德国:劳动者隐私权保护
2022-06-14黄磊
黄磊
數字技术的发展,在提升员工工作效率的同时,也赋予企业管理者更多工具,如何在优化管理、提高生产效率的经营管理权与尊重劳动者的隐私权间作好平衡?德国在理念设计、制度保障和责任追究等方面有不少值得借鉴的地方。
“公私”分明的理念
用人单位规章制度的法律性质在不同国家有着“法规说”“契约说”“根据二分说”和“集体合意说”等不同的界定,德国总体而言经历了由“资方单独制定”向“劳资共同制定”的立法转变,学界紧扣立法探讨劳动规则的性质,由最初的纷争走向了最终的共识。
这体现在德国相关的立法精神之上,以德国《联邦数据保护法》为例,该法第4条就对监控目的进行了分层规定:在公法层面,监控旨在政府机构履行行政任务;在私法层面,监控为企事业单位维护自身合法利益服务。相关法规在实现公私分明的同时,其实也给单位进行监控提供了法理支撑,为更好限定权限也奠定了基础,从而更好保护劳动者的个人隐私权。
具体而言,在公法层面,相应的监控要为政府打击犯罪、治安防范、社会管理、服务民生等提供协助,包括且不限于安全生产领域。在私法层面,赋予了企事业单位因为行使经营权而在企业内部采取诸如安装使用视频监控的正当性,这区别于公法的行政性要求。这种区分的意义不仅在于授权以便于确权,同时也在于防止在单一化的背景下,企事业单位借用公权对劳动者权利进行侵犯。
从适用原则方面,必要性原则和利益平衡原则不仅是概括性的框架,而且通过司法实践推动了细化。“必要性原则”应当涵括两方面要件:其一,措施必须在法定范围内并能够达到监控目的,具体而言就是必须符合《企业部门组织法》第87条第1款第6项关于“技术设备”概念,并以劳动者工作行为为监控对象。其二,不存在其他的可支配、可替代的有效措施,且这种必要性应体现在时间和空间范围,以及技术配置等各安装环节的技术考量之上。
“利益平衡原则”体现的是适当性原则的要求,即对个人信息相关的数据存储和使用,必须建立在实现更高的价值之上。换言之,这种数据存储和使用必须是基于实现更高的价值,而不得不对劳动者个人隐私权进行侵犯。这种平衡也要体现在诸如监控设备的设定之上,比如定期删除、控制设备访问的权限,以及对面部、个人隐私特征的识别加以控制。正因为此,对于劳动者私密空间以及私生活构成的核心领域应当是相关监控不可触碰的范围。
数字技术的发展,赋予企业管理者更多工具,如何在优化管理、提高生产效率的经营管理权与尊重劳动者的隐私权间作好平衡?德国有不少值得借鉴的地方。
劳动者的隐私权应受保护
同时,依据《企业部门组织法》所设立的企业职能部门委员会(Betriebsrat,下称“企业部门委员会”),作为工会的劳方自治组织,可代表劳方与资方协商订立企业部门协议。
在没有其他法律法规或者集体协商合同存在的前提下,《企业部门组织法》第87条第1款第6项规定,对于确定能够监控劳动者的行为和其具体工作的企业内技术设备的安装和使用,必须经过企业部门委员会的共同决定。另外,企业需要履行事先建档登记以及对劳动者告知义务,并且当数据没有必要持续储存时必须及时清除,防止滥用监控导致的危险。
个人信息的强力守护
2020年10月,德国汉堡数据保护局(“DPA”)宣布,对服装公司H&M处以3530万欧元的巨额罚款,处罚原因是H&M涉嫌不当收集了几百名员工的私生活相关数据。这是自欧盟于2018年推出新的《通用数据保护条例》(GDPR)以来,德国开出的最高罚款。这一处罚发出强烈信号,即相关公司需确保他们在处理员工数据时遵守数据保护法。
H&M位于汉堡,并在纽伦堡设有服务中心。据披露,自2014年以来,该服务中心管理层收集了其员工私人生活的数据,包括员工的休假经历、病假的疾病症状和相关诊断信息。一些团队负责人甚至在非正式对话中收集了包括有关私人家庭问题和宗教信仰的信息数据——这些信息有时极为详尽,并且随着时间推移不断更新。
相关数据被存储在多个位置,其中包括一个网络驱动器——超过50名H&M经理有权限访问该驱动器。除了详细的工作绩效分析外,这些私人数据还被用于创建员工资料以及作出与员工有关的决策。
德国的劳动者隐私权以《基本法》第1条第1款的人性尊严,以及第2条第1款的“个人自由权”亦即“人格自由发展权”为基础。在劳动法领域,劳动者的人格权保护不免会与用人单位的宪法经济活动自由权,以及职业自由权(《基本法》第12条第1款)相冲突,基于对企业经营利益的考量,在劳资双方发生权利冲突时,劳动者的人格权被限制。
换言之,企业不仅对劳动者具有管理权,还对劳动者有关隐私信息有合法的知情权,包括在录用时,劳动者的履历情况、业务技能、素质评价,而劳动者基于“忠诚义务”也应当将必要的隐私信息向企业真实陈述。
但同时,企业应该保障劳动者人格权的独立和受到尊重,对劳动者隐私信息的获取和使用严格限定在法定范围之内,履行对劳动者隐私权的注意和保护义务。德国联邦调查法院在人口普查判决中确定的信息自决权,以及《企业部门组织法》第87条第1款具体规定劳动者的共同决定权,明确了企业主的行为边界,以及劳动者对自我权利保护的边界。
违背相关规定的监控行为则构成违法,企业主不仅要承担对个体劳动者的法律责任,包括对劳动契约的违约责任和侵权责任,同时也要承担对企业部门委员会的法律责任。并且基于《通用数据保护条例》对个人信息的强力保护,违法企业将面临巨额罚款,这也是H&M被处罚的原因。
摄像头下权力的边界
在企业劳动管理权与劳动者隐私权的关系上,德国学界认为“从属性”是劳动关系的基本属性,主要表现为劳动者要接受雇主的指挥命令和监督管理。但这种从属性并不是绝对的、全部人格的从属,也不允许雇主将劳动者完全置于其监控之下。在两者矛盾和冲突关系的处理上,德国等欧洲国家更偏向于保护劳动者的尊严,通过立法保护劳动者的个人隐私。
2021年,德国下萨克森州的数据监管机构对当地一家笔记本电脑零售商NBB处以1040万欧元的巨额罚款,原因是这家零售商在过去两年中在没有法律依据的情况下一直对其员工进行视频监控。据报道,该公司两年前在其仓库、销售办公室和公共工作区安装了视频监控系统,同时宣称是为了防范犯罪行为,以及关注仓库内货物流通。尽管这家零售商认为自己使用的是很正常的视频监控,但德国数据监管机构认为,该公司的监控既未限定某些人,也没有设置一定期限。而且该公司保留这些录像时间长达60天,大幅超过必要的时限,严重侵犯了员工的权利。
需要指出的是,相关限制并不仅仅是摄像头的监控,正如《企业部门组织法》第87条第1款第6项所规定的,“技术设备”泛指任何一种光学的、机械的、声学的或者电子设备,这些设备可以替代人工监督,起到监控作用。
正如2018年10月第40届数据保护与隐私专员国际大会指出,“任何人工智能系统的创建、开发和使用都应充分尊重人权,特别是保护个人数据和隐私权,以及人的尊严不被损害的权利”。
可见,无论是《联邦数据保护法》《企业部门组织法》《个人信息保护法》还是《通用数据保护条例》,德国的法律都对处于弱势一方的数据主体进行倾斜性保护,无论从立法精神、原则细化、程序保障还是第三方制衡方面而言,都有很大的借鉴意义。
编辑:薛华 icexue0321@163.com6B871678-2225-4983-A934-6457BE9E6317