2023年11月,欧盟通过《数据法案》,一方面确立欧盟数据流转与利用的基本规则,为数字经济的高效发展提供良好环境;另一方面细化《通用数据保护条例》(以下简称《条例》)与《关于工作中数据处理的意见》(以下简称《意见》)中关于雇员个人信息的治理原则,为雇员个人信息的保护与流通构建统一协调的法律框架。具体而言,针对企业雇员的信息保护,欧盟当前形成了《条例》的一般性保护与《意见》的特殊性规制相辅相成的保护模式。《条例》奠定了个人信息保护制度的基础框架,作为专门的数据保护条例,也将雇员信息保护纳入其中,采用与一般个人信息保护相同的标准。基于劳动领域雇员信息保护的特殊性,欧盟制定了适用于劳动领域的《意见》,对雇员的信息保护提出更为具体的规制措施。
欧盟企业雇员信息保护制度的特点
第一,采取“一般——特殊”的雇员信息保护模式。欧盟对个人信息保护的立法起步较早,早在上世纪90年代就已颁布欧盟95号指令,对个人信息保护立法起到指向性作用。而后《条例》的出台替代欧盟95号指令,成为欧盟个人信息处理的标准型规范。欧盟对个人信息的保护采取统一的立法模式,将有关个人信息的内容囊括其中,涵盖的利益主体范围较广,形成一般性规范原则。
劳动领域中雇员信息的保护有别于一般的个人信息保护,受到劳动场景下非对称性关系的影响,雇员“知情”和“同意”两项实质性要件往往会出现虚化现象,所以仅依靠《条例》对雇员信息进行保护难以确保是周延的。《意见》根据数字经济背景下雇员关系的特殊性,对《条例》中的保护原则进行细化,针对不同场景下的雇员信息处理提出不同的要求,切实将雇员信息保护落实在企业管理的各个环节。
《条例》与《意见》一同构建起欧盟雇员信息保护法律体系,采用“一般——特殊”的保护模式既能够为雇员信息保护提供统一的标准,从实体权利和程序正义方面切实保护雇员的信息权益,还可以针对雇佣关系的特殊性,对雇员的信息利益提供针对性保护,填补一般性保护立法模式下的缺漏。
第二,兼顾企业和雇员利益的平衡。《条例》和《意见》赋予雇员在个人信息处理方面的诸多权利,例如知情权、删除权、访问权以及纠正权等等,同时要求企业承担诸多责任和义务,构建全面的雇员信息保护制度。但欧盟的雇员信息保护制度并没有将雇员的信息权益绝对化,也设定一些限制性条款,允许企业在必要情形下可以不经同意处理雇员的个人信息。这些必要情形有基于公共利益的需求,也有出于企业劳动管理权因素的影响。企业是一个盈利组织体,依靠雇员的共同劳动才能得以存续,为了确保企业的正常运行,企业有权对雇员进行必要管理,因此,《条例》和《意见》平衡企业和雇员的利益,强调保障雇员信息权益的同时,也没有忽视企业处理雇员信息的正当利益,对二者进行平衡规制。
《通用数据保护条例》的一般性保护
首先,设定一般性保护原则。《条例》以专章的形式规定了个人信息处理的基本原则,这些原则同样适用于企业雇员的信息保护,要求企业应当有足够的风险认知,需在遵循这7项基本原则的前提下处理雇员信息,并根据企业自身情况制定针对性的保护机制,如若违反基本原则应承担法律责任。
其次,明确“知情——同意”为雇员信息处理的核心。《条例》第6条、第7条规定处理个人信息应当以“知情——同意”为合法性基础,即信息处理者有义务告知信息主体关于获取信息的基本目的、处理方式以及储存时限等等,在取得信息主体的同意后方能对个人信息进行处理,该原则同样适用于雇员信息的保护。然而在雇佣关系中,企业和雇员的关系呈现出“资强劳弱”的局面,雇员无法作出真实的“同意”意思表示。因此在雇员信息保护方面,《条例》第88条规定雇佣情景下的信息保护在遵循“知情——同意”原则之下,成员国可以设置更为具体的保护规定,以此来保障企业雇员的信息权益。
再次,赋予雇员信息权利。《条例》赋予雇员明确、系统而全面的权利,具体包括知情权、访问权、更正权、数据可携带权、限制处理权、删除权以及有关自主化决策和分析的权利。其中,知情权是雇员信息处理的核心,雇员只有充分享有知情权,才能对企业获取处理个人信息的行为表示同意。在知情权的基础之上,雇员还享有对个人信息的撤回权,撤回权的行使应当与作出同意一样容易且便捷。与此同时,雇员有权了解企业对其信息的处理方式、存储期限等信息,并进行访问,一旦发现与实际情况不符的情形,可以要求企业进行更正。此外,当雇员发现企业获取的个人信息超过必要限度,且处理目的并不具备正当性时,可以行使删除权,要求企业删除关于自己的个人信息。
最后,要求企业设立保护机制。一方面,企业在内部应当主动设置技术保护措施,来确保企业对雇员信息的收集和处理符合《条例》的要求,且这些措施需要时常更新并被检查。具体而言,就是需要结合企业自身的发展特性,在初始阶段制定信息处理的风险控制系统,设置安全评估系统,定期对信息处理系统的有效性和安全性进行评估。在进行安全性和有效性评估时,尤其要注意处理过程中可能出现的风险,例如传输、存储过程中雇员信息的泄露、丢失等等。一旦出现信息泄露、丢失等情形,企业有义务及时向监管部门进行报告,包括但不限于泄露信息的具体数量,可能造成的危害后果以及后续的补救措施。而雇员作为信息的主体,当然有权知悉信息泄露的具体情况,企业有义务主动告知,且该告知应当是毫不延迟的,以此维护雇员的信息知情权。
另一方面,设置数据保护官。为确保雇员信息能够在合法范围内得以妥当处理,《条例》第37条规定了数据保护官制度。作为确保数据处理合规的监督者,数据保护官被赋予数据监管和保护数据主体权益的重要功能,具有“提出通知和建议、监督数据处理合规、参与数据保护影响评估、与监管机构合作、对接数据主体、数据处理的记录与归档”6项职能。数据保护官需要监督信息处理的全过程,在合规方面提供指导,对雇员数据的处理行为进行记录和归档,就企业信息处理系统进行评估,针对评估内容提出具体建议。除此以外,数据保护官还需要主动与数据监管部门对接,根据要求及时向监管机构提供数据或有关文件,便于监管机构开展调查、行使纠正等职责,并对监管机构的回复和建议进行落实。
《关于工作中数据处理的意见》的特殊性保护
在遵循《条例》基础规则之上,欧盟结合劳动场景下雇员信息保护的特殊性制定了《意见》,为雇员的信息保护作出更进一步的指导。《意见》结合当下新技术带来的信息处理风险,对企业利益和雇员信息保护关系进行平衡,具体的创新内容如下:
第一,提出劳动领域处理雇员信息的新要求。相较于《条例》规定的7项基本原则,《意见》根据雇佣关系的特点,提出“法律依据、透明度和自动决策”3项新要求。在法律依据方面,提出雇员的“同意”标准应有别于个人信息保护的“同意”原则,雇员同意必须是雇员意愿的具体和知情的表示,工作设备上的默认设置不能算雇员的同意,不能作为企业处理雇员信息的合法性基础。在透明度方面,企业要保证雇员信息处理的透明度,将信息处理的目的、手段、方式等内容明确告知雇员,防范企业对雇员信息的隐蔽处理,确保信息处理的公平性。关于自动决策,规定雇员可以不接受企业的自动化信息收集决定,除非该决定是为签订或履行合同所必须,经欧盟或成员国法律授权,或基于雇员以明确的方式表示的同意。
第二,提出雇员“同意”的新标准。在雇佣关系中基于劳资双方地位的不平等,雇员很难真实地表露内心真意,往往基于劳动关系的从属性作出虚假同意的意思表示,从而使信息处理的核心制度“知情——同意”沦为形式主义。针对这种现象,《意见》规定雇佣关系中的信息处理不能仅以“同意”作为处理的合法性依据,提出否定同意原则,规定只有当雇员作出同意或拒绝的选择不会对自身产生任何不利影响或雇员利益与企业利益一致时,雇员的同意才是有效的同意。此外,《意见》并未将雇员信息处理局限于传统的劳动场域,而是针对新环境、新业态下出现的新型劳动关系,将适用范围扩大,以更好保护雇员的信息权益。
第三,细化雇员信息保护场景。在招聘阶段,企业应当围绕“必要限度”收集雇员的个人资料,且收集的资料应当与企业职位相关,并不能毫无限度,对于未录用者,应当及时删除其个人信息。在职期间对于雇员信息的获取应当基于“劳动管理权”的范围之内,避免向雇员索要通过社交网络与他人共享的信息和个人敏感信息。关于工作中的监测行为,企业可以对雇员的网络设备进行监控,但是雇员的私人信息不应成为其监控对象,不能随意捕捉雇员的人脸等基因信息。对于雇员信息的共享,企业只有在提供充分的制度保护和获取雇员同意的基础之上,才能在不同的区域间共享雇员的基本信息。
(作者单位:中南财经政法大学)