《民法典》隐私权和个人信息的界分对企业用工管理的影响

2020-06-02

2020年5月28日，我们终于迎来了在中国法制史上具有划时代意义的民法典。作为一部保障人民权利之法，人格权独立成编，无疑成为了民法典最大的亮点之一，而其中对隐私权和个人信息保护的立法，是民法典与时俱进的体现。

隐私权和个人信息的“二元制”界分在2017年《民法总则》第110条、111条其实早已明确，只不过囿于过于原则，并未对企业用工管理产生明显的影响。此次《民法典》在人格权编，隐私权和个人信息保护独立成章，用8个条文（第一千零三十二条至一千零三十九条）对隐私权和个人信息保护做出了进一步的规定。具体来说：列明了隐私权和个人信息的定义，以及禁止侵害他人隐私权的行为，明确了处理个人信息应遵循的原则和条件，构建了自然人与信息处理者之间的基本权利义务框架，明确处理个人信息不承担责任的情形，合理平衡保护个人信息与维护公共利益之间的关系^[1]。这种“二元制”界分与过去劳动法领域以隐私权保护个人信息的“一元制”司法实践形成对比。现实中，用人单位行使用工管理权不可避免会获取劳动者的个人信息、甚至与劳动者的隐私权产生冲突，民法典将两者界分并做出了进一步的具体规定，这必将对企业用工管理带来一定的影响。本文尝试通过对以上问题进行分析，以求能够对企业用工管理有所启发。

一、《民法典》对隐私权和个人信息权的界分

1.隐私权和个人信息权的重叠与差异

《民法典》第一千零三十二条、一千零三十四条分别对“隐私”和“个人信息”做了定义，“隐私”是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息；“个人信息”是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。从以上定义我们能看出，隐私包含私人生活、私人秘密两个方面的内容，而个人信息更加强调对身份的识别性。想要在隐私和个人信息中画一条分割线明显是徒劳，因为两者本来就存在重叠，即有些个人信息本来就是隐私，有些隐私也是以个人信息的形式表现出来，但是两者的差异却也是比较明显的，比如一些合法公开的个人信息，不是隐私，却属于个人信息。

在上升为法律权利后，隐私权和个人信息权的法律属性也有差别。王利明教授认为^[2]，两者的法律属性存在以下界分：（1）隐私权是一种精神性人格权，而个人信息权除精神价值外，还包括了财产价值；（2）隐私权是一种消极的、防御性权利，在权利遭到侵害之前，个人无法积极主动地行使权利，而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失；而个人信息权除被动防御之外，权利人的个人信息即使未受到侵害，也有权请求行为人更改或删除其个人信息，因此，具有一种能动的、积极的控制权和利用权。此外，从隐私权和个人信息权的权利内容来看，隐私权的权利内容主要是维护个人生活的安宁和个人的秘密不被公开，但是个人信息权的权利内容主要是维护个人信息的支配和自主决定权。

综上，尽管隐私和个人信息存在交叉部分，但是隐私权和个人信息的权利客体、内容、法律属性具有差异。也正是这种差异，会导致侵犯隐私权和个人信息权的行为表现的不同。

2.侵犯隐私权和个人信息权行为表现的差异

无论是侵犯隐私权还是个人信息权，在认定规则上都要遵守传统的侵权行为的构成要件，即行为人过错、侵权行为、损害结果、侵权行为和损害结果之间的因果关系。但是正如上文提到的那样，隐私权是被动防御性权利，而个人信息权具有主动控制、支配、决定的内容，因此，两者的行为表现会有差异。侵犯隐私权的行为方式主要表现在对私人生活安宁的侵扰（如骚扰电话、私闯住宅）和对私人秘密的侵犯（如窃听他人隐私、处理他人的私密信息）；侵犯个人信息的行为主要表现在未依法处理个人信息（如未按约定的方式和范围获取、使用个人信息，未按要求删除或修改个人信息），以及信息处理者违反安全保障义务，导致个人信息被泄露、篡改、丢失的行为。

通过以上的行为表现，我们可以发现，在个人信息涉及隐私时，违法处理个人信息同时侵犯了隐私权和个人信息权，产生了竞合。根据《民法典》第一千零三十四条第二款的规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的,适用有关个人信息保护的规定”。

3.侵犯隐私权和个人信息权的民事责任

对隐私权和个人信息权的侵犯都侵犯了自然人的人格利益，因此会遵守人格权的一般规定。侵权行为人需承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉等责任，对权利人造成精神损害的，无论是违约行为还是侵权行为，都应承担精神损害赔偿金，遭成损失的，还应赔偿经济损失。此外，根据《民法典》第九百九十七条的规定，权利人还可依法向人民法院申请采取责令行为人停止有关侵权行为的措施。但是具体到隐私权和个人信息权的案件中，侵犯隐私权的行为一般不涉及经济损失的赔偿责任，但是对个人信息的侵犯通常会涉及到经济损失的赔偿。

二、劳动法领域隐私权纠纷从“一元化”到“二元化”保护的司法实践

劳动者与用人单位因隐私权产生纠纷而进入司法程序的案例不多，我们检索了近几年关于劳动者和用人单位隐私权纠纷相关的判例，共获得了20个可供分析的案例。在这些案例中，只有（2019）浙0206民初1570号、(2018)京0105民初2738号2个案例认定用人单位侵犯了劳动者的隐私权，后者还在二审程序中以调解方式结案。可见在过去，涉及隐私权的案例中，劳动者的胜诉率低。这一方面是由于用人单位基于正当合法的管理需求，必然会触碰劳动者的隐私，因此具有道德上和法律上的正当性；另一方面也与过去囿于法律的滞后性，司法实践将个人信息统一纳入隐私权进行保护，进而限缩了个人信息的权利范围有关，后者在2017年以后司法实践的二元化转变中可以体现出来。

1.2017年前的“一元化”保护

在2017年《民法总则》实施以前，劳动法司法实践中是将个人信息权纳入隐私权进行一元化保护的。例如在(2014)滨功民初字第1696号判决书中，法院认定用人单位未侵犯劳动者的隐私权，原因是：隐私权强调保护的是与公共利益无关的个人信息。本案中，被告公司教材中引用的案例涉及刑事犯罪，刑事犯罪属于公权利调整的范围，内容中虽涉及原告个人，但整体案件不属于其私人领域，因此原告犯罪及接受处罚的事实不属于其隐私范畴，不受相关法律的保护，故，被告行为不构成对原告隐私权的侵犯。又如在(2016)粤0705民初2901号判决书中，法院认为隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。它主要包括个人信息控制权、个人活动自由权、私人领域不受侵犯权、权利主体对其隐私的利用权。本案中，被告招聘原告为保安员，要求其在上班时间佩戴贴有相片、写上姓名的工作证，这是单位内部正常的管理行为，并没有违反法律的规定，这种行为不属于法律规定的侵犯隐私权的范围。显然法院是将个人信息和隐私权不做区分进行保护的。

2.2017年后向“二元化”保护转变的倾向

2017年后，法院开始对隐私权和个人信息进行了区分，在2019年的判例中表现的尤为明显。例如在(2019)苏08民终3198号判决书中，法院认为隐私权是自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配并排除他人干涉的一种人格权。而公民身份号码是每个公民唯一的、终身不变的身份代码，属于一般性的个人信息。在无其他特殊规定的情况下，一般性的个人信息不属于隐私权的保护范围。这明显区分了个人信息和隐私。又如在(2019)浙0206民初1570号判决书中，法院认定用人单位侵犯了劳动者的个人信息，并据此判决用人单位赔偿劳动者经济损失5000元。法院认为自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。本案中，被告未经原告同意，擅自将原告的个人信息录入在税收系统中，被告通过非正常途径收集、使用原告个人信息的行为侵犯了原告的民事权利。

3.隐私权和个人信息权“二元化”转变的司法实践所带来的影响

2017年后，司法实践将隐私权和个人信息区别对待的保护立场，对侵犯劳动者隐私权的认定造成了一定的影响，主要表现在对个人信息的正当、合法使用上，即用人单位对个人信息的不当使用会导致侵犯劳动者隐私权或个人信息权。例如在(2019)浙0206民初1570号判决书中法院正是基于用人单位非法使用劳动者个人信息进行报税，认定用人单位侵犯了劳动者的民事权利，实质上相当于确认了用人单位的行为构成对劳动者个人信息权的侵犯。而在2017年以前，隐私权与个人信息权一元化保护的情形下，用人单位是否正当合理地处理劳动者不涉隐私的个人信息，可能不会被审查。例如在上面提到的(2014)滨功民初字第1696号判决书中，法院并未对用人单位长期实名制使用劳动者在职期间的犯罪案例对员工进行培训的行为是否正当合理做出论证，只是单纯地认为刑事犯罪信息与公益相关，不属于劳动者隐私，因此用人单位不侵犯其隐私权。又如，在(2017)京民申4376号判决书中，法院也并未对用人单位不经劳动者同意使用其个人信息申办储蓄卡的行为是否合理做出认定，而是直接认定用人单位的行为不符合构成侵害隐私权的条件。以上变化，是否会带来劳动者在隐私权纠纷中胜诉率的提升，还有待验证。

但是应当注意的是，尽管2017年以后，司法实践中出现了将隐私权和个人信息进行区分的倾向，但是《民法总则》只是原则性地规定了隐私权和个人信息受保护，对个人信息的处理、个人信息与隐私权的关系、主体对个人信息的权利以及侵犯个人信息和隐私权的法律责任等都没有进一步的规定。《网络安全法》对隐私权和个人信息保护有较为详细的规定，但主要指向网络运营者或网络服务提供者，其主体范围有限。因此，一些法院也还存在将个人信息纳入隐私权进行保护的做法，特别是针对某些个人信息与隐私不易区分的案件，有些法院仍将未合理处理个人信息的行为认定为侵犯劳动者隐私权。如，在(2018)京0105民初2738号判决书中，法院基于用人单位不当处理劳动者身份证号码的行为（将返岗通知书原件粘贴于快递信封外部，导致孙某的身份证号处于公开状态），认定用人单位侵犯了劳动者隐私权。此外，法院在对待一些案件时，认定规则偏向笼统和原则。例如针对用人单位是否合理使用其依法获取的劳动者个人信息，法院通常不会考虑双方的合意、劳动者的职业地位、信息处理的规则等因素。相信在民法典生效后，司法实践中应该会有更为细致、全面的认定规则，裁判口径也将更趋向一致。

三、隐私权和个人信息界分对用工管理产生的影响

用人单位作为一个组织，自成立就拥有了维持组织内秩序的管理权，这种管理权是一种与生俱来的天然权利，具有道德上的正当性。同时，任何权利都会受到限制，隐私权和个人信息都是一种可以减让的权利，劳动者与用人单位建立劳动关系，意味着劳动者主观上愿意从属于用人单位的管理之下，让渡了自己的部分隐私权、个人信息权等人身权利。因此，在劳动合同履行的过程中，用人单位当然地能够获取、使用劳动者的一些隐私和个人信息；从法律上来讲，我国《劳动合同法》第八条的规定，明确赋予了用人单位与劳动合同相关信息的知情权，用人单位在法定范围内获取劳动者的个人信息，具有法律上的正当性。但是，用人单位的这种权利并非不受限制，用人单位和劳动者作为普通的民事主体，亦受到《民法典》的约束。除了上文提到的司法实践中对侵犯隐私权的认定会发生变化外，《民法典》在区分隐私权和个人信息，并对两者做出更为详细的规定后，也必将对用人单位处理和保护个人信息的行为产生影响。

1.用人单位负有保障劳动者个人信息安全的义务

《民法典》第一千零三十八条的规定拓展了个人信息安全保护义务的主体范围，规定所有的信息处理者都负有不得泄露、篡改或向他人非法提供其收集、存储的个人信息，且必须采取技术措施和其他必要措施，保护个人信息不被泄露、篡改、丢失。用人单位作为信息处理者，应当遵守上述规定，建立相应的保护制度，通过制度、技术等来保障劳动者个人信息的安全。

2.用人单位应遵循《民法典》规定，完善个人信息保护制度和管理流程

根据《民法典》第一千零三十五条的规定，信息处理者在对个人信息进行收集、存储、使用、加工、传输、提供、公开等处理行为时，应当遵循合法、正当、必要原则，不得过度处理。并符合以下条件：（1）征得劳动者同意，但是法律、行政法规另有规定的除外；（2）公开处理信息的规则；（3）明示处理信息的目的、方式和范围；（4）不违反法律、行政法规的规定和双方的约定。

在劳动关系中，《劳动合同法》明确规定，用人单位对劳动者与劳动合同的相关信息具有知情权。除此之外，用人单位在管理过程中本身会形成许多与劳动者相关的个人信息，如工资记录、打卡记录、处罚记录、行踪信息、指纹或头像等生物信息。而且，有些用人单位基于合理的管理需求，会了解劳动者的性格、犯罪记录、健康信息、家庭成员信息等个人隐私信息。用人单位对以上这些信息进行加工，又会产生新的信息。这些信息有些与隐私有关，有些不涉及劳动者的个人隐私，如劳动者的姓名、性别、办公用电话号码、任职信息，但是根据《民法典》的规定，即使不涉及隐私的信息，结合起来也能够确认劳动者的身份，属于个人信息。那么用人单位在收集、存储、使用、提供或公开这些信息时，是否都需要经过劳动者的同意且向劳动者说明处理规则以及处理目的、方式、范围？如果答案是肯定的，这一定会对用人单位的整个用工管理过程造成影响。设想这样的情景，用人单位基于业务需要为劳动者印发名片，或者需要在劳动者的工卡上使用劳动者的姓名、照片时，必须经劳动者同意，这显然会挑战用人单位现有的管理秩序。

另外，在涉及第三方介入的员工背景调查、绩效评估等服务中，用人单位难免会向第三方提供劳动者的个人信息，《民法典》施行后，用人单位使用劳动者个人信息的此类行为也会受到以上原则和条件的限制。

对于这些问题，我们建议用人单位：

用人单位应当对本单位在经营管理中（不仅限于人力资源管理）收集、使用、提供、公开员工信息的具体情形进行全面梳理，建立清单。

应当建立或完善员工个人信息管理制度，对员工个人信息收集、存储、使用、加工、传输、提供、公开等处理行为的原则、目的、方式和范围等作出明确规定，同时需对个人信息中的隐私信息进行界定。管理制度应按照《劳动合同法》第四条规定履行民主征求意见程序，向全体员工公示或告知，为个人信息管理提供制度依据。

用人单位应当与员工签署个人信息收集及使用的确认书，由员工确认本人提交用人单位或者用人单位通过合法渠道获取的个人信息中哪些属于隐私信息，个人信息及隐私信息的授权使用目的、方式、范围。该确认书应当每年签署一次。

用人单位在适用员工个人信息时需认真甄别是否涉及隐私信息，个人信息使用目的、方式和范围是否违反法律禁止性规定或者超越员工确认书授权范围，避免引发争议。

3.妥善应对劳动者要求查阅、复制、删除个人信息的请求

根据《民法典》第一千零三十七条的规定，自然人有权查阅、复制其个人信息，自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。对于在劳动关系收集或形成的个人信息，劳动者提出查阅、复制、删除等诉求的，用人单位应区别情况妥善应对：

如果员工申请查阅、复制的个人信息，不涉及到用人单位保密信息、第三方保密信息或者其他员工的个人信息的，用人单位应当配合，许可员工查阅、复制。

如果员工申请查阅、复制的个人信息，涉及到用人单位保密信息、第三方保密信息或者其他员工的个人信息的，用人单位有权对这些保密信息或其他员工个人信息进行脱密处理，员工拒绝采取脱密措施的，或者采取脱密处理措施将损坏信息完整性，或者脱密措施造成的损害超过了员工查阅、复制信息的正当性、合理性、必要性时，我们认为用人单位有权拒绝员工的查阅、复制请求。

用人单位在员工个人信息处理行为中不存在违反法律规定、规章制度规定或双方约定的情形，劳动者要求删除个人信息，用人单位有权拒绝。

结语:

《民法典》隐私权和个人信息权的界分，扩大了个人信息权的保护范围和手段，技术的进步又使智能化管理手段不断深入劳动用工管理过程，吞噬着劳动者个人隐私的同时也衍生出各种个人信息。因此，《民法典》的施行，一定会对用人单位的用工管理行为造成深刻的影响。但不可否认的是，用人的单位用工管理权与劳动者的隐私权、个人信息权之间存在张力，如何平衡两者的利益，还有待理论和实践的进一步研究和论证。

文中备注：

[1]参见全国人大常委会副委员长王晨在第十三届全国人大第三次会议上关于《民法典（草案）》的说明。

[2]参见王利明：《论个人信息权的法律保护》，发表于现代法学，2013年7月，第4期。

本文作者：

声明：