拿什么堵上劳动者个人信息泄露的缺口
时间:2021-03-27 16:04:27 来源:雅意学习网 本文已影响 人 
【摘要】用人单位对劳动者的个人信息享有知情权,但在一定程度上也侵犯劳动者个人信息安全。综观国外对个人信息的立法,借鉴欧盟模式及美国安全港模式的先进经验,我国的劳动立法应从明确用人单位知情权的权利界限、规定用人单位保护劳动者个人信息的规章制度以及设定特定的劳动法责任三个方面,有效保护劳动者的个人信息。
【关键词】知情权 个人信息 劳动法保护
【中图分类号】D912 【文献标识码】A
用人单位享有知情权背景下劳动者个人信息安全问题凸显
根据《劳动合同法》第八条规定,用人单位与劳动者订立劳动合同之时以及劳动合同存续期间,都有权获悉劳动者的相关个人信息。大数据时代,由于信息能够创造商业价值的诱惑,公民的个人信息日益陷入被非法买卖、泄露的困境。①
用人单位对劳动者行使知情权,收集和利用劳动者的个人信息是用人单位经营管理的常态,甚至整个单位内部秩序的正常运转、企业谋取利润都依赖于此。在这种形势下,用人单位对劳动者行使知情权欲尽可能“知”。基于“劳弱资强”的现实,劳动者个人信息安全面临着被侵犯的现实困境。
首先是用人单位招聘劳动者阶段。在与劳动者建立劳动关系之前,用人单位往往要求求职者投放简历或者填写内容详尽的表格,以此来选拔最适合招聘岗位的人才。求职者投放的纸质或电子文档形式的简历中包含了大量的个人信息,包括姓名、性别、移动电话、电子邮箱、家庭住址、学历等情况。用人单位收集了大量的应聘简历,如果筛选后将不被看中的简历随意丢弃,简历中求职者的个人信息将可能被他人非法收集使用,从而损害求职者个人信息隐私权的正当权益。用人单位即使未披露或公开任何信息,不当收集个人信息本身就足以侵害个人的信息隐私,进而侵犯劳动者的隐私权。
其次是用人单位与劳动者劳动关系存续阶段。在这一阶段,用人单位收集的诸如身体健康情况、疾病历史、医疗记录等劳动者个人信息,属于劳动者的个人隐私信息,用人单位知悉后未经劳动者同意,不能向第三人公布。现实中,有的用人单位将劳动者的个人隐私信息转移给保险公司或金融机构,致使劳动者成为保险公司或金融机构销售人员产品销售的对象,可能导致劳动者做出不自愿的购买行为。用人单位对劳动者个人信息的这种处理方式,背离了劳动法律赋予其享有知情权的目的,在结果上极有可能侵害劳动者的个人信息隐私权。②另外,用人单位对劳动者的个人信息进行正常管理,也应做好适当的安全保护措施。否则,缺乏严谨系统化的信息管理制度,或者内部信息管理人员的不当操作,都可能会导致劳动者个人信息的遗失、被窃取、不当披露等,从而侵害劳动者的个人信息隐私权。
最后是用人单位与劳动者劳动关系结束之后。劳动者离职后,其个人信息转化为个人档案,为用人单位保管。根据《劳动合同法》相关法条规定,用人单位应在十五日内为离职劳动者办理档案转移手续。随着互联网的普及,整个社会档案的管理模式正在从以保管档案实体为重点,转向以数字化档案的形式向社会提供服务为重点。③数字化档案的普及,给用人单位留存劳动者的个人信息提供了无限可能。《劳动合同法》规定,用人单位对已经解除劳动关系的劳动合同文本至少应该保存两年。实践中,当劳动者离开所在用人单位后,有些用人单位主客观上并不采取措施销毁劳动者的人事档案,更有甚者,为了谋取经济利益,将其所掌握的在职和离岗劳动者的个人信息打包销售给猎头公司、非法调查公司以及保险公司等,肆无忌惮地出售、泄露劳动者的个人信息。
我国现行立法缺乏对劳动者个人信息的有效保护
第一,我国现行个人信息保护相关立法层级较低,且缺乏针对性。在较高层级的法律立法方面,首次涉及到公民个人信息保护的法律是2000年12月28日全国人大常委会发布的《关于维护互联网安全的决定》,该法将“侵犯公民通信自由和通信秘密”的行为入罪。后又于2012年12月通过了《关于加强网络信息保护的决定》,该决定直接指出企事业单位在收集、使用公民的个人电子信息时,应遵循合法、正当等原则,向个人信息提供者明示其收集处理信息的目的、方式和范围。民事立法方面,2014年3月15日实施的经过修订的《消费者权益保护法》第十四条提出,消费者在购买、使用商品和接受服务时,其个人信息依法应得到保护。刑事立法方面,2005年通过的《刑法修正案(五)》增加了“窃取、收买、非法提供信用卡信息罪”。《刑法修正案(七)》更是将非法获取公民个人信息的行为首次入罪。2015年8月《刑法修正案(九)》将“出售、非法提供公民个人信息罪”的犯罪主体扩大到所有单位以及个人,这其中自然包括用人单位及其内部人力资源管理人员。
其次,在较低层级的行政法规和部门规章方面,仅2013年,国务院及相关部门就相继修订了《征信管理条例》,发布了《电信和互联网用户个人信息保护规定》《信息安全技术-公用及商用服务信息系统个人信息保护指南》。其中,《信息安全技术-公用及商用服务信息系统个人信息保护指南》首次规定了我国个人信息保护国家标准。
综合以上关于个人信息保护的法律、行政法规及部门规章来看,对个人信息保护的规定在数量上并不缺乏,但总体上这些规范还较零碎、法条规定偏原则化、立法层级较低,能够适用于劳动者个人信息保护的法规较少,尚无对劳动者个人信息保护的针对性的适用条款。
第二,劳动法缺乏对劳动者个人信息保护的规定。《劳动合同法》总则中的第一条开宗明义,提出保护劳动者的合法权益,从而构建和谐的劳动关系,明确了倾斜保护劳动者权益的立法目的。其中第八条赋予了用人单位和劳动者对各自信息的知情权以及相互应尽的如实告知义务。该条规定对用人单位和劳动者而言,权利和义务是对等的。鉴于用人单位一些具有商业价值的信息的重要性,《劳动合同法》第二十三条规定,用人单位“可以”在劳动合同中与劳动者约定关于用人单位的相关信息的保密事项。为了保障第二十三条的法律效果,第九十条规定,劳动者如果违反了第二十三条中的保密义务,应当承担给用人单位造成损失的责任。反观劳动者方面,却无相关法条规定用人单位“应该”或“可以”采取相关措施保护劳动者的个人信息。显然,在劳动立法上,劳动者的个人信息是没有受到相应法律保护的。劳动者个人信息的保护在劳动法上处于缺失的状态,更无法谈及有效保护。
