曾新宇

(四川大学 法学院，四川 成都 610207)

劳动者个人信息保护是劳动法和个人信息保护法的重要内容，但目前对劳动关系中劳动者个人信息保护的研究还很薄弱。2021年8月20日，《中华人民共和国个人信息保护法》(以下简称《个人信息法》)正式颁布，并于2021年11月1日起施行。作为我国第一部个人信息层面的专门立法，《个人信息保护法》明确了对个人信息的“合法、正当、必要”保护原则，并构建了“告知—同意”为核心的个人信息处理规则，进一步对个人权利进行了保护。作为个人信息保护的特定领域，劳动者个人信息保护应当适用个人信息保护的一般原则和规则。在《个人信息保护法》颁布后，其确定的个人信息保护原则和保护规则在劳动关系中的具体适用还存在许多问题。本文围绕个人信息处理的原则和规则，对劳动关系下的实践问题提出思考，以期完善个人信息保护在劳动领域的适用。

一、劳动关系中个人信息处理的一般原则和规则

个人信息保护法确定了对个人信息保护的原则，个人信息保护的基本原则是“合法、正当、必要”原则，个人信息保护法加强了以“告知—同意”为核心的个人信息处理规则。作为个人信息保护的特定领域，劳动者个人信息保护应当适用个人信息保护的一般原则和规则，因此对劳动者个人信息保护也应当遵守“告知—同意”规则和“合法、正当、必要”原则。

(一)“告知—同意”规则及例外

个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益，构建了以“告知—同意”为核心的个人信息处理规则。“告知—同意”规则要求处理个人信息应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时，个人信息处理者不得过度收集个人信息，不得以个人不同意为由拒绝提供产品或者服务，并赋予个人撤回同意的权利，在个人撤回同意后，个人信息处理者应当停止处理或及时删除其个人信息。

据此，用人单位根据《个人信息保护法》的要求，在一般情况下需要对劳动者进行事先充分告知，在征得劳动者同意后才能收集其个人信息并处理，在处理目的、手段等重要事项变更时需要重新征求劳动者的同意，未经同意不得非法处理劳动者的个人信息。用人单位作为个人信息处理者不得过度收集劳动者的个人信息。劳动者有权拒绝提供个人信息，同时具有撤回同意的权利。劳动者撤回同意的，用人单位应当停止处理或及时删除劳动者的个人信息。

《个人信息保护法》第13条第1款第2项至第7项规定的情形，不需要取得个人同意即可合法使用。根据该条规定，用人单位作为信息处理者可以为订立和履行劳动合同所必需、根据劳动规章制度和依法签订的集体合同实施人力资源管理所必需或为了公共利益等处理劳动者的个人信息，而无需经过劳动者同意。但个人信息保护法除此之外未对什么是订立、履行合同所必需做明确规定，劳动规章制度目前也未对劳动者的个人信息保护进行规定。《劳动合同法》第8条规定用人单位有权了解劳动者与劳动合同直接相关的基本情况，除此之外，法律并没有进行进一步具体明确规定，与劳动合同直接有关的情况是不是订立或者履行劳动合同所必需还需要商榷。用人单位可能滥用上述例外条款非法收集或者处理劳动者的个人信息，侵害劳动者的合法权利。目前劳动规章制度尚未明确用人单位处理劳动者个人信息的具体规定。而集体合同一般由工会与用人单位签订，用集体合意替代劳动者的个人同意实施人力资源管理，仍需要满足合法、正当、必要的要求以保障劳动者信息权益[1]。

(二)劳动个人信息处理的基本原则

“合法、正当、必要”原则是个人信息处理的基本原则，主要是对个人信息处理的形式合法性、目的正当性和手段必要性进行评价。“合法、正当、必要”原则的内容具有整体性，合法原则主要涉及形式合法性，指个人信息的处理应当符合法律规定，包括符合告知同意程序等方面；“正当原则”“必要原则”是对实质合法性的要求，个人信息的处理目的和手段应当具有合理性。

根据正当原则的要求，用人单位对劳动者的个人信息处理需要满足处理目的特定、明确、合理的要求，不能为了不正当的目的处理劳动者的个人信息。当前法律对个人信息处理的正当原则规定得较为宽泛，用人单位对劳动者的个人信息处理进行模糊、宽泛的目的表述，会出现用人单位对劳动者的个人信息收集范围过大、使用场景过多等情况，使得个人信息处理的正当原则被架空，劳动者的个人信息也会因此受到侵害。在特定、明确的基础上，用人单位的处理目的也应当满足合理的要求，应符合公共利益和合法的私人利益。由于目前法律在劳动法领域没有明确规定，用人单位处理劳动者的个人信息时仍然存在不符合“合理”标准的情形。

个人信息处理除了应遵循目的正当原则，还应符合处理手段必要原则。必要原则要求用人单位的行为不得超出正当目的，并且对劳动者造成最小损害，禁止损害过度。同时，正当原则也要求用人单位积极作为，采取必要的技术措施预防劳动者个人信息被侵害的风险，在损害发生后采取必要的补救措施，最大程度保护个人信息，禁止保障不足。根据《个人信息保护法》第6条的要求，用人单位应当限于实现处理目的的最小范围收集劳动者的个人信息，并应当采取对劳动者个人权益影响最小的方式处理。《个人信息保护法》对用人单位提出了更高的要求，用人单位在实践中的行为必要性是判断其行为是否合法的重要标准，需要进一步明确。

二、劳动关系中个人信息保护的实践问题

(一)“告知—同意”规则的适用问题

1.用人单位告知行为流于形式

劳动关系之下用人单位告知的行为流于形式，使得整个流程实际被用人单位所操控，劳动者的同意并没有实质表达。

(1)用人单位直接忽略告知程序。用人单位在取得劳动者同意的过程中，经常不具备合理详尽的隐私政策或者个人信息保护条款，在劳动关系下利用劳动者不设防的心理，直接跳过告知环节让劳动者交出个人信息。其次，用人单位在向劳动者进行告知、明确隐私政策和个人信息保护规定时，本来应该更加尊重劳动者的个人信息，并在此过程中弱化用人单位管理的权威，降低劳动者对被强迫同意的担忧。但在实际中，用人单位在告知时并没有体现这一点，反而更加利用自己的优势地位，使得告知流于形式而不具备现实实质意义，加重了双方的地位差距和信息不对称的局面。

(2)用人单位利用优势地位对应当告知的信息不明确告知。用人单位的告知发生在劳动关系缔结时，在劳动合同中对与个人信息的收集和处理相关的内容进行模糊化、宽泛化的表述，以此规避自己的责任。用人单位在劳动合同中对个人信息进行格式条款规定，使用“用人单位对劳动者在劳动关系持续过程中的个人信息有收集的权利，劳动者有义务配合用人单位进行收集”“一旦出现个人信息纠纷，视为劳动者同意，用人单位不承担责任”等说辞，以此加重劳动者的义务，并免除自己的责任。劳动者往往为了取得工作而同意有关个人信息的不平等条款并签订合同，事后用人单位在面对个人信息纠纷时会拿出当初签订的劳动合同以证明其已经提前告知，并以劳动者签订劳动合同就是同意为由逃避其责任。

(3)用人单位用通知代替告知。在劳动关系持续的过程中，用人单位进行告知的手段一般有单独通知或者公告两种，前者一般由上至下和同事之间互相传达或者挨个发消息通知，后者则是通过在公司公告版贴出告示、在员工大会上进行告知或者通过一些互联网手段进行公告。单个告知时，劳动者能更好进行询问和了解，公司的告知也更明确，而通过公告或者统一告知时，用人单位常常模糊其词，只说需要征集劳动者的个人信息，而不明确说出其目的、处理方式等，或者笼统地说明，并不直接、明确地说出有关个人信息处理的内容。再者，用人单位的行为更多像一种通知而不是告知并征求同意，很多时候直接视为群体或者少数服从多数的同意，少数异议完全忽略不计。劳动者在这类场合中担心自己在同事和领导中留下不好印象，不愿意当出头鸟，也就更难从群体中单独争取其合法权益，群体同意或者默示使得“告知—同意”规则更加流于表面。

2.劳动者同意的表示不真实

(1)劳动者意思自由受限。在劳动合同中，由于用人单位与劳动者之间的关系具有从属性，劳动者的意思自由因此受限。由于劳动者在劳动关系中与用人单位形成了一种事实上的生存依赖关系，劳动者的意志往往会受到用人单位的经济压制和事实控制，双方在经济市场上的不平等地位使得劳动者的意思自由难以真正实现。

同时，劳动者与用人单位形成的合同关系与一般合同相比更为复杂，具有人身隶属性和经济组织上的从属性等。劳动关系中劳动者与用人单位之间形成的复杂关系极为紧密，劳动者更容易相信用人单位提供的信息和要求，这会导致双方信息的不对称和不对等，使得劳动者在此过程中盲目信任用人单位而表示同意。这种信赖关系使得劳动者在此过程中的同意很有可能并未经过其深思，而只是单纯基于信任，认为公司不会“骗”自己，或者认为没必要“骗”自己而作出意思表示，使得同意的步骤更流于表面。

(2)劳动者因自身原因作出不真实意思表示。劳动者可能由于其本身的理解能力和协商能力不足从而无法作出正确的判断，以至于在用人单位告知时作出违背真实意思的同意。在目前的社会资源配置中，了解劳动者相关权利并懂得保护自己、进行维权的劳动者是少数，许多劳动者的文化程度有限，即使用人单位在此过程中进行了充分和明确的告知，劳动者也很难理解什么是个人信息、用人单位要怎么处理这部分个人信息，更不懂在此收集和处理的过程中自己的个人信息需要进行保护。用人单位如果存有不良想法可以很轻易利用劳动者理解能力不足而诱骗劳动者作出同意，从而打着“已经取得同意”的幌子对劳动者的个人信息进行非法收集和处理。这部分劳动者不懂得个人信息保护的重要性，也难以预料个人信息被侵害的后果，更难以承受这样的损害结果。即使个人信息被损害，这部分劳动者也不具备很好的协商能力，常常从一个弱势的角度寻求用人单位的良心发现，难以与用人单位进行很好的协商维护自己的权利。有良心的用人单位可能会与劳动者好好协商沟通，并努力作出补救和赔偿措施，但不可否认很大部分用人单位会仗着自己的优势地位拒绝与劳动者进行协商，甚至威胁劳动者再进行维权就开除劳动者。劳动者面对用人单位拒绝协商的强硬态度，极有可能为了保住工作或者维持稍微良好的劳动关系而被迫降低自己的赔偿要求甚至放弃。也有部分劳动者会在此过程中寻求工会的帮助，希望通过第三者和集体的方式缩小双方之间的地位差距从而更好地进行协商。一般而言，工会的介入会使劳动者与用人单位之间的协商比劳动者直接单独与用人单位协商对劳动者更有利一些。但由于工会的介入毕竟是第三方，不如当事人对情况的了解全面，且工会的介入也需要流程和时间，可能会使劳动者的个人信息因没有及时得到充分保护和补救而造成更大损失。

(3)劳动者的再次同意被模糊或省略。在初次告知同意后，后续的个人信息处理也可能因为方式、目的的变更而需要重新征求劳动者的同意。在后续管理的过程中，用人单位可能为了降低成本等原因直接默认劳动者同意，省略再次同意的步骤，以初步同意代替再次同意。劳动者在不知情的情况下被用人单位安排为“被同意”，并未真正进行再次同意，也很难知晓后续个人信息处理变更的内容，更难保护自己的个人信息，只能在损害结果发生之后才察觉，但往往为时已晚。

(4)用人单位利用优势地位强迫劳动者同意。劳动者在经济市场下的弱势地位决定了其在劳动关系中很难具备话语权，用人单位很容易掌控劳动者并以优势地位强迫劳动者同意。用人单位可能会在公司章程规定或者其他规章制度中对劳动者的个人信息作出强行性规定，要求劳动者必须配合用人单位对其个人信息进行处理。劳动者如果出于保护个人信息的目的拒绝同意，用人单位很可能会以公司管理制度规定为由给劳动者施加管理压力，迫使其同意。也有用人单位直接虚构劳动者的同意，在事后被劳动者发现后以解除劳动合同相要挟，以管理所必需强迫劳动者承认其虚构的同意。而在大数据和人工智能的社会背景下，智能手段的运用增加了用人单位不当获得劳动者同意的可能。用人单位以采用人脸识别进行打卡等要求收集劳动者的指纹或者人脸识别信息，或者以提高管理效率为由要求劳动者提供位置信息等，劳动者面对劳动管理和劳动形式的智能化很难对用人单位的要求作出不同意的意思表示。

3.例外情形的滥用

一般情况下，用人单位收集、处理劳动者个人信息需经过劳动者同意，在例外情形时可以不经过劳动者同意。但对于例外情形，法律没有明确其具体内涵，用人单位可能会滥用例外情形侵害劳动者的个人信息权利。

首先，用人单位擅自扩大“劳动合同所必需”的内涵，非法收集劳动者的个人信息并进行处理。一般而言，劳动者的工作能力、是否适岗等与劳动合同直接相关的个人信息，是法律允许用人单位收集的范围。而对是否婚配、是否生育、是否有过往疾病史和家庭背景信息的收集则属于过度收集。除此之外，有的用人单位甚至会在招聘时要求劳动者提供基因检测报告来判断劳动者是否具有加班猝死可能性，或者进行潜在性格分析或者其他潜在疾病分析。这种基因信息处理行为明显超过了劳动合同所必需的范围，过分侵害了劳动者人格尊严或人格自由，不符合正当必要性的要求[2]。

其次，用人单位以加强对劳动者管理为由擅自扩大其收集范围和处理权限。纸质的签到或者签字打卡属于用人单位基于劳动管理所需的考勤管理，是合法收集劳动者个人信息的途径，而人脸识别或者虹膜信息等个人信息超出了一般考勤管理的必要范围，不能被视为劳动管理所需。除非是工作环境有安全或者保密要求需要身份认证，人脸识别或者虹膜识别的信息收集才可以被视为劳动管理所必需。

(二)“合法、正当、必要”原则的适用问题

“合法、正当、必要”原则是个人信息保护的基本原则，贯穿始终。“告知—同意”规则的适用本身也需要满足“合法、正当、必要”的要求。实践中对“合法、正当、必要”原则的适用还尚不规范，法院可能盲目扩充“告知—同意”规则的内涵和适用范围，对并不在其规定范围内的情况适用规则，而并未适用“合法、正当、必要”原则进行认定。

首先，“告知—同意”规则的不完善和不全面会使得其存在漏洞，需要通过对“合法、正当、必要”原则的适用进行弥补。“告知—同意”规则中的“告知”强调用人单位需要进行明确告知，且告知的范围包含处理的目的和方式等，“同意”强调劳动者的同意应当出于真实意思表示，同时防止例外规则被滥用。用人单位告知其处理个人信息的目的准确和告知形式合法是“告知—同意”规则的要求，但规则中并没有对用人单位处理的目的进行规范，判断处理目的是否合法需要根据“合法、正当、必要”原则的内涵对其正当性和必要性进行判断。其次，用人单位对个人信息收集和处理的后续行为是否超过法律的限度也应当根据“合法、正当、必要”原则的内涵进行判断。实践中用人单位在处理劳动者个人信息时，或单方强调管理权行使的正当性不履行同意规则，或假借“告知—同意”获取合法性而忽视正当性与必要性[3]。用人单位处理劳动者的个人信息需要满足形式合法性的要求，在此基础上关注其处理是否具有正当性和必要性。

其次，用人单位对个人信息收集和处理的后续行为可能超出“告知—同意”规则的适用范围，实践中需要根据“合法、正当、必要”原则进行认定。在大数据时代，数据的高流通性和易处理性使得劳动者个人信息在初步收集之后的整合、流传和使用可能会远超出预期。用人单位在收集劳动者的个人信息时也很难准确预料信息处理的方式和范围，之后的信息处理也很可能超出用人单位的预见。而劳动者相比用人单位对此更难具有预见可能性，无法真正评估风险，也很难基于判断而作出正确的同意决定。用人单位常常会以需要权限为由，收集劳动者的指纹或面部数据等，有的也会收集劳动者的位置信息。这些数据与用人单位收集的群体信息相结合，用人单位据此往往会获知更多超出劳动者最初同意披露范围的个人信息[4]。在此情况下，劳动者的初步同意可能会演变成对自身不利的决策基础，导致劳动者可能会因此独立承担不利后果。

三、劳动者个人信息保护的完善

(一)完善“告知—同意”规则

1.明确告知

首先，明确用人单位在告知时的义务范围。用人单位直接处理劳动者个人信息时，作为信息处理者需要告知劳动者其联系方式；用人单位委托第三方作为信息处理者时，用人单位只是代为收集劳动者的个人信息，需要明确告知劳动者真正的个人信息处理者的身份和联系方式，防止劳动者不知晓隐秘的第三方而在后续行使其权利过程中无法明确其权利行使对象，使得用人单位或者被委托的第三方借此逃脱责任。

其次，用人单位需要告知劳动者个人信息处理的目的、方式、种类和保存期限等。用人单位需要告知劳动者个人信息的处理目的，且具有多个处理目的时需要分别明确告知并分别取得同意，而不能一次性概括告知并获得同意。对于不同的处理方式，用人单位需要明确告知劳动者。用人单位需要在告知时明确个人信息的种类，不能以“与劳动合同有关的信息”“与是否适岗有关的信息”“健康信息”等范围过大的措辞简单告知劳动者，需要遵循公开透明的原则明确具体的种类，比如“工龄”“工作经历”等。个人信息的保存期限越长，越容易出现泄露或者非法使用的可能性，对劳动者的不利影响也越大[5]。用人单位需要明确告知劳动者个人信息的保存期限，便于劳动者及时行使删除权。

第三，用人单位需要明确告知，不能使用宽泛、模糊的措辞笼统告知，或者用笼统的格式条款规避自身责任。由于个人信息处理具有极强的技术性和专业性，用人单位须以显著方式、清晰易懂的语言进行告知。用人单位应当以劳动者能理解的方式进行告知，要求以不具备个人信息处理专业知识的一般个人也能理解为告知的标准。劳动者需要理解个人信息处理对自己的权益有何利弊和风险，才能作出自由的决定。要求用人单位不能将应当告知的内容隐藏在一大堆信息中或者用极小的字号等不显著的方式进行告知，也不能用难以辨别的符号或者极易混淆、带有歧义的词语混淆劳动者的判断，并在劳动者有疑问时及时为劳动者进行解答，防止用人单位为了规避法律风险以捆绑式直接列出内容冗杂的隐私政策条款给劳动者带来阅读和理解困难。同时，用人单位在告知时需要考虑劳动者的教育背景不一对个人信息处理的理解能力有所偏差带来的现实困境[6]。

第四，用人单位不得为规避法律责任以“便于管理”“改善公司配置”等模糊的表述进行告知，使得用人单位的处理目的不明确。限制用人单位在劳动合同中使用格式条款进行免责，限制用人单位使用“用人单位有权收集劳动者的个人信息”等表述，劳动者签订包含该条款的劳动合同不视为对劳动合同不涉及的其他个人信息处理的同意，用人单位处理为管理所需的劳动者的其他个人信息时，仍需按照“告知—同意”规则的要求征求劳动者的同意。用人单位以公告的方式告知时，需要在公告时明确告知上述应当告知的范围，在公告之后，用纸质版或者电子数据的方式征得劳动者的个人同意，允许劳动者拒绝而不是单纯以概括同意或者集体同意直接代替劳动者的真实意思表示。

第五，确保用人单位的告知和收集同意的流程公开、透明，且便于查阅。根据《民法典》第1035条和《个人信息保护法》第18条第3款的规定，用人单位的处理规则是必须公开且便于查阅的，以防止用人单位私自变更规则。用人单位需在管理流程或者公司规章制度中明确告知同意的流程。在纠纷发生后如果用人单位无法证明其规则是公开且便于查阅和保存的，在没有其他证据证明用人单位履行了明确告知义务时，应当认为用人单位没有履行告知义务。鼓励用人单位用知情同意书等书面文件代替单纯口头告知和收集同意。

2.保障劳动者的同意意思自由

首先，对劳动者进行帮助教育，提高劳动者的理解能力和协商能力。大部分劳动者在入职时和入职后的学历都是固定的，学历一定程度上决定了劳动者的理解能力。因此，学校加强对学生的劳动教育有助于其就业成为劳动者后的理解能力上升和相关知识储备增加。各高职院校和高等院校可以增加有关劳动教育的课程，鼓励学生进行选修，并在毕业生就业前开设有关劳动教育的讲座，帮助学生在正式成为劳动者之前多了解个人信息保护和其他有关的劳动教育内容。在相关课程和讲座内容中设置劳动者个人信息保护的有关内容，让未来的劳动者们了解个人信息处理的相关问题，包括用人单位可能会如何规避自己的责任、个人信息被侵害的后果、劳动者如何有效进行维权等。除了学校之外，人力资源管理部门和工会帮助劳动者提高理解能力和协商能力也是重要的方面。人力资源管理部门可以对劳动者进行入职前的培训。用人单位在劳动者的入职后培训中也可以加入对个人信息处理的说明部分，并对劳动者的同意作出提醒。

其次，发挥工会的应有作用。工会作为第三方介入，代替劳动者个人与用人单位进行协商，有利于改善劳动者在劳动关系中的弱势地位，帮助劳动者维护自己的合法权益。以集体同意代替单独同意时需要注意劳动者的真实意思，召开职工代表大会或者职工大会对劳动者的意思进行统一收集和反馈，了解劳动者的真实诉求，帮助劳动者在个人信息纠纷中保护自己的权利。同时，由于数据流通的特性和个人信息流转的特殊性，需要及时对个人信息泄露等后果进行补救，简化工会的流程有利于更快保护劳动者的个人信息。但这并不意味着需要简化必要的对劳动者意思的收集流程，而是简化工会对个人信息泄露情况的了解流程和与用人单位的协商流程，使用更简洁、直接的方式。

再次，限制用人单位强迫劳动者同意。禁止用人单位在章程规定或者劳动合同中对劳动者的个人信息直接进行默认处理，或者以此剥夺劳动者的合法权利，如撤回权、再次同意权等。用人单位在劳动合同中使用“用人单位有权收集处理劳动者个人信息”“劳动者有义务提供其个人信息”等表述的，该格式条款对劳动者不产生任何实质影响。劳动者签订劳动合同的，不认为是对用人单位收集处理个人信息的同意，用人单位在收集处理时需要根据法律规定和要求，按照“告知—同意”规则的要求进行逐一告知并征求同意。在劳动关系持续过程中，用人单位以行使管理权为由强迫或者变相强迫劳动者进行同意的，视为没有征得同意，应当承担相应责任。《个人信息保护法》规定了行政执法、个人投诉举报、司法诉讼、公益诉讼等多种保护机制。据此劳动者具有投诉举报和司法救济的任意选择权。用人单位要求劳动者提供个人信息，劳动者拒绝后，用人单位对劳动者进行不当处分的，劳动者可以寻求工会的帮助，也可以进行投诉举报。劳动者向工会寻求帮助的，工会应当积极提供法律援助。用人单位因劳动者拒绝提供个人信息而开除劳动者或者在下一次签订劳动合同时恶意改动资薪的，劳动者可以根据法律规定提起劳动仲裁，不在劳动仲裁范围内的劳动者可以直接提起诉讼。完善对劳动者的法律援助和法律帮助，帮助劳动者在个人信息被侵害后进行维权。劳动者与用人单位发生个人信息纠纷时，法院需要审查用人单位是否尽到合格的告知义务，是否有劳动者的同意，劳动者的同意是否意思表示真实。

3.限制对例外情形的适用

在例外情形中，因为用人单位无需经过劳动者同意而可以直接收集、处理劳动者的个人信息，对劳动者的个人信息安全造成了更多泄露和非法使用的风险，应当对例外情形进行限制适用。

首先，明确“为劳动合同所需”和“为人力资源管理所需”的范围。谨慎判断跟劳动合同有关的内容是否属于“为劳动合同所必需”，需要根据实际情况和工种判断用人单位收集劳动者的个人信息的最大必要范围，超出必要范围的行为会侵害劳动者的个人信息权利。对用人单位行使管理权而必需的劳动者的个人信息，需要根据多方面进行综合判断，一般而言没有严格保密或者安全规定的，用人单位无权收集劳动者的生物识别信息。

其次，制定劳动规章制度，对用人单位的告知义务作出细化的规定，明确不需要告知的情形。劳动规章制度以及集体合同中对劳动者隐私权让渡的设置应当仅限于与工作内容有关[7]。同时，个人信息保护涉及的领域广，相关制度措施的落实有赖于完善的监管执法机制。根据《个人信息保护法》要求，劳动行政部门应当在国家网信部门统筹协调下制定个人信息保护具体规则、标准，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。同时，劳动行政部门也需要根据行业特征，制定劳动领域的个人信息保护规章与条例。根据个人信息保护工作实际，《个人信息保护法》明确，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作，同时，对个人信息保护和监管职责作出规定，包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。

(二)加强对“合法、正当、必要”原则的审查

“合法、正当、必要”原则作为基本原则，对“告知—同意”规则的适用具有指导和兜底的作用。对“告知—同意”规则的适用可以结合原则的内涵进行。在无法具体判断劳动者是否是真实意思表示，用人单位收集、处理个人信息的目的是否合法等情况时，可以结合原则的内涵对用人单位的目的和行为进行认定。

首先，加强对用人单位处理劳动者个人信息的合法性、正当性、必要性审查。对合法性的审查主要是对用人单位在收集处理劳动者个人信息时是否满足“告知—同意”规则的形式要求。第一，对同意的形式进行审查，判断是否是一般情形下需要征得劳动者同意才能收集处理个人信息的情况，在此情况下劳动者是否有同意的意思表示，是书面的同意意思表示还是由用人单位单独征求的劳动者的同意，用人单位是否以管理权或者开除、处分等惩戒相威胁，劳动者的同意是否真实可撤回等。第二，对于无需经过劳动者明示同意的“订立、履行合同所必需”的情况，需要结合劳动者个人信息的目的类型具体审查是否与“订立、履行劳动合同”相关。同时，对于劳动规章制度的制定需要根据法律要求并具备民主程序，保障劳动者同意的自治性，让劳动者参与到规章制定中来，充分行使其参与权。而集体合同中的集体合意也需要满足协商代表产生与集体合同表决的程序合法性。劳动者个人信息处理行为的合法性来源广泛多元，且存在互相转化的可能性，需要集合对正当性和必要性的审查进行整体判断。

其次，通过“合法、正当、必要”原则弥补“告知—同意”规则的漏洞。在“告知—同意”规则具有漏洞或者超出其适用范围时，适用“合法、正当、必要”原则有助于对用人单位的行为和目的进行认定。根据“合法、正当、必要”原则的内涵对用人单位收集处理个人信息的目的的正当性和必要性进行判断。对用人单位进行目的审查，审查用人单位的处理目的是否正当、明确、特定，是否保证劳动者明确知悉目的并同意。同时，需要审查用人单位收集个人信息是否满足处理目的；个人信息的收集处理是否超出用人单位的预期，同时是否超出劳动者的预期；个人信息的性质、范围以及对劳动者的影响；用人单位是否采取了保护或者补救措施等。

最后，根据“合法、正当、必要”原则的内涵判断用人单位的责任承担。在用人单位对个人信息收集和处理的后续行为超过限度造成损害的情况下，责任承担应当根据“合法、正当、必要”原则的内涵进行判断，并对此风险进行平衡分担，不能将此风险完全转嫁给本就没有承受能力的劳动者，需要让用人单位共担风险。用人单位对收集的劳动者个人信息有安全保障义务，需要采取技术措施对劳动者的个人信息进行保护，在必要时最好对劳动者的个人信息进行处理以消除一部分识别性。同时，用人单位在劳动者的个人信息被泄露或者侵害时负有补救的义务。用人单位在收集劳动者的个人信息时的理由正当且必要，但是在后续的保存过程中发生了客观变化使得其处理的理由不符合原则要求时，需要根据具体情形进行判断，尽可能平衡风险的分担。运用比例原则对劳动者的损害程度和行为的必要性进行比较和权衡，判断用人单位是否存在正当利益，对劳动者的损害与获益是否成比例，是否是对劳动者损害最小的方式，如果对劳动者的人格权或人格尊严造成严重侵害，应认为不符合正当性、必要性的要求，是违法行为，用人单位应当承担相应责任。

四、结语

我国《个人信息保护法》作为基本法，对个人的信息安全保护提出了新的要求和挑战，也直接关系到我国劳动者群体的个人信息权益。劳动关系下的“告知—同意”规则的适用是劳动特殊场景下的个人信息保护的核心，在此基础上需要结合“合法、正当、必要”原则的要求对劳动者的合法权益进行保护。要完善“告知—同意”规则的内涵，明确“合法、正当、必要”原则的审查范围，建议由行政监管机关、最高人民法院出台部门规章或司法解释对此加强规则阐明与规范解释，形成相应的制度限制，进一步对劳动者的个人信息进行保护。