欧盟“GDPR”视阈下劳动者隐私权的保护
王宇辰
(兰州大学 甘肃兰州 730000)
【摘要】 随着互联网的出现与普及,信息技术革命导致了生产力和生产关系的变革。欧盟诸多成员国作为较早进入互联网时代的国家,其在互联网时代对于隐私权的保护则体现为欧盟议会于2016年4月14日通过的《通用数据保护条例(“GDPR”)》。“GDPR”取代了欧盟旧有的数据隐私标准,并于2018年5月25日开始在欧盟的28个成员国实施。目前学界对于“GDPR”的关注大多仍停留在互联网的服务提供者与其用户之间,但对于服务提供者与其雇员之间隐私权保护研究尚存在一定的缺失。本文旨在通过《通用数据保护条例(“GDPR”)》法条的实证分析,对跨国公司与劳动者隐私权保护的及跨国企业风险对策探讨,为学界对劳动者如何在经济全球化的浪潮中保护其个人隐私权提供一些思路。
【关键词】 GDPR;劳动者隐私;合规风险
随着信息技术革命对旧有生产力和生产关系的变革,早先的工作方式亦发生了改变——即经济全球化背景下跨国公司的工作环境基于便捷高效的信息通信技术模糊了传统工作、娱乐与休憩的边界,隐私权与互联网的联系也愈加紧密。隐私权作为当今文明社会一种新型人格权,其保障的法益源于人性对尊严和自由的追求。
《通用数据保护条例(“GDPR”)》在此种情况下应运而生,该条例不仅赋予了数据主体诸如“被遗忘权”、“访问权”、“拒绝权”等诸多权利,同时其适用范围也极广,基于“行为归属理论”[1]与“效果理论”[2],“GDPR”结合属地主义的同时亦享有域外效力,并可依据“GDPR”中Art 83(General Conditions for Imposing Administrative Fines)、Art 84(Penalties)可对违规企业处以上一财年年收入4%或2000万欧元取其中较重的进行行政处罚。这无疑对跨国企业在欧洲的关于其形式合规、产品合规以及管理合规提出了新要求、新挑战,其合规成本亦随之上升。
(1)学生在调查中提出既希望能在课堂内对教材中的文化信息进行拓展讲解,也希望能够对照讲解相关的中国文化知识,以应对英语四、六级考级的建议。笔者在课堂教学过程中,从教材文本入手,一面讲授语言知识,锻炼语言能力,一面深挖教材资源,补充必要文化知识讲解和练习,活用教材。
一、“GDPR”关于劳动者隐私保护相关概念及范畴界定
尽管在不同语境下对于“隐私”这一概念的内涵与外延大相径庭,但在以互联网为载体的劳动关系中,面临劳动者与雇主之间基于地位强弱的差异而产生的利益冲突,一方面我们必须承认雇主对于劳动者隐私权利的减损在某种情形下或存在其正当的理由,但在另一方面,若忽视劳动者其基本的人格权利,则无疑会导致法国思想家拉科泰笔所描绘的:“强者和弱者之间的契约使人遭受奴役, 而法律却规定他们享有自由。”[3]欧盟《通用数据保护条例(“GDPR”)》出台,以新法优于旧法的形式全面替代了Directive 95/46/EC可谓代表了互联网时代下立法者对于隐私权保护最为重大的变革。“GDPR”其框架的模式不仅在智能时代为互联网使用者创设了诸多新的法律权力,更在Chapter1(Art 1-4)开宗明义的对立立法宗旨、保护对象以及适用范畴进行了说明。本文基于“GDPR”视域将重点对劳动者的隐私权在立法宗旨和相关概念的界定进行讨论。
(一)“GDPR”的主旨与目的(Art.1 Subject-Matter and Objectives)
“GDPR”条例在Art 1对其立法宗旨分为三个部分进行了阐释:“(1)该条例制定了对自然人的个人数据处理和个人数据自由流动保护的规则;(2)该条例保护自然人的基本权利和自由,特别是保护自然人对其个人数据所享有的权利;(3)在个人数据处理上,基于对自然人诸多(例如通信自由)相关的理由,个人数据在欧盟内的自由流动不得受限制或被禁止。”
记忆是一种很微妙的存在,有时是一个画面,有时是一种情绪,有时又是一种忘不掉的味道。即便多年过去,还是会在脑海中浮现。张雪松最忘不掉的就是母亲亲手为她烹制美食的味道。尤其是刚出锅的时候,香气扑鼻。年纪越大,竟然越来越忘不掉。
( 二 )“GDPR” 对相关概念的界定(Art.4 Definitions)
无疑,劳动关系究其本质为契约关系,双方理应意思自治自由选择。但由于用人单位与劳动者在现实中地位悬殊,“想要通过自由平等的劳动条件谈判,与经济上处于强势地位的雇主较量,劳动者能够获得利益的机会是很小的。[7] 基于“GDPR”对于个人数据(Personal Data)的定义,用人单位在招聘时如未经劳动者同意或收集与劳动者应聘职位无关且可用于识别的自然人有关的任何信息,例如劳动者的社会保障号码、地理数据、金融信用数据是否存在不良记录、学历数据或是医院中对于该自然人生理健康、遗传数据、生物识别信息、心理等一系列可确认自然身份的相关数据从而歧视其中因肤色、信用状况、生理健康状况的劳动者,即使用人单位在缔结劳动契约前基于对工作效率和效益的考量对劳动者的隐私进行了侵犯,由于该种行为并不在适用内容的排除范围之内,这便埋下了对劳动者隐私侵犯的隐患。
表1:相关定义及内容
历史是人类在几千年发展中的沉淀,学习历史的过程,也就是学习人类社会进步与经济发展的过程,能够为当今社会的发展获取宝贵的经验。在学习历史的过程中,了解历史、铭记历史经验与教训,并且将此作为以后发展的借鉴,为自己树立科学正确的历史观。
(三)适用范畴
欧盟《通用数据保护条例(“GDPR”)》不同于之前对个人隐私保护的Directive 95/46/EC ,“GDPR”以欧盟法规“Regulation”而非“Directive”的法规形式使“GDPR”无需经由欧盟成员国转化而直接生效于整个欧盟区域内。而这种适用范畴在Art 3-4直接规定了其适用范畴。其范畴(如表2):
表2:“GDPR”适用范畴
综上,由表2所示“GDPR”其适用和域外管辖的内容无疑增加了跨国公司在欧盟境内合规经营的成本。尤其在较少为人所注意的劳动者在互联网时代下的隐私权领域,导致了跨国公司在欧盟经营中存在着一定风险。
二、“GDPR”下跨国公司与劳动者隐私权
在用人单位与劳动者劳动关系存续这一阶段,用人单位对劳动者隐私权的侵犯主要体现于劳动者对工作时间与私人事务的区分不清而导致的劳动效率降低与保护公司法人财产权导致与劳动者隐私权的冲突。
(一)用人单位尚未与劳动者缔结劳动关系阶段
在用人单位尚未与劳动者缔结劳动关系这一阶段,用人单位对劳动者隐私权的侵犯主要体现于劳动者就业平等权与隐私权的冲突。
基于对自然人个人数据的保护,该条例在Art.4部分仅以《欧盟通用数据保护条例(“GDPR”)》语境为限对其中的26各相关词汇进行了定义。本文中跨国公司经营中对于劳动者隐私相关联的概念视图(如表1):
对于劳动关系存续期间用人单位为保护单位财产权与劳动者隐私权的冲突问题,一方面是基于互联网时代下公司法人的财产日益多元化而产生,价值数亿的知识产权可能一个U盘就可以囊括,智力成果即无形财产的损失可能性之高今非昔比,故而一些用人单位为了避免单位的财产损失进而对员工个人信息的监控;另一方面,面对互联网时代下社交网络的高速发展,劳动者在社交网站上的对于政治、经济乃至工作场所、同事、雇主的策略和产品意见和评论极有可能对上市公司的股价造成极大的波动,进而损害用人单位的财产。在此种情况下,“某些国家认为雇主基于保护财产权的急迫需要对劳动者隐私的侵扰是正当的。在美国联邦地区法院纽约州南区分院1979年判决的Chenkin 诉Bellevue一案中,法官认为,雇主对雇员的搜查政策是正当的,因为雇主正遭受着严重的盗窃问题。”[8]但在欧盟“GDPR”视域下用人单位对劳动者所实施的技术手段监控则极有可能触发对劳动者隐私权侵犯的风险。
(二)用人单位与劳动者劳动关系存续阶段
随着互联网时代的到来,劳动者的隐私权与互联网的联系亦呈现出前所未有的紧密趋势。隐私权作为当今文明社会一种新型人格权,其保障的法益源于人性对尊严和自由的追求。在劳动法关系中,基于劳动关系在身份上的从属性,其隐私权无疑与民法中所规定的隐私权内涵外延并不相同。“劳动者与雇主之间存在着权力服从关系,一旦缔结了劳动关系,劳动者对雇主便负有广泛的附随义务。对于劳动者来说这种附随义务涵盖了他们的人格和生活。在工作时间和工作场所中,劳动者必须维护和增进雇主的利益。即使在工作时间之外的私人生活中, 劳动者也可能对雇主负有某种作为或不作为的义务。”[6]那么劳动者在劳动关系中其隐私权能否被克减?用人单位是否有权监管劳动者使用互联网例如其电子邮件的内容或浏览网页的情况?随着社交网络的发展,劳动者在社交网站上的对于政治、经济乃至工作场所、同事、雇主的策略和产品意见和评论是否可以被视为其隐私权和言论自由的范畴?但其不当的言论在一个“娱乐至死”的时代下却可能在很大程度上影响到用人单位以及劳动者同事的社会评价。由此,我们基于欧盟“GDPR”视域将劳动者的隐私权保护按劳动过程的实现分为三个阶段进行探讨:
第四,受多种因素的影响制约,现阶段我国部分高等院校实际招聘的专业教师,在参与开展“C语言程序设计”课程上机实验教学环节中,在基本的实践操作技能方面依然存在问题,无法在具体教学环节中,为学生提供科学且专业的教学指导,对教学效果造成了不良影响。
对于劳动关系存续期间用人单位基于劳动者对工作时间与私人事务的区分不清而导致的劳动效率降低,进而用人单位侵犯其隐私权在法理学领域的研究正在逐步发展,并为不同情况提供了各种相应的解决办法。在法国、葡萄牙和英国,法律原则和判例更倾向于限制对劳动者电子邮件的监视——即用人单位必须预先通知劳动者所有的监管事项。在丹麦,法院审理了一起员工因发送私人电子邮件和工作时间访问色情聊天网站而被解雇的案件。法院裁定解雇是不合法的,因为用人单位未明文禁止工作时间可用互联网进行工作,而另一个理由则是无法证明雇员使用互联网导致其工作效率降低。基于“GDPR”对适用内容(Art 2 Material Scope)以及(Art.4 Definitions)中关于个人数据(Personal Data)的界定,如若员工使用的邮箱为类似于info@company.com的工作邮箱,则“GDPR”依Art.4 Definitions不认为其为具有个人识别性的个人信息,该员工在使用该邮箱时其隐私不受“GDPR”法律保护,用人单位如在劳动者缔结劳动契约已尽告知义务的情况下这种监控则不存在侵犯劳动者隐私权的合规风险;反之,如若该用人单位监控了该员工的私人邮箱或未在劳动契约签订时尽到告知义务,则用人单位在缔结劳动契约前存在对劳动者隐私侵犯所触发风险的可能性。
本文在实际展开工作绩效研究的过程中指出,工作结果与工作行为的结合即为工作绩效,指的是员工日常展开工作过程中,一系列实践工作行为都是建立在相关工作职责基础之上的,同时还包含相关个人行为,不仅能够为实现组织目标奠定基础,同时还能够突显出个体特征,在完成工作任务过程中,受行为的影响,能够创造更加良好的工作结果,产生预期效率值。
无疑,立法主旨及目的作为一部法律的逻辑出发点和落脚点而言,该框架对欧盟的二十八个成员国不仅是全覆盖的,更是对每一个自然人个人数据做出了最为严格的保护。从劳动法角度来看,劳动者作为自然人其个人数据的隐私权无疑也在“GDPR”法律框架下受到保护。
(三)用人单位与劳动者结束劳动关系后的阶段
在用人单位与劳动者结束劳动关系后这一阶段,用人单位对劳动者隐私权的侵犯主要体现于对于劳动者其个人数据的泄露。当劳动者与用人单位结束劳动关系后,用人单位在仍保留劳动者个人数据的情况下,无论是用人单位出于对人事档案的善意保管抑或是基于为获取不法利益而言,只要其保管的个人数据发生了泄露且符合“GDPR”中Art.4 Definitions部分对于个人数据泄露(personal data breach)的定义,即这种泄露“指违反‘GDPR’相关安全规定,导致个人数据意外传输、丢失、被非法篡改、破坏或在未经授权的情况下被访问或被披露。”同时,用人单位未对数据进行相应加密,泄露事件发生后未依据Art 33 Notification of a personal data breach to the supervisory authority在发生个人数据泄露后的72小时内通知相关监管部门,抑或在超过72小时后未对超时事由作出说明,那么用人单位对劳动者个人数据的泄露极有可能触发对劳动者隐私权侵犯的风险。
三、“GDPR”框架下跨国公司的对策
“GDPR”共有六个通用数据保护原则:公平和合法、目的限制、数据最小化、准确性、存储限制以及数据的完整性和机密性。但“GDPR”其核心宗旨仍是对个人数据的保护。一方面“GDPR”的透明度通过确保以可访问的方式向个人提供完整信息,另一方面则通过问责制来确保所有的法人使用个人数据产生争议时需承担证明责任。同时,该法规的域外管辖也是其关键创新之一。“GDPR”这一法规不仅覆盖了28个欧盟成员国中的公司法人,同时也可依域外管辖相关条文越过跨国公司在欧洲设立的子公司而直接归责于其母公司或实际控制人。仅就跨国公司对于劳动者隐私权这一项而言,无疑大大提升了跨国公司在欧盟内对于“GDPR”的经营成本。
基于上表对于个人数据(personal data)定义,“这个定义与GB/T 35273—2017《信息安全技术个人信息安全规范》基本是一致的”[4]。从劳动者的隐私角度来看《欧盟通用数据保护条例(“GDPR”)》对其个人数据为代表的互联网时代下的隐私全方位的保护包括了对其内容列举、对其处理分析过程的界定、对其雇佣者(自然人或法人)的规制以及对跨国企其影响而确定的域外管辖。“GDPR”这一隐私框架正如勒内·达维所述的那样:“仅仅修改影响劳工关系的一些特殊规则是不够的,我们必须对我们法律思想的基础本身予以重新考虑。”[5]
(一)建立健全跨国公司经营过程中的形式合规机制
建立健全“GDPR”框架下跨国公司对于劳动者隐私权的形式合规机制涉及到上文对其经营风险所存在的诸多方面,从劳动关系缔结前到劳动关系结束后,整个对劳动者个人数据收集的隐私政策、劳动者个人数据内部安全、加密以及跨境传输的过程是一个庞杂的系统工程。
首先,跨国企业可分阶段先行参照欧洲本土企业的合规范式进行修改;其次,聘请专业的律师团队,基于职业区分原则和跨国公司经营性质对劳动者在合法的框架内制定与之配套劳动合同个人隐私部分的格式条款,对隐私权的限制作出不同的规定;再次,提升对与劳动者个人数据处理的安全性及保密性,包括:对劳动者个人数据以匿名形式加密、增加数据的可读取性、完整性以及在面对天灾人祸等不可抗力环境下个人数据的可恢复性;最后,用人单位基于劳动关系无疑也需对劳动者承担一定的附随性的义务,理应建立健全劳动者个人数据泄露72小时内的报告机制以符合欧盟“GDPR”要求。
(二)检查企业内部收集和处理的劳动者个人数据
基于“GDPR”相关要求,公司法人理应能够对其所占有的个人数据作出合理解释。这就要求公司对劳动者个人数据保护影响应进行相关评估及咨询,其个人数据基于何种目的收集、数据来自何处、其收集的个人数据曾与谁共享并且是否经过劳动者本人的同意。为了避免对劳动者个人数据的遗漏,可组织人力资源部门对劳动者的个人数据进行专项审查,并对劳动者个人数据在公司内部的跨境传输及外部对税务部门、人力资源部门及社会保障部门等相关单位间依照《劳动法》和《通用数据保护条例(“GDPR”)》进行合法性审查。
乙肝病毒广泛流行于世界各地,据报道,全世界的乙肝病毒携带者约4亿人,每年约有600万人死于与乙肝相关的疾病。我国是乙肝病毒高流行和高发病区域之一,约有1.2亿HBV携带者,其中约50%来源于母胎垂直传播。据报道,目前我国生育期妇女乙肝病毒感染比率高达8.16%[1]。在我们的研究中,行介入性产前诊断的孕妇中乙肝病毒携带者占8.22%,与人群中携带率基本相符。
(三)确保公司的子公司及外包商合规
基于当下跨国公司的复杂公司架构,其往往通过大量的子公司来规避商业活动中的风险,并且出于效率、效益的考虑把不擅长的业务外包给有相应专业能力的外包商。故而在“GDPR”的法律框架下,公司经营也必须要保证其子公司、外包商符合“GDPR”对于劳动者个人数据加密、跨境传输中的相关要求。在与外包商订立合同时,需要审核其是否有相应的资质,并且将其违反“GDPR”后所需承担的责任以合同条款厘清确责。
(四)以双边争议协调解决机制避免恶意竞争和贸易壁垒
基于“GDPR”具有域外管辖效力,跨国企业在欧洲从事商业活动时很可能会面临着来自欧洲市场内部的恶意竞争和贸易壁垒。而其归责若依照“效果原则”则很可能影响到母公司对欧洲市场的进入。大型的跨国企业可能因收到竞争对手的恶意举报而陷入诉讼的泥沼。故而大型的跨国企业理应依托国家摆脱旧有单边解决机制,借助国际仲裁机构和国际通用规则以更为灵活双边争议协调解决机制应对“GDPR”法律框架下的雇员隐私风险。
参考文献:
[1]丹宗昭信,厚谷襄儿(编),谢次昌(译):现代经济法入门[M].群众出版社,1985.
[2]丹宗昭信,厚谷襄儿(编),谢次昌(译):现代经济法入门[M].群众出版社,1985.
[3]勒内·达维德,潘华仿,高鸿钧,贺卫方(译):英国法与法国法:一种实质性比较[M].清华大学出版社,2002.
[4]刘雨辰,谢宗晓:欧盟通用数据保护法规解析[J].中国质量与标准导报 ,2018(12):31-34.
[5]勒内·达维德,潘华仿,高鸿钧,贺卫方(译):英国法与法国法: 一种实质性比较 [M].清华大学出版社,2002.
[6]潘峰:论劳动者隐私权的法律保护:一个分析框架 [M].河北法学 ,2008.
[7]杨彪:中国劳动法与劳动者的隐私权保护[J].广西社会科学 ,2004(2):112-115.
[8]潘峰:论劳动者隐私权的法律保护:一个分析框架 [M].河北法学 ,2008.
作者简介: 王宇辰(1993-)男,山西太原人,兰州大学法学院,研究方向经济法。
责任编辑/陆一霖