近年来,数字技术普及在带给人类高效便捷红利的同时,也使社会主体间的信息公平逐渐失衡。比如在工作数字化趋势不断加强背景下,有的用人单位借助人工智能和算法系统收集员工网络访问地址、聊天内容和简历投递情况等信息。这可能侵害劳动者通信秘密和自由、择业权、个人隐私等权利。此外,有的用人单位借助人工智能和算法系统对员工进行“工作效率分析”,这不但使劳动者被异化为“工具”,而且影响其创造性、能动性和自主空间。这种为监督劳动者工作表现而对其进行长时间、不间断的监控,超出个人信息处理合法性范围。笔者建议,修订相关法律或者制定司法解释时,对此进行明确。
通过法律明确规定劳动者个人信息保护制度。劳动关系具备持续性,劳动者从属于用人单位,劳动者个人信息处理贯穿于求职应聘、劳动关系存续期间以及劳动关系终止后等不同阶段,这就使得劳动者个人信息极易遭受侵害。因此,有必要强化劳动者个人信息保护,或在个人信息保护法相关司法解释中予以明确,或在劳动法修订时予以明确。建议在劳动法中增加引致性规定(用人单位处理劳动者的个人信息,应当遵守法律、行政法规关于个人信息保护的规定),即可充分利用专门立法中的个人信息保护一般规则。与此同时,考虑到劳动关系的特殊性,立法机关也可以详细规定劳动者个人信息处理的目的、劳动者个人同意、特殊类型个人信息处理、个人信息处理集体协议或规章制度等。需要注意的是,在用人单位采取安装视频、邮件、网络或其他系统监控时,立法应当要求明示使用视频监控或人工智能和算法系统的公法和私法目的。
在劳动者个人信息处理中,适当限制知情同意原则的适用。依照《个人信息保护法》第十三条规定,取得个人同意属于个人信息处理最重要的合法性基础。但由于用人单位和劳动者地位的不对称,劳动者的同意可能只是一种被迫“同意”,而非其内心真实表达。因此,对劳动者同意应当进行更加严格的限制,以确保符合充分性和自愿性的要求。此时,立法既可以限定劳动者同意的具体适用条件(比如劳动者获得法律或经济上的好处或用人单位与劳动者的利益诉求一致),也可以要求用人单位承担劳动者自愿同意的证明责任。
在行政法规中进行具体规定,强化劳动者个人信息保护的行政监管。目前,《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》实现了对特定群体的个人信息保护。同样地,若劳动法仅对个人信息保护进行原则性规定,可以考虑制定专门的“劳动者个人信息保护规定”强化劳动者个人信息保护,或者劳动保障部门设立独立机构专门负责劳动者个人信息保护事宜,其职能范围主要包括制定相关政策、宣传教育、监督指导、处理投诉和举报、检查和处罚等。
针对劳动者个人信息处理,可以制定和发布用人单位行为的指引。建议参考公安部网安局、北京网络行业协会、公安部第三研究所2019年4月共同起草发布的《互联网个人信息安全保护指南》,由人力资源和社会保障部门与工会组织牵头制定用人单位处理劳动者个人信息的行为指引,指导企业的劳动者个人信息处理行为,提高劳动者个人信息保护意识。
(作者单位:中国人民公安大学数据法学研究院)
