劳动者个人信息保护的困境与突破

石文慧 张朝霞

［摘 要］在信息安全问题频发的互联网时代，个人信息保护在职场中呈现出一定的特殊性。但由于我国现行法律并未对职场中的个人信息保护进行专门规定，劳动者个人信息保护制度尚不健全，导致劳动者个人信息保护在行为处理边界、不当处理行为界定以及用人单位责任承担等方面存在诸多实务困境。因此有必要通过确定“负面清单”和“时间上限”明确劳动者个人信息的处理范围，并通过完善告知同意规则防止处理范围的扩大。通过强化比例原则对处理目的、处理行为和处理方式的限制实现单位不当处理行为的界定。通过健全保护规则和完善责任认定明确用人单位的相关责任，实现对劳动者个人信息的充分保护和救济。

［关键词］劳动者个人信息；劳动关系；信息处理过度；劳动基准法

［中图分类号］D920.0［文献标识码］A

［文章编号］2095-7416（2024）02-0069-10

一、引言

在网络和市场经济快速发展的背景下，个人信息被他人获取的风险大大增加。在劳动用工领域，特别是随着社交媒介的兴起，私人生活空间与工作空间产生了交叉，用人单位获取员工个人信息的行为更加频繁^［1］。2021年《个人信息保护法》的出台无疑为信息处理提供了行为准则，但该部法律主要是对信息处理者的处理行为进行一般性的规定，对于特殊领域，尤其是劳动领域内的个人信息保护规定并不完备。而劳动领域内也未对劳动者个人信息的保护进行专门规定，存在保护不周的现象，因此有必要对劳动者个人信息的保护问题展开研究。

从现有研究来看，相较于个人信息保护的研究热度，学界对劳动领域内个人信息保护的研究较不充分。有学者从劳动者个人信息处理原理方面对现有保护所面临的挑战进行了分析，并对不同的劳动场景提出区分保护的制度设计^［2］。也有学者讨论了劳动者个人信息保护的价值，并从知情同意和比例原则的适用等方面对劳动者个人信息保护进行论证^［3］25。学界现有研究主要着眼于理论层面的探讨，忽视了实践层面的讨论。基于此，本文在界定劳动者个人信息內涵的基础上，整理分析了劳动者个人信息保护的现状，并试图从处理界限、行为界定以及责任认定三个层面破除现阶段所面临的困境，实现劳动者个人信息的全面保护和救济。

二、劳动者个人信息的内涵界定

（一）劳动者个人信息的界定

劳动者个人信息是相对于用人单位而言的，是一般个人信息在特定法律关系中的体现。因此劳动者个人信息能够被一般个人信息涵盖，但劳动关系的存在使其具有一定的特殊性，即可以从不同阶段分别进行界定。

就个人信息而言，我国对其界定采用识别说与关联说，两者只存在区分标准的不同，在区分结果上具有一致性^［4］64。劳动者个人信息也应当延续一般个人信息界定的方法，采取关联说或识别说。但个人信息的界定并非像物的界定一样稳定，会随信息主体、使用场景以及技术等客观因素的改变而发生变化，故个人信息的界定具有场景性和动态性^［5］。因此劳动者个人信息的界定应当置于特定的劳动场景中。

从劳动关系的发展阶段来看，劳动者或求职者的个人信息处理贯穿于求职、劳动关系存续及终止三个阶段^［6］。对劳动者个人信息的界定也应当基于上述特定场景，贯穿于劳动关系的三个阶段。因此，劳动者个人信息是指劳动者在特定劳动场景中，由用人单位收集或储存的能够单独或与其他信息相结合，识别劳动者身份的关联信息。在求职阶段，劳动者个人信息主要是指用人单位能够收集的与工作性质相关的信息；在劳动关系存续阶段，主要是指用人单位为职工利益或管理公司而处理的信息；劳动关系终止后，主要是指劳动者在劳动合同中所记载的或者单位保存的相关信息。

（二）劳动者个人信息保护的特殊性

劳动者个人信息是劳动用工下的产物，具有一般个人信息的共性。由于信息主体是劳动者，便融入了劳动关系的特殊性。该种特殊性总结为以下两点：一是劳资双方地位的不平等，二是劳动关系中侵害行为的阶段性。

首先，劳资双方存在不平等的法律关系。在劳动场景下，劳资双方在经济、技术等方面具有天然的不平等性，极易对劳动者个人信息权益造成损害^［7］。该不平等性源于劳动关系的从属性，用人单位可以指挥控制劳动者，而劳动者是单位内部组织的一员并对单位有经济上的依赖性^［8］。劳动关系的从属性催生了单位用工管理与劳动者权益的利益冲突。用人单位在管理劳动者的过程中，为保证单位的工作效率会牺牲劳动者的某些权益，而劳动者基于劳动关系的存在无法或不便于拒绝，只能被动接受，这必然对劳动者权益有所损害。因此，对劳动者个人信息的保护而言，劳动者和用人单位不仅具有个人信息领域内的不平等性，还具有劳动用工领域内的不平等性。在双重不平等关系的加持下，劳动者个人信息的保护将更具有特殊性和复杂性。

其次，劳动关系中的侵害行为具有阶段性。劳动者个人信息的保护以劳动关系为基础，贯穿于劳动关系的形成、继续和终止。在劳动关系的形成阶段，单位基于工作需要要求应聘者提供或自行获取其相关信息，以此来寻找“最优”劳动者。用人单位在获取个人信息时会借审查之便扩大信息收集范围，获取大量与求职工作无关的个人信息，例如收集其家庭人员的信息。在劳动关系的持续阶段，随着数字化办公和人工智能的到来，单位为保证劳动者的工作效率，会通过网络技术措施将劳动者置于监控之下。例如在新型用工形态下，由于工作场所和工作时间的非标准化，以及私人生活环境与工作环境的重叠，用人单位会采取24小时监控等方式保障劳动效率。这种渗透式监视行为将劳动者的所有信息暴露于大众，势必会对劳动者的权益产生影响。在这种情况下劳动者为了避免劳动关系的不稳定，往往会被动接受单位的信息收集行为。劳动关系终止后，《劳动合同法》第50条规定劳动者个人信息仍会由用人单位保留两年以上，劳动者的信息安全仍存在隐患。

三、劳动者个人信息保护的实践现状及困境分析

（一）劳动者个人信息保护的实践现状

在司法实践中，因劳动者个人信息保护问题产生的争议类型复杂多样，但总体上可分为两类，一是直接主张劳动者个人信息泄露的侵权案件，二是在劳动争议中附带劳动者个人信息保护的案件。若要实现对某一权利的保护无非两种手段：一是事前预防，二是事后救济。前者需要从源头上阻止侵权行为的发生，后者需要在侵权行为发生后实现对权利的救济。因此本文在分析劳动者个人信息保护的实践情况时，将聚焦于用人单位的处理行为类型以及法院的审理结果。

在用人单位的处理行为类型层面，主要表现为：第一，求职阶段个人信息的过度收集，如某购物平台以管理为由要求求职者提交亲属及同学关系等信息，未按要求提交的视为违反公司的规定^①。第二，劳动关系持续阶段个人信息的泄露、监控，如修某婵与山东某公司隐私权纠纷案^②，原告认为公司在其使用的电脑上安装监控软件并调取相关内容用于证据使用的行为侵犯了原告的隐私和个人信息权益。第三，劳动者离职后个人信息的泄露及侵占，例如曹某建與李某新、广东某公司隐私权纠纷案^③，原告起诉要求被告公司向其返还入职申请表等入职时留下的个人信息，但法院认为申请表中相关内容均系原告自愿填写，并非被告非法收集而获取，因此不予以返还。

在法院的审理结果层面，用人单位的行为难以被认定为侵权，原因在于：用人单位的行为往往涉及单位管理权的行使问题，法院更倾向于认为用人单位的行为是正常行使管理权的需要。例如上述修某婵与山东某公司隐私权纠纷案，法院认为公司的行为属于正当行使其管理权的需要，从而否定行为的违法性。此外，即使被认定为侵权行为，也难以承担侵权责任，原因在于：劳动者难以证明其损害结果以及因果关系等构成要件。例如陆某与广州某公司隐私权纠纷案^④，原告请求精神损害赔偿时，法院认为原告未能证明公司侵权行为与精神损害之间的因果关系，不予支持该项诉讼请求。

综上，劳动者的个人信息在实务中面临非法处理的问题，该问题贯穿于劳动关系的成立、存续及结束全过程，并且在救济时涉及侵权行为认定以及责任构成等问题，难以寻求有效的保护。因此，下文将基于上述情况对劳动者个人信息保护的法律困境展开进一步的分析。

（二）劳动者个人信息保护的困境分析

通过对劳动者个人信息保护现状的总结，劳动者个人信息保护所面临的困境主要表现在三个层面：一是信息处理层面上处理边界不清晰，二是行为界定层面上单位不当行为认定困难，三是责任承担层面上单位侵权责任规范不明确。该部分将对上述三个层面的困境展开讨论。

1.信息处理层面：劳动者个人信息处理边界不清晰

劳动者个人信息的处理边界不清晰会造成信息处理过度，原因在于劳资双方存在持续且不平等的从属关系，劳动者在劳动时间、劳动地点以及经济资源上听从于用人单位的指挥，并依赖于用人单位，使劳动者在信息技术、物质财力等方面处于弱势地位。

劳资双方地位的不平等性导致告知同意规则失灵，进而导致信息处理范围大于其同意范围。从知情权的实现来看，告知规则流于表面。用人单位表面上已经履行了告知义务，但实际上却忽略了不同权力间的内在差异，因此处理行为不能统一通过告知同意原则得到豁免^［9］。从意思表示来看，劳动者的同意受迫于处境，欠缺真实性。在劳动关系中，由于劳资双方力量关系的结构性失衡，劳动者受迫于用人单位的管理，为保证劳动关系的订立或继续而被迫同意用人单位的处理行为，难以基于其真实的意思表示做出决定^［10］。例如在订立合同时明示或暗示劳动者，将同意某种信息处理行为作为被录用的前提；或者在履行合同时表明不同意单位的信息处理行为将面临降职、解雇等风险。从行为合法性来看，劳动者同意不能正常发挥违法性阻断功能。《民法典》和《个人信息保护法》均将同意作为处理行为的合法性根据，并在同意的基础上赋予信息主体撤回同意和删除等权利，其本意在于实现信息主体的信息自决权。由于劳动关系的不平等，处理行为超出同意范围时劳动者无法及时获得撤回同意及行使删除权的机会和渠道，导致实务中用人单位可基于其优势地位随意适用告知同意规则，将其作为处理行为的合法性基础，甚至成为某些不法处理行为的避风港。

2. 行为界定层面：单位不当处理劳动者个人信息界定困难

单位不当处理行为界定困难主要表现为用人单位处理行为的违法性难以认定。《个人信息保护法》第13条规定了信息处理的合法性基础，为实施人力资源管理所必需的可以不征得信息主体的同意。因此用人单位经常以确保劳动效率、维护单位财产、保障工作环境安全为由监控劳动者，使劳动者在面对单位的管理时不得不做出让步^［11］。

“实施人力资源管理所必需”的处理行为会造成单位管理权与行为合法性之间的失衡，使信息处理行为因行使管理权的需要而难以认定为违法。例如在大数据以及算法技术的蓬勃发展下，算法技术的运用使用人单位更便于管理，提高了工作效率；但算法技术的高科技性也对信息保护产生了一定的威胁，在用人单位控制的算法技术下，信息处理行为存在过度处理的现象。再如，用人单位基于管理的需要会利用手环等技术措施将劳动者置于其监控之下，这不仅会使劳动者丧失私人空间，而且许多技术措施具有极强的隐秘性，极易使劳动者受奴役于算法技术。上述现象在实务中司空见惯，明显侵害了劳动者的个人信息权益，但没有行之有效的解决方法。单位不当处理劳动者个人信息极少通过劳动争议的路径解决，并且即使选择劳动争议的解决途径，法官对单位的相关处理行为也仅是予以劝诫警告，并未对其处理行为的性质进行评判^⑤。究其原因是单位的管理行为与不当处理行为之间缺乏判断标准，难以合理界定单位管理行为的不法性。

3.责任承担层面：用人单位的责任规范不明确

用人单位的责任规范不明确源于相关责任规范的匮乏以及针对性不足，这会导致劳动者相关权益的保护和实现受阻。首先，在问题的产生上，具体责任规范的匮乏及针对性不足是根源所在。劳动者个人信息的保护被零散地规定于劳动领域和个人信息保护领域的法律文件中，但对劳动领域内的个人信息未做强调和突出保护，用人单位的责任规范并不明确，造成劳动者个人信息的劳动法保护缺位、民法保护不充分、专门法保护不具有针对性的尴尬局面。基于劳动关系的特殊性，劳动者个人信息保护也应针对其特殊性进行专门规定^［3］38。

其次，在问题的结果上，责任规范不明确导致单位的职责不明确，无法做好事前预防；并且侵害行为发生后劳动者请求损害赔偿困难，无法实现事后救济。在事前预防阶段，《劳动法》对于单位的处理行为未给予管理性规定，相关“劳动保护”也未能将劳动者个人信息保护纳入其中，信息处理无法获得有效的事前规制。事后救济阶段，单位难以满足赔偿责任的构成要件，劳动者无法获得及时的救济，原因在于传统侵权损害赔偿责任中对损害结果的要求与劳动领域侵害个人信息的现实情况产生了冲突。传统侵权损害赔偿责任要求损害结果必须是实际的、具体的，而个人信息的损害结果多指未来遭受损害的某种风险，具有不确定性。按照传统侵权损害赔偿责任，部分侵犯劳动者个人信息的行为会逍遥法外，不利于对劳动者的保护。并且劳动者请求精神损害赔偿时，法院往往选择《民法典》第1183条为裁判依据，只有达到严重精神损害时才可请求精神损害赔偿，但侵犯劳动者个人信息带来的损害往往是不安和焦虑等情绪，难以证明达到严重损害的程度，成为劳动者请求精神损害赔偿的障碍。

四、劳动者个人信息保护困境的突破

（一）明确劳动者个人信息的处理范围

对于单位处理边界不清晰问题的解决，需要明确可处理的个人信息的范围，并防止该处理范围的扩大。对于前者可通过立法途径解决，在相关条例或解释当中采取列举法或者排除法规定用人单位可处理的个人信息；对于后者可通过强化适用告知同意规则予以解决。

首先，在处理范围的明确方面。（1）在内容上采用“负面清单”的方式。《劳动合同法》第8条赋予单位收集劳动者个人信息的权利，但对收集范围并未作限制，导致用人单位随意获取求职者的相关信息。针对该现象存在两种解决途径，一是正向规定，即规定用人单位可获取的个人信息；二是反向规定，即规定用人单位不可获取的个人信息。本文认为后者较为可取，因为正向规定不具有灵活性，难以适用当下瞬息万变的市场，而且劳动关系涉及各行各业，每个行业的要求各不相同，正向规定无法适合于所有行业。并且日本已有先例：对于具有业务目的或特殊利用目的的信息，用人单位释明后可向劳动者收集^［12］，其他信息一般不予收集；此外，劳动监管部门还基于《劳动安全法》进行列举规定，例如第5条第4项规定可能导致歧视的信息不能被收集^［13］163。（2）在时间上设置留存上限。《劳动合同法》第50条规定劳动者离职后用人单位可将合同留存以备查，但仅规定了留存时间下限未规定上限，劳动者离职后的个人信息仍处于极不稳定的环境内，因此留存应设置时间上限。此外，由于劳动者离职后与单位间的联系不再密切，出于对信息安全的考虑，单位处理离职员工的个人信息时应取得单独同意。对此可借鉴日本，單位在向其他人提供离职劳动者个人信息时，应得到该离职劳动者的明确同意或法律的明确授权^［13］172。

其次，在防止处理范围扩大的方面。第一，向劳动者提供充分知情的机会和渠道。知情不等于同意，知情是同意的前提。同意不适用于所有处理情形，但知情权的实现应当适用于所有情形^［14］。为保证劳动者知悉信息处理情况，用人单位需要在处理前确保劳动者对此知情，劳动者能否充分知悉个人信息的处理情况取决于单位是否充分履行告知义务^［15］，单位应当承担该项证明责任。此外用人单位应当建立合规的信息处理查询渠道，保障同意内容与处理内容的一致性。单位处理信息时难免因技术问题导致处理范围超出同意范围，因此用人单位获得劳动者的初次同意后，还需为劳动者提供核对途径，避免超出劳动者的同意范围。第二，充分审查劳动者意思表示的自由程度。基于劳资双方地位的不平等性，劳动者同意意思表示的自由程度可能受限。欧盟《通用数据保护条例》中规定审查同意应着重考虑对处理行为的同意是否是合同履行的前提，因此用人单位处理行为合法与否需认真审查劳动者意思表示的自由程度。意思表示的自由程度可从用人单位是否告知、在告知的情形下劳动者能否无不利后果的选择拒绝以及劳动者是否享有撤回同意的权利等方面进行考察^［3］36。第三，完善技术措施的监督审查机制。在个人层面，定期号召用人单位开展自查，针对不合法、不合理的行为实现自我纠正。在社会层面，设立权威高效的劳动者权益监管机构，明确机构职责，加强机构间的协作。在国家层面，加强相关行政部门的审查力度，切实做好监督审查的“守门员”，有权要求单位对处理方式、处理目的做出解释说明，并为劳动者信息安全提供技术保障，将不法行为遏制在源头。

（二）合理界定单位的不当处理行为

单位的不当处理行为主要源于管理权的不当使用和行为合法性界定标准的欠缺。不当处理行为的界定涉及单位管理权和信息权益保护的博弈，离不开比例原则的适用。《民法典》第1023条规定了信息处理行为的免责情形，即在获得同意后需要合理地处理个人信息。意味着即使处理行为获得信息主体的同意也不代表信息处理者一定免于承担责任，该处理行为必须是合理的，这是比例原则的要求。此外，由于单位管理权和劳动者信息权益保护的冲突^［16］，单位管理权的行使和实现是在劳动者牺牲其部分权利的基础上进行的，以限制劳动者权益为代价，该种限制应当具有合理性^［3］31，该合理性即为比例原则的体现。

比例原则的核心在于信息处理行为应具有明确合理的目的、处理行为与处理目的相关、处理者应采取对权益影响最小的处理方式。通过强化适用比例原则实现不当处理行为的界定需要围绕上述核心进行。首先，在处理目的的判断方面，比例原则要求单位的处理行为需具有一定的处理目的，不仅要求处理目的明确、合理、特定，还要求该处理行为必须是实现处理目的的必要条件，即若不处理该个人信息，其处理目的便无法实现^{［4］268-269}。若单位的处理行为不是为了特定处理目的的实现，则该处理行为具有不正当性，不能作为合法性根据。此外还需要判断单位的处理目的是否正当，若目的不正当，那么为实现该目的而实施的处理行为自然不具有正当性。

其次，在处理行为的限制方面，比例原则要求处理行为必须与处理目的直接关联，若两者不是直接关联，那么单位基于管理需要所实施的行为便不具有合法性。“直接相关”强调对后续处理行为的限制，超出原处理目的的后续处理行为已经失去了与处理目的直接相关的条件^［17］。因此，判断两者是否直接相关时可判断该处理行为是否被包含于原处理目的之中，对此可审查用人单位的处理行为是否被包含于告知内容之中，若被包含于告知内容，则认为处理行为被包含于处理目的，进而可认定处理行为与处理目的具有直接相关性。若不被包含时，需要进一步审查在社会一般人的理性思考下能否认为两者之间是密切联系的。例如，单位为了掌握员工的相关办公信息，对其社交软件采取监控等措施，但此时应当排除对私人社交软件的监控，私人社交信息与单位试图掌握的办公内容关联性不大，若单位对私人社交信息进行处理，则是对员工个人信息权益的侵犯。

最后，在处理方式的判断方面，比例原则要求单位采取的处理方式必须是实现处理目的的唯一方式，需要符合最小损害原则，即单位在处理信息时需要采取对劳动者权益伤害最小的方式，并且该种方式可以达到单位管理权和员工个人信息权益的均衡保护^［18］。在判断是否符合最小损害原则时可根据该行为是否存在其他有效的替代方式。如存在更小损害的替代方式而未采取时，该处理方式便是不恰当的、不具有合理性和合法性。例如，单位为提高员工工作效率、实现单位的有序管理，而对员工的工作状态进行监控时，如果可以在工作场所和办公设备上实施监督措施的，那么单位要求员工佩戴智能手环进行监督的行为便具有不正当性。

（三）明确用人单位的责任承担

为解决用人单位的责任承担问题需要在事前预防阶段明确用人单位的职责划分，并在事后救济阶段完善用人单位的侵权责任认定。前者可通过劳动基准法增设劳动者个人信息保护的内容，后者可从损害结果范围以及因果关系判断两个方面完善用人单位的侵权责任认定。

首先，通过劳动基准法增设劳动者个人信息保护的内容，明确用人单位的安全保障职责。劳动基准是劳动者权益的最低保护标准，现阶段我国劳动基准立法采用分散立法模式，但基本的劳动标准立法已列入立法规划^⑥。劳动基准法旨在保障劳动者的基本权利，传统劳动基准主要涵盖劳动者生命、身体、健康以及财产等物质性需求^［19］。但劳动者也存在精神需求，用人单位不能利用技术手段对劳动者进行过度监控^［20］。因此，新時代下劳动基准应当与劳动者人格精神等需求对应。此外，传统意义上的安全保障职责是指单位要提供安全的劳动环境，其多指物理空间上的，例如防止劳动者遭受性骚扰的义务^［21］。随着网络技术的发展，单位不仅具有传统物理性工作环境，还具有网络虚拟工作环境。在网络虚拟工作环境中涉及信息和隐私安全，在该种环境下应当赋予用人单位对劳动者信息权益的安全保障义务。安全保障义务的本质是要求义务人对其所持有或使用的物、进行的活动所带来的风险负责^［22］。就用人单位而言，当其利用劳动者工作产生的相关信息进行企业管理或者公司运营时，有必要对其所面临的风险进行控制和预防。该种风险不仅包含物质性风险，更应当包含精神性风险，尤其是在个人信息领域，其涉及劳动者的人格利益。

其次，完善侵权损害赔偿责任的认定。《个人信息保护法》第69条规定侵害个人信息采用过错推定原则^［23］。这在一定程度上减轻了劳动者的举证责任，为劳动者请求损害赔偿提供了便利。但在实践中仅依靠上述举证责任的分配并不能完全解决责任承担问题，有必要针对实践问题做进一步完善。第一，将 “精神损害”纳入损害结果的范围，并降低程度要求。精神损害多指风险，“损害”与“风险”从字面上来看似乎是对立的，但并非不可调和。有学者认为在一定条件下“风险”也可以满足确定性的要求^［24］。现代侵权法已经对损害的类型进行了扩张，将“风险”作为一种潜在性损害。此外，适用《民法典》第1183条请求精神损害赔偿时，损害必须达到“严重”程度。但在个人信息领域，侵害单个主体的个人信息造成较少损害的情形大有存在，但因损害往往达不到“严重”的程度而无法进行救济，因此有必要降低程度要求。第二，因果关系的确定采用低标准。用人单位的信息处理行为与劳动者权益损害之间具有关联，一般需要证明单位对劳动者信息实施了处理行为，而且该行为导致了损害的发生。但由于劳资双方地位及信息能力的不对等性，因果关系的证明难度较大，本文认为可以视情况分配双方的举证责任。一方面，仅涉及用人单位一方时，由劳动者承担举证责任，但可采取高度可能性的标准来减轻劳动者的举证压力，平衡劳动者的弱势地位。劳动者证明单位的处理行为存在侵害信息权益的高度可能性，而单位又无法推翻这种高度可能性时，即可证明因果关系的存在。另一方面，鉴于个人信息的多栖性，侵害劳动者个人信息可能涉及多方处理者，此时可将因果关系的举证责任倒置给用人单位。因为涉及多方信息处理，用人单位相较于劳动者能掌握更多的信息，更有利于举证证明。

五、结语

在个人信息泄漏问题频发的互联网时代，个人信息保护成为热点话题。在劳动领域，鉴于劳资双方地位的不平等性，劳动者的个人信息保护也具有一定的特殊性。但我国现行法律并未对劳动者个人信息的保护进行专门规定，使得劳动者个人信息保护面临诸多困境。本文在借鉴相关方法的基础上，首先通过规定负面清单和留存时间上限对用人单位的信息处理范围予以明确；并通过完善劳动者个人信息处理的告知和查询程序、加强意思自由程度的审查以及完善技术措施的监督审查机制三个方面，保障同意内容与处理内容的一致性，从而防止劳动者个人信息被过度处理。然后通过强化比例原则对处理目的、处理行为和处理方式的限制为单位处理行为的正当性提供判断标准，实现单位管理权与劳动者个人信息权益保护的动态平衡。最后通过增设劳动者个人信息保护的劳动基准，明确单位的安全保障义务实现劳动者信息保护的事前预防，并通过明确损害结果的范围以及因果关系的判断标准，确保劳动者请求权的行使，充分实现劳动者信息保护的事后救济。

注释

①参见新浪网：《某东要求员工提交亲属同学关系或涉嫌侵犯隐私权》，http：//finance.sina.com.cn/roll/2019-03-22/doc-ihtxyzsk9574494.shtml，访问时间2023年9月2日。

②参见山东省烟台市中级人民法院（2019）鲁06民终7145号民事判决书。

③参见广东省珠海市香洲区人民法院（2021）粤0402民初25097号民事判决书。

④参见广东省广州市中级人民法院（2021）粤01民终26259号民事判决书。

⑤参见北京市第二中级人民法院（2022）京02民终1072号民事判决书。

⑥参见冯涛.《基本劳动标准法草案有望明年提请审议》，http：//www.npc.gov.cn/npc/c30834/202111/f61d16a0ac7d4d11a23354f662769d2d.shtml，载《法治日报》，最后访问时间2023年8月16日。

参考文献

［1］王健.社交媒体中劳动者隐私权的法律保护——基于欧盟与我国司法实践的比较研究［J］.华中科技大学学报（社会科學版），2019（4）：117.

［2］丁晓东.劳动者个人信息法律保护面临的挑战及其应对［J］.中国人民大学学报，2022（3）：161.

［3］谢增毅.劳动者个人信息保护的法律价值、基本原则及立法路径 ［J］.比较法研究，2021（3）：25-38.

［4］程啸.个人信息保护法理解与适用［M］. 北京： 中国法制出版社，2021.

［5］齐爱民，张哲.识别与再识别：个人信息的概念界定与立法选择［J］.重庆大学学报（社会科学版），2018（2）：126.

［6］谢增毅.职场个人信息处理的规制重点——基于劳动关系的不同阶段［J］.法学，2021（10）：169.

［7］张继红，郑书康.论劳动者个人信息处理的合法性基础［J］.上海大学学报（社会科学版），2022（1）：1.

［8］肖竹.劳动关系从属性认定标准的理论解释与体系构成［J］.法学，2021（2）：163-174.

［9］张新宝.个人信息收集：告知同意原则适用的限制［J］.比较法研究，2019（6）：3.

［10］吴文芳.劳动者个人信息处理中同意的适用与限制［J］.中国法学，2022（1）：222.

［11］曾新宇.劳动者个人信息保护问题研究［J］.山东工会论坛，2021，28（3）：104.

［12］张义德.论劳工隐私权之保障——以日本法为借镜［J］.政大法学评论，2018（156）：117-118.

［13］Ryoko Sakuraba， Protection of personal information and privacy in the japanese workplace， in the Japan Institute for labourer policy and training： Protection of employer personal information and privacy［R］. JILPT Report，No. 14， 2014.

［14］程啸.论个人信息处理者的告知义务［J］.上海政法学院学报（法治论丛），2021（5）：69.

［15］丁晓强.个人数据保护中同意规则的“扬”与“抑”——卡-梅框架视域下的规则配置研究［J］.法学评论，2020（4）：139.

［16］杨勤法，程圆圆.劳动者个人信息权益保护的法律困境与对策［J］.中国人力资源开发，2022，39（6）：96.

［17］张新宝.个人信息处理的基本原则［J］.中国法律评论，2021（5）：22.

［18］刘权，目的正当性与比例原则的重构［J］.中国法学，2014（4）：133-150.

［19］《劳动与社会保障法学》编写组.劳动与社会保障法学［M］.北京：高等教育出版社，2017：191.

［20］王倩.作为劳动基准的个人信息保护［J］.中外法学，2022（1）：188.

［21］何霞，冉智勤.《民法典》视域下“工作场所性骚扰”的用人单位责任［J］.人权法学，2023（1）：53.

［22］刘召成.安全保障义务的扩展适用与违法性判断标准的发展［J］.法学，2014（5）：72.

［23］杨立新.个人信息处理者侵害个人信息权益的民事责任 ［J］. 国家检察官学院学报，2021，29（5）：43.

［24］田野.风险作为损害：大数据时代侵权“损害”概念的革新［J］.政治与法律，2021（10）：30.

Dilemma and Breakthrough of Employees Personal Information Protection

SHI Wenhui，ZHANG Zhaoxia

（Law School，Qingdao University，Qingdao，Shandong Province，266071）

Abstract：In the internet era，where information security problems are frequent，the protection of personal information presents certain particularities in the workplace.However，due to the fact that Chinas current laws do not specifically stipulate the protection of personal information in the workplace and the personal information protection system of employees is not yet perfect，resulting in  many practical difficulties in the protection of employees personal information in terms of the boundaries of behavior handling，the definition of improper handling behaviors，and the responsibility of employers.Therefore，it is necessary to clarify the scope of processing of employees personal information by establishing a “negative list” and a “time limit”，and to prevent the expansion of the scope of processing by refining a notification and consent rule.By strengthening the restrictions on the purpose，behavior and method of processing under the principle of proportionality，the definition of improper handling behavior by the unit is realized.By establishing protection rules and improving the determination of responsibility，the relevant responsibilities of employers are clarified，so as to achieve adequate protection and relief for employees personal information.

Key words：employees personal information;labor relations;excessive processing of information;Labor Standards Act

（責任编辑：杨 真）