勞動者個人信息保護的困境與突破

石文慧 張朝霞

［摘 要］在信息安全問題頻發的互聯網時代，個人信息保護在職場中呈現出一定的特殊性。但由于我國現行法律并未對職場中的個人信息保護進行專門規定，勞動者個人信息保護制度尚不健全，導致勞動者個人信息保護在行為處理邊界、不當處理行為界定以及用人單位責任承擔等方面存在諸多實務困境。因此有必要通過確定“負面清單”和“時間上限”明確勞動者個人信息的處理范圍，并通過完善告知同意規則防止處理范圍的擴大。通過強化比例原則對處理目的、處理行為和處理方式的限制實現單位不當處理行為的界定。通過健全保護規則和完善責任認定明確用人單位的相關責任，實現對勞動者個人信息的充分保護和救濟。

［關鍵詞］勞動者個人信息；勞動關系；信息處理過度；勞動基準法

［中圖分類號］D920.0［文獻標識碼］A

［文章編號］2095-7416（2024）02-0069-10

一、引言

在網絡和市場經濟快速發展的背景下，個人信息被他人獲取的風險大大增加。在勞動用工領域，特別是隨著社交媒介的興起，私人生活空間與工作空間產生了交叉，用人單位獲取員工個人信息的行為更加頻繁^［1］。2021年《個人信息保護法》的出臺無疑為信息處理提供了行為準則，但該部法律主要是對信息處理者的處理行為進行一般性的規定，對于特殊領域，尤其是勞動領域內的個人信息保護規定并不完備。而勞動領域內也未對勞動者個人信息的保護進行專門規定，存在保護不周的現象，因此有必要對勞動者個人信息的保護問題展開研究。

從現有研究來看，相較于個人信息保護的研究熱度，學界對勞動領域內個人信息保護的研究較不充分。有學者從勞動者個人信息處理原理方面對現有保護所面臨的挑戰進行了分析，并對不同的勞動場景提出區分保護的制度設計^［2］。也有學者討論了勞動者個人信息保護的價值，并從知情同意和比例原則的適用等方面對勞動者個人信息保護進行論證^［3］25。學界現有研究主要著眼于理論層面的探討，忽視了實踐層面的討論?；诖?，本文在界定勞動者個人信息內涵的基礎上，整理分析了勞動者個人信息保護的現狀，并試圖從處理界限、行為界定以及責任認定三個層面破除現階段所面臨的困境，實現勞動者個人信息的全面保護和救濟。

二、勞動者個人信息的內涵界定

（一）勞動者個人信息的界定

勞動者個人信息是相對于用人單位而言的，是一般個人信息在特定法律關系中的體現。因此勞動者個人信息能夠被一般個人信息涵蓋，但勞動關系的存在使其具有一定的特殊性，即可以從不同階段分別進行界定。

就個人信息而言，我國對其界定采用識別說與關聯說，兩者只存在區分標準的不同，在區分結果上具有一致性^［4］64。勞動者個人信息也應當延續一般個人信息界定的方法，采取關聯說或識別說。但個人信息的界定并非像物的界定一樣穩定，會隨信息主體、使用場景以及技術等客觀因素的改變而發生變化，故個人信息的界定具有場景性和動態性^［5］。因此勞動者個人信息的界定應當置于特定的勞動場景中。

從勞動關系的發展階段來看，勞動者或求職者的個人信息處理貫穿于求職、勞動關系存續及終止三個階段^［6］。對勞動者個人信息的界定也應當基于上述特定場景，貫穿于勞動關系的三個階段。因此，勞動者個人信息是指勞動者在特定勞動場景中，由用人單位收集或儲存的能夠單獨或與其他信息相結合，識別勞動者身份的關聯信息。在求職階段，勞動者個人信息主要是指用人單位能夠收集的與工作性質相關的信息；在勞動關系存續階段，主要是指用人單位為職工利益或管理公司而處理的信息；勞動關系終止后，主要是指勞動者在勞動合同中所記載的或者單位保存的相關信息。

（二）勞動者個人信息保護的特殊性

勞動者個人信息是勞動用工下的產物，具有一般個人信息的共性。由于信息主體是勞動者，便融入了勞動關系的特殊性。該種特殊性總結為以下兩點：一是勞資雙方地位的不平等，二是勞動關系中侵害行為的階段性。

首先，勞資雙方存在不平等的法律關系。在勞動場景下，勞資雙方在經濟、技術等方面具有天然的不平等性，極易對勞動者個人信息權益造成損害^［7］。該不平等性源于勞動關系的從屬性，用人單位可以指揮控制勞動者，而勞動者是單位內部組織的一員并對單位有經濟上的依賴性^［8］。勞動關系的從屬性催生了單位用工管理與勞動者權益的利益沖突。用人單位在管理勞動者的過程中，為保證單位的工作效率會犧牲勞動者的某些權益，而勞動者基于勞動關系的存在無法或不便于拒絕，只能被動接受，這必然對勞動者權益有所損害。因此，對勞動者個人信息的保護而言，勞動者和用人單位不僅具有個人信息領域內的不平等性，還具有勞動用工領域內的不平等性。在雙重不平等關系的加持下，勞動者個人信息的保護將更具有特殊性和復雜性。

其次，勞動關系中的侵害行為具有階段性。勞動者個人信息的保護以勞動關系為基礎，貫穿于勞動關系的形成、繼續和終止。在勞動關系的形成階段，單位基于工作需要要求應聘者提供或自行獲取其相關信息，以此來尋找“最優”勞動者。用人單位在獲取個人信息時會借審查之便擴大信息收集范圍，獲取大量與求職工作無關的個人信息，例如收集其家庭人員的信息。在勞動關系的持續階段，隨著數字化辦公和人工智能的到來，單位為保證勞動者的工作效率，會通過網絡技術措施將勞動者置于監控之下。例如在新型用工形態下，由于工作場所和工作時間的非標準化，以及私人生活環境與工作環境的重疊，用人單位會采取24小時監控等方式保障勞動效率。這種滲透式監視行為將勞動者的所有信息暴露于大眾，勢必會對勞動者的權益產生影響。在這種情況下勞動者為了避免勞動關系的不穩定，往往會被動接受單位的信息收集行為。勞動關系終止后，《勞動合同法》第50條規定勞動者個人信息仍會由用人單位保留兩年以上，勞動者的信息安全仍存在隱患。

三、勞動者個人信息保護的實踐現狀及困境分析

（一）勞動者個人信息保護的實踐現狀

在司法實踐中，因勞動者個人信息保護問題產生的爭議類型復雜多樣，但總體上可分為兩類，一是直接主張勞動者個人信息泄露的侵權案件，二是在勞動爭議中附帶勞動者個人信息保護的案件。若要實現對某一權利的保護無非兩種手段：一是事前預防，二是事后救濟。前者需要從源頭上阻止侵權行為的發生，后者需要在侵權行為發生后實現對權利的救濟。因此本文在分析勞動者個人信息保護的實踐情況時，將聚焦于用人單位的處理行為類型以及法院的審理結果。

在用人單位的處理行為類型層面，主要表現為：第一，求職階段個人信息的過度收集，如某購物平臺以管理為由要求求職者提交親屬及同學關系等信息，未按要求提交的視為違反公司的規定^①。第二，勞動關系持續階段個人信息的泄露、監控，如修某嬋與山東某公司隱私權糾紛案^②，原告認為公司在其使用的電腦上安裝監控軟件并調取相關內容用于證據使用的行為侵犯了原告的隱私和個人信息權益。第三，勞動者離職后個人信息的泄露及侵占，例如曹某建與李某新、廣東某公司隱私權糾紛案^③，原告起訴要求被告公司向其返還入職申請表等入職時留下的個人信息，但法院認為申請表中相關內容均系原告自愿填寫，并非被告非法收集而獲取，因此不予以返還。

在法院的審理結果層面，用人單位的行為難以被認定為侵權，原因在于：用人單位的行為往往涉及單位管理權的行使問題，法院更傾向于認為用人單位的行為是正常行使管理權的需要。例如上述修某嬋與山東某公司隱私權糾紛案，法院認為公司的行為屬于正當行使其管理權的需要，從而否定行為的違法性。此外，即使被認定為侵權行為，也難以承擔侵權責任，原因在于：勞動者難以證明其損害結果以及因果關系等構成要件。例如陸某與廣州某公司隱私權糾紛案^④，原告請求精神損害賠償時，法院認為原告未能證明公司侵權行為與精神損害之間的因果關系，不予支持該項訴訟請求。

綜上，勞動者的個人信息在實務中面臨非法處理的問題，該問題貫穿于勞動關系的成立、存續及結束全過程，并且在救濟時涉及侵權行為認定以及責任構成等問題，難以尋求有效的保護。因此，下文將基于上述情況對勞動者個人信息保護的法律困境展開進一步的分析。

（二）勞動者個人信息保護的困境分析

通過對勞動者個人信息保護現狀的總結，勞動者個人信息保護所面臨的困境主要表現在三個層面：一是信息處理層面上處理邊界不清晰，二是行為界定層面上單位不當行為認定困難，三是責任承擔層面上單位侵權責任規范不明確。該部分將對上述三個層面的困境展開討論。

1.信息處理層面：勞動者個人信息處理邊界不清晰

勞動者個人信息的處理邊界不清晰會造成信息處理過度，原因在于勞資雙方存在持續且不平等的從屬關系，勞動者在勞動時間、勞動地點以及經濟資源上聽從于用人單位的指揮，并依賴于用人單位，使勞動者在信息技術、物質財力等方面處于弱勢地位。

勞資雙方地位的不平等性導致告知同意規則失靈，進而導致信息處理范圍大于其同意范圍。從知情權的實現來看，告知規則流于表面。用人單位表面上已經履行了告知義務，但實際上卻忽略了不同權力間的內在差異，因此處理行為不能統一通過告知同意原則得到豁免^［9］。從意思表示來看，勞動者的同意受迫于處境，欠缺真實性。在勞動關系中，由于勞資雙方力量關系的結構性失衡，勞動者受迫于用人單位的管理，為保證勞動關系的訂立或繼續而被迫同意用人單位的處理行為，難以基于其真實的意思表示做出決定^［10］。例如在訂立合同時明示或暗示勞動者，將同意某種信息處理行為作為被錄用的前提；或者在履行合同時表明不同意單位的信息處理行為將面臨降職、解雇等風險。從行為合法性來看，勞動者同意不能正常發揮違法性阻斷功能?！睹穹ǖ洹泛汀秱€人信息保護法》均將同意作為處理行為的合法性根據，并在同意的基礎上賦予信息主體撤回同意和刪除等權利，其本意在于實現信息主體的信息自決權。由于勞動關系的不平等，處理行為超出同意范圍時勞動者無法及時獲得撤回同意及行使刪除權的機會和渠道，導致實務中用人單位可基于其優勢地位隨意適用告知同意規則，將其作為處理行為的合法性基礎，甚至成為某些不法處理行為的避風港。

2. 行為界定層面：單位不當處理勞動者個人信息界定困難

單位不當處理行為界定困難主要表現為用人單位處理行為的違法性難以認定?！秱€人信息保護法》第13條規定了信息處理的合法性基礎，為實施人力資源管理所必需的可以不征得信息主體的同意。因此用人單位經常以確保勞動效率、維護單位財產、保障工作環境安全為由監控勞動者，使勞動者在面對單位的管理時不得不做出讓步^［11］。

“實施人力資源管理所必需”的處理行為會造成單位管理權與行為合法性之間的失衡，使信息處理行為因行使管理權的需要而難以認定為違法。例如在大數據以及算法技術的蓬勃發展下，算法技術的運用使用人單位更便于管理，提高了工作效率；但算法技術的高科技性也對信息保護產生了一定的威脅，在用人單位控制的算法技術下，信息處理行為存在過度處理的現象。再如，用人單位基于管理的需要會利用手環等技術措施將勞動者置于其監控之下，這不僅會使勞動者喪失私人空間，而且許多技術措施具有極強的隱秘性，極易使勞動者受奴役于算法技術。上述現象在實務中司空見慣，明顯侵害了勞動者的個人信息權益，但沒有行之有效的解決方法。單位不當處理勞動者個人信息極少通過勞動爭議的路徑解決，并且即使選擇勞動爭議的解決途徑，法官對單位的相關處理行為也僅是予以勸誡警告，并未對其處理行為的性質進行評判^⑤。究其原因是單位的管理行為與不當處理行為之間缺乏判斷標準，難以合理界定單位管理行為的不法性。

3.責任承擔層面：用人單位的責任規范不明確

用人單位的責任規范不明確源于相關責任規范的匱乏以及針對性不足，這會導致勞動者相關權益的保護和實現受阻。首先，在問題的產生上，具體責任規范的匱乏及針對性不足是根源所在。勞動者個人信息的保護被零散地規定于勞動領域和個人信息保護領域的法律文件中，但對勞動領域內的個人信息未做強調和突出保護，用人單位的責任規范并不明確，造成勞動者個人信息的勞動法保護缺位、民法保護不充分、專門法保護不具有針對性的尷尬局面?；趧趧雨P系的特殊性，勞動者個人信息保護也應針對其特殊性進行專門規定^［3］38。

其次，在問題的結果上，責任規范不明確導致單位的職責不明確，無法做好事前預防；并且侵害行為發生后勞動者請求損害賠償困難，無法實現事后救濟。在事前預防階段，《勞動法》對于單位的處理行為未給予管理性規定，相關“勞動保護”也未能將勞動者個人信息保護納入其中，信息處理無法獲得有效的事前規制。事后救濟階段，單位難以滿足賠償責任的構成要件，勞動者無法獲得及時的救濟，原因在于傳統侵權損害賠償責任中對損害結果的要求與勞動領域侵害個人信息的現實情況產生了沖突。傳統侵權損害賠償責任要求損害結果必須是實際的、具體的，而個人信息的損害結果多指未來遭受損害的某種風險，具有不確定性。按照傳統侵權損害賠償責任，部分侵犯勞動者個人信息的行為會逍遙法外，不利于對勞動者的保護。并且勞動者請求精神損害賠償時，法院往往選擇《民法典》第1183條為裁判依據，只有達到嚴重精神損害時才可請求精神損害賠償，但侵犯勞動者個人信息帶來的損害往往是不安和焦慮等情緒，難以證明達到嚴重損害的程度，成為勞動者請求精神損害賠償的障礙。

四、勞動者個人信息保護困境的突破

（一）明確勞動者個人信息的處理范圍

對于單位處理邊界不清晰問題的解決，需要明確可處理的個人信息的范圍，并防止該處理范圍的擴大。對于前者可通過立法途徑解決，在相關條例或解釋當中采取列舉法或者排除法規定用人單位可處理的個人信息；對于后者可通過強化適用告知同意規則予以解決。

首先，在處理范圍的明確方面。（1）在內容上采用“負面清單”的方式?！秳趧雍贤ā返?條賦予單位收集勞動者個人信息的權利，但對收集范圍并未作限制，導致用人單位隨意獲取求職者的相關信息。針對該現象存在兩種解決途徑，一是正向規定，即規定用人單位可獲取的個人信息；二是反向規定，即規定用人單位不可獲取的個人信息。本文認為后者較為可取，因為正向規定不具有靈活性，難以適用當下瞬息萬變的市場，而且勞動關系涉及各行各業，每個行業的要求各不相同，正向規定無法適合于所有行業。并且日本已有先例：對于具有業務目的或特殊利用目的的信息，用人單位釋明后可向勞動者收集^［12］，其他信息一般不予收集；此外，勞動監管部門還基于《勞動安全法》進行列舉規定，例如第5條第4項規定可能導致歧視的信息不能被收集^［13］163。（2）在時間上設置留存上限?！秳趧雍贤ā返?0條規定勞動者離職后用人單位可將合同留存以備查，但僅規定了留存時間下限未規定上限，勞動者離職后的個人信息仍處于極不穩定的環境內，因此留存應設置時間上限。此外，由于勞動者離職后與單位間的聯系不再密切，出于對信息安全的考慮，單位處理離職員工的個人信息時應取得單獨同意。對此可借鑒日本，單位在向其他人提供離職勞動者個人信息時，應得到該離職勞動者的明確同意或法律的明確授權^［13］172。

其次，在防止處理范圍擴大的方面。第一，向勞動者提供充分知情的機會和渠道。知情不等于同意，知情是同意的前提。同意不適用于所有處理情形，但知情權的實現應當適用于所有情形^［14］。為保證勞動者知悉信息處理情況，用人單位需要在處理前確保勞動者對此知情，勞動者能否充分知悉個人信息的處理情況取決于單位是否充分履行告知義務^［15］，單位應當承擔該項證明責任。此外用人單位應當建立合規的信息處理查詢渠道，保障同意內容與處理內容的一致性。單位處理信息時難免因技術問題導致處理范圍超出同意范圍，因此用人單位獲得勞動者的初次同意后，還需為勞動者提供核對途徑，避免超出勞動者的同意范圍。第二，充分審查勞動者意思表示的自由程度?；趧谫Y雙方地位的不平等性，勞動者同意意思表示的自由程度可能受限。歐盟《通用數據保護條例》中規定審查同意應著重考慮對處理行為的同意是否是合同履行的前提，因此用人單位處理行為合法與否需認真審查勞動者意思表示的自由程度。意思表示的自由程度可從用人單位是否告知、在告知的情形下勞動者能否無不利后果的選擇拒絕以及勞動者是否享有撤回同意的權利等方面進行考察^［3］36。第三，完善技術措施的監督審查機制。在個人層面，定期號召用人單位開展自查，針對不合法、不合理的行為實現自我糾正。在社會層面，設立權威高效的勞動者權益監管機構，明確機構職責，加強機構間的協作。在國家層面，加強相關行政部門的審查力度，切實做好監督審查的“守門員”，有權要求單位對處理方式、處理目的做出解釋說明，并為勞動者信息安全提供技術保障，將不法行為遏制在源頭。

（二）合理界定單位的不當處理行為

單位的不當處理行為主要源于管理權的不當使用和行為合法性界定標準的欠缺。不當處理行為的界定涉及單位管理權和信息權益保護的博弈，離不開比例原則的適用?！睹穹ǖ洹返?023條規定了信息處理行為的免責情形，即在獲得同意后需要合理地處理個人信息。意味著即使處理行為獲得信息主體的同意也不代表信息處理者一定免于承擔責任，該處理行為必須是合理的，這是比例原則的要求。此外，由于單位管理權和勞動者信息權益保護的沖突^［16］，單位管理權的行使和實現是在勞動者犧牲其部分權利的基礎上進行的，以限制勞動者權益為代價，該種限制應當具有合理性^［3］31，該合理性即為比例原則的體現。

比例原則的核心在于信息處理行為應具有明確合理的目的、處理行為與處理目的相關、處理者應采取對權益影響最小的處理方式。通過強化適用比例原則實現不當處理行為的界定需要圍繞上述核心進行。首先，在處理目的的判斷方面，比例原則要求單位的處理行為需具有一定的處理目的，不僅要求處理目的明確、合理、特定，還要求該處理行為必須是實現處理目的的必要條件，即若不處理該個人信息，其處理目的便無法實現^{［4］268-269}。若單位的處理行為不是為了特定處理目的的實現，則該處理行為具有不正當性，不能作為合法性根據。此外還需要判斷單位的處理目的是否正當，若目的不正當，那么為實現該目的而實施的處理行為自然不具有正當性。

其次，在處理行為的限制方面，比例原則要求處理行為必須與處理目的直接關聯，若兩者不是直接關聯，那么單位基于管理需要所實施的行為便不具有合法性?！爸苯酉嚓P”強調對后續處理行為的限制，超出原處理目的的后續處理行為已經失去了與處理目的直接相關的條件^［17］。因此，判斷兩者是否直接相關時可判斷該處理行為是否被包含于原處理目的之中，對此可審查用人單位的處理行為是否被包含于告知內容之中，若被包含于告知內容，則認為處理行為被包含于處理目的，進而可認定處理行為與處理目的具有直接相關性。若不被包含時，需要進一步審查在社會一般人的理性思考下能否認為兩者之間是密切聯系的。例如，單位為了掌握員工的相關辦公信息，對其社交軟件采取監控等措施，但此時應當排除對私人社交軟件的監控，私人社交信息與單位試圖掌握的辦公內容關聯性不大，若單位對私人社交信息進行處理，則是對員工個人信息權益的侵犯。

最后，在處理方式的判斷方面，比例原則要求單位采取的處理方式必須是實現處理目的的唯一方式，需要符合最小損害原則，即單位在處理信息時需要采取對勞動者權益傷害最小的方式，并且該種方式可以達到單位管理權和員工個人信息權益的均衡保護^［18］。在判斷是否符合最小損害原則時可根據該行為是否存在其他有效的替代方式。如存在更小損害的替代方式而未采取時，該處理方式便是不恰當的、不具有合理性和合法性。例如，單位為提高員工工作效率、實現單位的有序管理，而對員工的工作狀態進行監控時，如果可以在工作場所和辦公設備上實施監督措施的，那么單位要求員工佩戴智能手環進行監督的行為便具有不正當性。

（三）明確用人單位的責任承擔

為解決用人單位的責任承擔問題需要在事前預防階段明確用人單位的職責劃分，并在事后救濟階段完善用人單位的侵權責任認定。前者可通過勞動基準法增設勞動者個人信息保護的內容，后者可從損害結果范圍以及因果關系判斷兩個方面完善用人單位的侵權責任認定。

首先，通過勞動基準法增設勞動者個人信息保護的內容，明確用人單位的安全保障職責。勞動基準是勞動者權益的最低保護標準，現階段我國勞動基準立法采用分散立法模式，但基本的勞動標準立法已列入立法規劃^⑥。勞動基準法旨在保障勞動者的基本權利，傳統勞動基準主要涵蓋勞動者生命、身體、健康以及財產等物質性需求^［19］。但勞動者也存在精神需求，用人單位不能利用技術手段對勞動者進行過度監控^［20］。因此，新時代下勞動基準應當與勞動者人格精神等需求對應。此外，傳統意義上的安全保障職責是指單位要提供安全的勞動環境，其多指物理空間上的，例如防止勞動者遭受性騷擾的義務^［21］。隨著網絡技術的發展，單位不僅具有傳統物理性工作環境，還具有網絡虛擬工作環境。在網絡虛擬工作環境中涉及信息和隱私安全，在該種環境下應當賦予用人單位對勞動者信息權益的安全保障義務。安全保障義務的本質是要求義務人對其所持有或使用的物、進行的活動所帶來的風險負責^［22］。就用人單位而言，當其利用勞動者工作產生的相關信息進行企業管理或者公司運營時，有必要對其所面臨的風險進行控制和預防。該種風險不僅包含物質性風險，更應當包含精神性風險，尤其是在個人信息領域，其涉及勞動者的人格利益。

其次，完善侵權損害賠償責任的認定?！秱€人信息保護法》第69條規定侵害個人信息采用過錯推定原則^［23］。這在一定程度上減輕了勞動者的舉證責任，為勞動者請求損害賠償提供了便利。但在實踐中僅依靠上述舉證責任的分配并不能完全解決責任承擔問題，有必要針對實踐問題做進一步完善。第一，將 “精神損害”納入損害結果的范圍，并降低程度要求。精神損害多指風險，“損害”與“風險”從字面上來看似乎是對立的，但并非不可調和。有學者認為在一定條件下“風險”也可以滿足確定性的要求^［24］?，F代侵權法已經對損害的類型進行了擴張，將“風險”作為一種潛在性損害。此外，適用《民法典》第1183條請求精神損害賠償時，損害必須達到“嚴重”程度。但在個人信息領域，侵害單個主體的個人信息造成較少損害的情形大有存在，但因損害往往達不到“嚴重”的程度而無法進行救濟，因此有必要降低程度要求。第二，因果關系的確定采用低標準。用人單位的信息處理行為與勞動者權益損害之間具有關聯，一般需要證明單位對勞動者信息實施了處理行為，而且該行為導致了損害的發生。但由于勞資雙方地位及信息能力的不對等性，因果關系的證明難度較大，本文認為可以視情況分配雙方的舉證責任。一方面，僅涉及用人單位一方時，由勞動者承擔舉證責任，但可采取高度可能性的標準來減輕勞動者的舉證壓力，平衡勞動者的弱勢地位。勞動者證明單位的處理行為存在侵害信息權益的高度可能性，而單位又無法推翻這種高度可能性時，即可證明因果關系的存在。另一方面，鑒于個人信息的多棲性，侵害勞動者個人信息可能涉及多方處理者，此時可將因果關系的舉證責任倒置給用人單位。因為涉及多方信息處理，用人單位相較于勞動者能掌握更多的信息，更有利于舉證證明。

五、結語

在個人信息泄漏問題頻發的互聯網時代，個人信息保護成為熱點話題。在勞動領域，鑒于勞資雙方地位的不平等性，勞動者的個人信息保護也具有一定的特殊性。但我國現行法律并未對勞動者個人信息的保護進行專門規定，使得勞動者個人信息保護面臨諸多困境。本文在借鑒相關方法的基礎上，首先通過規定負面清單和留存時間上限對用人單位的信息處理范圍予以明確；并通過完善勞動者個人信息處理的告知和查詢程序、加強意思自由程度的審查以及完善技術措施的監督審查機制三個方面，保障同意內容與處理內容的一致性，從而防止勞動者個人信息被過度處理。然后通過強化比例原則對處理目的、處理行為和處理方式的限制為單位處理行為的正當性提供判斷標準，實現單位管理權與勞動者個人信息權益保護的動態平衡。最后通過增設勞動者個人信息保護的勞動基準，明確單位的安全保障義務實現勞動者信息保護的事前預防，并通過明確損害結果的范圍以及因果關系的判斷標準，確保勞動者請求權的行使，充分實現勞動者信息保護的事后救濟。

注釋

①參見新浪網：《某東要求員工提交親屬同學關系或涉嫌侵犯隱私權》，http：//finance.sina.com.cn/roll/2019-03-22/doc-ihtxyzsk9574494.shtml，訪問時間2023年9月2日。

②參見山東省煙臺市中級人民法院（2019）魯06民終7145號民事判決書。

③參見廣東省珠海市香洲區人民法院（2021）粵0402民初25097號民事判決書。

④參見廣東省廣州市中級人民法院（2021）粵01民終26259號民事判決書。

⑤參見北京市第二中級人民法院（2022）京02民終1072號民事判決書。

⑥參見馮濤.《基本勞動標準法草案有望明年提請審議》，http：//www.npc.gov.cn/npc/c30834/202111/f61d16a0ac7d4d11a23354f662769d2d.shtml，載《法治日報》，最后訪問時間2023年8月16日。

參考文獻

［1］王健.社交媒體中勞動者隱私權的法律保護——基于歐盟與我國司法實踐的比較研究［J］.華中科技大學學報（社會科學版），2019（4）：117.

［2］丁曉東.勞動者個人信息法律保護面臨的挑戰及其應對［J］.中國人民大學學報，2022（3）：161.

［3］謝增毅.勞動者個人信息保護的法律價值、基本原則及立法路徑 ［J］.比較法研究，2021（3）：25-38.

［4］程嘯.個人信息保護法理解與適用［M］. 北京： 中國法制出版社，2021.

［5］齊愛民，張哲.識別與再識別：個人信息的概念界定與立法選擇［J］.重慶大學學報（社會科學版），2018（2）：126.

［6］謝增毅.職場個人信息處理的規制重點——基于勞動關系的不同階段［J］.法學，2021（10）：169.

［7］張繼紅，鄭書康.論勞動者個人信息處理的合法性基礎［J］.上海大學學報（社會科學版），2022（1）：1.

［8］肖竹.勞動關系從屬性認定標準的理論解釋與體系構成［J］.法學，2021（2）：163-174.

［9］張新寶.個人信息收集：告知同意原則適用的限制［J］.比較法研究，2019（6）：3.

［10］吳文芳.勞動者個人信息處理中同意的適用與限制［J］.中國法學，2022（1）：222.

［11］曾新宇.勞動者個人信息保護問題研究［J］.山東工會論壇，2021，28（3）：104.

［12］張義德.論勞工隱私權之保障——以日本法為借鏡［J］.政大法學評論，2018（156）：117-118.

［13］Ryoko Sakuraba， Protection of personal information and privacy in the japanese workplace， in the Japan Institute for labourer policy and training： Protection of employer personal information and privacy［R］. JILPT Report，No. 14， 2014.

［14］程嘯.論個人信息處理者的告知義務［J］.上海政法學院學報（法治論叢），2021（5）：69.

［15］丁曉強.個人數據保護中同意規則的“揚”與“抑”——卡-梅框架視域下的規則配置研究［J］.法學評論，2020（4）：139.

［16］楊勤法，程圓圓.勞動者個人信息權益保護的法律困境與對策［J］.中國人力資源開發，2022，39（6）：96.

［17］張新寶.個人信息處理的基本原則［J］.中國法律評論，2021（5）：22.

［18］劉權，目的正當性與比例原則的重構［J］.中國法學，2014（4）：133-150.

［19］《勞動與社會保障法學》編寫組.勞動與社會保障法學［M］.北京：高等教育出版社，2017：191.

［20］王倩.作為勞動基準的個人信息保護［J］.中外法學，2022（1）：188.

［21］何霞，冉智勤.《民法典》視域下“工作場所性騷擾”的用人單位責任［J］.人權法學，2023（1）：53.

［22］劉召成.安全保障義務的擴展適用與違法性判斷標準的發展［J］.法學，2014（5）：72.

［23］楊立新.個人信息處理者侵害個人信息權益的民事責任 ［J］. 國家檢察官學院學報，2021，29（5）：43.

［24］田野.風險作為損害：大數據時代侵權“損害”概念的革新［J］.政治與法律，2021（10）：30.

Dilemma and Breakthrough of Employees Personal Information Protection

SHI Wenhui，ZHANG Zhaoxia

（Law School，Qingdao University，Qingdao，Shandong Province，266071）

Abstract：In the internet era，where information security problems are frequent，the protection of personal information presents certain particularities in the workplace.However，due to the fact that Chinas current laws do not specifically stipulate the protection of personal information in the workplace and the personal information protection system of employees is not yet perfect，resulting in? many practical difficulties in the protection of employees personal information in terms of the boundaries of behavior handling，the definition of improper handling behaviors，and the responsibility of employers.Therefore，it is necessary to clarify the scope of processing of employees personal information by establishing a “negative list” and a “time limit”，and to prevent the expansion of the scope of processing by refining a notification and consent rule.By strengthening the restrictions on the purpose，behavior and method of processing under the principle of proportionality，the definition of improper handling behavior by the unit is realized.By establishing protection rules and improving the determination of responsibility，the relevant responsibilities of employers are clarified，so as to achieve adequate protection and relief for employees personal information.

Key words：employees personal information;labor relations;excessive processing of information;Labor Standards Act

（責任編輯：楊 真）