在互联互通的大数据时代,用户个人信息被无限地收集、使用、传输,使我们在享受便利的同时,承担着“裸奔”的巨大风险。如何实现数据利用与信息保护之间的平衡,是一个具有普遍性的全球话题,也是我国立法者一直在努力突破的难关。将于明年实行的《民法典》在人格权编中专设一章对“隐私权和个人信息保护”进行了规定,明确将隐私权与个人信息保护界定为自然人依法享有的人格权的范畴,为从法律层面强化个人信息保护迈出了重要一步。
关于个人信息保护在劳动用工领域的体现,《劳动合同法》第八条规定了用人单位的告知义务和劳动者的说明义务,即“用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”同时,《劳动合同法》第二十三条也规定了劳动者需要根据约定对已知悉的用人单位商业秘密等承担保密的义务。可见,在《民法典》之前,用人单位与劳动者在信息保密方面的权利义务存在一定的不平衡现象,劳动者一方既要承担个人情况的说明义务,又要承担违反保密义务给单位造成损失的责任;而对于用人单位一方却没有涉及劳动者个人信息保护的相关规定。实务中,作为用人单位,在招用人员、用工管理过程中难免出现获取、使用和提供劳动者个人信息的情况,而《民法典》的颁布为劳动用工领域用人单位对劳动者个人信息的保护义务提供了依据,对用人单位的劳动人事管理也提出了新的挑战。
一、关于个人信息和个人信息权(权益)的界定
(一)个人信息的定义
在《民法典》之前,《网络安全法》第76条1款5项是我国法律体系中关于个人信息最早也是最权威的界定,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第1034条2款除对部分措辞进行修改外,基本沿用了这一概念,规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
(二)个人信息与隐私的区别与联系
需要特别注意的是,个人信息与隐私并非完全等同的概念。《民法典》中也将“隐私权”作为与“个人信息保护”并列的概念进行了单独的规定。即在《民法典》第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”可以看出,个人信息与隐私既有所重合,又存在着大量各自独立的内容。隐私的概念中既包含以信息形式呈现的内容,也包括个人的私密空间、活动等非信息形式的内容,而个人信息中最私密的、不愿为他人知晓的部分内容,才属于隐私的范畴。关于二者交叉重合部分的处理,《民法典》第1034条第3款也进行了规定,即“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
(三)权利or权益?
关于个人信息保护究竟是一项民事权利还是民事权益在学界争议较大。有学者认为《民法典》、《民法总则》均没有使用“个人信息权”这一表述,而是一直谨慎地使用“个人信息”“保护个人信息”等用语,不像第110条用“权”字对几种人身权利进行了确认与列举,如生命权、健康权、姓名权、名誉权、隐私权等,表明民法并没有将个人信息作为一项具体的人格权利,而仅仅是一种人格权益或者说民事上的“其他合法权益”[1]。也有学者认为《民法典》第一编第五章的标题就是“民事权利”,该章规定的对个人信息的保护当然也应理解为对一项民事权利的保护;此外,从位置来看,该条紧跟着确认与保护人身权的条文,表明立法者是从保护人身权利的角度对个人信息加以规定的;从实质内容来看,该条赋予了自然人以支配性权利,且设定了其他主体作为与不作为的义务,根据该民事利益的独立性、与其他利益之间界限的清晰性、在实践中作为一项权利进行保护无障碍等等标准,应当认定此处规定的保护个人信息是一项具体的人格权[2]。
对此,笔者倾向于第一种观点,即认为个人信息是一种受法律保护的权益,在权益被侵害时,当事人可以依据侵权责任的有关规定主张赔偿责任。
二、关于个人信息保护的相关法律规定
(一)《民法典》前的相关规定
在《民法典》颁布前,我国对于公民个人信息的保护最早体现在刑法领域,即《刑法修正案(七)》、《刑法修正案(九)》中对“出售、非法提供公民个人信息罪”的规定。其中,2009年的《刑法修正案(七)》中明确了出售、非法获取、提供公民个人信息的量刑依据和标准,2015年《刑法修正案(九)》更是进一步扩大了打击范围与力度,将犯罪主体从国家机关、金融、电信、教育等特定单位工作人员扩大到所有主体,并增加了量刑层级。
随着互联网的兴起与普及,在世界性个人信息保护运动的影响与回应国内个人信息保护不力的迫切需求下,2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定》,明确指出:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,规定了收集个人信息的要求以及侵害个人信息的责任。
2016年发布的《网络安全法》对互联网领域个人信息的保护进行了较为全面的规定。除在附则部分明确了个人信息的概念外,还在第四章“网络信息安全”中对个人信息的收集、存储和使用进行了较为全面的规定,比如:“收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”“不得泄露、篡改、毁损其收集的个人信息”“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”等。除了建立制度、确定原则,明确保密等作为义务和不得窃取、泄露、篡改、毁损等不作为义务等等,在第六章,该法还规定了违反上述禁止性规范所需承担的法律责任。
2017年,经历了从无到有的艰难历程,个人信息保护终于在民法领域中取得了一席之地。《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”看似简短,实则意涵丰富。首先第一层,权利(权益)赋予,将个人信息纳入民法的保护范围;其次,设定了合法收集义务与积极作为义务,“任何组织和个人”表明民法规制主体的全面性,这与《刑法》第253条之1相衔接,体现了刑民一体化以及法秩序相统一原理[3],顺应了全面保护个人信息的时代趋势;最后,两个“不得”则设定了消极不作为义务,禁止一系列危害个人信息权利(权益)的非法行为[4]。
(二)《民法典》的相关规定
《民法典》总则编第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”该条除了将原《民法总则》中表述的“和”改为“或者”外,其余内容全部保留。在人格权编第六章“隐私权和个人信息保护”中则以先前的法律规范为基础,进行了具体规定:
1、个人信息的含义及内容
《民法典》第1034条对个人信息的内容,以及个人信息与隐私出现交叉重合时的法律适用问题做出了规定,如前文所述,在此不再赘述。
2、处理个人信息的方式及处理原则
《民法典》第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
3、处理个人信息时的免责情形
《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”
4、对信息处理者的行为要求
《民法典》第1038条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
5、违法处理个人信息的法律后果
《民法典》第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”
此外,《民法典》第995条、996条还规定了人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。承担民事责任的具体方式包括停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉,甚至精神损害赔偿等。
从上述规定可以看出,《民法典》关于个人信息保护的框架在《网络安全法》的基础上,将“网络运营者”改为“信息处理者”,主体范围有所扩大,并明确界定了信息处理的含义,涵盖了个人信息应用的各个阶段与各类情形,救济途径的规定也更为全面。
三、劳和律师对用人单位应对措施的建议
《劳动合同法》第八条中规定了用人单位向劳动者获取与劳动合同直接相关的信息的权利,实务中通常包括劳动者的学历水平、健康状况及以往的工作经历等。同时,《劳动合同法实施条例》第八条也规定,用人单位建立的职工名册中应当包含劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容,这就难免涉及到对劳动者个人信息的获取、存储和使用。
作为用人单位在收集、存储、使用员工信息时,需要谨慎识别哪些信息是属于受《民法典》保护的个人信息的范畴,按照相关法律规定来妥善处理相关信息,平衡好单位知情权与劳动者个人信息保护两种法益的关系,否则可能面临承担民事责任甚至刑事责任的风险。那么,作为用人单位应当采取怎样的措施来保护劳动者的个人信息以避免自身法律责任呢?
(一)在人员招用环节,合理获取和处理与劳动合同直接相关的个人信息
在人员招用阶段,用人单位往往需要向应聘者询问或要求应聘者提供相关信息,在这种情形下,单位需要遵循《民法典》规定的“合法、正当、必要”的原则,合法收集与劳动合同直接相关的应聘人员个人信息。此处需要注意的是,是否与劳动合同直接相关应当根据不同单位具体岗位性质的情况确定,比如在招收餐饮性质岗位对于应聘人员健康状况等信息的了解,以及招收幼教岗位对于应聘人员犯罪前科等信息的了解等均应属于与劳动合同直接相关的信息,用人单位有权了解;当需要收集与劳动合同不直接相关的个人信息时则应按照《民法典》的规定征得应聘人员的书面同意。另外,为避免争议,用人单位可在应聘人员填写的《应聘登记表》等表格中注明“本人自愿提供以上信息”等内容,并由应聘人员签字确认。
对于确定招用的人员,用人单位需要依法对已收集到的信息进行合理存储,在存储的过程中按照《民法典》的要求,确保存储信息安全,防止信息泄露、篡改、丢失;如应聘者最终未被录用,用人单位则应及时返还简历等记载个人信息的资料、并及时删除有关信息。
(二)在用工管理环节,建章立制,明确员工个人信息使用和处理的规则
在用人单位劳动用工管理的过程中,不可避免地需要收集、使用和提供员工的个人信息,比如收集员工指纹用于考勤、向社会保险部门提供员工的身份信息用于缴纳社会保险等。用人单位处理员工个人信息时应在遵循合法、正当、必要原则的基础上,根据《民法典》的要求在规章制度中明确单位劳动人事管理的各个流程阶段处理员工个人信息的目的、方式和范围,并予以公示。比如,明确用人单位在招聘和背景调查阶段有权了解员工与劳动合同和应聘岗位相关的信息,以及单位为管理需要在何种情形下可以收集和使用员工个人信息的范围,在确属必要需对外提供或公开员工个人信息的情况下应征得员工的书面同意或进行相应的处理后再行提供或公开等。另外,用人单位还应建立员工信息管理制度,明确相关责任部门和责任人,对获取到的员工个人信息进行妥善保管,确保信息安全。
(三)在劳动争议过程中用人单位应注意调查取证的边界
当发生劳动争议时,用人单位在调查取证过程中也极易产生对劳动者的个人信息侵权问题。从举证责任上看,目前的法律和司法实践对于用人单位在劳动争议案件中的举证责任要求较高,尤其是在违法解除劳动合同赔偿金争议案件中用人单位对于劳动者违纪事实的举证和竞业限制案件中用人单位对于劳动者违反竞业限制义务的举证上都可能需要收集和提供涉及劳动者个人信息的内容,比如反映个人财产、健康状况的信息,以及订票、酒店等行踪轨迹信息等,都属于受《民法典》保护的个人信息,用人单位在收集、提供上述信息时需要谨慎处理,避免侵犯劳动者的个人信息权。
需要注意的是,《民法典》中同时规定了处理个人信息中的免责事由,即在当事人同意范围内使用的个人信息,以及当事人已经自行公开的信息等,建议用人单位合理利用该条款避免自身责任。此外,在劳动争议诉讼过程中,建议用人单位依法行使申请法院调取证据或申请调查令调取证据的权利,避免通过不当途径自行调取证据而产生的侵权风险。
本文作者陆睿为北京航空航天大学法学院学生。
[1] 程啸:《民法典编纂视野下的个人信息保护》,载《中国法学》2019年第4期;张新宝:《<民法总则>个人信息保护条文研究》,载《中外法学》2019年第1期;王利明:《民法典人格权编草案的亮点及完善》,载《中国法律评论》2019年第1期。
[2] 张新宝:《<民法总则>个人信息保护条文研究》,载《中外法学》2019年第1期;杨立新:《个人信息:法益抑或民事权利——对<民法总则>第111条规定的“个人信息”之解读》,载《法学论坛》2018年第1期。
[3] 刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及<民法总则>第111条为视角》,载《浙江工商大学学报》2019年第6期。
[4] 张新宝:《<民法总则>个人信息保护条文研究》,载《中外法学》2019年第1期。
以《民法典》为背景看用人单位如何依法处理员工的个人信息问题
作者:张锦 陆睿来源:劳和律师

在互联互通的大数据时代,用户个人信息被无限地收集、使用、传输,使我们在享受便利的同时,承担着“裸奔”的巨大风险。