歐盟企業僱員信息保護制度
原標題:歐盟企業僱員信息保護制度
2023年11月,歐盟通過《數據法案》,一方面確立歐盟數據流轉與利用的基本規則,爲數字經濟的高效發展提供良好環境;另一方面細化《通用數據保護條例》(以下簡稱《條例》)與《關於工作中數據處理的意見》(以下簡稱《意見》)中關於僱員個人信息的治理原則,爲僱員個人信息的保護與流通構建統一協調的法律框架。具體而言,針對企業僱員的信息保護,歐盟當前形成了《條例》的一般性保護與《意見》的特殊性規制相輔相成的保護模式。《條例》奠定了個人信息保護制度的基礎框架,作爲專門的數據保護條例,也將僱員信息保護納入其中,採用與一般個人信息保護相同的標準。基於勞動領域僱員信息保護的特殊性,歐盟制定了適用於勞動領域的《意見》,對僱員的信息保護提出更爲具體的規制措施。
歐盟企業僱員信息保護制度的特點
第一,採取“一般——特殊”的僱員信息保護模式。歐盟對個人信息保護的立法起步較早,早在上世紀90年代就已頒佈歐盟95號指令,對個人信息保護立法起到指向性作用。而後《條例》的出臺替代歐盟95號指令,成爲歐盟個人信息處理的標準型規範。歐盟對個人信息的保護採取統一的立法模式,將有關個人信息的內容囊括其中,涵蓋的利益主體範圍較廣,形成一般性規範原則。
勞動領域中僱員信息的保護有別於一般的個人信息保護,受到勞動場景下非對稱性關係的影響,僱員“知情”和“同意”兩項實質性要件往往會出現虛化現象,所以僅依靠《條例》對僱員信息進行保護難以確保是周延的。《意見》根據數字經濟背景下僱員關係的特殊性,對《條例》中的保護原則進行細化,針對不同場景下的僱員信息處理提出不同的要求,切實將僱員信息保護落實在企業管理的各個環節。
《條例》與《意見》一同構建起歐盟僱員信息保護法律體系,採用“一般——特殊”的保護模式既能夠爲僱員信息保護提供統一的標準,從實體權利和程序正義方面切實保護僱員的信息權益,還可以針對僱傭關係的特殊性,對僱員的信息利益提供針對性保護,填補一般性保護立法模式下的缺漏。
第二,兼顧企業和僱員利益的平衡。《條例》和《意見》賦予僱員在個人信息處理方面的諸多權利,例如知情權、刪除權、訪問權以及糾正權等等,同時要求企業承擔諸多責任和義務,構建全面的僱員信息保護制度。但歐盟的僱員信息保護制度並沒有將僱員的信息權益絕對化,也設定一些限制性條款,允許企業在必要情形下可以不經同意處理僱員的個人信息。這些必要情形有基於公共利益的需求,也有出於企業勞動管理權因素的影響。企業是一個盈利組織體,依靠僱員的共同勞動才能得以存續,爲了確保企業的正常運行,企業有權對僱員進行必要管理,因此,《條例》和《意見》平衡企業和僱員的利益,強調保障僱員信息權益的同時,也沒有忽視企業處理僱員信息的正當利益,對二者進行平衡規制。
《通用數據保護條例》的一般性保護
首先,設定一般性保護原則。《條例》以專章的形式規定了個人信息處理的基本原則,這些原則同樣適用於企業僱員的信息保護,要求企業應當有足夠的風險認知,需在遵循這7項基本原則的前提下處理僱員信息,並根據企業自身情況制定針對性的保護機制,如若違反基本原則應承擔法律責任。
其次,明確“知情——同意”爲僱員信息處理的核心。《條例》第6條、第7條規定處理個人信息應當以“知情——同意”爲合法性基礎,即信息處理者有義務告知信息主體關於獲取信息的基本目的、處理方式以及儲存時限等等,在取得信息主體的同意後方能對個人信息進行處理,該原則同樣適用於僱員信息的保護。然而在僱傭關係中,企業和僱員的關係呈現出“資強勞弱”的局面,僱員無法作出真實的“同意”意思表示。因此在僱員信息保護方面,《條例》第88條規定僱傭情景下的信息保護在遵循“知情——同意”原則之下,成員國可以設置更爲具體的保護規定,以此來保障企業僱員的信息權益。
再次,賦予僱員信息權利。《條例》賦予僱員明確、系統而全面的權利,具體包括知情權、訪問權、更正權、數據可攜帶權、限制處理權、刪除權以及有關自主化決策和分析的權利。其中,知情權是僱員信息處理的核心,僱員只有充分享有知情權,才能對企業獲取處理個人信息的行爲表示同意。在知情權的基礎之上,僱員還享有對個人信息的撤回權,撤回權的行使應當與作出同意一樣容易且便捷。與此同時,僱員有權瞭解企業對其信息的處理方式、存儲期限等信息,並進行訪問,一旦發現與實際情況不符的情形,可以要求企業進行更正。此外,當僱員發現企業獲取的個人信息超過必要限度,且處理目的並不具備正當性時,可以行使刪除權,要求企業刪除關於自己的個人信息。
最後,要求企業設立保護機制。一方面,企業在內部應當主動設置技術保護措施,來確保企業對僱員信息的收集和處理符合《條例》的要求,且這些措施需要時常更新並被檢查。具體而言,就是需要結合企業自身的發展特性,在初始階段制定信息處理的風險控制系統,設置安全評估系統,定期對信息處理系統的有效性和安全性進行評估。在進行安全性和有效性評估時,尤其要注意處理過程中可能出現的風險,例如傳輸、存儲過程中僱員信息的泄露、丟失等等。一旦出現信息泄露、丟失等情形,企業有義務及時向監管部門進行報告,包括但不限於泄露信息的具體數量,可能造成的危害後果以及後續的補救措施。而僱員作爲信息的主體,當然有權知悉信息泄露的具體情況,企業有義務主動告知,且該告知應當是毫不延遲的,以此維護僱員的信息知情權。
另一方面,設置數據保護官。爲確保僱員信息能夠在合法範圍內得以妥當處理,《條例》第37條規定了數據保護官制度。作爲確保數據處理合規的監督者,數據保護官被賦予數據監管和保護數據主體權益的重要功能,具有“提出通知和建議、監督數據處理合規、參與數據保護影響評估、與監管機構合作、對接數據主體、數據處理的記錄與歸檔”6項職能。數據保護官需要監督信息處理的全過程,在合規方面提供指導,對僱員數據的處理行爲進行記錄和歸檔,就企業信息處理系統進行評估,針對評估內容提出具體建議。除此以外,數據保護官還需要主動與數據監管部門對接,根據要求及時向監管機構提供數據或有關文件,便於監管機構開展調查、行使糾正等職責,並對監管機構的回覆和建議進行落實。
《關於工作中數據處理的意見》的特殊性保護
在遵循《條例》基礎規則之上,歐盟結合勞動場景下僱員信息保護的特殊性制定了《意見》,爲僱員的信息保護作出更進一步的指導。《意見》結合當下新技術帶來的信息處理風險,對企業利益和僱員信息保護關係進行平衡,具體的創新內容如下:
第一,提出勞動領域處理僱員信息的新要求。相較於《條例》規定的7項基本原則,《意見》根據僱傭關係的特點,提出“法律依據、透明度和自動決策”3項新要求。在法律依據方面,提出僱員的“同意”標準應有別於個人信息保護的“同意”原則,僱員同意必須是僱員意願的具體和知情的表示,工作設備上的默認設置不能算僱員的同意,不能作爲企業處理僱員信息的合法性基礎。在透明度方面,企業要保證僱員信息處理的透明度,將信息處理的目的、手段、方式等內容明確告知僱員,防範企業對僱員信息的隱蔽處理,確保信息處理的公平性。關於自動決策,規定僱員可以不接受企業的自動化信息收集決定,除非該決定是爲簽訂或履行合同所必須,經歐盟或成員國法律授權,或基於僱員以明確的方式表示的同意。
第二,提出僱員“同意”的新標準。在僱傭關係中基於勞資雙方地位的不平等,僱員很難真實地表露內心真意,往往基於勞動關係的從屬性作出虛假同意的意思表示,從而使信息處理的核心制度“知情——同意”淪爲形式主義。針對這種現象,《意見》規定僱傭關係中的信息處理不能僅以“同意”作爲處理的合法性依據,提出否定同意原則,規定只有當僱員作出同意或拒絕的選擇不會對自身產生任何不利影響或僱員利益與企業利益一致時,僱員的同意纔是有效的同意。此外,《意見》並未將僱員信息處理侷限於傳統的勞動場域,而是針對新環境、新業態下出現的新型勞動關係,將適用範圍擴大,以更好保護僱員的信息權益。
第三,細化僱員信息保護場景。在招聘階段,企業應當圍繞“必要限度”收集僱員的個人資料,且收集的資料應當與企業職位相關,並不能毫無限度,對於未錄用者,應當及時刪除其個人信息。在職期間對於僱員信息的獲取應當基於“勞動管理權”的範圍之內,避免向僱員索要通過社交網絡與他人共享的信息和個人敏感信息。關於工作中的監測行爲,企業可以對僱員的網絡設備進行監控,但是僱員的私人信息不應成爲其監控對象,不能隨意捕捉僱員的人臉等基因信息。對於僱員信息的共享,企業只有在提供充分的制度保護和獲取僱員同意的基礎之上,才能在不同的區域間共享僱員的基本信息。
(作者單位:中南財經政法大學)(陳苗苗)
(人民法院報)