拿什么堵上劳作者个人信息走漏的缺口

　　用人单位对劳作者的个人信息享有知情权，但在必定程度上也侵略劳作者个人信息安全。综观国外对个人信息的立法，学习欧盟方法及美国安全港方法的先进经验，我国的劳作立法应从清晰用人单位知情权的权力边界、规则用人单位维护劳作者个人信息的规章制度以及设定特定的劳作法职责三个方面，有用维护劳作者的个人信息。

　　【摘要】用人单位对劳作者的个人信息享有知情权，但在必定程度上也侵略劳作者个人信息安全。综观国外对个人信息的立法，学习欧盟方法及美国安全港方法的先进经验，我国的劳作立法应从清晰用人单位知情权的权力边界、规则用人单位维护劳作者个人信息的规章制度以及设定特定的劳作法职责三个方面，有用维护劳作者的个人信息。

　　依据《劳作合同法》第八条规则，用人单位与劳作者缔结劳作合同之时以及劳作合同存续期间，都有权得悉劳作者的相关个人信息。大数据年代，因为信息可以发明商业价值的引诱，公民的个人信息日益堕入被不合法生意、走漏的窘境。①

　　用人单位对劳作者行使知情权，搜集和运用劳作者的个人信息是用人单位经营处理的常态，乃至整个单位内部次序的正常工作、企业获取赢利都依靠于此。在这种局势下，用人单位对劳作者行使知情权欲尽或许“知”。依据“劳弱资强”的实际，劳作者个人信息安全面对着被侵略的实际窘境。

　　首要是用人单位招聘劳作者阶段。在与劳作者树立劳作联系之前，用人单位往往要求求职者投进简历或许填写内容翔实的表格，以此来选拔最适合招聘岗位的人才。求职者投进的纸质或电子文档方法的简历中包含了很多的个人信息，包含名字、性别、移动电话、电子邮箱、家庭住址、学历等状况。用人单位搜集了很多的应聘简历，假如挑选后将不被看中的简历随意丢掉，简历中求职者的个人信息将或许被别人不合法搜集运用，然后危害求职者个人信息隐私权的合理权益。用人单位即便未发表或揭露任何信息，不妥搜集个人信息自身就足以损害个人的信息隐私，然后侵略劳作者的隐私权。

　　其次是用人单位与劳作者劳作联系存续阶段。在这一阶段，用人单位搜集的比如身体健康状况、疾病前史、医疗记载等劳作者个人信息，归于劳作者的个人隐私信息，用人单位知悉后未经劳作者赞同，不能向第三人发布。实际中，有的用人单位将劳作者的个人隐私信息搬运给保险公司或金融机构，致使劳作者成为保险公司或金融机构出售人员产品出售的目标，或许导致劳作者做出不自愿的购买行为。用人单位对劳作者个人信息的这种处理方法，背离了劳作法令赋予其享有知情权的意图，在效果上极有或许损害劳作者的个人信息隐私权。②别的，用人单位对劳作者的个人信息进行正常处理，也应做好恰当的安全维护办法。不然，缺少谨慎系统化的信息处理制度，或许内部信息处理人员的不妥操作，都或许会导致劳作者个人信息的丢失、被盗取、不妥发表等，然后损害劳作者的个人信息隐私权。

　　终究是用人单位与劳作者劳作联系完毕之后。劳作者离任后，其个人信息转化为个人档案，为用人单位保管。依据《劳作合同法》相关法条规则，用人单位应在十五日内为离任劳作者处理档案搬运手续。跟着互联网的遍及，整个社会档案的处理方法正在从以保管档案实体为要点，转向以数字化档案的方法向社会供给服务为要点。③数字化档案的遍及，给用人单位留存劳作者的个人信息供给了无限或许。《劳作合同法》规则，用人单位对现已免除劳作联系的劳作合同文本至少应该保存两年。实践中，当劳作者脱离地点用人单位后，有些用人单位主客观上并不采纳办法毁掉劳作者的人事档案，更有甚者，为了获取经济利益，将其所把握的在职和离岗劳作者的个人信息打包出售给猎头公司、不合法查询公司以及保险公司等，肆无忌惮地出售、走漏劳作者的个人信息。

　　榜首，我国现行个人信息维护相关立法层级较低，且缺少针对性。在较高层级的法令立法方面，初次涉及到公民个人信息维护的法令是2000年12月28日全国人大常委会发布的《关于维护互联网安全的决议》，该法将“侵略公民通讯自在和通讯隐秘”的行为入罪。后又于2012年12月经过了《关于加强网络信息维护的决议》，该决议直接指出企事业单位在搜集、运用公民的个人电子信息时，应遵从合法、合理等准则，向个人信息供给者明示其搜集处理信息的意图、方法和规模。民事立法方面，2014年3月15日施行的经过修订的《顾客权益维护法》第十四条提出，顾客在购买、运用产品和承受服务时，其个人信息依法应得到维护。刑事立法方面，2005年经过的《刑法修正案（五）》增加了“盗取、收购、不合法供给信用卡信息罪”。《刑法修正案（七）》更是将不合法获取公民个人信息的行为初次入罪。2015年8月《刑法修正案（九）》将“出售、不合法供给公民个人信息罪”的违法主体扩大到一切单位以及个人，这其间天然包含用人单位及其内部人力资源处理人员。

　　其次，在较低层级的行政法规和部分规章方面，仅2013年，国务院及相关部分就相继修订了《征信处理法令》，发布了《电信和互联网用户个人信息维护规则》《信息安全技能-共用及商用服务信息系统个人信息维护攻略》。其间，《信息安全技能-共用及商用服务信息系统个人信息维护攻略》初次规则了我国个人信息维护国家标准。

　　归纳以上关于个人信息维护的法令、行政法规及部分规章来看，对个人信息维护的规则在数量上并不缺少，但总体上这些标准还较琐细、法条规则偏准则化、立法层级较低，可以适用于劳作者个人信息维护的法规较少，尚无对劳作者个人信息维护的针对性的适用条款。

　　第二，劳作法缺少对劳作者个人信息维护的规则。《劳作合同法》总则中的榜首条开宗明义，提出维护劳作者的合法权益，然后构建调和的劳作联系，清晰了歪斜维护劳作者权益的立法意图。其间第八条赋予了用人单位和劳作者对各自信息的知情权以及彼此应尽的照实奉告职责。该条规则对用人单位和劳作者而言，权力和职责是对等的。鉴于用人单位一些具有商业价值的信息的重要性，《劳作合同法》第二十三条规则，用人单位“可以”在劳作合同中与劳作者约好关于用人单位的相关信息的保密事项。为了保证第二十三条的法令效果，第九十条规则，劳作者假如违反了第二十三条中的保密职责，应当承当给用人单位形成丢失的职责。反观劳作者方面，却无相关法条规则用人单位“应该”或“可以”采纳相关办法维护劳作者的个人信息。明显，在劳作立法上，劳作者的个人信息是没有遭到相应法令维护的。劳作者个人信息的维护在劳作法上处于缺失的状况，更无法谈及有用维护。

　　榜首，欧盟方法。早在1980年，其时的欧洲议会就经过了《维护自动化处理个人数据条约》适用于各成员国，至1995年10月24日，欧盟经过了《关于与个人数据处理相关的个人数据维护及此类数据自在活动的指令》即通称的“欧盟指令”。该指令清晰规则了两个方面：一是个人数据处理者的职责和职责。详细指个人数据处理应依据特定、合法的意图公平搜集，以数据主体可以辨认的形状保存等的数据质量准则；处理个人数据应契合法定职责等的数据处理合法化准则；个人数据搜集应奉告数据主体的奉告准则以及特别类型数据（包含种族、宗教信仰、性生活等）处理准则。④二是个人数据主体的权力。数据主体享有的权力包含拜访权（材料主体可以不受时刻约束地承认个人材料是否经过处理）、回绝权（材料主体可以回绝处理或直营自己的个人材料）、自主决议计划权（材料主体可以不服从只是依据自动化处理的材料的根底之上的决议）以及获得救助的权力（材料主体对侵权行为有权获得补偿）。

　　第二，美国方法。美国在1995年发布了《个人隐私和国家信息根底设施：个人信息的运用和供给准则》，提出了对个人信息的相关处理的基本准则。但该文件并不具有法令强制效能，只对个人信息维护起到引导效果。1997年美国政府又发布了《全球电子商务结构》，鼓舞支撑私营企业拟定自律标准，进一步发挥维护网络隐私权的主导效果。相较于欧盟的一致立法，美国采纳的正是“政府引导+职业自律”的方法，这便是所谓的“安全港”方法。安全港方法具有以下特色：首要，企业应当恪守自律标准中的实体内容和实行程序，其实行程序乃至可以替代联邦交易委员会的检查实行程序。其次，全职业而非详细企业入“港”。联邦交易委员会直接检查整个职业的个人信息维护自律标准，而非职业界详细的信息搜集处理主体的自律标准。再次，关于进入安全港方法的信息处理主体而言，其拟定的个人信息维护自律标准要承受职业和联邦交易委员会的两层监督。终究，在安全港方法下，个人信息权力主体在权力遭到损害时，可依据自律标准寻求救助。为了保证救助的效能，施行联邦交易委员会终究判决的准则。⑤

　　归纳以上对个人信息维护的欧盟方法和美国方法的剖析，结合我国对劳作者个人信息维护的实际，笔者认为有以下两点启示：一是对欧盟指令中对“个人数据处理者的职责和职责”的学习。二是对美国安全港方法中的“职业自律”的学习。我国劳作者个人信息维护的详细办法包含以下几方面。

　　首要，清晰用人单位知情权的权力边界。依据《劳作合同法》第八条的规则，劳作者对用人单位负有对自己“与劳作合同直接相关的基本状况”照实奉告的职责。但“基本状况”究竟指什么，在法条中并未划定详细规模。主张依据与劳作合同是否密切相关的不同，将劳作者的个人信息大致分为两类：直接联系到用人单位对劳作者的有用处理的信息和直接与劳作者的工作能力相关，决议着劳作合同是否可以实行的个人信息。关于这两类信息，主张将其确定为劳作者应照实奉告的规模。关于那些与劳作者的劳作能力无关、涉及到劳作者的个人隐私的信息，劳作者有权回绝奉告。⑥

　　其次，规则用人单位维护劳作者个人信息的规章制度。对用人单位而言，作为劳作者个人信息的持有、运用者，其保有的个人信息量是会集的、巨量的，立法有必要对此予以注重。主张将劳作者个人信息维护的内容以法定职责的方法列入用人单位的规章制度中，对劳作者个人信息维护的详细内容由用人单位自主决议，经过单位内部的民主程序获得劳作者的赞同。依据《劳作保证督查法令》第十一条的规则，将劳作者个人信息维护的事项也归入劳作督查部分对用人单位规章制度的督查规模，由此完成用人单位自律与劳作行政部分监管的结合。

　　第三，设定用人单位侵略劳作者个人信息的劳作法职责。现在，关于侵略劳作者个人信息所应承当的职责尚适用民事法令和刑事法令来处理。因为个人信息在概念外延上与隐私权呈穿插联系，⑦因而侵略个人信息的救助途径也部分适用民事法令《侵权职责法》中关于侵略隐私权的职责系统。详细而言，其救助方法包含：中止损害，扫除阻碍，消除风险，返还产业，恢复原状，补偿丢失，赔礼道歉，消除影响、恢复名誉。就刑事职责方面，用人单位可以成为违法主体，承当罚金职责，其主管人员也面对个人惩罚。因为劳作法令联系具有人身依附性的专属特色，适用民事法令和刑事法令进行追责对劳作者而言有局限性，应设定特定的契合劳作联系特色的劳作法职责。主张在职责方法上，由劳作行政处理部分对用人单位施行的侵略劳作者个人信息的不同景象给予不同程度的行政处分；别的，劳作立法还应经过必定的办法鼓舞劳作者向劳作行政部分告发其所属单位或其他用人单位侵略劳作者个人信息的行为。劳作行政部分接到告发后，依职权打开查询，核实状况后对用人单位施以相应处分，终究到达避免用人单位损害劳作者个人信息的意图。

　　【注：本文系河南省政府决议计划研讨投标课题阶段性效果，项目编号：2015B296】

　　①崔聪聪：《个人信息危害补偿问题研讨》，《北京邮电大学学报（社会科学版）》，2014年第6期。

　　②刘青杨：《社会多元化转型期隐私权与知情权联系研讨》，《北方论丛》，2015年第5期。

　　③冯静：《档案信息化及档案信息化建造》，《兰台国际》，2014年第4期。

　　④郎庆斌：《国外个人信息维护方法研讨》，《信息技能与标准化》，2012年第1期。

　　⑥廖宇羿：《我国个人信息维护规模界定兼论个人信息与个人隐私的区别》，《社会科学研讨》，2016年第2期。

　　⑦王利明：《论个人信息权的法令维护以个人信息权与隐私权的界分为中心》，《现代法学》，2013年第4期 。

上一篇:【微课时刻】工作安全知多少？一起来测
下一篇:新形势下大数据技能开展立异面对的信息安全危险与战略