一、问题的提出
为了能够有效协调个人信息权益保护与合理利用个人信息之间的关系,我国《个人信息保护法》在坚持以同意作为个人信息处理核心规则的同时,于该法第13条第1款第2—6项规定了处理者无需取得个人同意即可处理个人信息的八种法律根据。在这些法律根据中,除了第2项的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”(以下简称“实施人力资源管理所必需”)之外,其他的法律根据基本上能够在域外个人数据(或个人信息)保护立法中找到对应的规定。人力资源管理的范围非常广泛,包括就业招聘、员工培训、监督管理、绩效考核、竞业禁止等各方面内容,所涉及个人信息处理的情形也复杂多样。显然,用人单位在人力资管理活动中从事个人信息处理活动并非都需以实施人力资源管理所必需作为唯一的法律根据。公司为了确保员工遵守工作纪律,在工厂、车间内安装摄像头监控,并在以违反劳动纪律为由解雇员工时提供该监控视频给法院或仲裁机构作为证据,此种监控行为对个人信息的处理可能属于实施人力资源管理所必需。但是,企业在招聘中要求应聘者提供工作履历、教育背景、医疗健康、有无犯罪记录等个人信息时,其法律根据可能是告知并取得求职者的同意,也可能是为了订立个人作为一方当事人的劳动合同所必需,还可能是为履行法定义务所必需。因此,准确地界定实施人力资源管理所必需的规范目的、适用范围、要件的判断标准,并将它与个人信息处理的其他法律根据合理地界分,对于用人单位有效地实现人力资源管理的目标,保护员工的个人权益,都非常重要。
目前,我国劳动法学界已经开始关注劳动场景中的个人信息保护问题。但是,对于《个人信息保护法》第13条第1款第2项中实施人力资源管理所必需的个人信息处理活动的专门研究还较少。《个人信息保护法》颁布后,相关注释书中的讨论也都非常简略。有鉴于此,本文拟对实施人力资源管理所必需的个人信息处理活动予以系统研究,主要讨论以下问题:首先,为什么立法机关要在《个人信息保护法》第13条第1款第2项中专门将实施人力资源管理所必需作为一项处理个人信息的法律根据?其次,如何理解该项中的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”的涵义?再次,怎样判断处理者的个人信息处理活动就是为了实施人力资源管理所“必需”?最后,实施人力资管理所必需与其他个人信息处理法律根据,尤其是与为履行个人作为一方当事人的合同所必需、为履行法定义务所必需及国外法中为了处理者的合法利益所必需之间的关系如何。
二、实施人力资源管理所必需的规范目的
在我国起草《个人信息保护法》的过程中,实施人力资源管理所必需这一法律根据起初并无规定,而是在《个人信息保护法》的草案被全国人大常委会第二次审议之后,才被增加进去。无论是2020年1月立法机关面向社会公开征求意见的《个人信息保护法草案(征求意见稿)》的第15条,还是2020年9月29日《个人信息保护法草案(一审稿)》的第13条,抑或2021年4月25日《个人信息保护法草案(二审稿)》的第13条,里面都没有关于实施人力资源管理所必需作为个人信息处理的法律根据的规定。但是,由于在第十三届全国人民代表大会常务委员会第二十八次会议审议《个人信息保护法草案(二审稿)》时,“有的常委委员和企业、专家提出,现实中有关企业、单位在人力资源管理工作中需要处理个人信息,建议在草案中将此类情况作为允许收集和处理个人信息的情形”,故此,“宪法和法律委员会经研究,建议采纳上述意见,在草案二次审议稿第十三条中增加相应规定”。
负责《个人信息保护法》具体起草工作,时任全国人大常委会法制工作委员会经济法室副主任的杨合庆主编的《中华人民共和国个人信息保护法释义》在解释该规定时,这样写到:“个人同意通常不能作为人力资源管理情形下处理个人信息的充分合法依据。但是,用人单位与劳动者在劳动合同签订、工作考核、离职后的竞业限制管理等场景中处理劳动者个人信息有其合理性和必要性,在一些情形下也很难获得个人的同意。因此,本法将实施人力资源管理所必需作为处理个人信息的一项合法性基础。”从这一解释可知,立法机关规定实施人力资管理所必需的主要目的是为了便于企业、单位的经营管理活动。因为企业、单位在进行人力资源管理时经常要处理个人信息,但又无法都按照告知同意规则去取得劳动者的同意。如果不能取得个人同意,企业、单位就不能处理个人信息,用人单位就无法进行正常的活动。因此,《个人信息保护法》第13条第1款第2项规定实施人力资源管理所必需,旨在促进个人信息的合理利用,为便于企业、单位的管理活动而对个人就其个人信息处理的决定权作出了适当的限制。不仅如此,《个人信息保护法》的这一规定也有利于促进对外开放,既能便于我国企业“出海”,更好地参与全球经济贸易活动,也有利于外国公司企业在我国的投资经营活动。随着我国经济的高速发展,我国企业在国外越来越多地投资办厂,设立公司。根据商务部的统计,2024年我国对外非金融类直接投资1438.5亿美元,较上年增长10.5%。从行业看,资金主要流向租赁和商务服务业、制造业、批发零售业。在我国企业积极“出海”的大背景下,企业内部实施人力资源管理而处理个人信息时,还会大量涉及个人信息的跨境流动。这种情况下,如果都要逐一取得个人的同意,必然影响我国企业的对外投资经营。同样,外国公司企业来中国投资办厂,从事经营活动时,其国外的企业集团本部进行人力资源管理活动,也必然要处理我国境内的个人信息,如收集、汇总在我国境内投资设立的公司的人员的个人信息等。如果不能以实施人力资源管理所必需作为个人信息处理的法律根据,外国公司企业的正常经营活动也会受到影响。正是由于《个人信息保护法》第13条第1款第2项明确将实施人力资源管理所必需作为一项独立的法律根据,2024年3月22日国家互联网信息办公室颁布的《促进和规范数据跨境流动规定》才能够据此在该规定的第5条第1款第2项中,将数据处理者“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息”作为免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形之一。这也间接说明了《个人信息保护法》规定的实施人力资源管理所必需的规范目的。
三、实施人力资源管理所必需的适用范围
人力资源管理是管理学的概念。管理学上将“人力资源”界定为“人所具有的对价值创造起贡献作用,并且能够被组织所利用的体力和脑力的综合”,而人力资源管理是指组织通过各种政策、制度和管理实践,以吸引、保留、激励和开发员工,调动员工工作积极性,充分发挥员工潜能,进而促进组织目标实现的管理活动的综合,具体包括人力资源规划、职位分析和胜任素质模型、员工招聘、绩效管理、薪酬管理、培训与开发、职业生涯规划和管理、员工关系管理等方面。在管理学中,人力资源管理是任何拥有人力资源的组织,无论是企业、事业单位,还是国家机关、社会团体都必须从事的活动,而通过人力资源管理所要激发潜能和调动工作积极性的员工,既包括公司企业等私营部门的员工,也包括政府机关的公务员、公办学校的教师等人员。然而,从《个人信息保护法》第13条第1款第2项来看,人力资源管理应当仅限于与劳动关系有关的人力资源管理活动,并且是按照依法制定的劳动规章制度和依法签订的集体合同实施的人力资源管理活动。因此,需要研究的是,立法者为何作此限制?在不属于劳动关系的人力资源管理活动中倘要处理个人信息,其法律根据何在?同时,法律上要求必须按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理的目的何在?
(一)为何仅限于与劳动关系相关的人力资源管理活动
如前所述,《个人信息保护法(二次审议稿)》尚未将实施人力资源管理所必需作为个人信息处理的法律根据,在二次审议稿之后,立法机关吸收了一些常委和专家提出的意见,于2021年7月28日形成的《个人信息保护法草案修改稿》第13条第1款第2项中增加了“人力资源管理所必需”。到了2021年8月17日,全国人大常委会对《个人信息保护法草案》进行第三次审议后,上述“人力资源管理所必需”又被修改为“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。
《个人信息保护法》第13条第1款第2项作出的这一限制意味着:只有与劳动关系有关的人力资源管理活动,才能适用该项规定。也就是说,倘若处理者与个人之间并非劳动关系,即便处理者客观上是为了实施人力资源管理而处理个人信息,也不能以该项规定作为法律根据。立法者做这种限制是考虑到,虽然从管理学的角度,人力资源管理的范围包括了所有用人关系的情形,但不属于劳动关系的用人关系往往具有独特性,单位与个人之间的权利、义务、责任要由法律予以特别的规范调整。
前述独特的用人关系就是指国家机关与公务员(以及参公单位与参公人员)之间的关系。一方面,我国《宪法》《地方各级人民代表大会和地方各级人民政府组织法》《全国人民代表大会和地方各级人民代表大会代表法》《公务员法》《监察法》《法官法》《检察官法》《人民警察法》等法律中对各级各类公务员的权利、义务、职责等作出了相应的规定。这些规定与《个人信息保护法》第13条第1款第7项“法律、行政法规规定的其他情形”相结合,构成独立的处理个人信息的法律根据。另一方面,国家机关处理公务员(或其他个人)的个人信息的活动多是履行法定职责所必需。《个人信息保护法》第二章第三节专门就“国家机关处理个人信息”的活动作出了特别规定。其中,第34条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”此外,依据《个人信息保护法》第33条,国家机关处理个人信息的活动首先应当适用该法第二章第三节,该节没有特别规定的,则适用《个人信息保护法》的其他规定。因此,国家机关处理公务员的个人信息无需如劳动法上的用人单位那样必须依据劳动规章制度和集体合同,而是先要依据特别法的规定;特别法没有规定时,适用《个人信息保护法》中关于国家机关处理个人信息的特别规定;《个人信息保护法》没有特别规定的,适用该法的一般规定。
这一点上,我国法与域外法有所不同。例如,在欧盟发生的“黑森州文化部教师中央委员会诉黑森州文化部长案”中,涉及到了《通用数据保护条例》第88条第1款对于成员国提出的、通过法律或集体协议规定更为具体的细则,以确保雇佣时对雇员的个人数据处理有关的要求能否适用于公务员的问题。欧盟法院(CJEU)于2023年3月30日对此案作出的判决认为:不能将非劳动合同关系的公共部门的雇员排除在该款适用范围之外。无论个人数据主体与其雇主之间的法律关系是公法关系还是私法关系,是劳动合同关系还是其他雇佣关系,《通用数据保护条例》第88条第1款所列出的工作管理、规划和组织、工作场所的平等和多样性、工作健康和安全、雇主或客户财产保护、行使和享受与就业相关的个人或集体权利和福利以及终止雇佣关系等目的,同样地适用于公共和私营部门的就业。
需要注意的是,我国还存在一类特殊的用人单位——事业单位。依据《劳动合同法》第96条的规定,“事业单位与实行聘用制的工作人员订立、履行、变更、解除或者终止劳动合同,法律、行政法规或者国务院另有规定的,依照其规定;未作规定的,依照本法有关规定执行”。这就是说,对于事业单位与聘用制人员之间的劳动合同关系,首先应当适用法律、行政法规或者国务院的相应规定。《事业单位人事管理条例》规定,事业单位与其聘用人员之间的法律关系属于聘用合同关系。从劳动法的角度来说,立法机关当时作此规定主要是考虑到我国的事业单位正处于改革过程中,其用人制度的情况比较复杂,事业单位的聘用合同具有一定的特殊性与复杂性,所以,在将事业单位实行聘用制工作人员纳入《劳动法》《劳动合同法》的调整范围时,需要更加慎重。但是,从个人信息保护法的层面来说,区分聘用关系还是劳动关系的意义不大,因此,在事业单位实施人力资源管理而处理聘用制工作人员的个人信息时,仍然可以适用《个人信息保护法》第13条第1款第2项的规定,即以实施人力资源管理所必需作为法律根据。
(二)与劳动关系相关的人力资源管理活动的界定
只有与劳动关系相关的人力资源管理才能以实施人力资源管理所必需作为个人信息处理的法律根据,这就是说,只有当单位与员工之间准备产生、已经产生或曾经存在的法律关系属于我国《劳动法》《劳动合同法》调整的劳动关系时,用人单位实施的人力资源管理活动才属于《个人信息保护法》第13条第1款第2项中的人力资源管理活动。在以实施人力资源管理所必需作为法律根据的个人信息处理活动中,当事人分别为:劳动法上的用人单位与劳动者,即个人信息的处理者是用人单位,个人信息主体是劳动者,他们之间属于劳动关系。《劳动法》第2条规定:“在中华人民共和国境内的企业、个体经济组织(以下统称用人单位)和与之形成劳动关系的劳动者,适用本法。国家机关、事业组织、社会团体和与之建立劳动合同关系的劳动者,依照本法执行。”用人单位与其工作人员之间的劳动关系既可以是长期的,也可以是短期的或一次性的;既可以是有偿的,也可以是无偿的。只要劳动者与用人单位之间实际存在一方提供劳动、一方用工的关系,就建立了劳动关系,该劳动者即属于用人单位的工作人员(《劳动合同法》第7条第1句)。至于他们之间是否订立书面劳动合同,无关紧要。《劳动法》《劳动合同法》等法律都没有对何为“劳动关系”作出明确的界定。而随着数字经济的发展,网络平台用工等新型用人形态的出现使得怎样界定劳动关系,存在更大的争议。考虑到本文的研究范围,笔者赞同通说关于劳动关系的本质特征在于从属性的观点,并据此认定劳动关系。具体来说,劳动关系意味着,用人单位对于劳动者拥有表现为指示、监督和惩戒等权力的控制力,而劳动者对于用人单位具有人格上、经济上和组织上的从属性。
欧盟《通用数据保护条例》第88条第1款列举了在雇佣关系中处理个人数据的各种典型目的,如以招聘和履行雇佣合同为目的,包括法律或集体协议规定的义务的解除,工作的管理、规划与组织,工作场所中的平等与多元化,工作时的健康和安全,保护雇主或客户财产,单独或集体行使和享受有关雇佣的权利和利益,以及为了终止雇佣关系的目的。欧盟第29条工作组认为,单位处理员工个人数据的具体场景至少有以下九类:①招聘过程中的处理操作;②就业筛选中产生的处理操作;③工作场所使用信息和通信监控技术(ICT)产生的处理操作;④工作场所外使用ICT监控技术产生的处理操作;⑤与时间和出勤有关的处理操作;⑥使用视频监控系统的处理操作;⑦涉及员工车辆使用的处理操作;⑧涉及向第三方披露员工数据的处理操作;⑨涉及人力资源和其他员工数据的国际转移的处理操作。实际上,与劳动关系相关的人力资源管理活动的范围很广,包括从劳动合同的磋商订立,到劳动合同的履行,再到劳动合同的终止消灭的所有人力资源管理活动,如新员工的招聘与培训,工作规划与安排,工作活动的开展、管理与监督,员工安全保护,工作业绩的评价考核,薪资升降,员工离职后的竞业限制管理等。这些人力资源管理活动经常涉及到对劳动者的个人信息的处理。例如,公司招聘新员工时需要收集分析应聘者的个人信息,甚至还会利用个人信息进行自动化决策,或者通过网络查询检索应聘者的个人信息;劳动者入职后,办理工作证件、社会保险、支付薪水、提供福利、经费报销、出差开会、绩效考评、业务培训等,都需要收集使用劳动者的姓名、身份证号、家庭住址、电话号码、紧急联系人信息甚至指纹、人脸等生物识别信息。此外,工作场所使用信息和通信监控技术,员工出差时使用其个人信息预订机票和酒店,集团内部的员工信息的转移,员工离职时继续保存员工档案信息等也属于个人信息的处理。
(三)如何理解依法制定的劳动规章制度和依法签订的集体合同
劳动关系的本质在于从属性,用人单位对于劳动者享有控制力,有权为生产经营活动而配置并使用人力资源,在劳动的过程中对劳动者进行指示、监督、管理,并在劳动者违纪时予以相应的处罚,否则,用人单位就没有自主经营权,无法从事正常的生产经营活动。用人单位对劳动者行使控制力就包括了实施人力资源管理所必需的个人信息处理活动。然而,这种个人信息处理只有在其本身是“合法”的活动之后,才可能被认定为“必需”。从《个人信息保护法》第13条第1款第2项的要求可知,即便用人单位是按照劳动规章制度或者集体合同实施人力资源管理,但如果劳动规章制度和集体合同并非依法制定或依法签订,也不能据此实施人力资源管理,更不能以实施人力资源管理所必需作为处理个人信息的法律根据。这是因为,《劳动法》《劳动合同法》《工会法》《劳动合同法实施条例》等法律法规规章对于劳动规章制度与集体合同的内容与制定或签订的程序作出了明确的规定,只有依法制定的劳动规章制度和依法签订的集体合同才能对劳动者产生法律效力,用人单位才能据此实施人力资源管理活动。如果用人单位依据并非依法制定的劳动规章制度或并非依法签订的集体合同而实施人力资源管理活动,由于该管理活动本身就非法,自然也不可能以实施人力资源管理所必需作为个人信息处理的法律根据。
劳动规章制度是用人单位制定的用于组织劳动过程,进行劳动管理的相关规则与制度的总称,涉及到用人单位经营管理的方方面面,可以看作是企业内部的“法律”。集体合同则是指工会或职工代表代表全体职工与用人单位依据法律法规的规定,就劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等事项进行平等协商而签订的协议。《个人信息保护法》第13条第1款第2项规定的“依法制定的劳动规章制度和依法签订的集体合同”包含两层意思:其一,劳动规章制度与集体合同的制定或签订的程序必须合法;其二,劳动规章制度与集体合同中规定或约定的个人信息处理活动必须合法。
1.劳动规章制度和集体合同的制定或签订的程序合法
依据《劳动法》《劳动合同法》的规定,用人单位在制定、修改或决定诸如劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利、职工培训、劳动纪律以及劳动定额管理等直接涉及劳动者切身利益的规章制度或者重大事项时,应当经过职工代表大会或者全体职工的讨论,提出方案和意见,与工会或者职工代表平等协商确定。如果在规章制度和重大事项决定实施的过程中,工会或者职工认为不适当的,有权向用人单位提出,并通过协商予以修改完善。用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定加以公示或者告知劳动者。集体合同应由工会代表职工与企业签订,没有建立工会的企业,则由职工推举的代表与企业签订。如果劳动规章制度的制定和集体合同的签订不符合上述法律规定的程序,那么,它们就不属于依法制定的劳动规章制度和依法签订的集体合同,用人单位不能按照它们实施人力资源管理,更不能以实施人力资源管理所必需作为个人信息处理的法律根据。例如,实践中,外国公司在我国境内设立的分支机构或者在我国投资设立的子公司,都是适用其总公司或母公司制订的各种规章制度。然而,如果这些规章制度没有按照我国的《劳动法》《劳动合同法》所规定的程序经过职工代表大会或全体职工讨论,则不能在我国境内产生法律效力,也不符合《个人信息保护法》第13条第1款第2项的要求。用人单位以这种规章制度作为依据而实施人力资源管理并处理个人信息的,该活动是非法的个人信息处理活动。在我国发生的“闵某与美驰咨询(北京)有限公司网络侵权责任纠纷案”就涉及这样的问题。在该案的判决中,二审法院正确地指出:跨国公司将其“海外人力资源管理政策引入中国,应当遵循中国法律的规定,按照个人信息保护法、劳动法等相关法律,进行充分告知,征求意见”,由于被告公司没有履行此等法律要求的程序,故此,法院不认可被告公司可以援引其母公司制订的劳动规章制度作为实施人力资源管理的依据,进而处理原告的个人信息。
2.劳动规章制度或集体合同中关于个人信息处理的规定或约定合法
用人单位按照依法制订的劳动规章制度和依法签订的集体合同实施人力资源管理、处理劳动者个人信息还意味着:劳动规章制度或集体合同中已对用人单位处理劳动者的个人信息的有关事项作出了相应的规定或者约定。例如,公司在规章制度中规定,为保护公司的商业秘密和数据安全,员工利用办公电脑与办公电话进行信息传递与通讯时会被公司的安全软件加以监控。再如,公司配备给员工的工作手机,员工也将其作为日常社会交往的手机使用,存有大量个人信息,公司在规章制度中规定,在遇有反贿赂等纪检与合规需要时,公司有权要求员工上交该工作手机用于检查其中的微信、短信等通信内容。如果在劳动规章制度或集体合同中,各方并未就处理劳动者个人信息的活动作出规定或加以约定,用人单位不得以实施人力资源管理所必需作为处理个人信息的法律根据。这是因为,我国《个人信息保护法》第17条明确要求个人信息处理者在处理个人信息前应以法定的方式向个人告知相关事项,或者通过制定个人信息规则的方式告知该等事项。诚然,为实施人力资源管理活动所必需处理个人信息,无需取得个人的同意。但是,并未因此就免除处理者的告知义务(除非其具备《个人信息保护法》第18、35条所规定的免除告知义务的情形)。因此,劳动规章制度或集体合同中根本没有就处理劳动者的个人信息作出规定或约定,实际上就等于用人单位没有依法履行告知义务,其当然不得以实施人力资源管理所必需作为个人信息处理的法律根据。
同时,劳动规章制度和集体合同就处理劳动者的个人信息活动作出的规定或约定本身也应当是合法的。如果这些规定或约定存在《个人信息保护法》《民法典》等法律规定的无效情形,如违反法律、行政法规的强制性规定,违背公序良俗,或者排除劳动者的主要权利等,即便劳动规章制度和集体合同的制定或签订的程序本身是合法的,该等个人信息处理的规定和约定也是无效的。例如,经职工代表大会讨论制定的A公司规章制度中规定,所有员工一经签订劳动合同,就视为在工作期间授权同意A公司对员工的全部个人信息予以处理,并且该同意是不可撤销的,公司还能自行决定是否将个人信息提供给其他处理者。显然,这种规定就违反了《个人信息保护法》第14、15条的规定,是无效的规定。再如,实践中一些用人单位出于防止内部交易的考虑,在劳动规章制度中不仅要求劳动者提供相应的个人信息,还要求劳动者提供其亲属甚至朋友的一些个人信息,如要求公司员工必须如实报备本人任职期间名下正在使用和曾经使用过的所有手机号码,还必须提供本人的直系亲属(配偶、父母、子女)、有血缘关系的兄弟姐妹、配偶的父母、配偶有血缘关系的兄弟姐妹、情侣正在使用的手机号码以及工作单位信息。这种关于个人信息处理的规定明显违法,不能以实施人力资源管理所必需作为法律根据。
四、实施人力资源管理所“必需”的判断
《个人信息保护法》第一章“总则”规定了个人信息保护法也即个人信息处理的基本原则,如合法、正当、必要、诚信、公开透明、目的限制等。这些原则既适用于以个人同意为法律根据的个人信息处理活动,也适用于那些依据法律、行政法规的规定无需取得个人同意即可实施的个人信息处理活动。《个人信息保护法》第13条第1款第2项之所以要求个人信息处理活动是实施人力资源管理所“必需”,就是为了遵守必要原则与目的限制原则。必要原则(principle of necessity)是比例原则在个人信息保护法中的体现,该原则要求个人信息的处理活动对于实现合法、正当的处理目的是必要的、不可或缺的,任何不必要的个人信息处理活动都不应当被实施。目的限制原则(principle of purpose limitation)要求个人信息处理活动应当具有明确与合理的目的,并且该活动应当与处理目的直接相关,采取对个人权益影响最小的方式(《个人信息保护法》第6条)。必要原则与目的限制原则密切关联。一方面,明确、合理的处理目的是必要性的考量因素。认定个人信息处理活动是否必要,须考虑处理的目的,即只有在无法以其他合理的方式实现处理目的之时,处理者才能处理个人信息。另一方面,与处理目的直接相关以及采取对个人权益影响最小的方式也是用来判断个人信息处理活动是否必需的重要标准。总之,判断个人信息处理活动是否属于实施人力资源管理所“必需”,应当严格遵循必要原则与目的限制原则,并结合人力资源管理活动中处理个人信息的具体场景、个人信息的类型、处理目的与方式等具体因素,综合权衡用人单位的合法利益的保护与劳动者的个人权益保护的关系后加以认定。
(一)个人信息处理活动旨在维护用人单位的合法利益并且与之直接相关
用人单位实施人力资源管理以及其他管理活动的,最终目的都是为了实现用人单位的整体战略和目标,即创造价值以满足相关利益群体的需要。但是,倘若以此作为实施人力资管理所必需的个人信息处理活动的目的,则不符合目的限制原则对于处理目的应当“明确、合理”的要求。具体而言,在个人信息保护法上,用人单位实施人力资源管理所必需的个人信息处理活动的处理目的应当限定为维护用人单位的特定的合法利益。首先,用人单位的合法利益意味着该利益是“合法”(legitimate)的,而不是非法的。合法原则要求个人信息处理者处理个人信息的目的必须合法,既不能以侵害自然人的人格尊严和人身财产权益等个人权益为目的,也不得对社会公共利益和国家利益造成损害。用人单位以阻止或限制员工行使权利为目的而处理个人信息的,显然该利益不是合法利益。具体来说,用人单位实施人力资源管理所必需而处理个人信息所追求的合法利益包括:良好的工作纪律与秩序;工作场所的平等化与多元化;安全生产;保护员工人身财产安全;工作任务的合理安排与效率的合理提升;经营业务的安全保护;维护单位的各类财产权益的安全;用人单位自身及客户的数据、个人信息的安全保护;用人单位的网络安全;预防和制止商业贿赂、关联交易、内部交易等违法犯罪活动等。其次,用人单位的合法利益必须是清晰、明确且真实存在的利益,而非模糊的或推测性的。否则,就无法将该利益与劳动者的个人权益进行权衡比较,从而判断个人信息处理的必要性。最后,按照目的限制原则的要求,用人单位为实施人力资源管理所必需的个人信息处理活动还必须与维护其合法利益这一处理目的直接相关,即应当始终围绕着维护合法利益这一处理目的展开,不能超出该范围。例如,当用人单位实施人力资源管理而处理员工的个人信息是为了保护公司的财产安全,如要求对经过授权访问公司重要数据的员工的操作行为进行监控,以防止数据未经授权而被访问或泄露、篡改,那么,公司就不能将这些数据用于其他的目的,如监控员工的行为。
(二)个人信息处理活动对于维护用人单位的合法利益是必要的
实施人力资源管理所必需的个人信息处理活动应当符合必要原则,即对于维护用人单位的合法利益是必要的、不可或缺的,如果不处理个人信息则无法维护该合法利益。例如,公司为了调查或证明员工实施的窃取公司数据信息的违法犯罪行为,而对员工的电子邮件进行监控,倘不采取这种监控方法,就无法查明或证明该犯罪行为。再如,用人单位的特定工作岗位对于应聘者的身体健康状况有特定的要求,否则无法从事该岗位,如工厂质检岗位要求员工对于颜色能够做出准确的判断,有色盲的人不能从事该工作。因此,用人单位对于获取应聘者是否有色盲这一医疗健康信息具有合法的利益,不知悉该信息就无法招聘到适合的人员。但是,如果用人单位据此还要求应聘者提供其他医疗健康信息,则违反了必要原则。在2023年7月4日判决的“Meta公司与德国联邦反垄断局案”中,欧洲法院认为:依据《通用数据保护条例》第6条第1款第(f)项的数据处理活动,必须是在实现合法利益所“绝对必要”(strictly necessary)的范围内进行。控制者仅仅证明单纯的数据处理的适用性是不够的,即使是追求“最佳效率”或经济上最有意义的选择,也不能使数据处理成为必要的。2024年10月8日,德国联邦劳动和社会事务部、联邦内政和家园部曾提出了一份《关于加强数字工作环境中公平处理员工数据及提高雇主和员工法律安全性的法律草案》(Besch?ftigtendatengesetz,BeschDG),该草案专门对雇主处理雇员个人数据的必要性审查提出了详细的判断标准,依据该草案第4条,在审查雇主处理员工的个人数据的必要性时,应当考虑员工在雇佣关系中的依赖性。同时,要权衡雇主的处理利益与受影响员工用于反对此种处理的利益,其中雇主的处理利益具体取决于:a)是否履行法律、集体协议或合同中规定的义务;b)雇主的基本权利是否受到影响及其影响程度;c)是否存在公共利益及其权重。对于员工基本权利的干预,具体要考虑:a)处理的持续时间和频率,尤其是考虑雇佣关系的长期性;b)处理的员工数据的类型;c)处理的员工数据的范围;d)员工数据是否与其他数据相匹配或关联从而整合不同信息和个人特征;e)处理的方式和手段,例如是模拟处理还是通过技术设备处理,是实时处理还是存储后处理;f)参与处理并有权访问数据的人员数量和职能,例如是否涉及到直接的上级;g)数据是否是直接从受影响员工处收集的;h)员工对雇主处理其数据的合理期望,尤其是考虑雇佣关系中的特殊保护和照顾义务;i)从处理的数据中不当推断工作表现的风险,特别是可能对员工的职业发展产生不利影响的情况;j)在使用人工智能系统时人类监督和控制的可能性,以及向员工清晰解释人工智能系统功能的可能性。此外,还考虑雇主根据该法律草案第9条采取的技术和组织措施,以使得对受影响员工产生的风险最小化并维护其人格尊严、合法权益和基本权利。
在我国司法实践中,法院也是从必要原则出发来认定实施人力资源管理的个人信息处理活动是否必需。在一个案件中,被告公司于其规章制度中规定,企业会在其提供部分补贴而由员工自行购买的手机上安装MDM(即移动设备管理软件)插件,一旦员工离职公司有权通过该插件删除手机上的工作数据。同时,由于公司的规章制度并未禁止员工使用该类手机用于个人的社会交往活动,因此,原告员工的手机上必然会因其日常使用而存储大量的个人信息。被告公司完全可以通过MDM插件仅仅删除手机上的工作数据,却于员工刚刚提出离职申请的当日,不向原告发出任何通知即通过远程操作将原告员工的手机进行系统重置,导致该手机上包括个人信息在内的全部数据被删除。这种简单粗暴的、删除手机上的全部数据的行为,明显违反了必要原则,不是对个人权益影响最小的方式。故此,法院认为,被告公司的行为违反《个人信息保护法》第6条规定的最小必要原则,缺乏合理性,不属于该法第13条第1款第2项规定的实施人力资源管理所必需的情形。
由于敏感的个人信息一旦被泄露或者被非法使用,容易导致个人的人格尊严遭受侵害或者危害个人的人身安全、财产安全,故此,《个人信息保护法》对于敏感个人信息的处理提出了更加严格的要求。一方面,依据该法第28条第2款,无论是依据何种法律根据处理敏感的个人信息,都必须“具有特定的目的和充分的必要性”并且要采取严格的保护措施,如此,个人信息处理者方可处理敏感的个人信息。另一方面,除非符合《个人信息保护》所规定的免除告知义务的情形(第18、35条),否则处理者除要将该法第17条第1款规定的事项向个人进行告知外,还必须向个人告知处理敏感个人信息的必要性以及对个人权益的影响。据此,在用人单位以实施人力资源管理所必需作为法律根据处理敏感的个人信息时,法院认定该处理活动的必要性时应采取更加严格的审查标准。
(三)个人信息处理活动采取的是对个人权益影响最小的方式
按照目的限制原则的要求,任何个人信息处理活动都必须采取对个人权益影响最小的方式(《个人信息保护法》第6条第1款)。所谓“个人权益”,是指个人信息处理活动可能影响的个人的各种类型的权益,不仅包括《民法典》等法律规定的自然人享有的名誉权、隐私权、肖像权、个人信息权益等各类人身权益与财产权益,还包括《宪法》上规定的人格尊严、人身自由、通信自由、通信秘密等基本权利,以及《消费者权益保护法》《未成年人保护法》《妇女权益保障法》《残疾人保障法》等法律规定的特殊群体享有的个人权益。对于处理者是否采取对个人权益影响最小的方式的判断,应当遵循比例原则的要求。该原则要求处理者在有多种适当性手段均能同等程度地实现个人信息的处理目的时,应当选择对于个人信息主体的合法权益造成最小不利影响的那种方式。因此,用人单位以实施人力资源管理所必需作为法律根据时,必须采取对劳动者的个人权益影响最小的方式。是否属于对个人权益影响最小的方式需要在权衡用人单位的处理目的的实现程度与对劳动者个人权益影响程度之间的关系后加以决定。考量因素包括:用人单位维护的合法利益与劳动者的个人权益的位阶关系,用人单位面临的特定风险类型、程度与维护合法利益的急迫性,各种可供采取的处理行为对个人权益的侵害性和影响的程度等。就如何平衡处理者旨在维护的合法利益与个人权益之间的关系问题,欧洲法院曾提出“三阶段测试”(dreistufige Prüfung)标准。该测试中最重要的就是第三阶段的“平衡测试”(balance test),即确定受到个人数据处理影响的个人的基本权利和自由是否超越了控制者的合法利益,只有当保护数据控制者的合法利益的需求超越数据主体的权益时,才能以之作为个人数据处理的法律根据。
由于实施人力资源管理而必需处理个人信息的场景众多,判断处理者是否采取对劳动者个人权益影响最小的方式当然要考虑具体的场景。而这些场景中最复杂的就是所谓的“职场监控”,即用人单位以维护工作的纪律和秩序、防止泄密、保护公司财产等合法利益为由,通过劳动规章制度规定用人单位有权对员工的通信和电信设施、工作场所的活动进行相应的监控,例如,通过内置软件程序拦截雇员发出的电子邮件并秘密查看,监听雇员使用办公电话时的通话、对雇员在办公场所的活动进行视频采集监控等。欧洲法院对于职场监控采取了比较严格的态度。欧洲人权法院认为,用人单位计划实施或者可能实施监控之前要通知被监控者,如果没有通知,则对私人通信的录音是违法的,并且被记录的数据也不得超出监控目的所必需的范围。在1992年的“Halford诉英国案”中,欧洲人权法院指出,拦截员工在工作场所的电话通话违反了《欧洲人权公约》第8条关于“每个人的私人和家庭生活、住所和通信都有权得到尊重”的规定。该判决确立了三个原则:①员工在工作场所有合理的隐私期待,该期待不会因为员工使用雇主的通信设备或其他业务设施而被推翻,但是雇主向员工提供适当的信息可能会减少员工的合理隐私期待;②保护通信秘密的一般原则涵盖工作场所的通信,也包括电子邮件及其附件;③尊重私人生活还包括在一定程度上有权建立和发展与他人的关系,而这种关系很大程度上发生在工作场所,因此,这限制了雇主对监控措施的合法需求。
不过,在我国司法实践中,法院对于职场监控采取比较宽松的态度。例如,在一个案件中,被告公司在办公室安装监控摄像头,公司员工在办公室的一举一动都被监控。原告张某娟为了躲避监控摄像头坚持在工位上撑伞十多个工作日,被告公司认为原告的行为违反工作纪律,将其开除。原告则主张被告公司在办公室安装监控摄像头的行为侵害了隐私权。法院认为,被告公司安装的监控摄像头是在办公室而非私人生活区域,并且安装的位置也在墙角上方。故此,安装监控摄像头属于正常行使用人单位的监管权,具有合理性。在另一个案件中,被告公司将交付给劳动者使用的办公电脑上安装“超级眼”电脑监控软件,并用该软件自动下载劳动者的社交媒体上的聊天信息。法院认为,公司提供的办公电脑只能用于完成工作任务,因此,劳动者办公电脑的使用空间对于公司来说是公开的,不构成秘密,公司安装此种监控软件属于企业的自我管理行为。笔者认为,在认定用人单位实施的通信和电信设施监控以及视频监控行为是否采取了对个人权益影响最小的方式时,需要遵循比例原则的要求,平衡用人单位维护自身合法利益的客观需要与有效保护劳动者的个人信息权益、隐私权、通信秘密等权利与自由的关系。一方面,《宪法》《民法典》《个人信息保护法》等法律高度重视保护通信秘密等基本权利以及个人信息权益、隐私权等人格权益,禁止任何组织或者个人拍摄、窥视、窃听、公开他人的私密活动和非法处理私密信息。另一方面,用人单位在实施人力资源管理时,对于劳动者是否遵守劳动纪律,有无违纪违法行为等信息的处理也有客观的需求。一概允许或禁止职场监控,都不妥当。需要综合考虑用人单位采取电信监控以及视频监控行为的必要性、急迫性以及所维护利益的重大性,劳动者被影响的权利的类型、被侵害的程度等因素,从而判断用人单位对劳动者个人信息的处理行为是否是对个人权益影响最小的方式,继而认定用人单位的个人信息处理活动是否属于实施人力资源管理所必需。例如,用人单位从事高度危险化学品的生产,为了确保工人严格遵守操作规程,防止生产过程中出现违规操作,并在发生事故后能够确定责任,用人单位在车间内安装监控设施,属于对个人权益影响最小的方式。但是,用人单位在所有的办公场所都安装摄像头,对员工的一举一动加以监控,或者在员工的办公电脑中都安装监控软件而对员工的通讯活动进行秘密检查,对个人权益的影响显然过大,损害了员工享有的通讯秘密、通信自由以及隐私权。
五、实施人力资源管理所必需与其他法律根据的关系
欧盟等国外个人数据保护法并未将实施人力资源管理所必需作为一项单独的个人数据处理的法律根据。欧盟第29条工作组在《第2/2017号关于工作场景中个人数据处理的意见》认为,在工作当中处理个人数据的合法性基础是多元化的,可能是基于告知并取得员工的同意,也可能是基于为订立或履行个人作为一方当事人的合同所必需,为了履行法定义务所必需,为了处理者的合法利益所必需,或为了保护数据主体的重大利益或维护公共利益所必需等其他法律根据。在我国法上,告知并取得个人同意是个人信息处理的主要法律根据,无需同意甚至无需告知的情形必须由法律或行政法规规定。除了实施人力资源管理所必需外,《个人信息保护法》第13条第1款第2—6项还规定了其他无需个人同意的具体情形。其中,与实施人力资源管理所必需关联性比较密切的主要是为履行个人作为一方当事人的合同所必需以及为履行法定义务所必需。
(一)与为履行个人作为一方当事人的合同所必需的关系
为了协调个人信息权益的保护与正常经济活动秩序的关系,《个人信息保护法》第13条第1款第2项将“为订立、履行个人作为一方当事人的合同所必需”也作为一类独立的个人信息处理的法律根据。劳动合同属于典型的“个人作为一方当事人的合同”。因此,理论上,用人单位不仅可以将实施人力资源管理所必需作为处理劳动者个人信息的法律根据,也能以为订立或履行劳动者作为一方当事人的合同所必需作为个人信息处理的法律根据。在用人单位与劳动者之间还没有成立劳动关系如仅处于招聘的阶段,用人单位无法以实施人力资源管理所必需作为处理个人信息的法律根据,但能够以为订立个人作为一方当事人的合同所必需作为法律根据。不过,适用该法律根据的前提应当是个人提出请求,即用人单位不能单方面在未经个人请求的情形下以订立个人作为一方当事人的合同所必需为由处理个人信息。在劳动合同成立并生效后,用人单位以履行劳动合同所必需处理劳动者的个人信息的情形比较多,如为了向员工支付工资、津贴等劳动报酬,需要取得员工的银行账号等。
为履行劳动合同所必需与为实施人力资源管理所必需的最大差异在于二者的依据不同。实施人力资源管理依据的是劳动规章制度和集体合同,而为履行劳动合同所必需依据的仅仅是劳动合同。劳动规章制度、集体合同与劳动合同这三者在当事人、规范内容和形式上都有差异。劳动规章制度是用人单位对劳动者进行组织与管理的规则和制度的总称,涉及事项众多。集体合同的当事人是劳动者团体(工会、职工代表代表全体劳动者)与用人单位,必须采取书面形式,其中约定的内容包括劳动报酬、工作时间、休息休假、劳动安全卫生、保险福利等各种事项。并且,集体合同的签订须依据法定程序,其生效后对于用人单位的所有劳动者都具有约束力。劳动合同是由用人单位和劳动者一对一协商成立,仅仅是对作为该合同一方当事人的特定劳动者具有约束力,对同一用人单位的其他劳动者没有效力。劳动合同也无须如集体合同和劳动规章制度那样依据《劳动法》《劳动合同法》规定的法定程序制定或签订。劳动合同并非如集体合同那样必须采取书面形式,也可采取口头形式。劳动合同中约定的事项往往比较简单,主要针对特定劳动者的事项如工资待遇、工作内容等作出约定。至于对劳动者如何进行管理和约束等具体内容,仍须交由劳动规章制度和集体合同等加以规定或约定。故此,实践中用人单位处理劳动者个人信息时更多的是以实施人力资源管理所必需而非以履行劳动合同所必需作为法律根据。
(二)与为履行法定义务所必需的关系
为履行法定义务所必需的个人信息处理活动是《个人信息保护法》第13条第1款第3项规定的无需取得个人同意的情形之一。该项的“法定义务”是指直接由我国法律、法规和规章规定的公法上的义务,承担法定义务的主体是个人信息处理者而非个人。大多数情形下,用人单位实施人力资源管理所必需的个人信息处理活动与为履行法定义务所必需的个人信息处理活动的区别比较明显。当然,二者也可能存在竞合关系,即用人单位的个人信息处理活动既属于为履行法定义务所必需,也属于实施人力资源管理所必需。例如,A公司是食品生产企业,其规章制度中要求工人必须定期参加公司组织的体检,以了解工人是否存在传染病。这种个人信息的收集行为,既属于为实施人力资源管理所必需,也是在履行法定义务。因为,依据《食品安全法》第45条,患有国务院卫生行政部门规定的有碍食品安全疾病的人员,不得从事接触直接入口食品的工作。从事接触直接入口食品工作的食品生产经营人员应当每年进行健康检查,取得健康证明后方可上岗工作。再如,《未成年人保护法》第98条规定:“国家建立性侵害、虐待、拐卖、暴力伤害等违法犯罪人员信息查询系统,向密切接触未成年人的单位提供免费查询服务。”此外,《未成年人学校保护规定》第36条明确要求,学校应当严格执行入职报告和准入查询制度,不得聘用受到剥夺政治权利或者因故意犯罪受到有期徒刑以上刑事处罚的人员,因卖淫、嫖娼、吸毒、赌博等违法行为受到治安管理处罚的人员,因虐待、性骚扰、体罚或者侮辱学生等情形而被开除或者解聘的人员,以及实施其他被纳入教育领域从业禁止范围的行为的人员。幼儿园、学校可能在其规章制度中就有查询和收集教职工有无上述违法犯罪信息的要求,同时,这种个人信息处理活动本身也是为履行法定义务所必需。
(三)与为维护处理者的合法利益所必需的关系
在比较法上,处理者的合法利益被作为一类单独的个人信息处理的法律根据。例如,欧盟《通用数据保护条例》第6条第1款第(f)项规定,当“处理是控制者或者第三方所追求的合法利益之目的所必需的,但该利益与被要求保护个人数据的数据主体的利益或基本的权利与自由相冲突的除外,尤其是数据主体是儿童的情形下”。再如,巴西《通用数据保护法》第7条第1款列举个人数据处理的各类法律根据,其第9项规定,“为满足控制者或第三方合法利益所必需的,但根据数据主体普适性的基本权利和自由要求保护个人数据的情况除外”。上述条款被称为“合法利益条款”(legitimate interest clause),它们将处理者为维护其自身的合法利益也作为一项个人信息处理的法律根据。
我国《个人信息保护法》并未将维护处理者的合法利益作为个人信息处理的法律根据。之所以如此,除了因为合法利益在解释和适用上具有较大的不可预期性和难度外,一个重要的原因是,《个人信息保护法》第13条第1款第2项已经将实施人力资源管理所必需规定为个人信息处理的法律根据,这一法律根据实际上已经可以涵盖大部分处理者的合法利益。对于用人单位而言,它们完全可以通过劳动规章制度和集体合同对那些为维护其自身合法利益的个人信息处理活动作出明确的规定或约定,进而以实施人力资源管理所必需作为此类个人信息处理活动的法律根据。例如,在诉讼中通过提供相关个人信息而证明自己的主张或维护合法权益的情形,属于为维护处理者的合法利益。用人单位可以在劳动规章制度中明确规定:发生劳动争议时,用人单位可以向法院或仲裁庭提供处理劳动者的相关个人信息(如违纪信息等)。例如,某个劳动者经常上下班迟到且上班期间擅自离岗,公司将其开除后,该劳动者申请仲裁或起诉。这种情形下,公司就可以提供相关打卡记录和监控视频作为证据。
六、结语
在劳动关系中,用人单位会出于各种目的而对劳动者的个人信息实施多种多样的处理活动。此时,用人单位经常会以《个人信息保护法》第13条第1款第2项所规定的实施人力资源管理所必需作为法律根据。因此,有必要从实施人力资源管理所必需这一个人信息处理法律根据的规范目的出发,清晰地界定实施人力资源管理所必需的适用范围,提出合理的标准以判断该处理活动是否属于实施人力资源所必需。同时,应当明了实施人力资源管理所必需与为履行劳动合同所必需、为履行法定义务所必需等其他个人信息处理法律根据的相互关系。惟其如此,方能促使用人单位合理利用劳动者的个人信息,有效地发挥人力资源的效用,提升管理的效率,并且维护劳动者的个人信息权益、隐私权及人格尊严等个人权益。
(责任编辑:贺剑)
【注释】
[1]欧盟《通用数据保护条例》第9条第2款第(b)项和第88条授权欧盟成员国的法律对于劳动者的个人信息处理作出相应规定。
[2]相关案例,参见湖北省武汉市东西湖区人民法院民事判决书,(2024)鄂0112民初2315号;上海市杨浦区人民法院民事判决书,(2023)沪0110民初19374号;广东省深圳市中级人民法院民事判决书,(2018)粤03民终26105号。
[3]代表性文献,参见谢增毅:“劳动者个人信息保护的法律价值、基本原则及立法路径”,《比较法研究》2021年第3期,第25—39页;谢增毅:“职场个人信息处理的规制重点——基于劳动关系的不同阶段”, 《法学》2021年第10期,第167—180页;王倩:“作为劳动基准的个人信息保护”,《中外法学》2022年第1期,第183—201页;田野:“职场智能监控下的劳动者个人信息保护——以目的原则为中心”,《中国法学》2022年第3期,第102—118页;吴文芳:“劳动法典中的个人信息保护”,《北方法学》2022年第6期,第44—48页。
[4]中国知网(CNKI)上能够检索到的文献,主要包括:陈建龙:“论劳动者个人信息处理法定许可规则的适用——以个人信息保护法第13条第2项为中心”,《上海法学研究》集刊2022年第22卷;张继红、郑书康:“论劳动者个人信息处理的合法性基础”,《上海大学学报(社会科学版)》2022年第1期,第1—17页;冉克平、刘冰洋:“人力资源管理中个人信息保护的困境与出路”,《华中科技大学学报(社会科学版)》2023年第4期,第62—73页。
[5]参见江必新、郭锋主编:《<中华人民共和国个人信息保护法>条文理解与适用》,人民法院出版社2021年版,第126页;张新宝主编:《<中华人民共和国个人信息保护法>释义》,人民出版社2021年版,第113页;龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第59页;杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第46—47页。
[6]全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法(草案)》审议结果的报告(2021年8月17日),杨合庆,同上注[5],第202页。
[7]杨合庆,见前注[5],第47页。
[8]参见《商务部合作司负责人介绍2024年对外投资合作运行情况》,载中华人民共和国商务部官网,https://www.mofcom.gov.cn/xwfb/sjfzrfb/art/2025/art_fb32f6ed4eab4b6eb80ef1a539736546.html,最后访问日期:2025年4月19日。
[9]董克用、李超平主编:《人力资源管理概论》(第5版),中国人民大学出版社2019年版,第5页。
[10]同上注,第17、22页。
[11]参见方振邦主编:《公共部门人力资源管理概论》,中国人民大学出版社2019年版,第6—7页。
[12]根据全国人民代表大会宪法和法律委员会的报告,作此修改的原因在于:“有的常委委员建议,对草案三次审议稿中关于为人力资源管理所必需处理个人信息的规定作出必要限制。”参见杨合庆,见前注[5],第205页。
[13]See Case C-34/32, Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium v. Minister des Hessischen Kultusministeriums, Judgment of the Court (First Chamber), 30 March 2023, paras.44-48, https://curia.europa.eu/juris/documents.jsf?num=C-34/21, last visited on 19 April 2025.需要说明的是,与我国公立学校的教师属于事业单位聘用人员所不同的是,德国公立学校的大多数教师(包括大学的教授)属于公务员。
[14]参见信春鹰主编:《中华人民共和国劳动合同法释义》,法律出版社2007年版,第332页。
[15]参见谢增毅:“互联网平台用工劳动关系认定”,《中外法学》2018年第6期,第1566页;谢增毅:“数字时代劳动关系概念及认定规范的中国表达”,《中国社会科学》2024年第10期,第170—171页。
[16]参见谢增毅:“劳动关系的内涵及雇员和雇主身份之认定”,《比较法研究》2009年第6期,第74—83页;肖竹:“劳动关系从属性认定标准的理论解释与体系构成”,《法学》2021年第2期,第160—176页;朱军:“劳动关系认定的理论澄清与规范建构”,《法学研究》2023年第6期,第135—154页;娄宇:“劳动关系从属性理论的历史演进与现实反思——兼论‘不完全劳动关系’”,《政治与法律》2024年第8期,第2—19页。
[17]See Article 29 Data Protection Working Party, “Opinion 2/2017 on data processing at work -WP249, “ Adopted on 8 June 2017, pp.10-22, https://ec.europa.eu/newsroom/article29/items/610169, last visited on 19 April 2025.
[18]我国《个人信息保护法》第24条对于利用个人信息进行自动化决策有专门的规范,该条主要适用场景之一就是就业招聘。详细分析参见王苑:“完全自动化决策拒绝权之正当性及其实现路径——以《个人信息保护法》第24条第3款为中心”,《法学家》2022年第5期,第74—75页。
[19]信春鹰,见前注[14],第192页。
[20]参见北京市第四中级人民法院民事判决书,(2024)京04民终1658号。
[21]参见《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第11条。
[22]参见云南省昆明市中级人民法院民事判决书,(2024)云01民终6172号。
[23]参见程啸:“论我国个人信息保护法的基本原则”,《国家检察官学院学报》2021年第5期,第3页。
[24]See Indra Spiecker gen. D?hmann, Vagelis Papakonstantinou, Gerrit Hornung and Paul De Hert (eds.), Data Protection Regulation: Article-by-Article Commentary, Baden-Baden: Nomos/München: C.H. Beck/Oxford: Hart Publishing, 2023, p.272.
[25]董克用等,见前注[9],第19页。
[26]See Article 29 Data Protection Working Party, “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC-WP217, ” Adopted on 9 April 2014, p.24, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf, last visited on 19 April 2025.
[27]参见王苑:“目的限制原则的反思及其解释论构造——以《个人信息保护法》第6条第1款为中心”,《华东政法大学学报》2024年第4期,第52页。
[28]See Article 29 Data Protection Working Party, “Working document on the surveillance of electronic communications in the workplace (WP55), ” Adopted on 29 May 2002, p.13, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp55_en.pdf, last visited on 19 April 2025.《德国联邦数据保护法》第26条第1款第2句明确规定:“为了发现犯罪行为而处理雇员的数据只有当符合下列条件时才是被允许的,即被记录下来的事实线索能够证成相关人员在雇佣关系中实施了犯罪行为,数据处理对于发现该犯罪行为是必要的,且没有超过雇员对于豁免数据处理享有的值得保护的利益,特别是考虑到处理的动机,该处理的性质和范围没有不合比例。”
[29]See Case C-252/21, Meta Platforms Inc and Others v. Bundeskartellamt, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62021CJ0252, para.126, Judgment of the Court (Grand Chamber), 4 July 2023, last visited on 19 April 2025.
[30]Buchner/Petri, in Kühling/Buchner, DS-GVO BDSG, 4. Aufl.2024, §6 Rn.147c.
[31]Vgl. Referentenentwurf des Bundesministeriums für Arbeit und Soziales und des Bundesministeriums des Innern und für Heimat: Entwurf eines Gesetzes zur St?rkung eines fairen Umgangs mit Besch?ftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Besch?ftigte in der digitalen Arbeitswelt (Besch?ftigtendatengesetz-Besch DG), URL: https://www.itm.nrw/wp-content/uploads/2024/10/bdsgbeschdg.pdf (Abgerufen am 19. April 2025).
[32]本案一审法院未能正确认定此点,参见北京互联网法院民事判决书,(2023)京0491民初18063号。二审法院纠正了一审判决,参见北京市第四中级人民法院民事判决书,(2024)京04民终1658号。
[33]See Christopher Kuner, Lee A. Bygrave and Christopher Docksey (eds.), The EU General Data Protection Regulation (GDPR): A Commentary, Oxford: Oxford University Press, 2020, p.331.
[34]参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第91—92页。
[35]参见刘权:《比例原则》,清华大学出版社2022年版,第127页。
[36]Vgl. Buchner/Petri (Fn.30), Rn.146; see Article 29 Data Protection Working Party, supra note 26, pp.34-42.另参见程啸:“处理者的合法利益不是个人信息处理的法律根据”,《暨南学报(哲学社会科学版)》2024年第9期,第57—58页。
[37]参见(德)沃尔夫冈·多伊普勒:《数字化与劳动法:互联网、劳动4.0和众包工作》(第6版),王建斌、娄宇等译,王倩校,中国政法大学出版社2022年版,第122页。
[38]See Halford v.the United Kingdom, Case No.73/1996/692/884(1997), Halford v.the United Kingdom, Judgment of the European Court of Human Rights, 25 June 1997, https://hudoc.echr.coe.int/tur#{%22itemid%22:[%22001-58039%22]}, last visited on 19 April 2025.
[39]See Article 29 Data Protection Working Party, supra note 26, p.9.
[40]参见谢增毅:“职场个人信息处理的规制重点——基于劳动关系的不同阶段”,《法学》2021年第10期,第175页;田野,见前注[3],第115页。
[41]参见广东省高级人民法院民事裁定书,(2020)粤民申8843号。
[42]参见山东省烟台市中级人民法院民事判决书,(2019)鲁06民终7145号。我国有学者提出,要从信息处理行为的紧迫性、有效性、风险最小性以及合比例性等四个因素出发来评估处理行为的必要性。
[43]参见张继红等,见前注[4],第12—14页。
[44]See Article 29 Data Protection Working Party, “Opinion 8/2001 on the processing of personal data in the employment context (WP48), ” Adopted on 13 September 2001, pp.14-15, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2001/wp48_en.pdf, last visited on 19 April 2025.
[45]参见杨旭:“《个人信息保护法》第13条第1款(个人信息处理的合法性基础)评注”,《中国应用法学》2023年第6期,第212页;程啸:“论为订立或履行合同所必需的个人信息处理活动”,《法律科学》2025年第2期,第54页。
[46]参见程啸:“论为履行法定义务所必需的个人信息处理活动”,《当代法学》2024年第6期,第32页。
[47]有观点认为,这种情形属于我国个人信息保护立法上的缺漏,未来应当通过裁判或司法解释的方式加以弥补。参见张建文、张锐:“论正当权益作为个人信息处理的法律基础”,《西北工业大学学报(社会科学版)》2024年第3期,第123页。
[48]程啸,见前注[36],第54—60页。
程啸,清华大学法学院教授
评论(0)
请先 后发表评论~