江海洋

（北京大學法學院，北京100871）

一、問題之提出

隱私權系人格權之一種，傳統(tǒng)的隱私權概念，普遍認為隱私為不受他人打擾之權利，為消極意義的隱私權，隨著信息科技的發(fā)展，特別是大數(shù)據技術的出現(xiàn)，個人之隱私暴露于公眾之下的機會激增，則隱私權的概念除了傳統(tǒng)的不受他人打擾之權利之外，亦發(fā)展到當今積極的信息自主權，即信息主體對個人信息的控制[1]。當然，信息隱私權某種程度上并不是一項絕對的權利，在某些特定的情境會受到一定的限縮。在雇傭關系中，雇主與雇員都存在各自的利益，首先，在雇傭關系成立之前，雇主為了使他的投入獲得最大的產出，并避免或盡量減少與雇員的個人或行為有關的風險，雇主有收集有關求職者盡可能多的信息的利益需求；其次，雇傭關系存續(xù)期間，為保證雇員以適當?shù)姆绞铰男衅涔ぷ?，不濫用其代理地位，以及防止偷竊或欺詐等道德風險，雇主也需監(jiān)視雇員；再次，為確保雇員的生產工作安全及預防職業(yè)災害的發(fā)生，雇主也有義務了解雇員健康狀況，如我國《勞動法》《安全生產法》等法律就明確規(guī)定雇主應實施健康檢查等措施，賦予雇主了解雇員健康狀況的義務，我國《勞動法》第54條明確規(guī)定：“用人單位必須為勞動者提供符合國家規(guī)定的勞動安全衛(wèi)生條件和必要的勞動防護用品，對從事有職業(yè)危害作業(yè)的勞動者應當定期進行健康檢查。”可以發(fā)現(xiàn)，在勞動關系中，雇員信息隱私權某種程度上可能會受限于勞動關系之特殊性，而受到某種程度的限制。然而，雇主對雇員信息隱私的過度侵犯，可能為雇員帶來歧視、去個性化、類型化以及加劇信息不對稱等風險[2]，因而，基于對雇員的信息隱私權的保護，雇主對于雇員個人信息之收集與利用，并非毫無限制。我國《民法典（草案）》第111條規(guī)定：“自然人的個人信息受到法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！蓖瑫r，我國《刑法》第253條之一規(guī)定：“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”可以看出，雇主一旦違法侵犯雇員信息隱私權，輕則可能需要承擔侵權責任，重則還可能構成犯罪。

目前，我國個人信息的立法還處于一種寬泛、碎片化的現(xiàn)狀，尚無一部專門的個人信息保護法，更無對雇員信息隱私予以規(guī)制的專門法律。隨著大數(shù)據時代的到來與科技的發(fā)展，雇員信息隱私風險發(fā)生異化，亟待理論與立法的更新。因此，有必要考察借鑒歐美立法經驗及理論研究成果，進而為我國日后立法及當前司法實務提供參考。

二、大數(shù)據時代雇員信息隱私風險異化

雇傭關系的關鍵特征之一就是雇主監(jiān)督雇員的“權利”。在過去，這一監(jiān)督權受到后勤限制的制約。在許多情況下，雇主不可能隨時監(jiān)督雇員，因為雖然雇主有權監(jiān)督雇員，但他們沒有這個能力。在實踐中，雇主監(jiān)視體系中的這些“盲點”自動變成了雇員的“私人區(qū)域”。不幸的是，這種傳統(tǒng)的平衡已經被過去幾十年的技術發(fā)展所打破，技術發(fā)展極大地提高了雇主監(jiān)督雇員的能力。從閉路電視到允許雇主監(jiān)控雇員電腦使用情況的IT應用等設備，再到目前的大數(shù)據技術，這些技術的出現(xiàn)意味著老雇員的“盲點”少之又少。

（一）科技增強了雇主的監(jiān)控能力

雇主一直存在監(jiān)控雇員行為的意愿、技術，尤其是網絡虛擬技術，顯著增強了雇主的監(jiān)控能力。通過網絡虛擬技術，雇主可以超越傳統(tǒng)的工作場所的時間和空間界限來監(jiān)督和監(jiān)控雇員。雇主使用虛擬技術來監(jiān)督雇員幾乎有無盡的新方法。雇主可以在雇員的手機上安裝一個追蹤應用程序，隨時記錄雇員的行動，以確保她的工作效率、忠誠度和安全。雇主也可以在雇員的辦公桌上安裝塑料監(jiān)控盒，上面裝有由運動和熱量觸發(fā)的小型傳感器，以便知道雇員是否在辦公桌旁。雇主亦可以訪問關于雇員的不受管制的代理和元數(shù)據，如醫(yī)療信息、搜索查詢、電腦游戲的使用等，并創(chuàng)建一個關于雇員在工作場所內外的行為、習慣和健康的新數(shù)據庫。雇主甚至還可以監(jiān)控雇員的每一封電子郵件、短信、網站訪問記錄或雇員在公司自有設備上發(fā)生的其他活動，甚至跟蹤雇員在社交媒體網站上的行為。總之，雇主監(jiān)督雇員的能力不僅在性質、范圍和持續(xù)時間上得到顯著增強，而且在作為一種社會現(xiàn)象的頻率上也是快速增長的。隨著技術變得越來越復雜，監(jiān)視成本越來越低，通過數(shù)字手段監(jiān)督雇員在世界各地的工作場所變得越來越普遍①根據美國管理協(xié)會(AMA)的數(shù)據，在1993年，超過30%的美國公司的經理們經常閱讀雇員的電子郵件或檢查他們的個人電腦文件。到2001年，這個數(shù)字上升到了77.7%。2005年這一數(shù)字下降到38%，2014年上升到43%。然而，在2013年，74%的受訪公司表示他們曾使用社交媒體對雇員進行審查。同樣，在2015年，2000名人力資源經理中有52%的人承認他們使用社交媒體篩選候選人。2017年，約2300名招聘經理和人力資源經理中70%的人承認他們使用社交媒體篩選求職者。可以發(fā)現(xiàn)，雇主監(jiān)控的形式發(fā)生了變化，雇主的監(jiān)控主要不再依賴雇員的電子郵件，而是轉為監(jiān)視雇員在社交媒體網站上的行為或任何其他“公開”行為。See Tammy Katsabiard，Employees’Privacy in the Internet Age：Towards a New Procedural Ap‐proach，Berkeley Journal of Employment and Labor Law，2019,40(2):221-227。，對雇員隱私、自主權及尊嚴已經構成了嚴重的威脅[3]。

另一方面，隨著工作場所大數(shù)據分析工具的引入，對雇員隱私的侵犯進一步加劇。換言之，雖然監(jiān)控技術提供了持續(xù)監(jiān)控的可能性，但數(shù)據挖掘技術的應用則給雇員信息隱私的保護帶來了額外的挑戰(zhàn)。數(shù)據挖掘是分析大型數(shù)據集以發(fā)現(xiàn)數(shù)據中的模式的過程[4]，這些技術有時可以揭示變量之間令人驚訝的關系，使數(shù)據處理程序能夠根據已有可用數(shù)據推斷出個體的未知特征。在就業(yè)環(huán)境中，雇主現(xiàn)在可以方便地獲取有關雇員網絡在線軌跡或社交媒體活動的詳細數(shù)據，也可以從數(shù)據代理處購買背景信息，并用工作場所監(jiān)視工具收集其他數(shù)據。當大數(shù)據挖掘技術應用于這些豐富的數(shù)據時，就可能推斷出雇員的特征，對雇員進行人物畫像，并試圖預測未來的工作表現(xiàn)。雖然勞動力分析工具看起來只是以前可用的監(jiān)控和監(jiān)視技術的擴展，但它們的發(fā)展對雇員隱私造成了不同方面與程度的威脅。從這些工具得出的結論可能并不總是準確的，方式上可能存在偏見并產生歧視性結果[5]。申言之，電子監(jiān)測工具比人類觀察者能收集更多的信息，但它們本身只是信息收集工具。然而，數(shù)據挖掘允許對相同的信息進行分析，從而推斷出數(shù)據主體的附加信息，而不是直接觀察到的信息。例如，雇主可能會檢查雇員在微博、微信等社交媒體上的活動，這些活動將揭示他們的社交關系和他們“喜歡”的內容。然而，當作為更大數(shù)據集的一部分進行分析時，這些信息也可用于推斷性取向或個性等特征[7]。同樣，通過工作場所健康計劃獲得的信息可以進行匯總和分析，以發(fā)現(xiàn)其他信息，例如，雇員的健康狀況或是否懷孕。因此，由于大數(shù)據分析工具可用于推斷，任何給定的個人信息的含義和意義都不是固定的，而是可以根據其聚合的其他信息而改變。通過數(shù)據挖掘，個人信息隱私可能不會受到實際收集到的信息類型的威脅，而是受到與其他數(shù)據聚合和分析后從該信息中可以推斷出的信息的威脅。

（二）雇員信息隱私邊界模糊

作為社會中的一個個體，私人領域和公共領域對社會成員來說同樣重要。社會成員的日常生活大多是在公共場所發(fā)生的，如在學校、工作場所、街道等，社會成員的信息在這些場所被不斷的觀察、披露并與他人分享。而網絡社會正引領著一個新范式，社會成員想要融入這個社會，某種程度上必須披露自己的個人信息[7]。同時，網絡也在某種程度上瓦解了公共空間與私人空間之間的界限。在雇傭關系中，工作空間與私人空間融合得更為明顯。在過去，工作通常是在一天中一個明確、獨立的地點和時間進行的，而在互聯(lián)網時代，工作可以以各種形式、時間和地點無休止地進行，隨著電子郵件、手機和社交媒體的出現(xiàn)，工作空間與私人空間的區(qū)分更難維持[8]。在互聯(lián)網時代，監(jiān)控雇員的能力不再局限于雇主?；ヂ?lián)網平臺以一種不斷模糊雇員私人生活和職業(yè)生活之間的區(qū)別的方式，極大地擴展了這種由第三方監(jiān)控和監(jiān)督的模式。這是由于一般的互聯(lián)網平臺，尤其是社交媒體，能夠輕易地揭露、分享和傳播他人的信息，在幾個小時內，成千上萬甚至上百萬的人可以參與到“集體監(jiān)督”中來，把有關雇員的信息從私人情境轉移到職業(yè)情境[9]。虛擬網絡的特點是內部的權力變得更加多極化和分散，而在過去，有一些具體的中心點，如國家或雇主，掌握著權力并將其運用于他人。正如卡斯特教授所言，網絡社會使新行為人能夠行使權力，控制或監(jiān)督他人的行為，至少在某些具體的情況下是這樣[10]。因此，互聯(lián)網平臺使得其他各方能夠參與到對雇員的集體監(jiān)控和監(jiān)督中，即使他們根本不熟悉雇員，甚至身處不同的國家。這種虛擬極化權力的社會影響之一是眾所周知的“網絡羞辱”現(xiàn)象，它屬于更廣泛的非正式社會控制現(xiàn)象的一部分。網絡空間增加了個體行為者參與互聯(lián)網上各種形式的非正式社會控制的欲望和實踐能力，使得更多的人可以參與到羞辱的過程中，在某種程度上具有懲罰性[11]。

事實上，“網絡羞辱”是一個中性詞，并非只會帶來消極后果，如在雇傭關系中，雇員也可以利用網絡羞辱來公開監(jiān)督他們的雇主，并公布他們的不當或非法行為。對雇員而言，“網絡羞辱”正成為監(jiān)視雇員行為的另一種方式，其主要模式是網絡社交媒體將公眾監(jiān)督和網絡羞辱傳遞給雇主，在公眾對雇主施加壓力要求解雇“棘手”的雇員后，雇主立即解雇該雇員[12]。換言之，公眾因雇員的私人行為而欲對其進行懲戒，并要求雇主解雇雇員，雇主基于自身經濟利益考量，為維護自己公司的聲譽以及防止消費者抵制等原因，會急于滿足大眾的要求，立即公開解雇雇員。此種案例數(shù)不勝數(shù)，例如，2020年3月發(fā)生澳籍跑步女在疫情期間不服從管理外出跑步，被網友曝光后被公司辭退事件[13]。事實上，網絡社會對雇員活動的監(jiān)督權力已經呈現(xiàn)分化和分散的趨向，解雇雇員可以首先是由其他人的要求，之后在其他人的監(jiān)督下，雇主做出解雇決定。公共監(jiān)督模糊了雇員的私人空間、行為及她的公共與職業(yè)空間、行為之間的區(qū)分。“新監(jiān)督者”將雇員的私人生活和職業(yè)生活以及行為全部都歸入工作環(huán)境中，即使是完全基于雇員的私人行為，“新監(jiān)督者”也要求雇主懲罰或解雇雇員。

（三）傳統(tǒng)信息隱私保護手段脆弱

傳統(tǒng)信息保護法往往都通過賦予個人對信息的控制權來保障個人的信息權。因此，告知同意原則往往被認為是第三方合理使用個人信息基礎，以2018年5月生效的歐盟《一般數(shù)據保護條例》（GDPR）為例，雖然其第6條規(guī)定了數(shù)據主體同意、履行法定義務、合同履行、保護重要利益、公共利益以及控制者優(yōu)先利益6種數(shù)據合法性處理事由，但是由于除“同意”原則外的其他5種合法性原則適用條件嚴苛，而且具有高度不確定性，無論在理論上還是實踐中，都很難撼動“同意”原則的主流和基礎地位[14]。與歐盟單一立法全面適用不同，美國采取的是一種部門式立法，這是根基于美國較少依賴政府管制力量而較多依賴市場力量與市場自律的傳統(tǒng)。雖然美國僅在特定領域就特定類型個人信息或其特別處理方式由特殊立法進行規(guī)定，但是也要求在處理個人信息之前取得信息主體的同意。我國并沒有專門的個人數(shù)據或信息保護法，對個人信息的保護與利用的規(guī)定都散見于其他法律之中，“同意”原則也在各個法律中有所規(guī)定?！断M者權益保護法》第 29條規(guī)定：“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意”。《網絡安全法》第 41條規(guī)定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”。

可以看出，信息主體的同意是其維護自身信息自決權的最重要手段。然而，在大數(shù)據時代，對雇主與雇員而言，告知同意原則的適用往往很難實現(xiàn)保障雇員信息隱私的效果。換言之，就業(yè)領域的信息隱私問題涉及利益沖突的調整，不能僅僅通過市場力量來實現(xiàn)，因為一方面雇傭合同雙方的議價能力并不平等，雇主通常會占上風。一般認為，數(shù)據主體同意只有在其出于任意性的前提下，才具有效力?！兜聡?lián)邦個人信息保護法》第4a條第1項明文規(guī)定，只有基于信息主體自由決定的同意才是有效的。亦即當事人必須得以自行決定是否同意對于其個人信息之收集處理利用以及如何處置，而非受到任何強制或外界壓力。依據德國聯(lián)邦最高法院的觀點，當事人同意非出于自主決定的情況還包括，當時人因為處于經濟或社會之弱勢的狀況或因從屬關系而同意對其個人信息的收集處理利用，亦或者是當事人因為超乎尋常的經濟上或者其他性質的刺激或誘導[15]。 雇主相對于雇員而言，雇主明顯掌握著主動權，雇員面對“工作與個人信息隱私”的二選一抉擇，大多數(shù)雇員只有無奈地放棄個人信息隱私。因此，美國《就業(yè)法重述》第5.01節(jié)和第5.02節(jié)指出，同意只是衡量侵犯隱私是否具有高度冒犯性的眾多因素之一，同意不能被視為雇主對所謂的隱私侵犯的完全防御，在沒有侵犯第三方利益或者公共利益的情況下，將雇員因不同意他人侵犯其信息隱私而被解雇視為非法[16]。

三、美國雇員信息隱私保護

目前我國個人信息保護的法律規(guī)制還處于起步階段，相關立法還是處于一種碎片化、原則化的狀態(tài)，尚無專門的個人信息保護法，對特定關系中主體的信息隱私保護更是缺少法律規(guī)定。因此，在探討雇員信息隱私保護時，有必要借鑒他山之石。美國的信息隱私立法也是以一種部門法的形式進行，在某種程度上與我國目前信息隱私立法狀態(tài)相似，當然美國法律對信息隱私的規(guī)制更加細化。美國對雇員隱私的法律保護是建立在需要保護敏感或關鍵信息的假設之上，呈現(xiàn)出多角度的保護模式，相關規(guī)定分布在多種法案之中。

（一）反歧視視角保護雇員信息隱私

1.《美國殘疾人法》與《基因信息反歧視法》

美國法律試圖保護雇員免受因殘疾或其基因特征而受到的歧視，不僅禁止雇主基于這些受保護的特征采取不利行動，而且限制雇主獲取或披露醫(yī)療或基因信息。盡管這些限制在反歧視法中有所體現(xiàn)，但作為隱私法也承認某些類型的信息需要特殊保護，并規(guī)范其收集和使用。

《美國殘疾人法》（ADA）于1990年通過，該法旨在為消除對殘疾人的歧視提供一個明確而全面的國家授權，其中包括就業(yè)方面的歧視。為了實現(xiàn)這一目標，國會限制雇主獲取醫(yī)療信息，因為國會認識到信息可以顯示出殘疾的存在，并不是所有的殘疾都能立即被發(fā)現(xiàn)，所以限制體檢和詢問完全可以防止歧視的發(fā)生，或者在申請人的殘疾可能影響招聘決定時隔離。在尋求防止基于殘疾的歧視時，《美國殘疾人法》將醫(yī)療信息視為特別敏感的信息，并限制雇主進行醫(yī)療查詢或要求申請人或雇員進行體檢。《美國殘疾人法》并沒有完全禁止雇主查閱雇員的醫(yī)療信息。雇主可能會要求新雇員在收到錄用通知后進行體檢，雇主可以此了解雇員的健康狀況。當雇主合法獲取雇員的醫(yī)療信息時，《美國殘疾人法》對個人信息的存儲和后續(xù)使用進行了限制，要求雇主將個人信息視為“保密的醫(yī)療記錄”，并禁止主管或管理人員查閱個人信息，除非是為了合理照顧殘疾人。法案不僅通過限制醫(yī)療信息的收集來保護雇員的隱私利益，還通過限制其隨后的披露來保護雇員的隱私利益[17]。

2008年通過的《基因信息反歧視法》(GINA)也試圖防止歧視，該法案是針對基于基因特征的個人。除了禁止在雇用、解雇和其他人事決定中使用遺傳信息外，它還保護個人遺傳信息的隱私。雇主不得“要求、或購買雇員或其家庭成員的遺傳信息”[18]。即使《基因信息反歧視法案》準許雇員進行體格檢查，雇主也不得在檢查時索取基因信息。當然，在少數(shù)例外情況下，雇主也可以合法地獲取基因信息，例如，如果基因檢測是監(jiān)測工作場所有毒物質對健康影響項目的一部分，或者雇員的家庭病史（遺傳信息的一種形式）是從公共渠道獲得的。然而，即使這些信息是合法獲得的，《基因信息反歧視法》與《美國殘疾人法》一樣，要求雇主將其視為“機密醫(yī)療記錄”，除非在少數(shù)列舉的情況下，不得披露。根據《美國殘疾人法》與《基因信息反歧視法》，隱私保護僅限于某些類型的個人信息，這些信息被認為是敏感的或容易因不當目的而被濫用。就《美國殘疾人法案》而言，保護延伸到“醫(yī)療檢查和咨詢”，從而保護至少在通過檢查或直接咨詢所揭示的范圍內的所有種類的醫(yī)療信息。GINA更嚴格地將保護范圍限制在基因信息上，將基因信息定義為包括個人的基因測試、家庭成員的基因測試和家庭病史。基因檢測是對人類DNA、RNA、染色體、蛋白質或代謝物的分析，用以檢測基因型、突變或染色體的變化[19]。換言之，基因信息的定義不包括關于“顯性疾病、紊亂或病理狀態(tài)”的醫(yī)療信息，也即“普通的”非遺傳醫(yī)學信息不受保護。

雖然《美國殘疾人法》與《基因信息反歧視法》在一定程度上保護了雇員的醫(yī)療和基因信息，但都被批評為對雇員隱私保護不足。一些學者認為，《美國殘疾人法》中允許工作后體檢的例外造成了一個缺口，允許對雇員的醫(yī)療隱私進行無理由的侵犯，并為殘疾歧視的發(fā)生創(chuàng)造了機會[20]。也有學者批評《基因信息反歧視法》對受保護基因信息的定義過于狹隘。如上所述，法定定義排除了關于顯性疾病或病癥的醫(yī)療信息。當一種疾病或狀況已知有遺傳基礎時，這些信息可能會間接揭示一個人的遺傳特征，比如只要不檢測基因型、突變或染色體變化，對蛋白質或代謝物進行分析的檢測是允許的，即使這樣的檢測可以檢測出由遺傳原因引起的異常。由于大多數(shù)疾病和醫(yī)療條件都有遺傳成分，因此，從醫(yī)學信息中分離遺傳信息幾乎是不可能的[21]。因此，盡管《基因信息反歧視法》強烈禁止獲取遺傳信息，雇主們還是可以間接地獲得遺傳信息。立足于大數(shù)據時代，批評者指出，雇主獲得非遺傳的醫(yī)療信息也可能會讓雇主推斷出一個人的遺傳特征。隨著越來越多的大數(shù)據挖掘工具在工作場所的使用，推斷敏感信息的可能性大大增加了。由于巨量的個人數(shù)據與大數(shù)據分析技術的結合，現(xiàn)在不僅可以從遺傳風險，還可以從非醫(yī)學信息，如行為和生活方式數(shù)據中推斷出各種醫(yī)療狀況。這個問題也擴展到其他傳統(tǒng)上被認為是私人的信息，如性和財務信息，這些信息可能通過分析包含購買習慣或在線活動信息的大型數(shù)據集來揭示。數(shù)據分析的力量將使區(qū)分“敏感”和“不敏感”的個人信息變得越來越困難。因此，《美國殘疾人法》和《基因信息反歧視法》所采取的方法——將某些類別的信息定義為敏感信息并保護它們不被公開——不太可能成功地保護這些信息的隱私[18]。

2.《公平信用報告法》

雖然《公平信用報告法》(FCRA)主要關注的不是雇傭關系，但它也通過限制雇主收集信息的做法來保護雇員的隱私。由于認識到信用報告在經濟生活中發(fā)揮著越來越重要的作用，國會于1970年通過了《公平信用報告法》，以確保消費者報告機構公平、公正地履行其重大責任，尊重消費者的隱私權?！豆叫庞脠蟾娣ā吩噲D通過規(guī)范消費者數(shù)據在用于信貸、保險和就業(yè)決策時的處理方式來實現(xiàn)這些目標。當消費者報告用于雇傭目的時，雇主和消費者報告機構都必須遵守法規(guī)中規(guī)定的程序。雇主在查閱消費者報告前，必須發(fā)出清楚的通知，并取得申請人或雇員的書面授權。如果它打算根據該報告采取不利行動，它必須在采取行動之前提供單獨的通知，包括消費者報告的副本和關于本法規(guī)定的消費者權利的資料。出售這些報告的信用報告機構還必須滿足某些要求，如允許消費者在不受指控的情況下審查其檔案中的信息，并調查所謂的不準確之處。因此，《公平信用報告法》的基本條款強調了程序上的保護——在使用個人信息做出雇傭決定之前需要雇主通知和雇員同意，并為數(shù)據主體提供機會來審查他們的記錄和質疑任何錯誤信息[22]。但是，這些類型的程序性保護不太可能有效地解決數(shù)據挖掘引起的隱私問題?！豆叫庞脠蟾娣ā吩谙拗乒椭鳙@取雇員個人信息方面幾乎沒有實際影響。一般來說，雇員同意是為了被考慮或保住一份工作，因此，雇主可以自由獲取消費者報告，只要他們遵守所有的程序要求。而且，如果雇主從“消費者報告機構”定義之外的實體獲取信息，或者直接從其在職雇員那里收集數(shù)據，則該法不能適用。

（二）侵權視角保護雇員信息隱私

1.《存儲通信法》

1986年頒布的《存儲通信法》（The Stored Com?munications Act，SCA）是范圍更廣的《電子通信隱私法》的一個子集，《存儲通信法》第2701節(jié)規(guī)定，故意（1）未經有效授權而訪問提供電子通信服務的設施是非法的；或（2）超出對該設施的訪問權限，從而在該系統(tǒng)的電子存儲中獲得電子通信。換言之，《存儲通信法》禁止對電子通信服務中存儲的電子通信進行有意的、未經授權的訪問，禁止電子通信服務提供商和遠程計算服務提供商披露用戶通信?！洞鎯νㄐ欧ā芬?guī)定的“電子通信”指通過有線、無線電或電子系統(tǒng)發(fā)生的任何數(shù)據傳輸，如文本或圖像。“電子通信服務”是指為用戶提供發(fā)送和接收電子通信能力的服務[23]?？梢园l(fā)現(xiàn)，《存儲通信法》明確區(qū)分了對電子通信的“授權”和“未授權”訪問，但并不區(qū)分公共信息和私有信息。

《存儲通信法》是否能夠充分保護現(xiàn)代社交媒體網站獨有的隱私權，存在疑問，畢竟在其頒布之時，今天的社交媒體的概念尚未出現(xiàn)。雖然美國最高法院對這一問題尚無定論，但最近兩項聯(lián)邦地區(qū)法院的裁決都認為《存儲通信法》實際上適用于雇主未經授權訪問雇員私人社交媒體賬戶。在Ehling訴Mon?mouth Ocean Hospital Service Corp.一案中[24]，法院被要求判定一名雇員因其在Facebook發(fā)帖而被暫時停職是否正當，本案中因雇主注意到雇員在Facebook上的帖子，而這些帖子只有雇員的Facebook好友可見，但雇主認為這些帖子是不恰當?shù)模詴和Ａ斯蛦T的職務。本案中雇主是從該組織的另一位雇員那里得知這些帖子的，這位雇員恰好也是Ehling在Facebook上的朋友。法院認為，F(xiàn)acebook的帖子在法定定義內構成“電子通信”，因為它們涉及將數(shù)據從計算設備發(fā)送到Facebook的服務器，而Facebook之所以構成“電子通信服務”，是因為它的主要目的是讓人們通過互聯(lián)網在其服務器上傳輸和共享數(shù)據，帖子被無限期地存儲起來，以便存檔。盡管法院沒有對Eh?ling作出有利判決，因為她的雇主是通過Ehling的一個Facebook朋友（即獲得訪問內容的適當授權的人）主動展示的方式訪問這些信息的，但法院的調查結果表明，《存儲通信法》可以通過對“授權”一詞的分析解釋保護私人社交媒體內容。如果雇員或求職者能夠證明，其交出登錄信息的行為是被某種方式脅迫的，屬于非自愿行為，則雇主不能以授權作為對《存儲通信法》下責任的抗辯。

在Crispin訴Christian Audigier一案中[25]，法院對使用《存儲通信法》防止雇主訪問社交媒體內容的方法作了一些澄清。盡管在事實上許多案件與Ehling案不同，但Crispin案的法院在判決時使用了許多相同的理由。在確定要求提交一名用戶的評論的傳票是否需要包括Facebook在內的社交媒體網站時，加州中央地區(qū)的地方法院再次裁定，這類社交媒體網站屬于《存儲通信法》下的電子通訊服務提供者。法院亦裁定，這些網站的私人發(fā)帖及信息滿足為備份和存檔而儲存的電子通信的要求，因而受到《存儲通信法》保護。因此，要求這些私人信息的傳票隨后被取消。盡管最高法院尚未正式采納《存儲通信法》作為一種保護措施，以防止雇主不受歡迎的訪問私人社交媒體內容的情況，但 Ehling案與Crispin案突顯了該法案的潛力。這某種程度上不僅表明司法部門承認某些類型的社交媒體內容需要予以隱私保護，還突顯出社交媒體的獨特特質，使其能夠受到《存儲通信法》的保護。

2.普通法隱私侵權法

除上述兩部法律外，美國雇員隱私保護的另一個來源是侵犯隱私侵權的普通法。這種侵權行為起源于塞繆爾·沃倫和路易斯·布蘭代斯1890年的一篇著名文章，他們在文章中主張承認隱私權[26]。 他們認為，隱私權基于“人格不受侵犯”的原則，通過補償“精神上的痛苦”來彌補尊嚴上的傷害。這種“隱私權”最終被概念化為四種不同的侵權行為。對私人空間的侵擾和對私人事實的公開披露——都表明被告的行為是對一個理性人的極大冒犯。正如威廉?普羅塞(William proser)所解釋的那樣：“普通的理性人”不會因披露自己生活中的世俗事實而生氣，因此，責難只應針對“社會習俗和普通觀點所不能容忍的”行為[27]。這種對侮辱和精神痛苦的強調意味著，當收集信息的方法過分具有侵入性或收集信息的性質特別敏感時，普通法上的隱私權就會發(fā)揮作用。當個人信息的披露成為“一種出于自身利益而對私人生活進行的病態(tài)的、聳人聽聞的窺探”，而不是出于任何合法的公共利益時，比如當個人的醫(yī)療狀況或性關系信息被公開時，隱私侵權也會強加責任[28]。

在工作場所，成功的普通法隱私權主張通常涉及雇主窺探或披露特別敏感的個人信息的有針對性的事件。當雇主進行不正當?shù)乃巡榛蛎孛鼙O(jiān)視侵犯人身隱私，或傳統(tǒng)上的私人空間，如雇員的家或酒店房間，或工作場所的浴室和更衣室時，法院認為此時雇主侵犯了雇員的隱私。針對信息收集形式“高度冒犯性”的判斷，普通法侵權保護模式忽視了數(shù)據挖掘對隱私構成的真正威脅。盡管數(shù)據挖掘需要大量關于雇員的數(shù)據，但所使用的數(shù)據可能不是通常被認為是私有或敏感的類型，也可能是雇主擁有合法商業(yè)利益的信息。例如，雇主通常會詢問申請人的背景、教育和經驗。這些材料，以及社交媒體網站或其他在線來源的公開信息，不太可能被認為是私密的，以至于請求或收集這些數(shù)據不構成“高度冒犯性”的侵入。然而，如果這些數(shù)據與其他可用數(shù)據結合起來，它們可以被解析和分析，從而得出關于雇員的新推論。同時，雇主也可以收集有關雇員在線活動的元數(shù)據，基于web的應用程序表單可以記錄應用程序何時完成、完成需要多長時間、使用什么瀏覽器訪問站點等。一旦雇員被雇傭，還可以使用地理定位設備、計算機監(jiān)控工具等來收集他們活動的更多詳細信息。收集到的每一份個人資料都顯得相當平凡，甚至微不足道，很難滿足侵權責任所必需的“高度冒犯性”要素。但正是所有這些數(shù)據聚合的累積效應構成了對隱私的侵犯，普通法侵權保障模式通過關注高度冒犯性的侵入或敏感信息的收集，不能解決大數(shù)據分析挖掘技術帶來的信息隱私風險。

（三）結社權視角下雇員信息隱私保護

《國家勞動關系法》（National Labor Relations Act，NLRA）第7條規(guī)定，雇員有權“……為集體談判或其他互助或保護的目的，從事其他協(xié)調一致的活動……”[29]，某種程度上，NLRA第7條旨在保護雇員免受因與其他雇員進行“協(xié)同活動”（concerted activi?ties）而被采取的對其雇傭不利的影響。這一規(guī)定保護了雇員在工會環(huán)境中參與工會活動的權利，以及雇員尋求成為工會代表的權利。NLRA的第8(a)(1)條概述了雇主違反第7條參與協(xié)調一致活動的權利的潛在責任。雖然NLRA沒有在法規(guī)中定義協(xié)同活動，但國家勞資關系委員會(NLRB)表示，協(xié)同活動指兩名或兩名以上的雇員共同行動以提高工資或工作條件，即當雇員與其他雇員一起或代表其他雇員，而不只是為他或她自己，討論有關雇傭條款和條件的共同關切的問題時，即使在討論之外沒有采取任何行動，也應屬于協(xié)同活動[30]。這一定義的實際困難在于，它需要進行解釋，而且沒有制定明確的規(guī)則來確定雇員的社交媒體行為何時達到了受保護的協(xié)同活動水平。國家勞資關系委員會認為，當雇主的規(guī)則和行動有相當?shù)目赡茏柚构蛦T參與協(xié)同活動的權利時，這是對雇員NLRA第7條權利的侵犯。規(guī)則可以明確禁止受保護的活動，也可以隱含禁止受保護的活動，前提是：(1)雇員以合理語言解釋規(guī)則，表明規(guī)則禁止第7條的活動，(2)該規(guī)則是為應對工會活動而頒布的，或(3)該規(guī)則已被用于限制第7條權利的行使。如果一個社交媒體帖子涉及到雇員工作場所的條件，并引起了多個雇員的注意和評論，那么就可以認定，不利的就業(yè)決定是針對社交媒體網站上的協(xié)同活動做出的。例如，NLRB決定支持一名被解雇的雇員，她在Facebook上表達了對被降職至她工作機構中工資較低職位的憤怒。兩位同事加上幾位前同事在她的投訴旁留言表示支持，并表達了他們對雇主的類似看法。然而，在大多數(shù)情況下，全國勞資關系委員會認定，有關雇員的講話不構成受保護的協(xié)同活動，因為它不涉及其他雇員（即它構成了一種個人抱怨，而不是一種討論邀請）。再如，NLRB對一名雇員做出了判決，該雇員在午休時間在Facebook上發(fā)布了一條關于其雇主的貶損性信息，因此受到處罰。雖然她的一些同事點贊表示“喜歡”，但NLRB認為，這不足以證明該雇員的行為具有煽動小組討論或行動的性質[31]。

在“Knauz BMW”案中[32]，可以更清楚發(fā)現(xiàn)NLRB對協(xié)同活動判定標準，一名雇員在他的Facebook頁面上發(fā)了兩組帖子后被解雇。其中一組帖子包含了關于一起事故的圖片和評論，雇員對該事故表示出了嘲諷，這起事故發(fā)生在附近的一家路虎汽車經銷商那里。這是一起嚴重的事故，一個13歲的男孩不小心把一輛路虎從河堤上開到了池塘里。在另一組帖子中，這名雇員對在一次大型銷售活動中提供的食品和飲料提出了批評。在活動之前，銷售人員已經表達了他們對即將供應的食物不足的擔憂。他們認為食物應該更高檔一些，因為在銷售會上推銷的寶馬車(BMW)享有盛譽。銷售人員認為，提供的食品的單調乏味可能會對銷售產生不利影響，從而影響他們所能獲得的傭金。在銷售活動期間，這名雇員拍下了同事們拿著熱狗、瓶裝水和薯條的照片。隨后，他在自己的臉書主頁上貼出了這些照片，并配上了評論食物的文字說明，表示不滿。NLRB的行政法法官審查了解雇主決定，指出有必要確定這名雇員是因同時發(fā)布路虎和銷售活動帖子而被解雇，還是僅僅因為汽車經銷商經理聲稱的路虎帖子而被解雇。行政法法官認為，銷售活動的帖子是一個協(xié)同活動，即使這些帖子是由個人發(fā)布的，因為協(xié)同活動并不要求兩個或兩個以上的人一致行動，以抗議或保護他們的工作條件。協(xié)同活動包括個別活動，如個別雇員試圖發(fā)起或誘導或準備集體行動，以及個別雇員向管理層提出真正的集體投訴。對于涉及路虎經銷商事故的帖子，行政法法官也進行了類似的審查。他們認為，這名雇員發(fā)布有關事故的帖子是一種玩笑，帶有嘲諷的語氣，沒有與同事討論，帖子中的內容也沒有與任何雇傭條款和條件建立聯(lián)系，終止該雇員的職位沒有違反了NLRA的規(guī)定。如果終止決定全部或部分基于銷售活動中提供的食品的帖子，就會發(fā)現(xiàn)違反NLRA的規(guī)定。

在目前的NLRB政策下，如果根據NLRA第7條從事協(xié)同活動的雇員的社交媒體帖子被判定為極不恰當，他們可能會失去受保護狀態(tài)。決定某個活動或語言是否越過了界限，不再被認為是受保護的協(xié)同活動時，NLRB會考考量以下四個因素：(1)討論的地點；(2)討論的主題；(3)雇員情緒失控的性質；(4)是否因用人單位的不公平勞動行為而引起的[33]。值得注意的是，這種對雇主監(jiān)視的禁止并不適用于雇主通過另一名雇員獲取信息，這與上文提到的Ehling案中法院的推理相似。此外，如果所述言論僅僅是關于工作條件的個人投訴，就不能要求具有協(xié)同活動的權利，必須涉及某種集體活動。NLRB沒有明確的測試來確定什么是受保護的社交媒體活動，這某種程度上造成即使雇主有一個非常強硬、明確的社交媒體政策，員工也可能不完全理解他們利用社交媒體討論工作場所問題的權利，或者什么時候在社交媒體上討論工作場所問題是合適的。雇主也可能無法確定員工在社交媒體上的毀謗言論何時受到第7條的保護，或何時可以監(jiān)控工作場所以外的社交媒體使用。

（四）雇員信息隱私保護的各州立法

為彌補《國家勞動關系法》（NLRA）、《普通法隱私侵權法》（common law privacy torts）和SCA對雇主侵犯雇員社交媒體信息隱私的不足，2012年5月，馬里蘭州頒布美國第一部《雇員社交媒體隱私保護法》，禁止雇主要求求職者和雇員向其提供社交媒體賬戶登錄信息，以此作為接受或保留工作的條件。從那以后，又有12個州效仿馬里蘭州的做法，制定或開始實施某種形式的法律，旨在禁止雇主獲取求職者或雇員的私人社交媒體信息[34]。

這些州頒布的雇員密碼保護法主要旨在解決以下幾個問題：雇主是否可以請求社交網站（SNS）密碼，違反者是否有后果？雇主是否禁止報復？是否允許第三方訪問？是否允許雇主添加雇員的SNS好友，以及是否允許雇主要求雇員對隱私設置進行請求的更改？

截止2013年，美國已有13個州禁止雇主向雇員或求職者索取SNS密碼。當然在大多數(shù)情況下，立法中的措辭側重于禁止雇主向申請人、雇員索取個人社交媒體用戶名和密碼，但并不禁止雇主在個人社交網絡中獲取或使用這些信息。顯然，雇主也有其他方法可以不經公開要求就獲得社交網站的訪問權——通過使用第三方監(jiān)控員工的互聯(lián)網活動或提出社交網站的好友請求。此外，在立法的幾個州中，如新澤西州和新墨西哥州，給予了雇主范圍的立法豁免。新澤西州的立法指出，“雇主”一詞不包括懲戒局、州假釋委員會、縣懲戒局或任何州或地方執(zhí)法機構[35]。 此外，加州、馬里蘭州、密歇根州等10個州的立法規(guī)定，如果雇員或申請人拒絕提供SNS密碼，雇主的報復將是非法的。

另外，伊利諾伊州、新澤西州等5個州的立法禁止雇主通過第三方訪問雇員或申請人的社交網絡。美國的隱私法一般認為，如果辦公用品（電腦）為雇主所有，雇主可以合法地檢查雇員的電腦上的內容，因為一般認為，如果雇主向雇員提供計算機和/或電子郵件帳戶，雇員的隱私權往往不如雇主在計算機或電子郵件網絡中的財產權。美國大多數(shù)州的法律沒有禁止雇主在雇員使用工作發(fā)布的計算機時監(jiān)控雇員的SNS內容[34]。

伊利諾伊州、密歇根州等9個州還禁止雇主要求雇員或申請人成為其SNS的朋友，禁止雇主要求其雇員或申請人更改其SNS帳戶上的隱私設置，以便訪問其內容[35]。

最后，對于那些要求雇員或申請人提交其SNS密碼的雇主，少數(shù)幾個州規(guī)定了雇主違反法律的后果，如密歇根州規(guī)定個人可以提起民事訴訟，并可能獲得不超過1 000美元的損害賠償，外加合理的律師費和法庭費用，新澤西州規(guī)定雇主違反本法的任何規(guī)定將受到民事處罰，第一次違反不超過1 000美元，以后每次違反為2 500美元[35]。

可以看出，美國各州對雇員社交媒體隱私的保護水平并不相同，美國也試圖制定一部聯(lián)邦層面的《社交網絡在線保護法案》（Social Networking Online Protection Act，SNOPA），該法案遵循各州的立法，禁止要求雇員和申請人的SNS密碼，但它沒有禁止訪問SNS內容。此外，該立法不支持禁止第三方訪問，也不禁止監(jiān)控員工使用工作電腦時的SNS內容。但是，很可惜的是，該法案于2013年未在國會通過。

值得注意的是，在2019年9月13日，加利福尼亞州參議院和國會一致通過了《加利福尼亞消費者隱私法案》（“CCPA”）的5項修正案，該修正案賦予雇主沉重的義務，并賦予雇員因數(shù)據泄露而應支付的法定賠償金。具有里程碑意義的措施AB 25修正案，CCPA適用于雇員數(shù)據，雇主必須在2020年1月1日之前遵守。自CCPA于2018年6月通過以來，關于“消費者”是否包括員工的爭論一直很激烈。AB 25修正案擱置了辯論，并明確指出“作為該企業(yè)的應聘者，該雇員的雇員、所有者、董事、高級職員、醫(yī)務人員或承包商的自然人，將立即獲得”CCPA的部分權利。在2021年，將根據CCPA為此類個人提供全部權利。CCPA通過三種重要方式極大地擴展了雇員的權利：（1）它要求強制性的隱私聲明，并披露有關雇主收集的數(shù)據以及收集目的的信息；（2）如果違反了敏感的個人信息，它規(guī)定了100～750美元的法定賠償；（3）擴大了請求訪問或刪除個人信息的權利?？梢钥闯?，CCPA在某種程度上擴展了雇員的隱私權利，實際效果值得期待。

四、歐盟對雇員信息隱私的保護

與上述美國法律多角度、漏洞填補式的模式相比，歐盟的模式顯得更加簡單，關于雇員的信息隱私規(guī)制，歐盟的路徑一貫是以統(tǒng)一專門立法并輔之以判例擴展。歐洲當代隱私保護的起源可以追溯到1950年11月，即通過《保護人權和基本權利公約》（以下簡稱《公約》）?！豆s》被認為是集體執(zhí)行聯(lián)合國大會于1948年12月10日宣布的《世界人權宣言》所規(guī)定的某些權利的第一步，其目的是限制各國的權力。對私人生活權利的保護并沒有以禁止(第3條和第4條)或明確的權力、應享權利(第9條和第11條)的形式表示，而是非常不明確地要求尊重私人生活(第8條)。對第8條的文字和結構上的解釋清楚地表明，“尊重”條款指的是不采取行動，因此，該條款被解釋為一項否定權利[36]。對《公約》各項規(guī)定，包括第8條的解釋，在1960年代后期出現(xiàn)了明顯的重新調整，當時開始認識到這些規(guī)定的積極方面，其中包括防止公共當局的任意干涉。雖然經過一段時間以后，采取積極步驟確保在個人之間的個人關系方面也有效地享有權利，已適當?shù)剞D變?yōu)橐环N責任，但歐洲人權法院直到1992年才承認，職業(yè)生活是實現(xiàn)私人生活權利的一個重要部分。1981年，計算機行業(yè)的早期發(fā)展提高了人們對隱私問題的認識，并促使歐洲委員會在自動處理個人數(shù)據方面采用一種單獨的制度（見第108號公約）。理事會認識到《歐洲人權公約》第8條的一些局限，特別是“私人生活”的范圍相當模糊，而且沒有任何保障措施防止公共當局以外的行為體的干預，因此規(guī)定了收集、儲存和使用個人數(shù)據的基本原則，適用于公共和私營部門。然而，由于簽署國對《公約》的批準不力和前后不一致，而當時理事會確定的最低保護水平相當進步，因此《公約》的潛力沒有得到應有的實現(xiàn)。針對明顯的“成員國處理個人數(shù)據有關的隱私保護水平差異”，1995年10月，歐洲議會和歐洲聯(lián)盟理事會通過了關于個人數(shù)據的處理和數(shù)據的自由流動的第95/46號指令。值得注意的是，盡管該指令并非針對具體部門，但其規(guī)定被解釋為直接適用于有關雇員個人數(shù)據的處理操作。然而，將其條款移植到就業(yè)領域，導致各國數(shù)據保護制度在就業(yè)數(shù)據保護的監(jiān)管模式、保護原則和允許的減損范圍等方面存在重大分歧。

歐洲隱私保護框架的下一個重大發(fā)展是《歐洲聯(lián)盟基本權利憲章》（以下簡稱《憲章》），這是“歐洲立法者”對歐盟權利損害的回應，是長期以來避免在共同體創(chuàng)始條約中明確提及人權問題的政治結果。2000年12月宣布的《歐盟基本權利憲章》引入了一種新的制度。它第一次在一份單一文件中匯集了一份古典人權（包括私生活權（第7條））、社會和經濟權利以及歐共體、歐盟條約中已有的權利和自由（自由行動、不歧視、以及數(shù)據保護權（第8條））的綜合清單?！稇椪隆吩诋敃r只是作為一份莊嚴宣布的政治宣言而設計的，沒有任何法律約束力，但它卻構成了工會“軟法律”機制的一部分。隨著《里斯本條約》對《歐洲聯(lián)盟條約》第6條的修正，出現(xiàn)了質的飛躍，根據該條約，《憲章》規(guī)定的權利、自由和原則獲得了與條約相同的法律地位（即具有約束力的基本法）。因此，其中所載的基本權利獲得了“憲法”規(guī)則的地位，這些規(guī)則與歐洲人權公約和“成員國的憲法傳統(tǒng)”一起構成了歐洲人權架構的基石。隨著《里斯本條約》義務的充分履行，憲章對數(shù)據保護規(guī)則的要求也在逐漸實現(xiàn)，歐洲逐漸發(fā)展出一種更全面、同質化的隱私保護方式[37]。

在GDPR生效之后，則GDPR規(guī)定的更正權、被遺忘權、限制處理權、數(shù)據攜帶權以及反對權等一系列數(shù)據權利，也將被雇員所擁有。在歐盟層面，對雇員信息隱私的保護，在某種程度上也是屬于判例法與統(tǒng)一的成文法令或意見結合的路徑。

（一）判例法保護路徑

自Niemietz v.Germany一案的開創(chuàng)性判決以來，歐洲人權法院以《歐洲人權公約》的“開放結構”及其作為“活的法案”的特點為基礎，通過不斷變化的社會觀點來補充條款的含義，系統(tǒng)地擴大了《歐洲人權公約》第8條的涵蓋范圍，包括在就業(yè)過程中發(fā)生的各種形式的侵犯隱私行為②歐洲人權法院通過判例將第8條第1款所保護的“私生活”和“通信”的概念擴展為包含信件通信，電話電子郵件，個人互聯(lián)網使用監(jiān)控信息或即時通訊、毒品檢測、視頻監(jiān)控等各方面。本文主要介紹具有里程碑意義的雇主對電子郵件的監(jiān)控判決。可見Tyrer v.the United Kingdom(1978)，Halford v United Kingdom（1997），Lustig-Prean and Beckett v.U.K（1999），Madsen v Denmark（2002），Kopke v.Germany（2010），M.M.v.UK（2012）。。歐洲人權法院在許多場合都明確贊同這樣一種觀點，即歐洲的隱私權建立在“與人生存和發(fā)展的權利”的關系基礎上，與《歐洲社會憲章》確立的工作權是互補的。

在B?rbulescu V Romania一案中，歐洲人權法院適用《保護人權和基本自由公約》第8條（以下簡稱第8條），第8條規(guī)定：每個人都有權尊重自己的私人和家庭生活、家庭和通信。公共機構不得干預上述權利的行使，除非依照法律規(guī)定的干預以及基于在民主社會中為了國家安全、公共安全或者國家的經濟福利的利益考慮，為了防止混亂或者犯罪，為了保護健康或者道德，為了保護他人的權利與自由而有必要進行干預的。該案中的B?rbulescu是羅馬尼亞一家私營公司負責銷售的工程師，應雇主的要求注冊了一個雅虎通信賬戶，以便與客戶溝通。2006年12月，B?rbules?cu簽署了一份《雇主政策》，其中特別禁止將公司資產用于私人目的。2007年7月3日，所有雇員都收到了一份通知，要求他們簽署該通知，該通知聲明雇員在工作時間內不得處理私人事務，“雇主有責任監(jiān)督和監(jiān)視雇員的工作，并對任何有過錯的人采取懲罰措施”。B?rbulescu在2007年7月3日至13日期間的某個時候簽署了這份文件（沒有向法院提供確切的日期和時間）。2007年7月13日B?rbulescu被告知，他的雅虎通信賬戶受到了監(jiān)控，但他沒有被告知他的信息內容已經被檢查過了，而且有證據表明，他一直將通信賬戶用于個人目的。在B?rbulescu否認他使用雅虎賬戶發(fā)送個人信息后，他的雇主發(fā)給他一份由45頁信息組成的記錄，這些信息是他與哥哥和未婚妻通信記錄的，其中有些是親密無間的內容。B?rbulescu隨后于2007年8月1日因違反公司禁止“個人使用電腦、復印機、電話、電傳和傳真機”的政策而被解雇。在用盡國內途徑后，B?rbulescu向歐洲人權委員會提出了一項申請，聲稱他的解雇是基于侵犯了他的隱私權，國內法院沒有撤銷這項制裁，也沒有履行其保護《保護人權和基本自由公約》第8條權利的義務[38]。

2016年1月，歐洲人權委員會第四部分以六比一的多數(shù)票通過，并認為盡管B?rbulescu的第8條權利已經生效，但其國內法院在尊重他的私人生活和通信與他的雇主的利益之間取得了公平的平衡，因此沒有發(fā)生違反規(guī)定的情況。法院受到了這樣一種論點的影響，即在B?rbulescu聲稱雅虎信使只用于與工作有關的目的后，雇主才訪問了他的通信內容。因此，這種訪問是合法的，因為雇主聲稱希望只找到與工作有關的內容。法院認為，由于雇主以合法的方式獲得了這些信息，雇主有權在隨后的紀律程序中使用這些信息。從本質上講，由于B?rbulescu明確宣稱這些內容僅與工作有關的內容，因此他不能在隨后聲稱這些內容是私人性質的[37]。

在向大分庭提出上訴時，多數(shù)人同意下級法院的意見，認為B?rbulescu的通信即使發(fā)生在工作場所，且使用工作場所的設備，也應包括在私人生活和通信的概念范圍內，因此，第8條已經生效。這就引出了B?rbulescu的雇主政策的最初價值問題，該政策試圖排除雇員的信息隱私權，問題即轉化為是否可以根據雇主和雇員之間的協(xié)議排除工作中的信息隱私權。法院明確表示，雇主的指令無權將工作場所的私人社交生活減少到零。對私生活和通信隱私的尊重仍然存在，即使這些可能在必要時受到限制。因此，如果不能排除信息隱私權，那么問題就變成了侵犯隱私權和合法侵入之間的界限應該在哪里劃定。歐洲人權法院注意到各國和雇主在確定可接受的侵入程度時應有廣泛的裁量權，但認為成員國國內當局應確保在采取任何監(jiān)測通信的措施的同時，應采取充分的防止濫用的保障措施。作為對國內當局和雇主的指導，歐洲人權法院列舉了其認為有關以下六個因素：（1）事前監(jiān)視通知，即應明確通信監(jiān)視的目的和范圍，并應在監(jiān)視開始之前通知；（2）監(jiān)視的范圍，即必須明確監(jiān)視是否包括通信內容，這與僅僅監(jiān)視發(fā)件人、收件人的身份不同。是否所有的通信都被監(jiān)控，或者是否有限制，例如只有隨機的電子郵件被監(jiān)控，或者所有的電子郵件都在有限的時間內以零星的方式被監(jiān)控。還應衡量收集到的信息的公布程度，即信息的傳播范圍；（3）正當化事由，即為進行監(jiān)視而提出的正當化事由必須與監(jiān)視的水平相稱。法院指出，由于“監(jiān)控通訊內容本質上是一種更具侵入性的方法，因此需要更有力的正當性事由”；（4）必要性，即如果監(jiān)視的目的可以通過一種侵入性較小的方法來實現(xiàn)，那么就應該采用這種方法；（5）對雇員的后果，即對雇員不可能有意外的后果，即收集到的信息只能用于促進規(guī)定的監(jiān)控目標的實現(xiàn)，例如，如果目標是確保雇員不通過電子郵件與競爭實體共享敏感信息，若雇主發(fā)現(xiàn)雇員使用電子郵件系統(tǒng)討論私人事務，則此信息與監(jiān)控所尋求的信息具有不同的性質。因此，這些信息不能用來約束雇員使用電子郵件系統(tǒng)討論私人事務；（6）適當?shù)谋Ｕ希垂蛦T應獲得盡可能多的保障，特別是雇主在沒有事先特別通知雇員可能發(fā)生這種情況的情況下，不應訪問消息的內容[37]。

根據上述標準，歐洲人權法院認為雇主和隨后的羅馬尼亞國家當局沒有充分注意保護雇員的工作信息隱私。本案具有重要指導意義，本案明確指出，雇員可以期望在工作場所享有隱私權，而且作為一項實踐，雇主必須考慮以尊重這一權利的方式設計其監(jiān)督制度。

（二）成文規(guī)則保護路徑

除了上述判例法保障路徑，在歐盟也在某種程度上存在著一種成文法保障路徑。除直接適用于整個歐盟的GDPR外，也有關于雇員信息隱私保護的詳細操作規(guī)則。其中第29條數(shù)據保護工作組于2017年通過的《關于工作中數(shù)據處理的第2/2017號意見》就提供了關于雇員信息隱私詳細的規(guī)定。第29條數(shù)據保護工作組是一個歐洲級別的機構，由來自每個歐盟成員國的數(shù)據保護機構、歐洲數(shù)據保護監(jiān)管機構和歐盟委員會的代表組成。在實施GDPR之后，第29條數(shù)據保護工作組已不復存在，取而代之的是歐洲數(shù)據保護委員會。雖然工作組的意見并不具有與歐盟條例或指令相同的法律地位，也不能直接針對雇主執(zhí)行，但是第29條數(shù)據保護工作組作為一個獨立實體，其出具的意見具有類似《業(yè)務守則》的法律地位，在訴訟中也具有重要的參考和證據價值。

1.《關于工作中數(shù)據處理的第2/2017號意見》

該《意見》明確規(guī)定，雇員在工作時有權進入私人區(qū)域，應確保雇員可以指定某些私人空間，除非在特殊情況下，雇主不得進入這些私人空間。這些私人空間可以是物理的，也可以是虛擬的，例如工作場所的指定區(qū)域或其他共享存儲庫中的私人區(qū)域。不能通過雙方之間的“協(xié)議”排除這些私人區(qū)域的權利，例如在一套商定的就業(yè)政策中，因為考慮到雇主與雇員關系造成的雇員對雇主的依賴性，雇員幾乎永遠無法自由地給予、拒絕或撤銷同意。鑒于權力的不平衡，雇員只能在特殊情況下自由同意。雇員有權在工作中享有基本的信息隱私權，這是不能排除的，問題的關鍵這項權利的界限或范圍。在為雇主和雇員提供一個框架時，該意見傾向于通過前瞻性規(guī)劃避免侵犯隱私[39]。這一方法的實質可以用這樣一句話來概括：“預防應該比發(fā)現(xiàn)更重要”。這種預防基于兩個支柱，即全面、實際的就業(yè)政策，以及基于數(shù)據保護影響評估。

關于就業(yè)政策的制定，《意見》提供了一些一般性建議，但工作的情境將是就業(yè)政策細節(jié)的最終決定因素。需要注意的是，雇員（或其代表）應參與就業(yè)政策的制定，從而確保雇主和雇員更深入地了解彼此的觀點，認同就業(yè)政策?！兑庖姟诽岢隽巳齻€基本要素，應成為所有就業(yè)政策的核心，即透明度、比例性和數(shù)據最小化。首先，必須向所有雇員免費提供適當制定的政策，包括監(jiān)控的“誰、什么、為什么”以及雇員避免被監(jiān)控的方法的具體細節(jié)。同時，不得進行秘密監(jiān)控。即使監(jiān)控無法避免（例如在開放式工廠層面上），雇員必須知道他們被監(jiān)控的時間。其次，至于監(jiān)視水平，必須與雇主面臨的風險相稱。雇主應該從最低限度的角度來處理這個問題，避免過度的監(jiān)控。雇主必須使用盡可能少的干擾手段來達到既定的目標，例如，如果目標是防止互聯(lián)網濫用，那么系統(tǒng)應該基于過濾器來屏蔽不適當?shù)幕ヂ?lián)網站點，而不是監(jiān)控雇員的網絡活動。如果不侵入雇員的私人領域就無法實現(xiàn)既定目標，那么就應該以透明的方式收集最低數(shù)量的數(shù)據，且只與那些需要知道這些數(shù)據的人共享，并盡快刪除這些數(shù)據[38]。

2.數(shù)據保護影響評估

在GDPR生效之后，數(shù)據保護影響評估(以下簡稱DPIA)是防止對雇員進行過度監(jiān)控的重要支柱，數(shù)據保護影響評估（DPIA）是GDPR中最具相關性和創(chuàng)新性的工具之一，它允許實施問責制，是一個旨在建立和證明遵守法規(guī)的機制，描述設想的處理過程及其目的，評估其必要性和相稱性，評估由此產生的對數(shù)據主體權利和自由的風險，并爭取采取適當措施應對這些風險。這種評估并非適用于任何形式的個人數(shù)據處理，而應僅適用于那些可能對自然人的權利和自由造成高風險的人，特別是在采用新技術的情況下。 GDPR第35（3）條提供了處理可能需要DPIA的情況的有用例子：（a）對與自然人有關的個人方面進行系統(tǒng)和廣泛的評價，這種評價以自動處理（包括特征分析）為基礎，并以此為基礎作出對自然人產生法律效力或對自然人產生類似重大影響的決定；（b）大規(guī)模處理第9（1）條所述特殊類別的數(shù)據，或與第10條所述刑事定罪和犯罪有關的個人數(shù)據；（c）大規(guī)模系統(tǒng)地監(jiān)測公眾可進入的區(qū)域。

根據數(shù)據保護影響評估（DPIA）指南[40]，GDPR進一步闡明了“可能導致高風險”的處理操作的概念，為確定DPIA的必要性提供了一組更具體的標準：1.評估、評分、分析或預測技術，這些技術將需要處理數(shù)據主體的個人信息，這些信息涉及“工作表現(xiàn)、經濟狀況、健康狀況、個人喜好或興趣、可靠性或行為、位置或軌跡”；2.旨在對數(shù)據主體做出自動決策的處理操作，這些操作會產生法律效力或可能對自然人產生重大影響；3.用于系統(tǒng)地監(jiān)視、觀察或控制數(shù)據主體的處理操作，特別是如果信息是在公共（或可公共訪問）的空間中收集的，則個人可能不會意識到要進行此類處理，這對于他們來說是不可避免的；4.處理敏感數(shù)據或高度個人化數(shù)據的操作，例如政治見解、生物特征數(shù)據、病歷、刑事定罪或罪行；5.大規(guī)模處理的數(shù)據。換言之，當相關數(shù)據主體的數(shù)量、數(shù)據量、保存或永久性或處理活動的地理范圍可能是評估處理操作的高風險的促成因素時；6.通過匹配或組合可能超出數(shù)據主體合理預期的數(shù)據集來處理數(shù)據的操作；7.處理數(shù)據可能涉及弱勢數(shù)據主體的操作，包括兒童、雇員、尋求庇護者等。這種處理可能會增加控制者與數(shù)據主體之間的權力失衡；8.處理操作需要創(chuàng)新性地使用新的技術或組織解決方案，例如，結合使用指紋和面部識別技術以改善物理訪問控制。實際上，GDPR強調“已獲得的技術知識狀態(tài)”可以導致新形式的數(shù)據收集和使用，這可能對個人的權利和自由產生高風險；9.以防止數(shù)據主體“行使權利或使用服務或合同”為目的的處理操作[41]。

雖然第29條工作組認為，在大多數(shù)情況下，當滿足其中兩個標準時，數(shù)據保護影響評估將是強制性的，但數(shù)據控制者可以決定，僅滿足其中一個標準的處理是否需要DPIA。DPIA應該“在處理之前”執(zhí)行，但是它應該代表一個持續(xù)的過程，需要對其進行定期檢查和重新評估。DPIA應該“在處理之前”執(zhí)行，但是它應該代表一個持續(xù)的過程，需要對其進行定期檢查和重新評估?？刂普邞冀K征詢數(shù)據保護官（DPO）的建議，亦應在適當?shù)那闆r下，控制者還應征求數(shù)據主體或其代表的意見。此外，控制者還可能需要與監(jiān)管機構進行磋商，尤其是在找不到足夠的措施來減少加工的剩余風險時。最后，盡管GDPR并沒有法律要求，但是控制者可以決定發(fā)布DPIA，以提高透明度和對其處理操作的信任[42]。

DPIA可能要求雇主進行評估，以確定數(shù)據處理系統(tǒng)是否可能對雇員的權利和自由造成高風險。雖然并非所有數(shù)據處理業(yè)務都需要DPIA，但由于涉及潛在的敏感信息，在直接監(jiān)視雇員或其通訊的地方，則需要DPIA。為實施維持 DPIA的標準，必須符合以下要求：（1）監(jiān)控的系統(tǒng)描述，包括監(jiān)控范圍、使用的硬件或軟件以及數(shù)據存儲的時間；（2）監(jiān)控的必要性和相稱性的詳細信息，包括特定目的的相關性、對雇員私人領域的入侵程度、數(shù)據的潛在接收者以及如何維護雇員權利的詳細信息（如訪問、糾正、刪除或限制數(shù)據可移植性的權利）；（3）如何管理數(shù)據主體權利和自由風險的詳細信息，包括確定風險來源、潛在影響以及如何解決或減少這些風險；（4）利益相關方的參與，不僅包括相關雇員，還包括雇主的數(shù)據保護官員以及國家數(shù)據保護局（如果無法消除任何高風險）[43]。

五、我國未來雇員信息隱私保護立法方向選擇

正如上述關于雇員信息隱私保護模式，存在歐盟的統(tǒng)一立法和美國的分散立法兩種模式。統(tǒng)一立法模式與分散立法模式各有利弊，美國分散立法不可避免存在某些漏洞，出現(xiàn)對雇員信息隱私保護不周延的困境。但是，此種分散立法模式也具有著靈活多變、針對性強、具體明確、司法適用難度低等優(yōu)勢。對雇員信息隱私的規(guī)制，歐盟法律主要通過制定個人數(shù)據處理的數(shù)據保護原則以及依賴于相當模糊的相關性、充分性、準確性等概念，以此劃定一個雇員信息隱私保護的框架。雖然此種模式具有很強的周延性，某種程度上也對雇員的信息隱私保護進行了比較精確的解釋，并加強了信息隱私在道德和政治話語中的力量，但是其界定雇員隱私保護范圍主要依據的法律原則并不足夠清晰和直接，明顯缺乏美國明確和情境相關的規(guī)則帶來的優(yōu)勢。

（一）堅持靈活、務實的隱私保護立法原則

正如學者所言，在美國和大多數(shù)歐洲國家，對隱私權的一般解釋，尤其是在就業(yè)方面的解釋，都依賴于實用主義的方法。美國和歐洲的方法都以一種靈活的情境方式將隱私概念化，這種方式確定了所涉及的合法利益以及干涉?zhèn)€人私生活的行為[44]。歐盟與美國的經驗所示，雇員與雇主之間的隱私沖突，不能僅依靠市場手段，由雇主告知、雇員同意解決，這是由雇主與雇員之間不對等的地位決定的。當然，這也不是要全面的否定雇員同意的作用，在某些情況下，賦予同意作為雇主獲取雇員信息隱私的正當化事由功能，既體現(xiàn)了對雇員控制其個人信息權利的尊重，也是雇員個人自治的表現(xiàn)。只不過，由于雇員相對于雇主，處于弱勢地位，因此需要對告知同意原則進行改造。就改造的路徑而言，我國學者已經提出很多種有益的嘗試，目前比較具有合理性主要由兩種路徑：場景化具體判定同意效力模式與同意效力增補模式。有學者指出，告知同意原則應從整齊劃一的同意向基于信息分類、場景化風險評估的分層同意轉變，從一次性同意向持續(xù)的信息披露與動態(tài)同意轉變，允許有條件的寬泛同意+退出權模式[45]。另有學者指出，告知同意原則要受通信自由和通信秘密憲法權利的限制，要受隱私權的限制，還要受目的原則與必要原則的限制。因此，不能簡單地以告知同意原則作為任何情況下不當收集個人信息的合格抗辯[46]?？梢钥闯?，我國學者對同意原則的改造與上述歐美的經驗有異曲同工之處，值得未來立法予以吸收。

（二）堅持目的導向的隱私保護立法原則

大數(shù)據挖掘技術對人的一項重要運用即是人物畫像(Profiling)，即通過人物畫像來定性化和代表一個主體，或者識別一個主體是一個組或類別的成員。人物畫像可能會帶來可能帶來的歧視、去個性化、定型化、信息不對稱、不準確和濫用風險[47]。面對大數(shù)據技術的沖擊，傳統(tǒng)法律規(guī)定的個人信息保護方式可能存在一些不足，無論是歐盟的GDPR，還是美國的一系列數(shù)據隱私法案，對個人數(shù)據概念都采用廣義解釋，我國對個人信息的定義亦是如此[48]。有學者對此種寬泛的個人信息定義方式提出憂慮，其認為個人信息概念的擴展是“個人領域的膨脹”，這種膨脹在給數(shù)據控制者帶來了巨大的管理負擔的同時，還可能造成那些不太重要的隱私侵權行為已經導致執(zhí)法機構應對捉襟見肘，而重要隱私利益被隱藏起來，執(zhí)法機構對法律應如何適用感到困惑。另外，寬泛的個人信息定義也可能造成隱私權作為一項人權的重要性和它所要保護的基本價值的降低[49]。

信息隱私雖然本身是一項重要的人權，它允許我們在外部世界和我們自己之間設置一個“距離”。沒有別人的注視，我們可以自由地發(fā)展我們的思想和我們的個性。此外，它允許我們向外部世界展示我們認為合適的自己。但信息隱私往往更多地是一種手段，而不是目的。通過信息隱私和數(shù)據保護的權利（手段）來限制數(shù)據的訪問和使用，限制了誤用和濫用這些數(shù)據的可能性，從而保護了個人自主權、聲譽和平等待遇（目的）等利益。例如，在政府監(jiān)控的背景下，隱私權的目的是保護個人的自主權。因為知識就是力量，關于公民的信息越少，政府的權力就越小。在處理有關個人種族或宗教的數(shù)據時，主要的利益不是保護隱私，而是平等對待或避免歧視，因為不允許處理種族信息，就不可能根據這些數(shù)據進行歧視。因此，通過規(guī)范個人數(shù)據的使用，我們可以降低可能的風險，并保護潛在的目標[47]。不得不承認的一個事實是在大數(shù)據挖掘技術的背景下，數(shù)據保護法的有效性是有限的。

為使數(shù)據保護法更有效，第一種選擇是根據正在處理的數(shù)據區(qū)分數(shù)據保護法的適用，即根據數(shù)據處理的類型、識別的可能性和數(shù)據處理的范圍等因素，我們可以設置不同的保護標準，例如，有學者提出了一個基于“已識別數(shù)據”和“可識別數(shù)據”之間差異的差異化系統(tǒng)。他們將數(shù)據的使用分為三個風險類別：已識別、可識別和不可識別，再基于不同的數(shù)據給予不同程度的保護[50]。雖然更細粒度的以數(shù)據為中心的方法在某種程度上有一定效果，但是它仍不一定能有效地處理大數(shù)據挖掘技術帶來的可能風險，需要以面向目的的方法予以補充，即根據數(shù)據處理的實際目標和可能涉及的風險，可以選擇最有效的保護措施。以目的為導向的數(shù)據保護和分析方法將更加強調數(shù)據保護的道德基礎，這也可能意味著除數(shù)據保護法外，其他類型的立法（例如反歧視立法）也可能發(fā)揮作用。在某些情況下，這些規(guī)則甚至可能取代數(shù)據保護立法。例如，為防治重大疫情，取得疑似感染者或與感染者有接觸者，大數(shù)據人物畫像技術要求更多的數(shù)據，這就與數(shù)據最小化原則沖突，但在數(shù)據人物畫像具有正當性的情形下，數(shù)據最小化規(guī)則和對敏感數(shù)據處理的禁令損害了數(shù)據人物畫像工作的準確性，則這些規(guī)則和禁令可能被否決。

結語

綜上，在大數(shù)據時代，關于對雇員信息隱私的保護，我國未來的立法方向應軟化雇員同意的效力，采取一種更加靈活的處理方式。在注意區(qū)分雇員數(shù)據類型的前提下，也需要基于雇主收集、處理雇員信息隱私的目的、情境、正當性事由、對雇員的影響以及雇主已采取的保障措施等因素，綜合判定雇主對雇員信息隱私的干涉是否符合比例性原則、是否侵犯了雇員的信息隱私權利。在完善立法的同時，我國也要借鑒歐盟判例的經驗，發(fā)揮我國案例指導制度的積極作用，通過最高法頒布的具體指導案例對復雜的個案進行仔細地層層解構，以便實現(xiàn)指導司法實踐、推動理論發(fā)展的目標。