田野：职场智能监控下的劳动者个人信息保护——以目的原则为中心

正文

请到「今天看啥」查看全文

具体而言，对职场智能监控是否符合比例原则的认定需在个案中综合考量各种因素，并按照三阶段检测法分步骤进行。欧洲人权法院在“Barbulescu案”中归纳了五个方面的判断因素：（1）事先是否告知；（2）监控行为的侵犯性（intrusiveness）程度；（3）雇主是否有正当的原因和需保护的利益；（4）劳动者因监控可能受到的损害后果；（5）程序性保障措施是否到位。这些列举具有借鉴意义，但显然未穷尽一切要素，确定合理比例的判断要素及其灵活运用只能放在个案中进行。就比例原则适用的流程而言，通常有三个检测步骤，即适当性（suitability）、必要性（necessity）和利益风险比较（狭义比例）。以在捷克发生的一起职场监控案件为例，雇主对长途客车司机及售票员实施了摄像头监控，理由是为维护乘客生命安全和自己的财产（汽车和票款）安全。法院在判决中首先对适当性问题进行了检测，认为摄像头监控对于预设目标确实能起到一定的预防作用，因此第一阶段的检测通过。在第二阶段的检测中，法院认为，雇主实施的监控是贯穿工作时间始终的，冒犯性较强，而如果只针对特定敏感时间段（如收银）和特定区域（如司机驾驶舱）实施监控，则是冒犯性更低而同样奏效的合理方式，雇主没能证明采用其他冒犯性更低的方式不奏效，因此必要性检测不通过。因为第二阶段的必要性检测没有通过，所以法院放弃了第三阶段的检测。如果要将该阶段的狭义比例检测补全，那就是：雇主的持续全方位监控完全碾压了雇员权益，没有满足最低限度保护的要求。

（五）职场智能监控正当目的之类型化判断

以上是关于职场智能监控中目的原则适用的一般化分析，若要最大限度消除目的原则适用的模糊性，尚有必要深入到更加具体的监控场景加以分析。现实中智能监控的态样五花八门，所欲实现的劳动管理目的存在差异，其合法性亦不可一概而论。在此情况下，根据具体场景将智能监控予以类型化，有助于提升法律分析和适用的精确化程度。

类型一：为发现犯罪而实施的智能监控。 在一般意义上，此种监控的目的是正当的，不过也不能采无限宽泛的解释。在没有任何迹象表明犯罪已发生或可能发生的情况下，纯粹是为一般性预防犯罪目的而在职场实施智能监控不应当被认定为合法。根据德国《联邦数据保护法》第26条第1款，只有针对那些有事实和证据表明的犯罪，才能处理劳动者的个人数据。实践中，德国数据保护局也认为，即便是为了防止和调查犯罪行为，公司也应该首先采取比监控更为温和的手段，除非是对特定人员有合理的怀疑。

类型二：为维护职场安全健康的智能监控。 如果监控是为了防止某种职业病或者伤害事故的发生，则受益者是劳动者本人，其监控目的总体而言具有正当性。不过“职场安全健康”是十分笼统的表述，用人单位必须证明潜在的安全健康风险具体指什么，以及风险程度有多高。通常，风险应与工作岗位的性质密切相关，且只有那些确实具有高度危险性的工作（如接触有毒、有害、放射性物质的岗位）才是监控的重点。对于那些没有任何危险性的一般工作岗位进行的监控，则不具有正当性。

类型三：为维护用人单位财产安全的智能监控。 一般而言，该目的本身具有较明显的正当性，问题在于必要性。由于智能监控的强大数据处理能力，将其用于防止财产失窃类似于用大炮打小鸟。因而，在其他冒犯性更低的方式足以实现保护财产安全目的的情况下，应尽可能避免采取智能监控的方法。评估采取监控方式的必要性时，应综合考量是否已发生了损害事实、是否具备财产安全面临现实威胁的迹象、财产本身的价值大小等因素。例如，在一个案件中，西班牙一家超市的经理发现货架上的商品大量丢失，遂安装了监控设备，并收集到了员工偷窃货物的证据。欧洲人权法院判决认定该监控行为不违法，理由是有证据证明有违法行为和雇主重大损失的发生。

类型四：为提升员工工作效率的智能监控。 这是实践中职场智能监控的最常见目的，用人单位希望借此监督员工勤勉工作。对于那些“偷懒溜号”的员工，人工智能可将脱岗时间等相关数据记录在案，并通过算法分析作出否定性评价，甚至生成解雇的自动化决策。与前几类监控目的相比，此类监控更加具有争议性，也是社会舆论关注的焦点。在一般意义上，提升效率也具有一定正当性，毕竟企业是以营利为目的的组织。关于雇主对生产资料及其他办公资源的检查权，一些国家的立法明确予以肯定。例如，捷克《劳动法典》第316条第1款规定：“没有经过雇主的同意，雇员不能为了私人目的使用雇主为生产、服务或其他工作必需而准备的办公资源，包括计算机和其他交流技术手段等。雇主有权以适当的方式检查前述禁止性规定被遵守的情况。”但是，鉴于不间断的系统化监控对劳动者尊严的高冒犯程度，对此类监控的合法性判断应避免绝对化。除非确有十分重大的理由且没有其他更有效的提升效率手段，否则不能采取监控的手段。捷克《劳动法典》第316条第2款规定：“除非具有与雇佣活动相关的重大事由，雇主不能通过公开或隐秘的监控、电话拦截（包括记录）、查看电子邮件和邮政包裹等方式侵犯雇员在工作场所的隐私。”该款规定与第1款并不冲突，第1款中使用的“检查”（check）一词与第2款中使用的“监控”（surveillance）之含义并不相同。由这两款对比的体系解释可推知其立法旨意：雇主基于管理权当然有权检查其办公资源被使用的情况，但检查的手段不一定是监控，事实上，监控作为最激进的手段只在具备重大事由时才能被采用。

区分“检查”与“监控”的立场在一起雇主监督雇员网络使用状况的案件中得到充分体现。一名雇员在一个月共168小时的工作时间里，花费了102.97小时浏览与工作无关的网站，并且使用的是雇主提供的电脑。雇主获取这些信息并不是通过实时监控，而是通过事后调取查看雇员登录网站的历史记录的方式。该员工因此行为被解雇。捷克最高法院最终认定雇主的行为并未侵犯雇员的隐私，核心理由有二：第一，雇主使用的手段不是监控，而是一般化的事后检查，其冒犯性程度远低于监控；第二，雇主只是查看了雇员登录过网站的网址，以确认其是否与工作相关，但是并没有更进一步查看雇员在这些网站浏览的内容和发表的言论。这一案例极好地诠释了目的原则下最小化处理的精神——监控不是人力资源管理的唯一手段，也不是首先考虑采用的手段，而应是穷尽其他方式后的最后手段。

支撑职场监控（特别是智能监控）的事由必须是重大且令人信服的，这一精神应当得到明确宣示。持续的职场监控是冒犯性极强的方式，在一些国家，秘密的职场监控甚至可能被认定为间谍行为而触发刑事责任。2021年6月，全球最大的家具零售商宜家（IKEA）就因为针对其法国员工使用间谍软件实施监控，被法国法院判处120万美元的罚金，该公司在法国的首席执行官也被判处两年缓刑及2.4万美元罚金。智能监控比传统监控方式的冒犯性更强，因而只能在极少数确有必要的重大情形下例外地被采用。所谓“重大”事由，在解释上应该认为是较高门槛的要求，一般的人力资源管理需要较难构成“重大”事由。从前述列举的几种智能监控类型来看，发现犯罪、预防职业病和伤害事故等是相对较容易满足这一标准要求的情形；而为了提升效率监督员工工作表现，由于没有体现出对智能监控的紧迫性需求，且其他非冒犯性的管理手段可能也能实现这一目标，因此通常较难构成“重大”。欧盟数据保护工作组2004年发布的《通过视频监控方式处理个人数据的意见》即明确指出：“不应允许视频监控系统被用于旨在从远程位置直接控制工作活动的质量和数量，并因此进行个人信息处理。”

对我国《个人信息保护法》第13条第1款第2项所列的“实施人力资源管理所必需”是否构成足以赋予监控正当性的“重大”事由需谨慎判断。应当看到，该条款适用的对象是劳动领域一般的个人信息处理，没有更进一步具体限定到职场监控。监控比一般的职场信息处理行为更加具有冒犯性已如前述，因此适用条件的严格程度理应有所差异。在具体的法律适用中，应当在“必需”内部再区分“重大”和“非重大”，只有满足“重大”标准的人力资源管理需求才能支撑智能监控的正当性，“非重大”的管理需求则只能支撑一般的管理手段及普通个人信息处理行为。至于重大与否的判断，只能放在个案中进行，以目的原则为指针，以前述类型化分析为参考。与职场监控只能例外地被采用的宗旨相悖的是，现实中的职场智能监控呈现常态化的趋势，对此需要警惕。

四、结 语

职场智能监控为数智时代背景下如何平衡个人信息利用与保护的关系提供了一个鲜活的范例。受劳动关系从属性影响，用人单位管理权和劳动者的个人信息权益形成一种特别的紧张关系，对该紧张关系的消解应以利益平衡为理念，以目的原则为进路。在用人单位管理权的制约下，劳动者的个人信息权益不得不作出一些让步。不过，管理权不能产生使劳动者个人信息权益归零的效果，即使是在工作时间和工作场所，也应认可劳动者在合理限度内的个人信息权益需得到尊重。

作为平衡之道，应基于目的原则对智能监控的范围与限度作出限制。智能监控下的劳动者个人信息处理必须具备明确、合理且与劳动直接相关的目的，在满足用人单位管理需求的同时以给劳动者造成最小损害为限度。持续性、全方位和一般预防性的智能监控应当避免，只针对工作中的敏感时段、关键场所或有迹象表明的职场违法行为实施有限监控更加合理正当。鉴于智能监控与一般信息处理行为相比有更强的冒犯性，其只能作为一种例外的方式在具备重大事由时偶尔采用，不能成为常态化的管理手段，更不宜作为监视劳动者日常工作表现的常规方式。

请到「今天看啥」查看全文