原標題:歐盟企業雇員資訊保護制度
2023年11月,歐盟透過【數據法案】,一方面確立歐盟數據流轉與利用的基本規則,為數位經濟的高效發展提供良好環境;另一方面細化【通用數據保護條例】(以下簡稱【條例】)與【關於工作中數據處理的意見】(以下簡稱【意見】)中關於雇員個人資訊的治理原則,為雇員個人資訊的保護與流通構建統一協調的法律框架。具體而言,針對企業雇員的資訊保護,歐盟當前形成了【條例】的一般性保護與【意見】的特殊性規制相輔相成的保護模式。【條例】奠定了個人資訊保護制度的基礎框架,作為專門的數據保護條例,也將雇員資訊保護納入其中,采用與一般個人資訊保護相同的標準。基於勞動領域雇員資訊保護的特殊性,歐盟制定了適用於勞動領域的【意見】,對雇員的資訊保護提出更為具體的規制措施。
歐盟企業雇員資訊保護制度的特點
第一,采取「一般——特殊」的雇員資訊保護模式。歐盟對個人資訊保護的立法起步較早,早在上世紀90年代就已頒布歐盟95號指令,對個人資訊保護立法起到指向性作用。而後【條例】的出台替代歐盟95號指令,成為歐盟個人資訊處理的標準型規範。歐盟對個人資訊的保護采取統一的立法模式,將有關個人資訊的內容囊括其中,涵蓋的利益主體範圍較廣,形成一般性規範原則。
勞動領域中雇員資訊的保護有別於一般的個人資訊保護,受到勞動場景下非對稱性關系的影響,雇員「知情」和「同意」兩項實質性要件往往會出現虛化現象,所以僅依靠【條例】對雇員資訊進行保護難以確保是周延的。【意見】根據數位經濟背景下雇員關系的特殊性,對【條例】中的保護原則進行細化,針對不同場景下的雇員資訊處理提出不同的要求,切實將雇員資訊保護落實在企業管理的各個環節。
【條例】與【意見】一同構建起歐盟雇員資訊保護法律體系,采用「一般——特殊」的保護模式既能夠為雇員資訊保護提供統一的標準,從實體權利和程式正義方面切實保護雇員的資訊權益,還可以針對僱用關系的特殊性,對雇員的資訊利益提供針對性保護,填補一般性保護立法模式下的缺漏。
第二,兼顧企業和雇員利益的平衡。【條例】和【意見】賦予雇員在個人資訊處理方面的諸多權利,例如知情權、刪除權、存取權以及糾正權等等,同時要求企業承擔諸多責任和義務,構建全面的雇員資訊保護制度。但歐盟的雇員資訊保護制度並沒有將雇員的資訊權益絕對化,也設定一些限制性條款,允許企業在必要情形下可以不經同意處理雇員的個人資訊。這些必要情形有基於公共利益的需求,也有出於企業勞動管理權因素的影響。企業是一個盈利組織體,依靠雇員的共同勞動才能得以存續,為了確保企業的正常執行,企業有權對雇員進行必要管理,因此,【條例】和【意見】平衡企業和雇員的利益,強調保障雇員資訊權益的同時,也沒有忽視企業處理雇員資訊的正當利益,對二者進行平衡規制。
【通用數據保護條例】的一般性保護
首先,設定一般性保護原則。【條例】以專章的形式規定了個人資訊處理的基本原則,這些原則同樣適用於企業雇員的資訊保護,要求企業應當有足夠的風險認知,需在遵循這7項基本原則的前提下處理雇員資訊,並根據企業自身情況制定針對性的保護機制,如若違反基本原則應承擔法律責任。
其次,明確「知情——同意」為雇員資訊處理的核心。【條例】第6條、第7條規定處理個人資訊應當以「知情——同意」為合法性基礎,即資訊處理者有義務告知資訊主體關於獲取資訊的基本目的、處理方式以及儲存時限等等,在取得資訊主體的同意後方能對個人資訊進行處理,該原則同樣適用於雇員資訊的保護。然而在僱用關系中,企業和雇員的關系呈現出「資強勞弱」的局面,雇員無法作出真實的「同意」意思表示。因此在雇員資訊保護方面,【條例】第88條規定僱用情景下的資訊保護在遵循「知情——同意」原則之下,成員國可以設定更為具體的保護規定,以此來保障企業雇員的資訊權益。
再次,賦予雇員資訊權利。【條例】賦予雇員明確、系統而全面的權利,具體包括知情權、存取權、更正權、數據可攜帶權、限制處理權、刪除權以及有關自主化決策和分析的權利。其中,知情權是雇員資訊處理的核心,雇員只有充分享有知情權,才能對企業獲取處理個人資訊的行為表示同意。在知情權的基礎之上,雇員還享有對個人資訊的撤回權,撤回權的行使應當與作出同意一樣容易且便捷。與此同時,雇員有權了解企業對其資訊的處理方式、儲存期限等資訊,並進行存取,一旦發現與實際情況不符的情形,可以要求企業進行更正。此外,當雇員發現企業獲取的個人資訊超過必要限度,且處理目的並不具備正當性時,可以行使刪除權,要求企業刪除關於自己的個人資訊。
最後,要求企業設立保護機制。一方面,企業在內部應當主動設定技術保護措施,來確保企業對雇員資訊的收集和處理符合【條例】的要求,且這些措施需要時常更新並被檢查。具體而言,就是需要結合企業自身的發展特性,在初始階段制定資訊處理的風險控制系統,設定安全評估系統,定期對資訊處理系統的有效性和安全性進行評估。在進行安全性和有效性評估時,尤其要註意處理過程中可能出現的風險,例如傳輸、儲存過程中雇員資訊的泄露、遺失等等。一旦出現資訊泄露、遺失等情形,企業有義務及時向監管部門進行報告,包括但不限於泄露資訊的具體數量,可能造成的危害後果以及後續的補救措施。而雇員作為資訊的主體,當然有權知悉資訊泄露的具體情況,企業有義務主動告知,且該告知應當是毫不延遲的,以此維護雇員的資訊知情權。
另一方面,設定數據保護官。為確保雇員資訊能夠在合法範圍內得以妥當處理,【條例】第37條規定了數據保護官制度。作為確保數據處理合規的監督者,數據保護官被賦予數據監管和保護數據主體權益的重要功能,具有「提出通知和建議、監督數據處理合規、參與數據保護影響評估、與監管機構合作、對接數據主體、數據處理的記錄與歸檔」6項職能。數據保護官需要監督資訊處理的全過程,在合規方面提供指導,對雇員數據的處理行為進行記錄和歸檔,就企業資訊處理系統進行評估,針對評估內容提出具體建議。除此以外,數據保護官還需要主動與數據監管部門對接,根據要求及時向監管機構提供數據或有關檔,便於監管機構開展調查、行使糾正等職責,並對監管機構的回復和建議進行落實。
【關於工作中數據處理的意見】的特殊性保護
在遵循【條例】基礎規則之上,歐盟結合勞動場景下雇員資訊保護的特殊性制定了【意見】,為雇員的資訊保護作出更進一步的指導。【意見】結合當下新技術帶來的資訊處理風險,對企業利益和雇員資訊保護關系進行平衡,具體的創新內容如下:
第一,提出勞動領域處理雇員資訊的新要求。相較於【條例】規定的7項基本原則,【意見】根據僱用關系的特點,提出「法律依據、透明度和自動決策」3項新要求。在法律依據方面,提出雇員的「同意」標準應有別於個人資訊保護的「同意」原則,雇員同意必須是雇員意願的具體和知情的表示,工作裝置上的預設設定不能算雇員的同意,不能作為企業處理雇員資訊的合法性基礎。在透明度方面,企業要保證雇員資訊處理的透明度,將資訊處理的目的、手段、方式等內容明確告知雇員,防範企業對雇員資訊的隱蔽處理,確保資訊處理的公平性。關於自動決策,規定雇員可以不接受企業的自動化資訊收集決定,除非該決定是為簽訂或履行合約所必須,經歐盟或成員國法律授權,或基於雇員以明確的方式表示的同意。
第二,提出雇員「同意」的新標準。在僱用關系中基於勞資雙方地位的不平等,雇員很難真實地表露內心真意,往往基於勞動關系的從內容作出虛假同意的意思表示,從而使資訊處理的核心制度「知情——同意」淪為形式主義。針對這種現象,【意見】規定僱用關系中的資訊處理不能僅以「同意」作為處理的合法性依據,提出否定同意原則,規定只有當雇員作出同意或拒絕的選擇不會對自身產生任何不利影響或雇員利益與企業利益一致時,雇員的同意才是有效的同意。此外,【意見】並未將雇員資訊處理局限於傳統的勞動場域,而是針對新環境、新業態下出現的新型勞動關系,將適用範圍擴大,以更好保護雇員的資訊權益。
第三,細化雇員資訊保護場景。在招聘階段,企業應當圍繞「必要限度」收集雇員的個人資料,且收集的資料應當與企業職位相關,並不能毫無限度,對於未錄用者,應當及時刪除其個人資訊。在職期間對於雇員資訊的獲取應當基於「勞動管理權」的範圍之內,避免向雇員索要透過社群網路與他人共享的資訊和個人敏感資訊。關於工作中的監測行為,企業可以對雇員的網路裝置進行監控,但是雇員的私人資訊不應成為其監控物件,不能隨意捕捉雇員的人臉等基因資訊。對於雇員資訊的共享,企業只有在提供充分的制度保護和獲取雇員同意的基礎之上,才能在不同的區域間共享雇員的基本資訊。
(作者單位:中南財經政法大學)(陳苗苗)
(人民法院報)
