论大数据时代欧美雇员信息隐私权立法模式
2020-01-11江海洋
江海洋
(北京大学法学院,北京100871)
一、问题之提出
隐私权系人格权之一种,传统的隐私权概念,普遍认为隐私为不受他人打扰之权利,为消极意义的隐私权,随着信息科技的发展,特别是大数据技术的出现,个人之隐私暴露于公众之下的机会激增,则隐私权的概念除了传统的不受他人打扰之权利之外,亦发展到当今积极的信息自主权,即信息主体对个人信息的控制[1]。当然,信息隐私权某种程度上并不是一项绝对的权利,在某些特定的情境会受到一定的限缩。在雇佣关系中,雇主与雇员都存在各自的利益,首先,在雇佣关系成立之前,雇主为了使他的投入获得最大的产出,并避免或尽量减少与雇员的个人或行为有关的风险,雇主有收集有关求职者尽可能多的信息的利益需求;其次,雇佣关系存续期间,为保证雇员以适当的方式履行其工作,不滥用其代理地位,以及防止偷窃或欺诈等道德风险,雇主也需监视雇员;再次,为确保雇员的生产工作安全及预防职业灾害的发生,雇主也有义务了解雇员健康状况,如我国《劳动法》《安全生产法》等法律就明确规定雇主应实施健康检查等措施,赋予雇主了解雇员健康状况的义务,我国《劳动法》第54条明确规定:“用人单位必须为劳动者提供符合国家规定的劳动安全卫生条件和必要的劳动防护用品,对从事有职业危害作业的劳动者应当定期进行健康检查。”可以发现,在劳动关系中,雇员信息隐私权某种程度上可能会受限于劳动关系之特殊性,而受到某种程度的限制。然而,雇主对雇员信息隐私的过度侵犯,可能为雇员带来歧视、去个性化、类型化以及加剧信息不对称等风险[2],因而,基于对雇员的信息隐私权的保护,雇主对于雇员个人信息之收集与利用,并非毫无限制。我国《民法典(草案)》第111条规定:“自然人的个人信息受到法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”同时,我国《刑法》第253条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”可以看出,雇主一旦违法侵犯雇员信息隐私权,轻则可能需要承担侵权责任,重则还可能构成犯罪。
目前,我国个人信息的立法还处于一种宽泛、碎片化的现状,尚无一部专门的个人信息保护法,更无对雇员信息隐私予以规制的专门法律。随着大数据时代的到来与科技的发展,雇员信息隐私风险发生异化,亟待理论与立法的更新。因此,有必要考察借鉴欧美立法经验及理论研究成果,进而为我国日后立法及当前司法实务提供参考。
二、大数据时代雇员信息隐私风险异化
雇佣关系的关键特征之一就是雇主监督雇员的“权利”。在过去,这一监督权受到后勤限制的制约。在许多情况下,雇主不可能随时监督雇员,因为虽然雇主有权监督雇员,但他们没有这个能力。在实践中,雇主监视体系中的这些“盲点”自动变成了雇员的“私人区域”。不幸的是,这种传统的平衡已经被过去几十年的技术发展所打破,技术发展极大地提高了雇主监督雇员的能力。从闭路电视到允许雇主监控雇员电脑使用情况的IT应用等设备,再到目前的大数据技术,这些技术的出现意味着老雇员的“盲点”少之又少。
(一)科技增强了雇主的监控能力
雇主一直存在监控雇员行为的意愿、技术,尤其是网络虚拟技术,显著增强了雇主的监控能力。通过网络虚拟技术,雇主可以超越传统的工作场所的时间和空间界限来监督和监控雇员。雇主使用虚拟技术来监督雇员几乎有无尽的新方法。雇主可以在雇员的手机上安装一个追踪应用程序,随时记录雇员的行动,以确保她的工作效率、忠诚度和安全。雇主也可以在雇员的办公桌上安装塑料监控盒,上面装有由运动和热量触发的小型传感器,以便知道雇员是否在办公桌旁。雇主亦可以访问关于雇员的不受管制的代理和元数据,如医疗信息、搜索查询、电脑游戏的使用等,并创建一个关于雇员在工作场所内外的行为、习惯和健康的新数据库。雇主甚至还可以监控雇员的每一封电子邮件、短信、网站访问记录或雇员在公司自有设备上发生的其他活动,甚至跟踪雇员在社交媒体网站上的行为。总之,雇主监督雇员的能力不仅在性质、范围和持续时间上得到显著增强,而且在作为一种社会现象的频率上也是快速增长的。随着技术变得越来越复杂,监视成本越来越低,通过数字手段监督雇员在世界各地的工作场所变得越来越普遍①根据美国管理协会(AMA)的数据,在1993年,超过30%的美国公司的经理们经常阅读雇员的电子邮件或检查他们的个人电脑文件。到2001年,这个数字上升到了77.7%。2005年这一数字下降到38%,2014年上升到43%。然而,在2013年,74%的受访公司表示他们曾使用社交媒体对雇员进行审查。同样,在2015年,2000名人力资源经理中有52%的人承认他们使用社交媒体筛选候选人。2017年,约2300名招聘经理和人力资源经理中70%的人承认他们使用社交媒体筛选求职者。可以发现,雇主监控的形式发生了变化,雇主的监控主要不再依赖雇员的电子邮件,而是转为监视雇员在社交媒体网站上的行为或任何其他“公开”行为。See Tammy Katsabiard,Employees’Privacy in the Internet Age:Towards a New Procedural Ap‐proach,Berkeley Journal of Employment and Labor Law,2019,40(2):221-227。,对雇员隐私、自主权及尊严已经构成了严重的威胁[3]。
另一方面,随着工作场所大数据分析工具的引入,对雇员隐私的侵犯进一步加剧。换言之,虽然监控技术提供了持续监控的可能性,但数据挖掘技术的应用则给雇员信息隐私的保护带来了额外的挑战。数据挖掘是分析大型数据集以发现数据中的模式的过程[4],这些技术有时可以揭示变量之间令人惊讶的关系,使数据处理程序能够根据已有可用数据推断出个体的未知特征。在就业环境中,雇主现在可以方便地获取有关雇员网络在线轨迹或社交媒体活动的详细数据,也可以从数据代理处购买背景信息,并用工作场所监视工具收集其他数据。当大数据挖掘技术应用于这些丰富的数据时,就可能推断出雇员的特征,对雇员进行人物画像,并试图预测未来的工作表现。虽然劳动力分析工具看起来只是以前可用的监控和监视技术的扩展,但它们的发展对雇员隐私造成了不同方面与程度的威胁。从这些工具得出的结论可能并不总是准确的,方式上可能存在偏见并产生歧视性结果[5]。申言之,电子监测工具比人类观察者能收集更多的信息,但它们本身只是信息收集工具。然而,数据挖掘允许对相同的信息进行分析,从而推断出数据主体的附加信息,而不是直接观察到的信息。例如,雇主可能会检查雇员在微博、微信等社交媒体上的活动,这些活动将揭示他们的社交关系和他们“喜欢”的内容。然而,当作为更大数据集的一部分进行分析时,这些信息也可用于推断性取向或个性等特征[7]。同样,通过工作场所健康计划获得的信息可以进行汇总和分析,以发现其他信息,例如,雇员的健康状况或是否怀孕。因此,由于大数据分析工具可用于推断,任何给定的个人信息的含义和意义都不是固定的,而是可以根据其聚合的其他信息而改变。通过数据挖掘,个人信息隐私可能不会受到实际收集到的信息类型的威胁,而是受到与其他数据聚合和分析后从该信息中可以推断出的信息的威胁。
(二)雇员信息隐私边界模糊
作为社会中的一个个体,私人领域和公共领域对社会成员来说同样重要。社会成员的日常生活大多是在公共场所发生的,如在学校、工作场所、街道等,社会成员的信息在这些场所被不断的观察、披露并与他人分享。而网络社会正引领着一个新范式,社会成员想要融入这个社会,某种程度上必须披露自己的个人信息[7]。同时,网络也在某种程度上瓦解了公共空间与私人空间之间的界限。在雇佣关系中,工作空间与私人空间融合得更为明显。在过去,工作通常是在一天中一个明确、独立的地点和时间进行的,而在互联网时代,工作可以以各种形式、时间和地点无休止地进行,随着电子邮件、手机和社交媒体的出现,工作空间与私人空间的区分更难维持[8]。在互联网时代,监控雇员的能力不再局限于雇主。互联网平台以一种不断模糊雇员私人生活和职业生活之间的区别的方式,极大地扩展了这种由第三方监控和监督的模式。这是由于一般的互联网平台,尤其是社交媒体,能够轻易地揭露、分享和传播他人的信息,在几个小时内,成千上万甚至上百万的人可以参与到“集体监督”中来,把有关雇员的信息从私人情境转移到职业情境[9]。虚拟网络的特点是内部的权力变得更加多极化和分散,而在过去,有一些具体的中心点,如国家或雇主,掌握着权力并将其运用于他人。正如卡斯特教授所言,网络社会使新行为人能够行使权力,控制或监督他人的行为,至少在某些具体的情况下是这样[10]。因此,互联网平台使得其他各方能够参与到对雇员的集体监控和监督中,即使他们根本不熟悉雇员,甚至身处不同的国家。这种虚拟极化权力的社会影响之一是众所周知的“网络羞辱”现象,它属于更广泛的非正式社会控制现象的一部分。网络空间增加了个体行为者参与互联网上各种形式的非正式社会控制的欲望和实践能力,使得更多的人可以参与到羞辱的过程中,在某种程度上具有惩罚性[11]。
事实上,“网络羞辱”是一个中性词,并非只会带来消极后果,如在雇佣关系中,雇员也可以利用网络羞辱来公开监督他们的雇主,并公布他们的不当或非法行为。对雇员而言,“网络羞辱”正成为监视雇员行为的另一种方式,其主要模式是网络社交媒体将公众监督和网络羞辱传递给雇主,在公众对雇主施加压力要求解雇“棘手”的雇员后,雇主立即解雇该雇员[12]。换言之,公众因雇员的私人行为而欲对其进行惩戒,并要求雇主解雇雇员,雇主基于自身经济利益考量,为维护自己公司的声誉以及防止消费者抵制等原因,会急于满足大众的要求,立即公开解雇雇员。此种案例数不胜数,例如,2020年3月发生澳籍跑步女在疫情期间不服从管理外出跑步,被网友曝光后被公司辞退事件[13]。事实上,网络社会对雇员活动的监督权力已经呈现分化和分散的趋向,解雇雇员可以首先是由其他人的要求,之后在其他人的监督下,雇主做出解雇决定。公共监督模糊了雇员的私人空间、行为及她的公共与职业空间、行为之间的区分。“新监督者”将雇员的私人生活和职业生活以及行为全部都归入工作环境中,即使是完全基于雇员的私人行为,“新监督者”也要求雇主惩罚或解雇雇员。
(三)传统信息隐私保护手段脆弱
传统信息保护法往往都通过赋予个人对信息的控制权来保障个人的信息权。因此,告知同意原则往往被认为是第三方合理使用个人信息基础,以2018年5月生效的欧盟《一般数据保护条例》(GDPR)为例,虽然其第6条规定了数据主体同意、履行法定义务、合同履行、保护重要利益、公共利益以及控制者优先利益6种数据合法性处理事由,但是由于除“同意”原则外的其他5种合法性原则适用条件严苛,而且具有高度不确定性,无论在理论上还是实践中,都很难撼动“同意”原则的主流和基础地位[14]。与欧盟单一立法全面适用不同,美国采取的是一种部门式立法,这是根基于美国较少依赖政府管制力量而较多依赖市场力量与市场自律的传统。虽然美国仅在特定领域就特定类型个人信息或其特别处理方式由特殊立法进行规定,但是也要求在处理个人信息之前取得信息主体的同意。我国并没有专门的个人数据或信息保护法,对个人信息的保护与利用的规定都散见于其他法律之中,“同意”原则也在各个法律中有所规定。《消费者权益保护法》第 29条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意”。《网络安全法》第 41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
可以看出,信息主体的同意是其维护自身信息自决权的最重要手段。然而,在大数据时代,对雇主与雇员而言,告知同意原则的适用往往很难实现保障雇员信息隐私的效果。换言之,就业领域的信息隐私问题涉及利益冲突的调整,不能仅仅通过市场力量来实现,因为一方面雇佣合同双方的议价能力并不平等,雇主通常会占上风。一般认为,数据主体同意只有在其出于任意性的前提下,才具有效力。《德国联邦个人信息保护法》第4a条第1项明文规定,只有基于信息主体自由决定的同意才是有效的。亦即当事人必须得以自行决定是否同意对于其个人信息之收集处理利用以及如何处置,而非受到任何强制或外界压力。依据德国联邦最高法院的观点,当事人同意非出于自主决定的情况还包括,当时人因为处于经济或社会之弱势的状况或因从属关系而同意对其个人信息的收集处理利用,亦或者是当事人因为超乎寻常的经济上或者其他性质的刺激或诱导[15]。 雇主相对于雇员而言,雇主明显掌握着主动权,雇员面对“工作与个人信息隐私”的二选一抉择,大多数雇员只有无奈地放弃个人信息隐私。因此,美国《就业法重述》第5.01节和第5.02节指出,同意只是衡量侵犯隐私是否具有高度冒犯性的众多因素之一,同意不能被视为雇主对所谓的隐私侵犯的完全防御,在没有侵犯第三方利益或者公共利益的情况下,将雇员因不同意他人侵犯其信息隐私而被解雇视为非法[16]。
三、美国雇员信息隐私保护
目前我国个人信息保护的法律规制还处于起步阶段,相关立法还是处于一种碎片化、原则化的状态,尚无专门的个人信息保护法,对特定关系中主体的信息隐私保护更是缺少法律规定。因此,在探讨雇员信息隐私保护时,有必要借鉴他山之石。美国的信息隐私立法也是以一种部门法的形式进行,在某种程度上与我国目前信息隐私立法状态相似,当然美国法律对信息隐私的规制更加细化。美国对雇员隐私的法律保护是建立在需要保护敏感或关键信息的假设之上,呈现出多角度的保护模式,相关规定分布在多种法案之中。
(一)反歧视视角保护雇员信息隐私
1.《美国残疾人法》与《基因信息反歧视法》
美国法律试图保护雇员免受因残疾或其基因特征而受到的歧视,不仅禁止雇主基于这些受保护的特征采取不利行动,而且限制雇主获取或披露医疗或基因信息。尽管这些限制在反歧视法中有所体现,但作为隐私法也承认某些类型的信息需要特殊保护,并规范其收集和使用。
《美国残疾人法》(ADA)于1990年通过,该法旨在为消除对残疾人的歧视提供一个明确而全面的国家授权,其中包括就业方面的歧视。为了实现这一目标,国会限制雇主获取医疗信息,因为国会认识到信息可以显示出残疾的存在,并不是所有的残疾都能立即被发现,所以限制体检和询问完全可以防止歧视的发生,或者在申请人的残疾可能影响招聘决定时隔离。在寻求防止基于残疾的歧视时,《美国残疾人法》将医疗信息视为特别敏感的信息,并限制雇主进行医疗查询或要求申请人或雇员进行体检。《美国残疾人法》并没有完全禁止雇主查阅雇员的医疗信息。雇主可能会要求新雇员在收到录用通知后进行体检,雇主可以此了解雇员的健康状况。当雇主合法获取雇员的医疗信息时,《美国残疾人法》对个人信息的存储和后续使用进行了限制,要求雇主将个人信息视为“保密的医疗记录”,并禁止主管或管理人员查阅个人信息,除非是为了合理照顾残疾人。法案不仅通过限制医疗信息的收集来保护雇员的隐私利益,还通过限制其随后的披露来保护雇员的隐私利益[17]。
2008年通过的《基因信息反歧视法》(GINA)也试图防止歧视,该法案是针对基于基因特征的个人。除了禁止在雇用、解雇和其他人事决定中使用遗传信息外,它还保护个人遗传信息的隐私。雇主不得“要求、或购买雇员或其家庭成员的遗传信息”[18]。即使《基因信息反歧视法案》准许雇员进行体格检查,雇主也不得在检查时索取基因信息。当然,在少数例外情况下,雇主也可以合法地获取基因信息,例如,如果基因检测是监测工作场所有毒物质对健康影响项目的一部分,或者雇员的家庭病史(遗传信息的一种形式)是从公共渠道获得的。然而,即使这些信息是合法获得的,《基因信息反歧视法》与《美国残疾人法》一样,要求雇主将其视为“机密医疗记录”,除非在少数列举的情况下,不得披露。根据《美国残疾人法》与《基因信息反歧视法》,隐私保护仅限于某些类型的个人信息,这些信息被认为是敏感的或容易因不当目的而被滥用。就《美国残疾人法案》而言,保护延伸到“医疗检查和咨询”,从而保护至少在通过检查或直接咨询所揭示的范围内的所有种类的医疗信息。GINA更严格地将保护范围限制在基因信息上,将基因信息定义为包括个人的基因测试、家庭成员的基因测试和家庭病史。基因检测是对人类DNA、RNA、染色体、蛋白质或代谢物的分析,用以检测基因型、突变或染色体的变化[19]。换言之,基因信息的定义不包括关于“显性疾病、紊乱或病理状态”的医疗信息,也即“普通的”非遗传医学信息不受保护。
虽然《美国残疾人法》与《基因信息反歧视法》在一定程度上保护了雇员的医疗和基因信息,但都被批评为对雇员隐私保护不足。一些学者认为,《美国残疾人法》中允许工作后体检的例外造成了一个缺口,允许对雇员的医疗隐私进行无理由的侵犯,并为残疾歧视的发生创造了机会[20]。也有学者批评《基因信息反歧视法》对受保护基因信息的定义过于狭隘。如上所述,法定定义排除了关于显性疾病或病症的医疗信息。当一种疾病或状况已知有遗传基础时,这些信息可能会间接揭示一个人的遗传特征,比如只要不检测基因型、突变或染色体变化,对蛋白质或代谢物进行分析的检测是允许的,即使这样的检测可以检测出由遗传原因引起的异常。由于大多数疾病和医疗条件都有遗传成分,因此,从医学信息中分离遗传信息几乎是不可能的[21]。因此,尽管《基因信息反歧视法》强烈禁止获取遗传信息,雇主们还是可以间接地获得遗传信息。立足于大数据时代,批评者指出,雇主获得非遗传的医疗信息也可能会让雇主推断出一个人的遗传特征。随着越来越多的大数据挖掘工具在工作场所的使用,推断敏感信息的可能性大大增加了。由于巨量的个人数据与大数据分析技术的结合,现在不仅可以从遗传风险,还可以从非医学信息,如行为和生活方式数据中推断出各种医疗状况。这个问题也扩展到其他传统上被认为是私人的信息,如性和财务信息,这些信息可能通过分析包含购买习惯或在线活动信息的大型数据集来揭示。数据分析的力量将使区分“敏感”和“不敏感”的个人信息变得越来越困难。因此,《美国残疾人法》和《基因信息反歧视法》所采取的方法——将某些类别的信息定义为敏感信息并保护它们不被公开——不太可能成功地保护这些信息的隐私[18]。
2.《公平信用报告法》
虽然《公平信用报告法》(FCRA)主要关注的不是雇佣关系,但它也通过限制雇主收集信息的做法来保护雇员的隐私。由于认识到信用报告在经济生活中发挥着越来越重要的作用,国会于1970年通过了《公平信用报告法》,以确保消费者报告机构公平、公正地履行其重大责任,尊重消费者的隐私权。《公平信用报告法》试图通过规范消费者数据在用于信贷、保险和就业决策时的处理方式来实现这些目标。当消费者报告用于雇佣目的时,雇主和消费者报告机构都必须遵守法规中规定的程序。雇主在查阅消费者报告前,必须发出清楚的通知,并取得申请人或雇员的书面授权。如果它打算根据该报告采取不利行动,它必须在采取行动之前提供单独的通知,包括消费者报告的副本和关于本法规定的消费者权利的资料。出售这些报告的信用报告机构还必须满足某些要求,如允许消费者在不受指控的情况下审查其档案中的信息,并调查所谓的不准确之处。因此,《公平信用报告法》的基本条款强调了程序上的保护——在使用个人信息做出雇佣决定之前需要雇主通知和雇员同意,并为数据主体提供机会来审查他们的记录和质疑任何错误信息[22]。但是,这些类型的程序性保护不太可能有效地解决数据挖掘引起的隐私问题。《公平信用报告法》在限制雇主获取雇员个人信息方面几乎没有实际影响。一般来说,雇员同意是为了被考虑或保住一份工作,因此,雇主可以自由获取消费者报告,只要他们遵守所有的程序要求。而且,如果雇主从“消费者报告机构”定义之外的实体获取信息,或者直接从其在职雇员那里收集数据,则该法不能适用。
(二)侵权视角保护雇员信息隐私
1.《存储通信法》
1986年颁布的《存储通信法》(The Stored Com⁃munications Act,SCA)是范围更广的《电子通信隐私法》的一个子集,《存储通信法》第2701节规定,故意(1)未经有效授权而访问提供电子通信服务的设施是非法的;或(2)超出对该设施的访问权限,从而在该系统的电子存储中获得电子通信。换言之,《存储通信法》禁止对电子通信服务中存储的电子通信进行有意的、未经授权的访问,禁止电子通信服务提供商和远程计算服务提供商披露用户通信。《存储通信法》规定的“电子通信”指通过有线、无线电或电子系统发生的任何数据传输,如文本或图像。“电子通信服务”是指为用户提供发送和接收电子通信能力的服务[23]。可以发现,《存储通信法》明确区分了对电子通信的“授权”和“未授权”访问,但并不区分公共信息和私有信息。
《存储通信法》是否能够充分保护现代社交媒体网站独有的隐私权,存在疑问,毕竟在其颁布之时,今天的社交媒体的概念尚未出现。虽然美国最高法院对这一问题尚无定论,但最近两项联邦地区法院的裁决都认为《存储通信法》实际上适用于雇主未经授权访问雇员私人社交媒体账户。在Ehling诉Mon⁃mouth Ocean Hospital Service Corp.一案中[24],法院被要求判定一名雇员因其在Facebook发帖而被暂时停职是否正当,本案中因雇主注意到雇员在Facebook上的帖子,而这些帖子只有雇员的Facebook好友可见,但雇主认为这些帖子是不恰当的,所以暂停了雇员的职务。本案中雇主是从该组织的另一位雇员那里得知这些帖子的,这位雇员恰好也是Ehling在Facebook上的朋友。法院认为,Facebook的帖子在法定定义内构成“电子通信”,因为它们涉及将数据从计算设备发送到Facebook的服务器,而Facebook之所以构成“电子通信服务”,是因为它的主要目的是让人们通过互联网在其服务器上传输和共享数据,帖子被无限期地存储起来,以便存档。尽管法院没有对Eh⁃ling作出有利判决,因为她的雇主是通过Ehling的一个Facebook朋友(即获得访问内容的适当授权的人)主动展示的方式访问这些信息的,但法院的调查结果表明,《存储通信法》可以通过对“授权”一词的分析解释保护私人社交媒体内容。如果雇员或求职者能够证明,其交出登录信息的行为是被某种方式胁迫的,属于非自愿行为,则雇主不能以授权作为对《存储通信法》下责任的抗辩。
在Crispin诉Christian Audigier一案中[25],法院对使用《存储通信法》防止雇主访问社交媒体内容的方法作了一些澄清。尽管在事实上许多案件与Ehling案不同,但Crispin案的法院在判决时使用了许多相同的理由。在确定要求提交一名用户的评论的传票是否需要包括Facebook在内的社交媒体网站时,加州中央地区的地方法院再次裁定,这类社交媒体网站属于《存储通信法》下的电子通讯服务提供者。法院亦裁定,这些网站的私人发帖及信息满足为备份和存档而储存的电子通信的要求,因而受到《存储通信法》保护。因此,要求这些私人信息的传票随后被取消。尽管最高法院尚未正式采纳《存储通信法》作为一种保护措施,以防止雇主不受欢迎的访问私人社交媒体内容的情况,但 Ehling案与Crispin案突显了该法案的潜力。这某种程度上不仅表明司法部门承认某些类型的社交媒体内容需要予以隐私保护,还突显出社交媒体的独特特质,使其能够受到《存储通信法》的保护。
2.普通法隐私侵权法
除上述两部法律外,美国雇员隐私保护的另一个来源是侵犯隐私侵权的普通法。这种侵权行为起源于塞缪尔·沃伦和路易斯·布兰代斯1890年的一篇著名文章,他们在文章中主张承认隐私权[26]。 他们认为,隐私权基于“人格不受侵犯”的原则,通过补偿“精神上的痛苦”来弥补尊严上的伤害。这种“隐私权”最终被概念化为四种不同的侵权行为。对私人空间的侵扰和对私人事实的公开披露——都表明被告的行为是对一个理性人的极大冒犯。正如威廉•普罗塞(William proser)所解释的那样:“普通的理性人”不会因披露自己生活中的世俗事实而生气,因此,责难只应针对“社会习俗和普通观点所不能容忍的”行为[27]。这种对侮辱和精神痛苦的强调意味着,当收集信息的方法过分具有侵入性或收集信息的性质特别敏感时,普通法上的隐私权就会发挥作用。当个人信息的披露成为“一种出于自身利益而对私人生活进行的病态的、耸人听闻的窥探”,而不是出于任何合法的公共利益时,比如当个人的医疗状况或性关系信息被公开时,隐私侵权也会强加责任[28]。
在工作场所,成功的普通法隐私权主张通常涉及雇主窥探或披露特别敏感的个人信息的有针对性的事件。当雇主进行不正当的搜查或秘密监视侵犯人身隐私,或传统上的私人空间,如雇员的家或酒店房间,或工作场所的浴室和更衣室时,法院认为此时雇主侵犯了雇员的隐私。针对信息收集形式“高度冒犯性”的判断,普通法侵权保护模式忽视了数据挖掘对隐私构成的真正威胁。尽管数据挖掘需要大量关于雇员的数据,但所使用的数据可能不是通常被认为是私有或敏感的类型,也可能是雇主拥有合法商业利益的信息。例如,雇主通常会询问申请人的背景、教育和经验。这些材料,以及社交媒体网站或其他在线来源的公开信息,不太可能被认为是私密的,以至于请求或收集这些数据不构成“高度冒犯性”的侵入。然而,如果这些数据与其他可用数据结合起来,它们可以被解析和分析,从而得出关于雇员的新推论。同时,雇主也可以收集有关雇员在线活动的元数据,基于web的应用程序表单可以记录应用程序何时完成、完成需要多长时间、使用什么浏览器访问站点等。一旦雇员被雇佣,还可以使用地理定位设备、计算机监控工具等来收集他们活动的更多详细信息。收集到的每一份个人资料都显得相当平凡,甚至微不足道,很难满足侵权责任所必需的“高度冒犯性”要素。但正是所有这些数据聚合的累积效应构成了对隐私的侵犯,普通法侵权保障模式通过关注高度冒犯性的侵入或敏感信息的收集,不能解决大数据分析挖掘技术带来的信息隐私风险。
(三)结社权视角下雇员信息隐私保护
《国家劳动关系法》(National Labor Relations Act,NLRA)第7条规定,雇员有权“……为集体谈判或其他互助或保护的目的,从事其他协调一致的活动……”[29],某种程度上,NLRA第7条旨在保护雇员免受因与其他雇员进行“协同活动”(concerted activi⁃ties)而被采取的对其雇佣不利的影响。这一规定保护了雇员在工会环境中参与工会活动的权利,以及雇员寻求成为工会代表的权利。NLRA的第8(a)(1)条概述了雇主违反第7条参与协调一致活动的权利的潜在责任。虽然NLRA没有在法规中定义协同活动,但国家劳资关系委员会(NLRB)表示,协同活动指两名或两名以上的雇员共同行动以提高工资或工作条件,即当雇员与其他雇员一起或代表其他雇员,而不只是为他或她自己,讨论有关雇佣条款和条件的共同关切的问题时,即使在讨论之外没有采取任何行动,也应属于协同活动[30]。这一定义的实际困难在于,它需要进行解释,而且没有制定明确的规则来确定雇员的社交媒体行为何时达到了受保护的协同活动水平。国家劳资关系委员会认为,当雇主的规则和行动有相当的可能阻止雇员参与协同活动的权利时,这是对雇员NLRA第7条权利的侵犯。规则可以明确禁止受保护的活动,也可以隐含禁止受保护的活动,前提是:(1)雇员以合理语言解释规则,表明规则禁止第7条的活动,(2)该规则是为应对工会活动而颁布的,或(3)该规则已被用于限制第7条权利的行使。如果一个社交媒体帖子涉及到雇员工作场所的条件,并引起了多个雇员的注意和评论,那么就可以认定,不利的就业决定是针对社交媒体网站上的协同活动做出的。例如,NLRB决定支持一名被解雇的雇员,她在Facebook上表达了对被降职至她工作机构中工资较低职位的愤怒。两位同事加上几位前同事在她的投诉旁留言表示支持,并表达了他们对雇主的类似看法。然而,在大多数情况下,全国劳资关系委员会认定,有关雇员的讲话不构成受保护的协同活动,因为它不涉及其他雇员(即它构成了一种个人抱怨,而不是一种讨论邀请)。再如,NLRB对一名雇员做出了判决,该雇员在午休时间在Facebook上发布了一条关于其雇主的贬损性信息,因此受到处罚。虽然她的一些同事点赞表示“喜欢”,但NLRB认为,这不足以证明该雇员的行为具有煽动小组讨论或行动的性质[31]。
在“Knauz BMW”案中[32],可以更清楚发现NLRB对协同活动判定标准,一名雇员在他的Facebook页面上发了两组帖子后被解雇。其中一组帖子包含了关于一起事故的图片和评论,雇员对该事故表示出了嘲讽,这起事故发生在附近的一家路虎汽车经销商那里。这是一起严重的事故,一个13岁的男孩不小心把一辆路虎从河堤上开到了池塘里。在另一组帖子中,这名雇员对在一次大型销售活动中提供的食品和饮料提出了批评。在活动之前,销售人员已经表达了他们对即将供应的食物不足的担忧。他们认为食物应该更高档一些,因为在销售会上推销的宝马车(BMW)享有盛誉。销售人员认为,提供的食品的单调乏味可能会对销售产生不利影响,从而影响他们所能获得的佣金。在销售活动期间,这名雇员拍下了同事们拿着热狗、瓶装水和薯条的照片。随后,他在自己的脸书主页上贴出了这些照片,并配上了评论食物的文字说明,表示不满。NLRB的行政法法官审查了解雇主决定,指出有必要确定这名雇员是因同时发布路虎和销售活动帖子而被解雇,还是仅仅因为汽车经销商经理声称的路虎帖子而被解雇。行政法法官认为,销售活动的帖子是一个协同活动,即使这些帖子是由个人发布的,因为协同活动并不要求两个或两个以上的人一致行动,以抗议或保护他们的工作条件。协同活动包括个别活动,如个别雇员试图发起或诱导或准备集体行动,以及个别雇员向管理层提出真正的集体投诉。对于涉及路虎经销商事故的帖子,行政法法官也进行了类似的审查。他们认为,这名雇员发布有关事故的帖子是一种玩笑,带有嘲讽的语气,没有与同事讨论,帖子中的内容也没有与任何雇佣条款和条件建立联系,终止该雇员的职位没有违反了NLRA的规定。如果终止决定全部或部分基于销售活动中提供的食品的帖子,就会发现违反NLRA的规定。
在目前的NLRB政策下,如果根据NLRA第7条从事协同活动的雇员的社交媒体帖子被判定为极不恰当,他们可能会失去受保护状态。决定某个活动或语言是否越过了界限,不再被认为是受保护的协同活动时,NLRB会考考量以下四个因素:(1)讨论的地点;(2)讨论的主题;(3)雇员情绪失控的性质;(4)是否因用人单位的不公平劳动行为而引起的[33]。值得注意的是,这种对雇主监视的禁止并不适用于雇主通过另一名雇员获取信息,这与上文提到的Ehling案中法院的推理相似。此外,如果所述言论仅仅是关于工作条件的个人投诉,就不能要求具有协同活动的权利,必须涉及某种集体活动。NLRB没有明确的测试来确定什么是受保护的社交媒体活动,这某种程度上造成即使雇主有一个非常强硬、明确的社交媒体政策,员工也可能不完全理解他们利用社交媒体讨论工作场所问题的权利,或者什么时候在社交媒体上讨论工作场所问题是合适的。雇主也可能无法确定员工在社交媒体上的毁谤言论何时受到第7条的保护,或何时可以监控工作场所以外的社交媒体使用。
(四)雇员信息隐私保护的各州立法
为弥补《国家劳动关系法》(NLRA)、《普通法隐私侵权法》(common law privacy torts)和SCA对雇主侵犯雇员社交媒体信息隐私的不足,2012年5月,马里兰州颁布美国第一部《雇员社交媒体隐私保护法》,禁止雇主要求求职者和雇员向其提供社交媒体账户登录信息,以此作为接受或保留工作的条件。从那以后,又有12个州效仿马里兰州的做法,制定或开始实施某种形式的法律,旨在禁止雇主获取求职者或雇员的私人社交媒体信息[34]。
这些州颁布的雇员密码保护法主要旨在解决以下几个问题:雇主是否可以请求社交网站(SNS)密码,违反者是否有后果?雇主是否禁止报复?是否允许第三方访问?是否允许雇主添加雇员的SNS好友,以及是否允许雇主要求雇员对隐私设置进行请求的更改?
截止2013年,美国已有13个州禁止雇主向雇员或求职者索取SNS密码。当然在大多数情况下,立法中的措辞侧重于禁止雇主向申请人、雇员索取个人社交媒体用户名和密码,但并不禁止雇主在个人社交网络中获取或使用这些信息。显然,雇主也有其他方法可以不经公开要求就获得社交网站的访问权——通过使用第三方监控员工的互联网活动或提出社交网站的好友请求。此外,在立法的几个州中,如新泽西州和新墨西哥州,给予了雇主范围的立法豁免。新泽西州的立法指出,“雇主”一词不包括惩戒局、州假释委员会、县惩戒局或任何州或地方执法机构[35]。 此外,加州、马里兰州、密歇根州等10个州的立法规定,如果雇员或申请人拒绝提供SNS密码,雇主的报复将是非法的。
另外,伊利诺伊州、新泽西州等5个州的立法禁止雇主通过第三方访问雇员或申请人的社交网络。美国的隐私法一般认为,如果办公用品(电脑)为雇主所有,雇主可以合法地检查雇员的电脑上的内容,因为一般认为,如果雇主向雇员提供计算机和/或电子邮件帐户,雇员的隐私权往往不如雇主在计算机或电子邮件网络中的财产权。美国大多数州的法律没有禁止雇主在雇员使用工作发布的计算机时监控雇员的SNS内容[34]。
伊利诺伊州、密歇根州等9个州还禁止雇主要求雇员或申请人成为其SNS的朋友,禁止雇主要求其雇员或申请人更改其SNS帐户上的隐私设置,以便访问其内容[35]。
最后,对于那些要求雇员或申请人提交其SNS密码的雇主,少数几个州规定了雇主违反法律的后果,如密歇根州规定个人可以提起民事诉讼,并可能获得不超过1 000美元的损害赔偿,外加合理的律师费和法庭费用,新泽西州规定雇主违反本法的任何规定将受到民事处罚,第一次违反不超过1 000美元,以后每次违反为2 500美元[35]。
可以看出,美国各州对雇员社交媒体隐私的保护水平并不相同,美国也试图制定一部联邦层面的《社交网络在线保护法案》(Social Networking Online Protection Act,SNOPA),该法案遵循各州的立法,禁止要求雇员和申请人的SNS密码,但它没有禁止访问SNS内容。此外,该立法不支持禁止第三方访问,也不禁止监控员工使用工作电脑时的SNS内容。但是,很可惜的是,该法案于2013年未在国会通过。
值得注意的是,在2019年9月13日,加利福尼亚州参议院和国会一致通过了《加利福尼亚消费者隐私法案》(“CCPA”)的5项修正案,该修正案赋予雇主沉重的义务,并赋予雇员因数据泄露而应支付的法定赔偿金。具有里程碑意义的措施AB 25修正案,CCPA适用于雇员数据,雇主必须在2020年1月1日之前遵守。自CCPA于2018年6月通过以来,关于“消费者”是否包括员工的争论一直很激烈。AB 25修正案搁置了辩论,并明确指出“作为该企业的应聘者,该雇员的雇员、所有者、董事、高级职员、医务人员或承包商的自然人,将立即获得”CCPA的部分权利。在2021年,将根据CCPA为此类个人提供全部权利。CCPA通过三种重要方式极大地扩展了雇员的权利:(1)它要求强制性的隐私声明,并披露有关雇主收集的数据以及收集目的的信息;(2)如果违反了敏感的个人信息,它规定了100~750美元的法定赔偿;(3)扩大了请求访问或删除个人信息的权利。可以看出,CCPA在某种程度上扩展了雇员的隐私权利,实际效果值得期待。
四、欧盟对雇员信息隐私的保护
与上述美国法律多角度、漏洞填补式的模式相比,欧盟的模式显得更加简单,关于雇员的信息隐私规制,欧盟的路径一贯是以统一专门立法并辅之以判例扩展。欧洲当代隐私保护的起源可以追溯到1950年11月,即通过《保护人权和基本权利公约》(以下简称《公约》)。《公约》被认为是集体执行联合国大会于1948年12月10日宣布的《世界人权宣言》所规定的某些权利的第一步,其目的是限制各国的权力。对私人生活权利的保护并没有以禁止(第3条和第4条)或明确的权力、应享权利(第9条和第11条)的形式表示,而是非常不明确地要求尊重私人生活(第8条)。对第8条的文字和结构上的解释清楚地表明,“尊重”条款指的是不采取行动,因此,该条款被解释为一项否定权利[36]。对《公约》各项规定,包括第8条的解释,在1960年代后期出现了明显的重新调整,当时开始认识到这些规定的积极方面,其中包括防止公共当局的任意干涉。虽然经过一段时间以后,采取积极步骤确保在个人之间的个人关系方面也有效地享有权利,已适当地转变为一种责任,但欧洲人权法院直到1992年才承认,职业生活是实现私人生活权利的一个重要部分。1981年,计算机行业的早期发展提高了人们对隐私问题的认识,并促使欧洲委员会在自动处理个人数据方面采用一种单独的制度(见第108号公约)。理事会认识到《欧洲人权公约》第8条的一些局限,特别是“私人生活”的范围相当模糊,而且没有任何保障措施防止公共当局以外的行为体的干预,因此规定了收集、储存和使用个人数据的基本原则,适用于公共和私营部门。然而,由于签署国对《公约》的批准不力和前后不一致,而当时理事会确定的最低保护水平相当进步,因此《公约》的潜力没有得到应有的实现。针对明显的“成员国处理个人数据有关的隐私保护水平差异”,1995年10月,欧洲议会和欧洲联盟理事会通过了关于个人数据的处理和数据的自由流动的第95/46号指令。值得注意的是,尽管该指令并非针对具体部门,但其规定被解释为直接适用于有关雇员个人数据的处理操作。然而,将其条款移植到就业领域,导致各国数据保护制度在就业数据保护的监管模式、保护原则和允许的减损范围等方面存在重大分歧。
欧洲隐私保护框架的下一个重大发展是《欧洲联盟基本权利宪章》(以下简称《宪章》),这是“欧洲立法者”对欧盟权利损害的回应,是长期以来避免在共同体创始条约中明确提及人权问题的政治结果。2000年12月宣布的《欧盟基本权利宪章》引入了一种新的制度。它第一次在一份单一文件中汇集了一份古典人权(包括私生活权(第7条))、社会和经济权利以及欧共体、欧盟条约中已有的权利和自由(自由行动、不歧视、以及数据保护权(第8条))的综合清单。《宪章》在当时只是作为一份庄严宣布的政治宣言而设计的,没有任何法律约束力,但它却构成了工会“软法律”机制的一部分。随着《里斯本条约》对《欧洲联盟条约》第6条的修正,出现了质的飞跃,根据该条约,《宪章》规定的权利、自由和原则获得了与条约相同的法律地位(即具有约束力的基本法)。因此,其中所载的基本权利获得了“宪法”规则的地位,这些规则与欧洲人权公约和“成员国的宪法传统”一起构成了欧洲人权架构的基石。随着《里斯本条约》义务的充分履行,宪章对数据保护规则的要求也在逐渐实现,欧洲逐渐发展出一种更全面、同质化的隐私保护方式[37]。
在GDPR生效之后,则GDPR规定的更正权、被遗忘权、限制处理权、数据携带权以及反对权等一系列数据权利,也将被雇员所拥有。在欧盟层面,对雇员信息隐私的保护,在某种程度上也是属于判例法与统一的成文法令或意见结合的路径。
(一)判例法保护路径
自Niemietz v.Germany一案的开创性判决以来,欧洲人权法院以《欧洲人权公约》的“开放结构”及其作为“活的法案”的特点为基础,通过不断变化的社会观点来补充条款的含义,系统地扩大了《欧洲人权公约》第8条的涵盖范围,包括在就业过程中发生的各种形式的侵犯隐私行为②欧洲人权法院通过判例将第8条第1款所保护的“私生活”和“通信”的概念扩展为包含信件通信,电话电子邮件,个人互联网使用监控信息或即时通讯、毒品检测、视频监控等各方面。本文主要介绍具有里程碑意义的雇主对电子邮件的监控判决。可见Tyrer v.the United Kingdom(1978),Halford v United Kingdom(1997),Lustig-Prean and Beckett v.U.K(1999),Madsen v Denmark(2002),Kopke v.Germany(2010),M.M.v.UK(2012)。。欧洲人权法院在许多场合都明确赞同这样一种观点,即欧洲的隐私权建立在“与人生存和发展的权利”的关系基础上,与《欧洲社会宪章》确立的工作权是互补的。
在Bărbulescu V Romania一案中,欧洲人权法院适用《保护人权和基本自由公约》第8条(以下简称第8条),第8条规定:每个人都有权尊重自己的私人和家庭生活、家庭和通信。公共机构不得干预上述权利的行使,除非依照法律规定的干预以及基于在民主社会中为了国家安全、公共安全或者国家的经济福利的利益考虑,为了防止混乱或者犯罪,为了保护健康或者道德,为了保护他人的权利与自由而有必要进行干预的。该案中的Bărbulescu是罗马尼亚一家私营公司负责销售的工程师,应雇主的要求注册了一个雅虎通信账户,以便与客户沟通。2006年12月,Bărbules⁃cu签署了一份《雇主政策》,其中特别禁止将公司资产用于私人目的。2007年7月3日,所有雇员都收到了一份通知,要求他们签署该通知,该通知声明雇员在工作时间内不得处理私人事务,“雇主有责任监督和监视雇员的工作,并对任何有过错的人采取惩罚措施”。Bărbulescu在2007年7月3日至13日期间的某个时候签署了这份文件(没有向法院提供确切的日期和时间)。2007年7月13日Bărbulescu被告知,他的雅虎通信账户受到了监控,但他没有被告知他的信息内容已经被检查过了,而且有证据表明,他一直将通信账户用于个人目的。在Bărbulescu否认他使用雅虎账户发送个人信息后,他的雇主发给他一份由45页信息组成的记录,这些信息是他与哥哥和未婚妻通信记录的,其中有些是亲密无间的内容。Bărbulescu随后于2007年8月1日因违反公司禁止“个人使用电脑、复印机、电话、电传和传真机”的政策而被解雇。在用尽国内途径后,Bărbulescu向欧洲人权委员会提出了一项申请,声称他的解雇是基于侵犯了他的隐私权,国内法院没有撤销这项制裁,也没有履行其保护《保护人权和基本自由公约》第8条权利的义务[38]。
2016年1月,欧洲人权委员会第四部分以六比一的多数票通过,并认为尽管Bărbulescu的第8条权利已经生效,但其国内法院在尊重他的私人生活和通信与他的雇主的利益之间取得了公平的平衡,因此没有发生违反规定的情况。法院受到了这样一种论点的影响,即在Bărbulescu声称雅虎信使只用于与工作有关的目的后,雇主才访问了他的通信内容。因此,这种访问是合法的,因为雇主声称希望只找到与工作有关的内容。法院认为,由于雇主以合法的方式获得了这些信息,雇主有权在随后的纪律程序中使用这些信息。从本质上讲,由于Bărbulescu明确宣称这些内容仅与工作有关的内容,因此他不能在随后声称这些内容是私人性质的[37]。
在向大分庭提出上诉时,多数人同意下级法院的意见,认为Bărbulescu的通信即使发生在工作场所,且使用工作场所的设备,也应包括在私人生活和通信的概念范围内,因此,第8条已经生效。这就引出了Bărbulescu的雇主政策的最初价值问题,该政策试图排除雇员的信息隐私权,问题即转化为是否可以根据雇主和雇员之间的协议排除工作中的信息隐私权。法院明确表示,雇主的指令无权将工作场所的私人社交生活减少到零。对私生活和通信隐私的尊重仍然存在,即使这些可能在必要时受到限制。因此,如果不能排除信息隐私权,那么问题就变成了侵犯隐私权和合法侵入之间的界限应该在哪里划定。欧洲人权法院注意到各国和雇主在确定可接受的侵入程度时应有广泛的裁量权,但认为成员国国内当局应确保在采取任何监测通信的措施的同时,应采取充分的防止滥用的保障措施。作为对国内当局和雇主的指导,欧洲人权法院列举了其认为有关以下六个因素:(1)事前监视通知,即应明确通信监视的目的和范围,并应在监视开始之前通知;(2)监视的范围,即必须明确监视是否包括通信内容,这与仅仅监视发件人、收件人的身份不同。是否所有的通信都被监控,或者是否有限制,例如只有随机的电子邮件被监控,或者所有的电子邮件都在有限的时间内以零星的方式被监控。还应衡量收集到的信息的公布程度,即信息的传播范围;(3)正当化事由,即为进行监视而提出的正当化事由必须与监视的水平相称。法院指出,由于“监控通讯内容本质上是一种更具侵入性的方法,因此需要更有力的正当性事由”;(4)必要性,即如果监视的目的可以通过一种侵入性较小的方法来实现,那么就应该采用这种方法;(5)对雇员的后果,即对雇员不可能有意外的后果,即收集到的信息只能用于促进规定的监控目标的实现,例如,如果目标是确保雇员不通过电子邮件与竞争实体共享敏感信息,若雇主发现雇员使用电子邮件系统讨论私人事务,则此信息与监控所寻求的信息具有不同的性质。因此,这些信息不能用来约束雇员使用电子邮件系统讨论私人事务;(6)适当的保障,即雇员应获得尽可能多的保障,特别是雇主在没有事先特别通知雇员可能发生这种情况的情况下,不应访问消息的内容[37]。
根据上述标准,欧洲人权法院认为雇主和随后的罗马尼亚国家当局没有充分注意保护雇员的工作信息隐私。本案具有重要指导意义,本案明确指出,雇员可以期望在工作场所享有隐私权,而且作为一项实践,雇主必须考虑以尊重这一权利的方式设计其监督制度。
(二)成文规则保护路径
除了上述判例法保障路径,在欧盟也在某种程度上存在着一种成文法保障路径。除直接适用于整个欧盟的GDPR外,也有关于雇员信息隐私保护的详细操作规则。其中第29条数据保护工作组于2017年通过的《关于工作中数据处理的第2/2017号意见》就提供了关于雇员信息隐私详细的规定。第29条数据保护工作组是一个欧洲级别的机构,由来自每个欧盟成员国的数据保护机构、欧洲数据保护监管机构和欧盟委员会的代表组成。在实施GDPR之后,第29条数据保护工作组已不复存在,取而代之的是欧洲数据保护委员会。虽然工作组的意见并不具有与欧盟条例或指令相同的法律地位,也不能直接针对雇主执行,但是第29条数据保护工作组作为一个独立实体,其出具的意见具有类似《业务守则》的法律地位,在诉讼中也具有重要的参考和证据价值。
1.《关于工作中数据处理的第2/2017号意见》
该《意见》明确规定,雇员在工作时有权进入私人区域,应确保雇员可以指定某些私人空间,除非在特殊情况下,雇主不得进入这些私人空间。这些私人空间可以是物理的,也可以是虚拟的,例如工作场所的指定区域或其他共享存储库中的私人区域。不能通过双方之间的“协议”排除这些私人区域的权利,例如在一套商定的就业政策中,因为考虑到雇主与雇员关系造成的雇员对雇主的依赖性,雇员几乎永远无法自由地给予、拒绝或撤销同意。鉴于权力的不平衡,雇员只能在特殊情况下自由同意。雇员有权在工作中享有基本的信息隐私权,这是不能排除的,问题的关键这项权利的界限或范围。在为雇主和雇员提供一个框架时,该意见倾向于通过前瞻性规划避免侵犯隐私[39]。这一方法的实质可以用这样一句话来概括:“预防应该比发现更重要”。这种预防基于两个支柱,即全面、实际的就业政策,以及基于数据保护影响评估。
关于就业政策的制定,《意见》提供了一些一般性建议,但工作的情境将是就业政策细节的最终决定因素。需要注意的是,雇员(或其代表)应参与就业政策的制定,从而确保雇主和雇员更深入地了解彼此的观点,认同就业政策。《意见》提出了三个基本要素,应成为所有就业政策的核心,即透明度、比例性和数据最小化。首先,必须向所有雇员免费提供适当制定的政策,包括监控的“谁、什么、为什么”以及雇员避免被监控的方法的具体细节。同时,不得进行秘密监控。即使监控无法避免(例如在开放式工厂层面上),雇员必须知道他们被监控的时间。其次,至于监视水平,必须与雇主面临的风险相称。雇主应该从最低限度的角度来处理这个问题,避免过度的监控。雇主必须使用尽可能少的干扰手段来达到既定的目标,例如,如果目标是防止互联网滥用,那么系统应该基于过滤器来屏蔽不适当的互联网站点,而不是监控雇员的网络活动。如果不侵入雇员的私人领域就无法实现既定目标,那么就应该以透明的方式收集最低数量的数据,且只与那些需要知道这些数据的人共享,并尽快删除这些数据[38]。
2.数据保护影响评估
在GDPR生效之后,数据保护影响评估(以下简称DPIA)是防止对雇员进行过度监控的重要支柱,数据保护影响评估(DPIA)是GDPR中最具相关性和创新性的工具之一,它允许实施问责制,是一个旨在建立和证明遵守法规的机制,描述设想的处理过程及其目的,评估其必要性和相称性,评估由此产生的对数据主体权利和自由的风险,并争取采取适当措施应对这些风险。这种评估并非适用于任何形式的个人数据处理,而应仅适用于那些可能对自然人的权利和自由造成高风险的人,特别是在采用新技术的情况下。 GDPR第35(3)条提供了处理可能需要DPIA的情况的有用例子:(a)对与自然人有关的个人方面进行系统和广泛的评价,这种评价以自动处理(包括特征分析)为基础,并以此为基础作出对自然人产生法律效力或对自然人产生类似重大影响的决定;(b)大规模处理第9(1)条所述特殊类别的数据,或与第10条所述刑事定罪和犯罪有关的个人数据;(c)大规模系统地监测公众可进入的区域。
根据数据保护影响评估(DPIA)指南[40],GDPR进一步阐明了“可能导致高风险”的处理操作的概念,为确定DPIA的必要性提供了一组更具体的标准:1.评估、评分、分析或预测技术,这些技术将需要处理数据主体的个人信息,这些信息涉及“工作表现、经济状况、健康状况、个人喜好或兴趣、可靠性或行为、位置或轨迹”;2.旨在对数据主体做出自动决策的处理操作,这些操作会产生法律效力或可能对自然人产生重大影响;3.用于系统地监视、观察或控制数据主体的处理操作,特别是如果信息是在公共(或可公共访问)的空间中收集的,则个人可能不会意识到要进行此类处理,这对于他们来说是不可避免的;4.处理敏感数据或高度个人化数据的操作,例如政治见解、生物特征数据、病历、刑事定罪或罪行;5.大规模处理的数据。换言之,当相关数据主体的数量、数据量、保存或永久性或处理活动的地理范围可能是评估处理操作的高风险的促成因素时;6.通过匹配或组合可能超出数据主体合理预期的数据集来处理数据的操作;7.处理数据可能涉及弱势数据主体的操作,包括儿童、雇员、寻求庇护者等。这种处理可能会增加控制者与数据主体之间的权力失衡;8.处理操作需要创新性地使用新的技术或组织解决方案,例如,结合使用指纹和面部识别技术以改善物理访问控制。实际上,GDPR强调“已获得的技术知识状态”可以导致新形式的数据收集和使用,这可能对个人的权利和自由产生高风险;9.以防止数据主体“行使权利或使用服务或合同”为目的的处理操作[41]。
虽然第29条工作组认为,在大多数情况下,当满足其中两个标准时,数据保护影响评估将是强制性的,但数据控制者可以决定,仅满足其中一个标准的处理是否需要DPIA。DPIA应该“在处理之前”执行,但是它应该代表一个持续的过程,需要对其进行定期检查和重新评估。DPIA应该“在处理之前”执行,但是它应该代表一个持续的过程,需要对其进行定期检查和重新评估。控制者应始终征询数据保护官(DPO)的建议,亦应在适当的情况下,控制者还应征求数据主体或其代表的意见。此外,控制者还可能需要与监管机构进行磋商,尤其是在找不到足够的措施来减少加工的剩余风险时。最后,尽管GDPR并没有法律要求,但是控制者可以决定发布DPIA,以提高透明度和对其处理操作的信任[42]。
DPIA可能要求雇主进行评估,以确定数据处理系统是否可能对雇员的权利和自由造成高风险。虽然并非所有数据处理业务都需要DPIA,但由于涉及潜在的敏感信息,在直接监视雇员或其通讯的地方,则需要DPIA。为实施维持 DPIA的标准,必须符合以下要求:(1)监控的系统描述,包括监控范围、使用的硬件或软件以及数据存储的时间;(2)监控的必要性和相称性的详细信息,包括特定目的的相关性、对雇员私人领域的入侵程度、数据的潜在接收者以及如何维护雇员权利的详细信息(如访问、纠正、删除或限制数据可移植性的权利);(3)如何管理数据主体权利和自由风险的详细信息,包括确定风险来源、潜在影响以及如何解决或减少这些风险;(4)利益相关方的参与,不仅包括相关雇员,还包括雇主的数据保护官员以及国家数据保护局(如果无法消除任何高风险)[43]。
五、我国未来雇员信息隐私保护立法方向选择
正如上述关于雇员信息隐私保护模式,存在欧盟的统一立法和美国的分散立法两种模式。统一立法模式与分散立法模式各有利弊,美国分散立法不可避免存在某些漏洞,出现对雇员信息隐私保护不周延的困境。但是,此种分散立法模式也具有着灵活多变、针对性强、具体明确、司法适用难度低等优势。对雇员信息隐私的规制,欧盟法律主要通过制定个人数据处理的数据保护原则以及依赖于相当模糊的相关性、充分性、准确性等概念,以此划定一个雇员信息隐私保护的框架。虽然此种模式具有很强的周延性,某种程度上也对雇员的信息隐私保护进行了比较精确的解释,并加强了信息隐私在道德和政治话语中的力量,但是其界定雇员隐私保护范围主要依据的法律原则并不足够清晰和直接,明显缺乏美国明确和情境相关的规则带来的优势。
(一)坚持灵活、务实的隐私保护立法原则
正如学者所言,在美国和大多数欧洲国家,对隐私权的一般解释,尤其是在就业方面的解释,都依赖于实用主义的方法。美国和欧洲的方法都以一种灵活的情境方式将隐私概念化,这种方式确定了所涉及的合法利益以及干涉个人私生活的行为[44]。欧盟与美国的经验所示,雇员与雇主之间的隐私冲突,不能仅依靠市场手段,由雇主告知、雇员同意解决,这是由雇主与雇员之间不对等的地位决定的。当然,这也不是要全面的否定雇员同意的作用,在某些情况下,赋予同意作为雇主获取雇员信息隐私的正当化事由功能,既体现了对雇员控制其个人信息权利的尊重,也是雇员个人自治的表现。只不过,由于雇员相对于雇主,处于弱势地位,因此需要对告知同意原则进行改造。就改造的路径而言,我国学者已经提出很多种有益的尝试,目前比较具有合理性主要由两种路径:场景化具体判定同意效力模式与同意效力增补模式。有学者指出,告知同意原则应从整齐划一的同意向基于信息分类、场景化风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变,允许有条件的宽泛同意+退出权模式[45]。另有学者指出,告知同意原则要受通信自由和通信秘密宪法权利的限制,要受隐私权的限制,还要受目的原则与必要原则的限制。因此,不能简单地以告知同意原则作为任何情况下不当收集个人信息的合格抗辩[46]。可以看出,我国学者对同意原则的改造与上述欧美的经验有异曲同工之处,值得未来立法予以吸收。
(二)坚持目的导向的隐私保护立法原则
大数据挖掘技术对人的一项重要运用即是人物画像(Profiling),即通过人物画像来定性化和代表一个主体,或者识别一个主体是一个组或类别的成员。人物画像可能会带来可能带来的歧视、去个性化、定型化、信息不对称、不准确和滥用风险[47]。面对大数据技术的冲击,传统法律规定的个人信息保护方式可能存在一些不足,无论是欧盟的GDPR,还是美国的一系列数据隐私法案,对个人数据概念都采用广义解释,我国对个人信息的定义亦是如此[48]。有学者对此种宽泛的个人信息定义方式提出忧虑,其认为个人信息概念的扩展是“个人领域的膨胀”,这种膨胀在给数据控制者带来了巨大的管理负担的同时,还可能造成那些不太重要的隐私侵权行为已经导致执法机构应对捉襟见肘,而重要隐私利益被隐藏起来,执法机构对法律应如何适用感到困惑。另外,宽泛的个人信息定义也可能造成隐私权作为一项人权的重要性和它所要保护的基本价值的降低[49]。
信息隐私虽然本身是一项重要的人权,它允许我们在外部世界和我们自己之间设置一个“距离”。没有别人的注视,我们可以自由地发展我们的思想和我们的个性。此外,它允许我们向外部世界展示我们认为合适的自己。但信息隐私往往更多地是一种手段,而不是目的。通过信息隐私和数据保护的权利(手段)来限制数据的访问和使用,限制了误用和滥用这些数据的可能性,从而保护了个人自主权、声誉和平等待遇(目的)等利益。例如,在政府监控的背景下,隐私权的目的是保护个人的自主权。因为知识就是力量,关于公民的信息越少,政府的权力就越小。在处理有关个人种族或宗教的数据时,主要的利益不是保护隐私,而是平等对待或避免歧视,因为不允许处理种族信息,就不可能根据这些数据进行歧视。因此,通过规范个人数据的使用,我们可以降低可能的风险,并保护潜在的目标[47]。不得不承认的一个事实是在大数据挖掘技术的背景下,数据保护法的有效性是有限的。
为使数据保护法更有效,第一种选择是根据正在处理的数据区分数据保护法的适用,即根据数据处理的类型、识别的可能性和数据处理的范围等因素,我们可以设置不同的保护标准,例如,有学者提出了一个基于“已识别数据”和“可识别数据”之间差异的差异化系统。他们将数据的使用分为三个风险类别:已识别、可识别和不可识别,再基于不同的数据给予不同程度的保护[50]。虽然更细粒度的以数据为中心的方法在某种程度上有一定效果,但是它仍不一定能有效地处理大数据挖掘技术带来的可能风险,需要以面向目的的方法予以补充,即根据数据处理的实际目标和可能涉及的风险,可以选择最有效的保护措施。以目的为导向的数据保护和分析方法将更加强调数据保护的道德基础,这也可能意味着除数据保护法外,其他类型的立法(例如反歧视立法)也可能发挥作用。在某些情况下,这些规则甚至可能取代数据保护立法。例如,为防治重大疫情,取得疑似感染者或与感染者有接触者,大数据人物画像技术要求更多的数据,这就与数据最小化原则冲突,但在数据人物画像具有正当性的情形下,数据最小化规则和对敏感数据处理的禁令损害了数据人物画像工作的准确性,则这些规则和禁令可能被否决。
结语
综上,在大数据时代,关于对雇员信息隐私的保护,我国未来的立法方向应软化雇员同意的效力,采取一种更加灵活的处理方式。在注意区分雇员数据类型的前提下,也需要基于雇主收集、处理雇员信息隐私的目的、情境、正当性事由、对雇员的影响以及雇主已采取的保障措施等因素,综合判定雇主对雇员信息隐私的干涉是否符合比例性原则、是否侵犯了雇员的信息隐私权利。在完善立法的同时,我国也要借鉴欧盟判例的经验,发挥我国案例指导制度的积极作用,通过最高法颁布的具体指导案例对复杂的个案进行仔细地层层解构,以便实现指导司法实践、推动理论发展的目标。
