个人信息保护进入劳动法典的三种路径各具优势与缺陷,三种路径选择比较而言,劳动私法有利于个人信息的流通并提升信息的利用效率,集体协议是实现劳动者个人信息保护的理想状态,劳动基准法对劳动者个人信息具有更佳的保障效果。
着眼于私法,通过劳动合同的解释,从私法角度体系性运用个人信息保护的基本原则,以协商同意为处理前提,以仲裁诉讼为事后维权手段的个人信息保护机制有利于个人信息的流转与利用,但对劳动者个人信息保护效果不明显。现实中劳动者对劳动合同中个人信息处理条款呈现普遍同意的现象,然而普遍同意并不完全等同于劳动者意思自治的结果。首先,劳动者可能欠缺个人信息权益的保护意识或基于对雇主的信赖而对个人信息处理条款“盲目同意”。其次,劳动者对雇主的从属性使双方处于持续不平等的状态,劳动者在面对雇主时通常不完全具备意思表示之自由,劳动者对劳动合同中的条款只能“被迫同意”。最后,劳动者在“同意”时通常也无法真正预料其个人信息处理可能产生的所有风险与全部后果,只能在面临需作出个人信息处理之条款是否同意之决定时“无奈同意”。当劳动者个人信息在处理中受到损害,劳动者缺乏主动维权的能力、精力和动力,同时却直接面对着不听从用人单位命令就会被处罚、甚至解雇的风险,仲裁或诉讼中还存在着举证困难、赔偿有限等种种障碍。因此若单纯依靠劳动私法,可能形成如美国法下劳动者不得不同意的局面,这无疑有利于个人信息的流动,提升个人信息利用效率,却不利于劳动者个人信息的保护。
集体协议机制内化于个人信息保护具有多方面优势。首先,集体可以弥补劳动者个体意思自治能力的欠缺,能以更真实意思与雇主达成更有利于集体内部成员利益之合意。其次,集体协议可以为信息流通节约商谈成本。当劳资双方在平等性关系基础上认可个人信息使用的合法性,企业就不用再以高成本方式取得员工的个别同意来实现信息的流通与利用。最后,集体协议符合个人信息处理的场景化需要。集体可就共同体内劳动者的个人信息保护事宜与雇主达成特定化约定。从而在保护个人信息自决权与个人信息利用之间实现动态的、符合双方主体利益的平衡。从上述多方面优势可以认为集体协议是劳动者个人信息保护的理想路径。然而,这种方式在我国集体劳动关系的现实条件下,暂时难以唱主角。一方面,我国缺乏跨区域的行业工会组织,而区域性基层工会组织下的工会实力有限,难以帮助劳动者摆脱不利地位,对中小企业工会而言更是如此。另一方面,在集体协议缺乏现实基础的情况下,《个人信息保护法》第13条对集体合同取得劳动者个人信息处理权限之承认,显然在劳动者个人信息保护与雇主管理权的天平上向后者过分倾斜,如不加限制,不排除未来雇主对劳动者个人信息滥用的危险。因此,集体协议在现有组织条件与制度框架下难以达到理论上的理想效果,仍需劳动法典对劳动者个人信息集体保护机制做出符合规范目的的具体规定。
劳动公法是目前对劳动者个人信息保障效果最好、效率最高的途径。可通过出台不同场景下安全生产标准的个人信息保护标准规范性文件,类似于网信办目前的信息处理标准,对劳动者个人信息处理划定基准线,限定劳动关系中对劳动者个人信息事宜的协商空间,减轻劳动者被迫同意的压力。包括对劳动者个人信息的处理原则、处理行为边界、劳动基准监督的执法主体、执法行为等作出具体统一的规定。此外,立法者还可根据信息利用与保护的实际情况与现实需要,调节适当的技术性标准。对于违反基准的行为,可以采用公私协同的救济方式,由主管行政部门对违法行为监督、惩罚的同时,也为劳动者个人保留通过劳动仲裁、诉讼维权的途径。
综上,对于这三种路径,劳动法典的选择应综合不同手段,使三条路径协同互补,并将价值目标进行综合协调来实现规范目的。结合我国现实,笔者建议建构以劳动公法手段为主,辅之以劳动私法手段与集体保护的机制,从而实现个人信息保护与利用的平衡。