职场中,劳动者和用人单位存在持续性的劳动关系,劳动者要接受用人单位的管理,其个人信息有时会遭到泄露和侵犯。比如,招聘阶段,有的用人单位会要求求职者提供像个人婚育状况和家属情况等很多私密信息。招录过程中,因求职者体检或其他信息处理,容易导致劳动者和用人单位发生争议。工作中,有的用人单位使用“人脸打卡”“指纹打卡”,对劳动者和工作场所进行监控等行为也易引发纠纷。
个人信息保护的主要价值,在于保护信息主体的人格尊严和信息自由。此外,劳动者个人信息保护还具有保护求职者平等权,保护劳动者的言论自由、隐私和身心健康等独特价值。
当前,我国已经出台了个人信息保护法,但其中涉及职场个人信息保护的条款只有第13条,劳动合同法也只有第8条涉及劳动者个人信息保护,有关职场个人信息保护的规则还应继续完善、不断加强。
职场个人信息保护作为个人信息保护的具体场景,应遵守下列原则:
1、适用个人信息保护的一般规则。个人信息保护法应适用于工作场所,为劳动者提供保护。欧盟《通用数据保护条例》以及一些国家和地区的数据保护法或个人信息保护法,明确规定了职场个人信息处理的一般规则,也说明劳动者应受个人信息保护法的保护。我国用人单位在处理劳动者个人信息时,应当遵守民法典以及个人信息保护法的相关规定。
2、适应职场个人信息保护的特殊性,合理平衡用人单位的管理权利和劳动者的个人信息权益。在职场中,为了确保劳动者正确履行劳动义务,单位具有指挥、命令和监督劳动者的权利,这些行为往往涉及劳动者的个人信息。例如,在招聘阶段,单位具有收集求职者信息的必要。在工作过程中,为了防止单位的财产被盗或维护职场秩序,保护劳动者安全,单位可能实施一定的监控措施。例如,单位对长途客运或货运司机实行监控和定位。单位的合法权益与其采取的措施,对劳动者个人信息权益的影响程度是否符合比例,单位正当利益和劳动者个人信息权益之间的平衡,成为职场个人信息保护的核心问题。此外,由于劳动者相比用人单位处于弱势地位,仅有劳动者的同意通常不能作为用人单位处理信息的合法性基础。
3、个人信息保护法和劳动法的协同配合。从保护需求以及国际立法模式看,劳动者个人信息保护规则,有的侧重于在个人信息保护法中作出特殊规定,有的侧重于在劳动法中详细规定。但两种模式均需要个人信息保护法和劳动法相互补充、相互配合。未来,我国可在个人信息保护法基础上,增加职场个人信息保护的相关内容,并在劳动法或其他法律中加入职场个人信息保护的具体规则。
个人信息处理规则是个人信息保护的主要内容,职场个人信息保护应根据劳动关系的不同阶段,明确用人单位处理劳动者个人信息的规则。
在求职招聘阶段,用人单位仅可以处理与工作相关的信息,即“劳动者与劳动合同直接相关的基本情况”,其一般仅包括健康状况、知识技能、文化程度、工作技能、工作经历、职业资格等。劳动者对于与工作无关的信息有权拒绝提供。此外,对劳动者有关医疗健康和犯罪刑罚记录等敏感个人信息的处理应严格限制。
在劳动关系存续期间,用人单位处理劳动者的个人信息应遵循个人信息处理的一般原则,明确用人单位合法利益及对劳动者个人信息权益的影响程度,确定用人单位的信息处理行为是否具有合法性基础。同时,处理个人信息的范围和方式也应适当。特别是,近年来因职场监控引发的案件数量较多,应完善相关规则。职场监控持续、实时收集劳动者的个人信息,可能对劳动者自由、隐私和尊严造成较大影响,通常只应在为了保护劳动者的人身安全以及保护企业重要财产等特殊情形下,即用人单位具有明显的、重大的正当理由才可使用,通常不能将其作为一般监督劳动者工作表现的手段。
劳动合同解除或终止后,用人单位对劳动者的信息处理仍须遵守个人信息处理的一般原则,如安全保管、不得泄露等原则。用人单位向第三方披露原劳动者的个人信息应具有合法性基础。用人单位保管原劳动者个人信息应限于合理期限。