2021年11月生效的《中华人民共和国个人信息保护法》(下称“《个保法》”),正式确认了个人在个人信息处理活动中所享有的知情权、决定权、查阅权、更正权、删除权等个人信息主体权利(即Data Subject Rights,简称“DSR”)。出于用工管理需要,企业的生产经营中涉及众多员工个人信息处理的情形。员工享有的DSR及其边界如何把握,企业应当如何处理响应员工DSR,如何平衡用人单位用工管理权、商业秘密保护、他人隐私权等其他合法权益之间的冲突,这些都是《个保法》项下劳动用工场景无法回避的重要问题。
一、员工享有的个人信息权利类型
在《个保法》之前,我国《民法典》人格权编第六章对隐私权和个人信息保护做了专章规定,依其规定,企业用工场景中涉及员工个人信息处理的,员工作为个人信息主体,其个人信息权益受到法律保护[1],员工有权向作为个人信息处理者的用人单位提出查阅、复制、更正、删除其个人信息的请求[2]。《个保法》在《民法典》的基础上进一步明确自然人享有法定的个人信息权益[3],在《个保法》项下,除前述查阅权、复制权、更正权、删除权外,员工还享有知情权、决定权、可携带权、补充权以及要求用人单位对其个人信息处理规则进行解释说明的权利。此外,在员工死亡的情况下,员工近亲属为了自身合法正当利益可以对员工的相关个人信息行使前述查阅、复制、更正、删除等权利[4]。
二、员工个人信息权利的行权边界
员工所享有的DSR并非没有边界,《个保法》对各个类型的DSR设置了不同的行权前提或除外情形。其中,可携带权、更正权、补充权、删除权等权利有法定的行权前提限制,只有满足这些行权的前提条件,企业才需要响应员工提出的相关DSR请求;而知情权、决定权、查阅权、复制权、近亲属行使对死者相关个人信息的权利等则设置了法定的除外情形[5],符合除外情形的,企业无需响应员工的相关DSR请求。
(一) 可携带权的行权前提
根据《个保法》第四十五条第三款的规定,可携带权是指个人请求对其个人信息向其指定的其他个人信息处理者进行转移的权利。可携带权的引入,主要是为保护互联网市场的自由竞争、打破信息处理者的数据垄断,并加强信息主体对个人信息的控制权。[6]可携带权在劳动用工场景下适用的情形较为有限,比如离职员工请求将其个人信息转移至新的任职单位或其指定的其他个人信息处理者处,在满足一定条件的情况下,原单位应当提供转移的途径,协助员工完成个人信息的转移。
根据《个保法》第四十五条第三款的规定,可携带权的行权前提为“符合国家网信部门规定条件的”,对此目前暂无生效的国家网信部门规定,可供参考的为国家网信办2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》(下称“《网安条例》”),该规定对可携带权设置了三个条件:
(1) 请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(2) 请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(3) 能够验证请求人的合法身份[7]。
前述三个条件应当同时具备,即只有在员工请求的是企业基于员工同意或者订立、履行与员工的劳动合同所必需而收集的本人信息或员工本人合法获得且不违背他人意愿的他人信息时,在能够验证员工的合法身份的情况下,企业才应当响应员工提出的个人信息转移请求。关于员工“本人合法获得且不违背他人意愿的他人信息”,典型的例子包括背景调查或福利待遇场景中员工提供的家庭成员的身份信息。值得注意的是,在劳动用工场景中,企业处理个人信息大部分依赖于人力资源管理所必需作为其处理的合法性基础,若依照《网安条例》之规定,则理论上来说,企业基于人力资源管理所必需而处理的个人信息并不在可携带权的适用范围之内。
目前,我国关于对可携带权的规定尚不明确,而在域外法项下,可携带权适用的数据类型还存在必须是“由系统自动处理的数据”的核心限制[8],同时,因公共利益而处理[9]、政府授权处理[10]、可能对他人权利与自由造成不良影响的数据[11]都被排除在可携带权的适用范围之外。
(二) 更正权、补充权的行权前提
更正权是指个人请求对其不准确的个人信息进行更正的权利;补充权则是个人请求对其不完整的个人信息进行补充的权利。
根据《个保法》第四十六条的规定,更正权和补充权的行权前提为“个人信息发现其个人信息不准确和或者不完整的”,即只有当员工个人信息确实存在不准确或不完整的情形时,企业才需要对相应的员工个人信息予以核实并及时更正或者补充。比如员工档案中员工的姓名出现错别字,员工的个人联系方式、银行账户发生变化,或员工在福利申请时家庭成员信息存在遗漏的,员工若申请更正或补充,企业应当及时对相关信息进行更正、补充。如果员工仅仅是出于其他需要想要更改个人信息的,如员工认为其内部系统昵称不好听请求更换昵称的,则不属于个人信息更正权的范畴,企业没有法定义务必须协助更改。
(三) 删除权的行权前提
删除权是指个人请求对其个人信息进行删除的权利。根据《个保法》第四十七条的规定,删除权的行权前提主要包括四种情形,满足其一即可:
(1) 处理目的已实现、无法实现或者为实现处理目的不再必要。比如企业出于疫情防控需要收集的员工个人信息不得用于疫情防控之外的其他目的,在疫情结束后应当主动删除[12]。
(2) 企业停止提供产品或者服务,或者保存期限已届满。比如企业招聘过程中,企业对于最终未入职员工的个人信息应当在告知候选人的存储期限届满后及时予以删除。
(3) 员工个人撤回同意。值得注意的是,在用工管理场景中,大部分的员工个人信息处理活动可以诉诸《个保法》第十三条项下“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”这一豁免同意的情形作为其合法性基础。这种情况下,企业并非基于员工个人同意而处理其个人信息,其处理活动则不会有员工撤回同意的问题。但对于是否属于实施人力资源管理所必需存在较大争议且需要员工明确同意的处理行为,例如员工在用人单位对其他涉嫌违纪的员工进行内部调查时同意导出其微信聊天记录后反悔,撤回了其同意,出于合规的考虑,用人单位应当及时删除并非实施人力资源管理所必需的信息。
(4) 企业违法违规违约处理个人信息的。例如用人单位并非基于人力资源管理所必需又未获得员工同意的情况下,超范围收集的个人信息,则员工有权请求用人单位予以删除。比如用人单位违反《个保法》规定的最小必要原则,超范围收集员工的个人信息,要求请病假的员工提供具体病历、具体药物或治疗记录、费用凭证,并要求员工说明其具体病情的,员工请求删除其个人信息的主张很有可能会被法院支持。
除了上述四种情形,《个保法》还设置了兜底条款 “法律、行政法规规定的其他情形”。参考《网安条例》的规定,因使用自动化采集技术等无法避免采集到的非必要个人信息或者未经个人同意的个人信息的,企业应当主动删除个人信息,未删除的员工有权请求删除[13]。比如员工使用移动设备在线办公时,企业安装的在线办公软件自动采集、读取的员工位置信息或行踪轨迹信息等应当及时予以删除。
一般而言,相比于其他的DSR,员工的删除权在与用人单位的用工管理权产生冲突时宜对其边界进行限缩解释,否则用人单位在人力资源管理上显然会产生较大的混乱及困难。
(四) 知情权、查阅权、复制权的除外限制
根据《个保法》第四十四条的规定,个人对其个人信息的处理享有知情权。对于知情权,《个保法》虽设置了“法律、行政法规另有规定的除外”的除外条款,但并未明确具体的除外情形。需注意的是,依此规定,只有法律或行政法规才能对个人的知情权做出克减规定。
一般而言,知情权是个人信息主体能够行使决定权、查阅权、复制权、更正权、删除权等其他权利的基础[14],对知情权的限制具体体现在对查阅权的限制上。根据《个保法》第四十五条的规定,个人有权向个人信息处理者查阅、复制其个人信息。对于查阅、复制权的除外情形,《个保法》明确规定了两种情况:
(1) 有法律、行政法规规定企业应当保密或不需要告知的情形时,企业可以拒绝响应员工查阅、复制个人信息的请求。如涉密企业的员工申请查阅、复制的个人信息,涉及国家秘密的,企业有权依据《保守国家秘密法》等法律或《国家秘密定密管理暂行规定》等行政法规的规定,拒绝响应员工的查阅、复制个人信息的请求。需要注意的是,此处的除外情形必须是基于法律或行政法规的规定,其他更低位阶的规范性文件不能依据此条对抗员工DSR[15]。
(2) 会妨碍国家机关履行法定职责的,企业同样可以拒绝相应员工查阅、复制个人信息的请求。如公安机关、法院等因办理案件需要向企业了解某位员工相关个人信息的,如果员工请求查阅和复制企业提供给国家机关的个人信息,会影响到国家机关履行法定职责的,企业依法可以不响应员工的查阅、复制请求[16]。
而对于企业基于对自身内部经营和管理信息的保密要求、其他员工的隐私权与个人信息权益等其他合法权益,能否阻却员工行使DSR,我国法律尚未做出明确规定。实践中常见的权益冲突情形如:如果员工和企业产生劳动争议,要求企业提供一切与其相关的个人信息,包括但不限于所有涉及该员工的工作往来邮件、绩效考核记录、绩效表现的讨论邮件等,在这些记录中可能涉及到企业不愿意对外披露商务信息、经营信息、甚至涉及企业的商业秘密或其他员工的隐私或个人信息权益,企业应当如何合理界定员工DSR的边界以应对员工的此类DSR请求?对此类问题,目前我国法律法规层面以及司法实践层面暂无可以参考的内容,若参考GDPR等域外法律的规定,则员工的查阅、复制权的边界是更为清晰的。在GDPR项下,员工行使DSR中的访问权(即《个保法》项下的查阅、复制权),不能影响到公共利益、他人的正当权利,如他人的隐私权、公司的商业秘密权益,不能对抗法定的职业秘密责任等[17]。具体包括以下几种除外情形:
(1) 如果员工已经拥有对应的个人信息,则不能再向企业提出访问请求(不能重复获取)[18]。
(2) 企业提供对应的个人信息是客观不可行的,无论是技术上无法实现或者存在其他不可逾越的障碍,企业都无需响应员工的访问权请求[19]。
(3) 如果提供员工的个人信息,企业需要付出非常不相称的工作,如耗费超出合理范围的、大量的人力物力的,企业同样可以拒绝响应员工的访问权[20]。
(4) 如果企业为了实现公共利益的存档目的、科学或历史研究目的或统计目的,为了保障员工的权利和自由并采取了符合GDPR规定的合理技术与组织措施的,则访问权不适用[21]。
(5) 如果会严重妨碍个人信息处理的目的,如为员工提供其他同事对其的考核评价记录,将大大损害企业考核制度及反馈机制、造成合理人力资源管理被严重阻碍,则企业可以拒绝响应员工的此项访问权请求[22]。
(6) 员工行使复制权,不应当对他人的权利与自由产生负面影响,即获取其他员工的相关邮件和评价记录,如果对他人的隐私权和自由等产生负面影响,企业同样可以拒绝响应相关请求[23]。
(五) 决定权的除外限制
根据《个保法》第四十四条的规定,个人对其个人信息的处理享有决定权,有权限制或者拒绝他人对其个人信息进行处理。对于决定权,《个保法》虽设置了“法律、行政法规另有规定的除外”的除外条款,但并未明确具体的除外情形。需注意的是,依此规定,只有法律或行政法规才能对个人的决定权做出克减规定。
对于决定权,一般来说,非基于个人同意但满足《个保法》第十三条其他合法性基础而进行的个人信息处理,个人无法行使限制处理、拒绝、撤回同意的决定权,例如以下情形:
(1) 企业为订立、履行与员工的劳动合同所必需,需要收集员工的姓名、身份证号、住址等信息,此系《劳动合同法》第十七条规定的劳动合同应当具备的内容[24],亦是企业依《劳动合同法》第八条而享有的知情权[25],此时员工不能拒绝在劳动合同上填写姓名、身份账号和住址等个人信息。
(2) 按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,如企业为给员工发放工资,需要收集员工的姓名和银行账号,此为人力资源所必需,员工的限制处理权及拒绝权在此受到约束,不能对抗用人单位依法享有的用工管理权。
(3) 为履行法定职责或者法定义务所必需,如根据《劳动法》的要求,企业必须为员工依法缴纳社会保险、缴存公积金、提供符合国家规定的劳动安全卫生条件和必要的劳动防护用品,应当对从事有职业危害作业的员工应当定期进行健康检查、为发生工伤的员工申请认定、劳动能力鉴定等,[26]为履行这项义务,企业需要收集相应员工的部分健康生理信息,员工的拒绝权亦受到限制。
(4) 为应对突发公共卫生事件,或者紧急情况下为保护员工的生命健康和财产安全所必需等情形,典型场景就比如疫情期间,企业为开展疫情应对或者为落实有关疫情防控要求,可以不经员工同意收集本企业员工相关个人信息[27]。
综上可见,员工作为个人信息权益主体当然享有《个保法》项下的各项DSR。但是,在我国个人信息权利束中,不同类型的权利有着不同的行权前提及除外情形,这些法定限制初步划定了员工个人信息权利行使的边界。在我国现有的法律框架下,员工个人信息权益及其在个人信息处理活动的各项权利并非没有边界,而应当与其他合法权益相平衡。
三、用人单位可能面临的责任以及相关建议
对于上述DSR,《个保法》要求个人信息处理者 “应当建立便捷的个人行使权利的申请受理和处理机制。”《个保法》项下,若用人单位拒绝员工个人行使其DSR请求,员工个人有权依法向人民法院提起诉讼[28]。若用人单位没有依法响应员工的DSR请求,除员工本人可以向用人单位提起诉讼外,《个保法》还为企业违法行为设定了行政责任,包括警告、罚款、没收违法所得,责令暂停或者终止提供服务、吊销相关业务许可或者吊销营业执照、禁止责任人员在一定期限内担任相关企业的董事、监事、高级管理人员等[29]。若因此而侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼[30]。
值得注意的是,如前所述,由于目前《个保法》项下员工行使DSR的边界模糊,与用人单位行使用工管理权之间的具体冲突如何化解也依赖于个案分析,而这些基于《个保法》产生的纠纷常常与劳动争议紧密相关。因此,在员工与企业发生劳动争议的过程中,不排除员工也会在劳动争议中主张其DSR和寻求救济途径,使得劳资双方的争议领域可能突破劳动争议的范围,引申到个人信息保护领域,让争议利害关系、案件情况变得更为错综复杂。
鉴于目前《个保法》项下员工行使DSR的边界模糊,如果不能合理地化解与用人单位的用工管理权和其他合法权益之间的冲突,可能会造成用人单位在人力资源管理、履行必要的职责和法定义务上的极大障碍,也不利于社会资源的有效利用。因此,从用人单位的角度而言,笔者建议考虑采取以下措施降低员工作为个人信息主体DSR的边界模糊和不确定性带来的风险:
1. 梳理涉及员工个人信息处理活动的全流程,根据自身业务模式对处理的员工个人信息进行详细分类,并根据分类后的个人信息确定不同等级的处理措施;
2. 通过内部管理制度明确人力资源管理所必需的个人信息范围、基于员工同意授权处理的个人信息范围等基于不同合法性基础所处理的相应个人信息范围;明确员工可以行使哪些DSR以及行使DSR的具体条件和限制等内容,并对前述内部管理制度依法履行民主、公示程序。
3. 企业内部要明确个人信息保护相关的岗位职责,合理确定个人信息处理的操作权限及操作流程,定期进行重点环节的合规检视及开展对全体员工的教育培训等。
感谢实习生王漩对本文作出的贡献。
参见《中华人民共和国民法典》第一千零三十四条。
参见《中华人民共和国民法典》第一千零三十七条。
参见《中华人民共和国个人信息保护法》第二条。
参见《中华人民共和国个人信息保护法》第四章。
根据《中华人民共和国个人信息保护法》第四十九条的规定,近亲属对死者的相关个人信息行使权利的法定除外情形为“死者生前另有安排”。对于死者个人信息的DSR,后文不再赘述。
参见谢琳、曾俊森:《数据可携权之审视》,载《电子知识产权》2019年第1期,第28页。
参见《网络数据安全管理条例(征求意见稿)》第二十四条。
See GDPR Article 20(1)(b).
See GDPR Article 20(3).
See GDPR Article 20(3).
See GDPR Article 20(4).
参见上海市司法局《疫情防控期间常见法律问题指引(三)》。
参见《网络数据安全管理条例(征求意见稿)》第二十二条第(四)款。
参见龙为球主编:《中华人民共和国个人信息保护法释义》,法律出版社2021年9月第1版,第198页。
参见《中华人民共和国个人信息保护法》第四十五条第一款、第十八条第一款。
参见《中华人民共和国个人信息保护法》第四十五条第一款、第三十五条。
See GDPR Article 14(5)(d).
See GDPR Article 14(5)(a).
See GDPR Article 14(5)(b).
See GDPR Article 14(5)(b).
See GDPR Article 14(5)(b).
See GDPR Article 14(5)(b).
See GDPR Article 15(4).
参见《中华人民共和国劳动合同法》第十七条:劳动合同应当具备以下条款:……劳动者的姓名、住址和居民身份证或者其他有效身份证件号码。
参见《中华人民共和国劳动合同法》第八条:用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。
参见《中华人民共和国劳动法》第五十四条。
参见上海市司法局《疫情防控期间常见法律问题指引(三)》。
参见《中华人民共和国个人信息保护法》第五十条。
参见《中华人民共和国个人信息保护法》第六十六条。
参见《中华人民共和国个人信息保护法》第七十条。