作者：程嘯，清華大學(xué)法學(xué)院教授。

一、問題的提出

為了能夠有效協(xié)調(diào)個人信息權(quán)益保護(hù)與合理利用個人信息之間的關(guān)系，我國《個人信息保護(hù)法》在堅持以同意作為個人信息處理核心規(guī)則的同時，于該法第13條第1款第2—6項規(guī)定了處理者無需取得個人同意即可處理個人信息的八種法律根據(jù)。在這些法律根據(jù)中，除了第2項的“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”（以下簡稱“實施人力資源管理所必需”）之外，其他的法律根據(jù)基本上能夠在域外個人數(shù)據(jù)（或個人信息）保護(hù)立法中找到對應(yīng)的規(guī)定。人力資源管理的范圍非常廣泛，包括就業(yè)招聘、員工培訓(xùn)、監(jiān)督管理、績效考核、競業(yè)禁止等各方面內(nèi)容，所涉及個人信息處理的情形也復(fù)雜多樣。顯然，用人單位在人力資管理活動中從事個人信息處理活動并非都需以實施人力資源管理所必需作為唯一的法律根據(jù)。公司為了確保員工遵守工作紀(jì)律，在工廠、車間內(nèi)安裝攝像頭監(jiān)控，并在以違反勞動紀(jì)律為由解雇員工時提供該監(jiān)控視頻給法院或仲裁機(jī)構(gòu)作為證據(jù)，此種監(jiān)控行為對個人信息的處理可能屬于實施人力資源管理所必需。但是，企業(yè)在招聘中要求應(yīng)聘者提供工作履歷、教育背景、醫(yī)療健康、有無犯罪記錄等個人信息時，其法律根據(jù)可能是告知并取得求職者的同意，也可能是為了訂立個人作為一方當(dāng)事人的勞動合同所必需，還可能是為履行法定義務(wù)所必需。因此，準(zhǔn)確地界定實施人力資源管理所必需的規(guī)范目的、適用范圍、要件的判斷標(biāo)準(zhǔn)，并將它與個人信息處理的其他法律根據(jù)合理地界分，對于用人單位有效地實現(xiàn)人力資源管理的目標(biāo)，保護(hù)員工的個人權(quán)益，都非常重要。

目前，我國勞動法學(xué)界已經(jīng)開始關(guān)注勞動場景中的個人信息保護(hù)問題。但是，對于《個人信息保護(hù)法》第13條第1款第2項中實施人力資源管理所必需的個人信息處理活動的專門研究還較少。《個人信息保護(hù)法》頒布后，相關(guān)注釋書中的討論也都非常簡略。有鑒于此，本文擬對實施人力資源管理所必需的個人信息處理活動予以系統(tǒng)研究，主要討論以下問題：首先，為什么立法機(jī)關(guān)要在《個人信息保護(hù)法》第13條第1款第2項中專門將實施人力資源管理所必需作為一項處理個人信息的法律根據(jù)？其次，如何理解該項中的“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理”的涵義？再次，怎樣判斷處理者的個人信息處理活動就是為了實施人力資源管理所“必需”？最后，實施人力資管理所必需與其他個人信息處理法律根據(jù)，尤其是與為履行個人作為一方當(dāng)事人的合同所必需、為履行法定義務(wù)所必需及國外法中為了處理者的合法利益所必需之間的關(guān)系如何。

二、實施人力資源管理所必需的規(guī)范目的

在我國起草《個人信息保護(hù)法》的過程中，實施人力資源管理所必需這一法律根據(jù)起初并無規(guī)定，而是在《個人信息保護(hù)法》的草案被全國人大常委會第二次審議之后，才被增加進(jìn)去。無論是2020年1月立法機(jī)關(guān)面向社會公開征求意見的《個人信息保護(hù)法草案（征求意見稿）》的第15條，還是2020年9月29日《個人信息保護(hù)法草案（一審稿）》的第13條，抑或2021年4月25日《個人信息保護(hù)法草案（二審稿）》的第13條，里面都沒有關(guān)于實施人力資源管理所必需作為個人信息處理的法律根據(jù)的規(guī)定。但是，由于在第十三屆全國人民代表大會常務(wù)委員會第二十八次會議審議《個人信息保護(hù)法草案（二審稿）》時，“有的常委委員和企業(yè)、專家提出，現(xiàn)實中有關(guān)企業(yè)、單位在人力資源管理工作中需要處理個人信息，建議在草案中將此類情況作為允許收集和處理個人信息的情形”，故此，“憲法和法律委員會經(jīng)研究，建議采納上述意見，在草案二次審議稿第十三條中增加相應(yīng)規(guī)定”。

負(fù)責(zé)《個人信息保護(hù)法》具體起草工作，時任全國人大常委會法制工作委員會經(jīng)濟(jì)法室副主任的楊合慶主編的《中華人民共和國個人信息保護(hù)法釋義》在解釋該規(guī)定時，這樣寫到：“個人同意通常不能作為人力資源管理情形下處理個人信息的充分合法依據(jù)。但是，用人單位與勞動者在勞動合同簽訂、工作考核、離職后的競業(yè)限制管理等場景中處理勞動者個人信息有其合理性和必要性，在一些情形下也很難獲得個人的同意。因此，本法將實施人力資源管理所必需作為處理個人信息的一項合法性基礎(chǔ)。”從這一解釋可知，立法機(jī)關(guān)規(guī)定實施人力資管理所必需的主要目的是為了便于企業(yè)、單位的經(jīng)營管理活動。因為企業(yè)、單位在進(jìn)行人力資源管理時經(jīng)常要處理個人信息，但又無法都按照告知同意規(guī)則去取得勞動者的同意。如果不能取得個人同意，企業(yè)、單位就不能處理個人信息，用人單位就無法進(jìn)行正常的活動。因此，《個人信息保護(hù)法》第13條第1款第2項規(guī)定實施人力資源管理所必需，旨在促進(jìn)個人信息的合理利用，為便于企業(yè)、單位的管理活動而對個人就其個人信息處理的決定權(quán)作出了適當(dāng)?shù)南拗啤２粌H如此，《個人信息保護(hù)法》的這一規(guī)定也有利于促進(jìn)對外開放，既能便于我國企業(yè)“出海”，更好地參與全球經(jīng)濟(jì)貿(mào)易活動，也有利于外國公司企業(yè)在我國的投資經(jīng)營活動。隨著我國經(jīng)濟(jì)的高速發(fā)展，我國企業(yè)在國外越來越多地投資辦廠，設(shè)立公司。根據(jù)商務(wù)部的統(tǒng)計，2024年我國對外非金融類直接投資1438.5億美元，較上年增長10.5%。從行業(yè)看，資金主要流向租賃和商務(wù)服務(wù)業(yè)、制造業(yè)、批發(fā)零售業(yè)。在我國企業(yè)積極“出海”的大背景下，企業(yè)內(nèi)部實施人力資源管理而處理個人信息時，還會大量涉及個人信息的跨境流動。這種情況下，如果都要逐一取得個人的同意，必然影響我國企業(yè)的對外投資經(jīng)營。同樣，外國公司企業(yè)來中國投資辦廠，從事經(jīng)營活動時，其國外的企業(yè)集團(tuán)本部進(jìn)行人力資源管理活動，也必然要處理我國境內(nèi)的個人信息，如收集、匯總在我國境內(nèi)投資設(shè)立的公司的人員的個人信息等。如果不能以實施人力資源管理所必需作為個人信息處理的法律根據(jù)，外國公司企業(yè)的正常經(jīng)營活動也會受到影響。正是由于《個人信息保護(hù)法》第13條第1款第2項明確將實施人力資源管理所必需作為一項獨(dú)立的法律根據(jù)，2024年3月22日國家互聯(lián)網(wǎng)信息辦公室頒布的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動規(guī)定》才能夠據(jù)此在該規(guī)定的第5條第1款第2項中，將數(shù)據(jù)處理者“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息”作為免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護(hù)認(rèn)證的情形之一。這也間接說明了《個人信息保護(hù)法》規(guī)定的實施人力資源管理所必需的規(guī)范目的。

三、實施人力資源管理所必需的適用范圍

人力資源管理是管理學(xué)的概念。管理學(xué)上將“人力資源”界定為“人所具有的對價值創(chuàng)造起貢獻(xiàn)作用，并且能夠被組織所利用的體力和腦力的綜合”，而人力資源管理是指組織通過各種政策、制度和管理實踐，以吸引、保留、激勵和開發(fā)員工，調(diào)動員工工作積極性，充分發(fā)揮員工潛能，進(jìn)而促進(jìn)組織目標(biāo)實現(xiàn)的管理活動的綜合，具體包括人力資源規(guī)劃、職位分析和勝任素質(zhì)模型、員工招聘、績效管理、薪酬管理、培訓(xùn)與開發(fā)、職業(yè)生涯規(guī)劃和管理、員工關(guān)系管理等方面。在管理學(xué)中，人力資源管理是任何擁有人力資源的組織，無論是企業(yè)、事業(yè)單位，還是國家機(jī)關(guān)、社會團(tuán)體都必須從事的活動，而通過人力資源管理所要激發(fā)潛能和調(diào)動工作積極性的員工，既包括公司企業(yè)等私營部門的員工，也包括政府機(jī)關(guān)的公務(wù)員、公辦學(xué)校的教師等人員。然而，從《個人信息保護(hù)法》第13條第1款第2項來看，人力資源管理應(yīng)當(dāng)僅限于與勞動關(guān)系有關(guān)的人力資源管理活動，并且是按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施的人力資源管理活動。因此，需要研究的是，立法者為何作此限制？在不屬于勞動關(guān)系的人力資源管理活動中倘要處理個人信息，其法律根據(jù)何在？同時，法律上要求必須按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理的目的何在？

（一）為何僅限于與勞動關(guān)系相關(guān)的人力資源管理活動

如前所述，《個人信息保護(hù)法（二次審議稿）》尚未將實施人力資源管理所必需作為個人信息處理的法律根據(jù)，在二次審議稿之后，立法機(jī)關(guān)吸收了一些常委和專家提出的意見，于2021年7月28日形成的《個人信息保護(hù)法草案修改稿》第13條第1款第2項中增加了“人力資源管理所必需”。到了2021年8月17日，全國人大常委會對《個人信息保護(hù)法草案》進(jìn)行第三次審議后，上述“人力資源管理所必需”又被修改為“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”。

《個人信息保護(hù)法》第13條第1款第2項作出的這一限制意味著：只有與勞動關(guān)系有關(guān)的人力資源管理活動，才能適用該項規(guī)定。也就是說，倘若處理者與個人之間并非勞動關(guān)系，即便處理者客觀上是為了實施人力資源管理而處理個人信息，也不能以該項規(guī)定作為法律根據(jù)。立法者做這種限制是考慮到，雖然從管理學(xué)的角度，人力資源管理的范圍包括了所有用人關(guān)系的情形，但不屬于勞動關(guān)系的用人關(guān)系往往具有獨(dú)特性，單位與個人之間的權(quán)利、義務(wù)、責(zé)任要由法律予以特別的規(guī)范調(diào)整。

前述獨(dú)特的用人關(guān)系就是指國家機(jī)關(guān)與公務(wù)員（以及參公單位與參公人員）之間的關(guān)系。一方面，我國《憲法》《地方各級人民代表大會和地方各級人民政府組織法》《全國人民代表大會和地方各級人民代表大會代表法》《公務(wù)員法》《監(jiān)察法》《法官法》《檢察官法》《人民警察法》等法律中對各級各類公務(wù)員的權(quán)利、義務(wù)、職責(zé)等作出了相應(yīng)的規(guī)定。這些規(guī)定與《個人信息保護(hù)法》第13條第1款第7項“法律、行政法規(guī)規(guī)定的其他情形”相結(jié)合，構(gòu)成獨(dú)立的處理個人信息的法律根據(jù)。另一方面，國家機(jī)關(guān)處理公務(wù)員（或其他個人）的個人信息的活動多是履行法定職責(zé)所必需。《個人信息保護(hù)法》第二章第三節(jié)專門就“國家機(jī)關(guān)處理個人信息”的活動作出了特別規(guī)定。其中，第34條規(guī)定：“國家機(jī)關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。”此外，依據(jù)《個人信息保護(hù)法》第33條，國家機(jī)關(guān)處理個人信息的活動首先應(yīng)當(dāng)適用該法第二章第三節(jié)，該節(jié)沒有特別規(guī)定的，則適用《個人信息保護(hù)法》的其他規(guī)定。因此，國家機(jī)關(guān)處理公務(wù)員的個人信息無需如勞動法上的用人單位那樣必須依據(jù)勞動規(guī)章制度和集體合同，而是先要依據(jù)特別法的規(guī)定；特別法沒有規(guī)定時，適用《個人信息保護(hù)法》中關(guān)于國家機(jī)關(guān)處理個人信息的特別規(guī)定；《個人信息保護(hù)法》沒有特別規(guī)定的，適用該法的一般規(guī)定。

這一點(diǎn)上，我國法與域外法有所不同。例如，在歐盟發(fā)生的“黑森州文化部教師中央委員會訴黑森州文化部長案”中，涉及到了《通用數(shù)據(jù)保護(hù)條例》第88條第1款對于成員國提出的、通過法律或集體協(xié)議規(guī)定更為具體的細(xì)則，以確保雇傭時對雇員的個人數(shù)據(jù)處理有關(guān)的要求能否適用于公務(wù)員的問題。歐盟法院（CJEU）于2023年3月30日對此案作出的判決認(rèn)為：不能將非勞動合同關(guān)系的公共部門的雇員排除在該款適用范圍之外。無論個人數(shù)據(jù)主體與其雇主之間的法律關(guān)系是公法關(guān)系還是私法關(guān)系，是勞動合同關(guān)系還是其他雇傭關(guān)系，《通用數(shù)據(jù)保護(hù)條例》第88條第1款所列出的工作管理、規(guī)劃和組織、工作場所的平等和多樣性、工作健康和安全、雇主或客戶財產(chǎn)保護(hù)、行使和享受與就業(yè)相關(guān)的個人或集體權(quán)利和福利以及終止雇傭關(guān)系等目的，同樣地適用于公共和私營部門的就業(yè)。

需要注意的是，我國還存在一類特殊的用人單位——事業(yè)單位。依據(jù)《勞動合同法》第96條的規(guī)定，“事業(yè)單位與實行聘用制的工作人員訂立、履行、變更、解除或者終止勞動合同，法律、行政法規(guī)或者國務(wù)院另有規(guī)定的，依照其規(guī)定；未作規(guī)定的，依照本法有關(guān)規(guī)定執(zhí)行”。這就是說，對于事業(yè)單位與聘用制人員之間的勞動合同關(guān)系，首先應(yīng)當(dāng)適用法律、行政法規(guī)或者國務(wù)院的相應(yīng)規(guī)定。《事業(yè)單位人事管理條例》規(guī)定，事業(yè)單位與其聘用人員之間的法律關(guān)系屬于聘用合同關(guān)系。從勞動法的角度來說，立法機(jī)關(guān)當(dāng)時作此規(guī)定主要是考慮到我國的事業(yè)單位正處于改革過程中，其用人制度的情況比較復(fù)雜，事業(yè)單位的聘用合同具有一定的特殊性與復(fù)雜性，所以，在將事業(yè)單位實行聘用制工作人員納入《勞動法》《勞動合同法》的調(diào)整范圍時，需要更加慎重。但是，從個人信息保護(hù)法的層面來說，區(qū)分聘用關(guān)系還是勞動關(guān)系的意義不大，因此，在事業(yè)單位實施人力資源管理而處理聘用制工作人員的個人信息時，仍然可以適用《個人信息保護(hù)法》第13條第1款第2項的規(guī)定，即以實施人力資源管理所必需作為法律根據(jù)。

（二）與勞動關(guān)系相關(guān)的人力資源管理活動的界定

只有與勞動關(guān)系相關(guān)的人力資源管理才能以實施人力資源管理所必需作為個人信息處理的法律根據(jù)，這就是說，只有當(dāng)單位與員工之間準(zhǔn)備產(chǎn)生、已經(jīng)產(chǎn)生或曾經(jīng)存在的法律關(guān)系屬于我國《勞動法》《勞動合同法》調(diào)整的勞動關(guān)系時，用人單位實施的人力資源管理活動才屬于《個人信息保護(hù)法》第13條第1款第2項中的人力資源管理活動。在以實施人力資源管理所必需作為法律根據(jù)的個人信息處理活動中，當(dāng)事人分別為：勞動法上的用人單位與勞動者，即個人信息的處理者是用人單位，個人信息主體是勞動者，他們之間屬于勞動關(guān)系。《勞動法》第2條規(guī)定：“在中華人民共和國境內(nèi)的企業(yè)、個體經(jīng)濟(jì)組織（以下統(tǒng)稱用人單位）和與之形成勞動關(guān)系的勞動者，適用本法。國家機(jī)關(guān)、事業(yè)組織、社會團(tuán)體和與之建立勞動合同關(guān)系的勞動者，依照本法執(zhí)行。”用人單位與其工作人員之間的勞動關(guān)系既可以是長期的，也可以是短期的或一次性的；既可以是有償?shù)模部梢允菬o償?shù)摹Ｖ灰獎趧诱吲c用人單位之間實際存在一方提供勞動、一方用工的關(guān)系，就建立了勞動關(guān)系，該勞動者即屬于用人單位的工作人員（《勞動合同法》第7條第1句）。至于他們之間是否訂立書面勞動合同，無關(guān)緊要。《勞動法》《勞動合同法》等法律都沒有對何為“勞動關(guān)系”作出明確的界定。而隨著數(shù)字經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)平臺用工等新型用人形態(tài)的出現(xiàn)使得怎樣界定勞動關(guān)系，存在更大的爭議。考慮到本文的研究范圍，筆者贊同通說關(guān)于勞動關(guān)系的本質(zhì)特征在于從屬性的觀點(diǎn)，并據(jù)此認(rèn)定勞動關(guān)系。具體來說，勞動關(guān)系意味著，用人單位對于勞動者擁有表現(xiàn)為指示、監(jiān)督和懲戒等權(quán)力的控制力，而勞動者對于用人單位具有人格上、經(jīng)濟(jì)上和組織上的從屬性。

歐盟《通用數(shù)據(jù)保護(hù)條例》第88條第1款列舉了在雇傭關(guān)系中處理個人數(shù)據(jù)的各種典型目的，如以招聘和履行雇傭合同為目的，包括法律或集體協(xié)議規(guī)定的義務(wù)的解除，工作的管理、規(guī)劃與組織，工作場所中的平等與多元化，工作時的健康和安全，保護(hù)雇主或客戶財產(chǎn)，單獨(dú)或集體行使和享受有關(guān)雇傭的權(quán)利和利益，以及為了終止雇傭關(guān)系的目的。歐盟第29條工作組認(rèn)為，單位處理員工個人數(shù)據(jù)的具體場景至少有以下九類：①招聘過程中的處理操作；②就業(yè)篩選中產(chǎn)生的處理操作；③工作場所使用信息和通信監(jiān)控技術(shù)（ICT）產(chǎn)生的處理操作；④工作場所外使用ICT監(jiān)控技術(shù)產(chǎn)生的處理操作；⑤與時間和出勤有關(guān)的處理操作；⑥使用視頻監(jiān)控系統(tǒng)的處理操作；⑦涉及員工車輛使用的處理操作；⑧涉及向第三方披露員工數(shù)據(jù)的處理操作；⑨涉及人力資源和其他員工數(shù)據(jù)的國際轉(zhuǎn)移的處理操作。實際上，與勞動關(guān)系相關(guān)的人力資源管理活動的范圍很廣，包括從勞動合同的磋商訂立，到勞動合同的履行，再到勞動合同的終止消滅的所有人力資源管理活動，如新員工的招聘與培訓(xùn)，工作規(guī)劃與安排，工作活動的開展、管理與監(jiān)督，員工安全保護(hù)，工作業(yè)績的評價考核，薪資升降，員工離職后的競業(yè)限制管理等。這些人力資源管理活動經(jīng)常涉及到對勞動者的個人信息的處理。例如，公司招聘新員工時需要收集分析應(yīng)聘者的個人信息，甚至還會利用個人信息進(jìn)行自動化決策，或者通過網(wǎng)絡(luò)查詢檢索應(yīng)聘者的個人信息；勞動者入職后，辦理工作證件、社會保險、支付薪水、提供福利、經(jīng)費(fèi)報銷、出差開會、績效考評、業(yè)務(wù)培訓(xùn)等，都需要收集使用勞動者的姓名、身份證號、家庭住址、電話號碼、緊急聯(lián)系人信息甚至指紋、人臉等生物識別信息。此外，工作場所使用信息和通信監(jiān)控技術(shù)，員工出差時使用其個人信息預(yù)訂機(jī)票和酒店，集團(tuán)內(nèi)部的員工信息的轉(zhuǎn)移，員工離職時繼續(xù)保存員工檔案信息等也屬于個人信息的處理。

（三）如何理解依法制定的勞動規(guī)章制度和依法簽訂的集體合同

勞動關(guān)系的本質(zhì)在于從屬性，用人單位對于勞動者享有控制力，有權(quán)為生產(chǎn)經(jīng)營活動而配置并使用人力資源，在勞動的過程中對勞動者進(jìn)行指示、監(jiān)督、管理，并在勞動者違紀(jì)時予以相應(yīng)的處罰，否則，用人單位就沒有自主經(jīng)營權(quán)，無法從事正常的生產(chǎn)經(jīng)營活動。用人單位對勞動者行使控制力就包括了實施人力資源管理所必需的個人信息處理活動。然而，這種個人信息處理只有在其本身是“合法”的活動之后，才可能被認(rèn)定為“必需”。從《個人信息保護(hù)法》第13條第1款第2項的要求可知，即便用人單位是按照勞動規(guī)章制度或者集體合同實施人力資源管理，但如果勞動規(guī)章制度和集體合同并非依法制定或依法簽訂，也不能據(jù)此實施人力資源管理，更不能以實施人力資源管理所必需作為處理個人信息的法律根據(jù)。這是因為，《勞動法》《勞動合同法》《工會法》《勞動合同法實施條例》等法律法規(guī)規(guī)章對于勞動規(guī)章制度與集體合同的內(nèi)容與制定或簽訂的程序作出了明確的規(guī)定，只有依法制定的勞動規(guī)章制度和依法簽訂的集體合同才能對勞動者產(chǎn)生法律效力，用人單位才能據(jù)此實施人力資源管理活動。如果用人單位依據(jù)并非依法制定的勞動規(guī)章制度或并非依法簽訂的集體合同而實施人力資源管理活動，由于該管理活動本身就非法，自然也不可能以實施人力資源管理所必需作為個人信息處理的法律根據(jù)。

勞動規(guī)章制度是用人單位制定的用于組織勞動過程，進(jìn)行勞動管理的相關(guān)規(guī)則與制度的總稱，涉及到用人單位經(jīng)營管理的方方面面，可以看作是企業(yè)內(nèi)部的“法律”。集體合同則是指工會或職工代表代表全體職工與用人單位依據(jù)法律法規(guī)的規(guī)定，就勞動報酬、工作時間、休息休假、勞動安全衛(wèi)生、保險福利等事項進(jìn)行平等協(xié)商而簽訂的協(xié)議。《個人信息保護(hù)法》第13條第1款第2項規(guī)定的“依法制定的勞動規(guī)章制度和依法簽訂的集體合同”包含兩層意思：其一，勞動規(guī)章制度與集體合同的制定或簽訂的程序必須合法；其二，勞動規(guī)章制度與集體合同中規(guī)定或約定的個人信息處理活動必須合法。

1.勞動規(guī)章制度和集體合同的制定或簽訂的程序合法

依據(jù)《勞動法》《勞動合同法》的規(guī)定，用人單位在制定、修改或決定諸如勞動報酬、工作時間、休息休假、勞動安全衛(wèi)生、保險福利、職工培訓(xùn)、勞動紀(jì)律以及勞動定額管理等直接涉及勞動者切身利益的規(guī)章制度或者重大事項時，應(yīng)當(dāng)經(jīng)過職工代表大會或者全體職工的討論，提出方案和意見，與工會或者職工代表平等協(xié)商確定。如果在規(guī)章制度和重大事項決定實施的過程中，工會或者職工認(rèn)為不適當(dāng)?shù)模袡?quán)向用人單位提出，并通過協(xié)商予以修改完善。用人單位應(yīng)當(dāng)將直接涉及勞動者切身利益的規(guī)章制度和重大事項決定加以公示或者告知勞動者。集體合同應(yīng)由工會代表職工與企業(yè)簽訂，沒有建立工會的企業(yè)，則由職工推舉的代表與企業(yè)簽訂。如果勞動規(guī)章制度的制定和集體合同的簽訂不符合上述法律規(guī)定的程序，那么，它們就不屬于依法制定的勞動規(guī)章制度和依法簽訂的集體合同，用人單位不能按照它們實施人力資源管理，更不能以實施人力資源管理所必需作為個人信息處理的法律根據(jù)。例如，實踐中，外國公司在我國境內(nèi)設(shè)立的分支機(jī)構(gòu)或者在我國投資設(shè)立的子公司，都是適用其總公司或母公司制訂的各種規(guī)章制度。然而，如果這些規(guī)章制度沒有按照我國的《勞動法》《勞動合同法》所規(guī)定的程序經(jīng)過職工代表大會或全體職工討論，則不能在我國境內(nèi)產(chǎn)生法律效力，也不符合《個人信息保護(hù)法》第13條第1款第2項的要求。用人單位以這種規(guī)章制度作為依據(jù)而實施人力資源管理并處理個人信息的，該活動是非法的個人信息處理活動。在我國發(fā)生的“閔某與美馳咨詢（北京）有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”就涉及這樣的問題。在該案的判決中，二審法院正確地指出：跨國公司將其“海外人力資源管理政策引入中國，應(yīng)當(dāng)遵循中國法律的規(guī)定，按照個人信息保護(hù)法、勞動法等相關(guān)法律，進(jìn)行充分告知，征求意見”，由于被告公司沒有履行此等法律要求的程序，故此，法院不認(rèn)可被告公司可以援引其母公司制訂的勞動規(guī)章制度作為實施人力資源管理的依據(jù)，進(jìn)而處理原告的個人信息。

2.勞動規(guī)章制度或集體合同中關(guān)于個人信息處理的規(guī)定或約定合法

用人單位按照依法制訂的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理、處理勞動者個人信息還意味著：勞動規(guī)章制度或集體合同中已對用人單位處理勞動者的個人信息的有關(guān)事項作出了相應(yīng)的規(guī)定或者約定。例如，公司在規(guī)章制度中規(guī)定，為保護(hù)公司的商業(yè)秘密和數(shù)據(jù)安全，員工利用辦公電腦與辦公電話進(jìn)行信息傳遞與通訊時會被公司的安全軟件加以監(jiān)控。再如，公司配備給員工的工作手機(jī)，員工也將其作為日常社會交往的手機(jī)使用，存有大量個人信息，公司在規(guī)章制度中規(guī)定，在遇有反賄賂等紀(jì)檢與合規(guī)需要時，公司有權(quán)要求員工上交該工作手機(jī)用于檢查其中的微信、短信等通信內(nèi)容。如果在勞動規(guī)章制度或集體合同中，各方并未就處理勞動者個人信息的活動作出規(guī)定或加以約定，用人單位不得以實施人力資源管理所必需作為處理個人信息的法律根據(jù)。這是因為，我國《個人信息保護(hù)法》第17條明確要求個人信息處理者在處理個人信息前應(yīng)以法定的方式向個人告知相關(guān)事項，或者通過制定個人信息規(guī)則的方式告知該等事項。誠然，為實施人力資源管理活動所必需處理個人信息，無需取得個人的同意。但是，并未因此就免除處理者的告知義務(wù)（除非其具備《個人信息保護(hù)法》第18、35條所規(guī)定的免除告知義務(wù)的情形）。因此，勞動規(guī)章制度或集體合同中根本沒有就處理勞動者的個人信息作出規(guī)定或約定，實際上就等于用人單位沒有依法履行告知義務(wù)，其當(dāng)然不得以實施人力資源管理所必需作為個人信息處理的法律根據(jù)。

同時，勞動規(guī)章制度和集體合同就處理勞動者的個人信息活動作出的規(guī)定或約定本身也應(yīng)當(dāng)是合法的。如果這些規(guī)定或約定存在《個人信息保護(hù)法》《民法典》等法律規(guī)定的無效情形，如違反法律、行政法規(guī)的強(qiáng)制性規(guī)定，違背公序良俗，或者排除勞動者的主要權(quán)利等，即便勞動規(guī)章制度和集體合同的制定或簽訂的程序本身是合法的，該等個人信息處理的規(guī)定和約定也是無效的。例如，經(jīng)職工代表大會討論制定的A公司規(guī)章制度中規(guī)定，所有員工一經(jīng)簽訂勞動合同，就視為在工作期間授權(quán)同意A公司對員工的全部個人信息予以處理，并且該同意是不可撤銷的，公司還能自行決定是否將個人信息提供給其他處理者。顯然，這種規(guī)定就違反了《個人信息保護(hù)法》第14、15條的規(guī)定，是無效的規(guī)定。再如，實踐中一些用人單位出于防止內(nèi)部交易的考慮，在勞動規(guī)章制度中不僅要求勞動者提供相應(yīng)的個人信息，還要求勞動者提供其親屬甚至朋友的一些個人信息，如要求公司員工必須如實報備本人任職期間名下正在使用和曾經(jīng)使用過的所有手機(jī)號碼，還必須提供本人的直系親屬（配偶、父母、子女）、有血緣關(guān)系的兄弟姐妹、配偶的父母、配偶有血緣關(guān)系的兄弟姐妹、情侶正在使用的手機(jī)號碼以及工作單位信息。這種關(guān)于個人信息處理的規(guī)定明顯違法，不能以實施人力資源管理所必需作為法律根據(jù)。

四、實施人力資源管理所“必需”的判斷

《個人信息保護(hù)法》第一章“總則”規(guī)定了個人信息保護(hù)法也即個人信息處理的基本原則，如合法、正當(dāng)、必要、誠信、公開透明、目的限制等。這些原則既適用于以個人同意為法律根據(jù)的個人信息處理活動，也適用于那些依據(jù)法律、行政法規(guī)的規(guī)定無需取得個人同意即可實施的個人信息處理活動。《個人信息保護(hù)法》第13條第1款第2項之所以要求個人信息處理活動是實施人力資源管理所“必需”，就是為了遵守必要原則與目的限制原則。必要原則（principle of necessity）是比例原則在個人信息保護(hù)法中的體現(xiàn)，該原則要求個人信息的處理活動對于實現(xiàn)合法、正當(dāng)?shù)奶幚砟康氖潜匾摹⒉豢苫蛉钡模魏尾槐匾膫€人信息處理活動都不應(yīng)當(dāng)被實施。目的限制原則（principle of purpose limitation）要求個人信息處理活動應(yīng)當(dāng)具有明確與合理的目的，并且該活動應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式（《個人信息保護(hù)法》第6條）。必要原則與目的限制原則密切關(guān)聯(lián)。一方面，明確、合理的處理目的是必要性的考量因素。認(rèn)定個人信息處理活動是否必要，須考慮處理的目的，即只有在無法以其他合理的方式實現(xiàn)處理目的之時，處理者才能處理個人信息。另一方面，與處理目的直接相關(guān)以及采取對個人權(quán)益影響最小的方式也是用來判斷個人信息處理活動是否必需的重要標(biāo)準(zhǔn)。總之，判斷個人信息處理活動是否屬于實施人力資源管理所“必需”，應(yīng)當(dāng)嚴(yán)格遵循必要原則與目的限制原則，并結(jié)合人力資源管理活動中處理個人信息的具體場景、個人信息的類型、處理目的與方式等具體因素，綜合權(quán)衡用人單位的合法利益的保護(hù)與勞動者的個人權(quán)益保護(hù)的關(guān)系后加以認(rèn)定。

（一）個人信息處理活動旨在維護(hù)用人單位的合法利益并且與之直接相關(guān)

用人單位實施人力資源管理以及其他管理活動的，最終目的都是為了實現(xiàn)用人單位的整體戰(zhàn)略和目標(biāo)，即創(chuàng)造價值以滿足相關(guān)利益群體的需要。但是，倘若以此作為實施人力資管理所必需的個人信息處理活動的目的，則不符合目的限制原則對于處理目的應(yīng)當(dāng)“明確、合理”的要求。具體而言，在個人信息保護(hù)法上，用人單位實施人力資源管理所必需的個人信息處理活動的處理目的應(yīng)當(dāng)限定為維護(hù)用人單位的特定的合法利益。首先，用人單位的合法利益意味著該利益是“合法”（legitimate）的，而不是非法的。合法原則要求個人信息處理者處理個人信息的目的必須合法，既不能以侵害自然人的人格尊嚴(yán)和人身財產(chǎn)權(quán)益等個人權(quán)益為目的，也不得對社會公共利益和國家利益造成損害。用人單位以阻止或限制員工行使權(quán)利為目的而處理個人信息的，顯然該利益不是合法利益。具體來說，用人單位實施人力資源管理所必需而處理個人信息所追求的合法利益包括：良好的工作紀(jì)律與秩序；工作場所的平等化與多元化；安全生產(chǎn)；保護(hù)員工人身財產(chǎn)安全；工作任務(wù)的合理安排與效率的合理提升；經(jīng)營業(yè)務(wù)的安全保護(hù)；維護(hù)單位的各類財產(chǎn)權(quán)益的安全；用人單位自身及客戶的數(shù)據(jù)、個人信息的安全保護(hù)；用人單位的網(wǎng)絡(luò)安全；預(yù)防和制止商業(yè)賄賂、關(guān)聯(lián)交易、內(nèi)部交易等違法犯罪活動等。其次，用人單位的合法利益必須是清晰、明確且真實存在的利益，而非模糊的或推測性的。否則，就無法將該利益與勞動者的個人權(quán)益進(jìn)行權(quán)衡比較，從而判斷個人信息處理的必要性。最后，按照目的限制原則的要求，用人單位為實施人力資源管理所必需的個人信息處理活動還必須與維護(hù)其合法利益這一處理目的直接相關(guān)，即應(yīng)當(dāng)始終圍繞著維護(hù)合法利益這一處理目的展開，不能超出該范圍。例如，當(dāng)用人單位實施人力資源管理而處理員工的個人信息是為了保護(hù)公司的財產(chǎn)安全，如要求對經(jīng)過授權(quán)訪問公司重要數(shù)據(jù)的員工的操作行為進(jìn)行監(jiān)控，以防止數(shù)據(jù)未經(jīng)授權(quán)而被訪問或泄露、篡改，那么，公司就不能將這些數(shù)據(jù)用于其他的目的，如監(jiān)控員工的行為。

（二）個人信息處理活動對于維護(hù)用人單位的合法利益是必要的

實施人力資源管理所必需的個人信息處理活動應(yīng)當(dāng)符合必要原則，即對于維護(hù)用人單位的合法利益是必要的、不可或缺的，如果不處理個人信息則無法維護(hù)該合法利益。例如，公司為了調(diào)查或證明員工實施的竊取公司數(shù)據(jù)信息的違法犯罪行為，而對員工的電子郵件進(jìn)行監(jiān)控，倘不采取這種監(jiān)控方法，就無法查明或證明該犯罪行為。再如，用人單位的特定工作崗位對于應(yīng)聘者的身體健康狀況有特定的要求，否則無法從事該崗位，如工廠質(zhì)檢崗位要求員工對于顏色能夠做出準(zhǔn)確的判斷，有色盲的人不能從事該工作。因此，用人單位對于獲取應(yīng)聘者是否有色盲這一醫(yī)療健康信息具有合法的利益，不知悉該信息就無法招聘到適合的人員。但是，如果用人單位據(jù)此還要求應(yīng)聘者提供其他醫(yī)療健康信息，則違反了必要原則。在2023年7月4日判決的“Meta公司與德國聯(lián)邦反壟斷局案”中，歐洲法院認(rèn)為：依據(jù)《通用數(shù)據(jù)保護(hù)條例》第6條第1款第（f）項的數(shù)據(jù)處理活動，必須是在實現(xiàn)合法利益所“絕對必要”（strictly necessary）的范圍內(nèi)進(jìn)行。控制者僅僅證明單純的數(shù)據(jù)處理的適用性是不夠的，即使是追求“最佳效率”或經(jīng)濟(jì)上最有意義的選擇，也不能使數(shù)據(jù)處理成為必要的。2024年10月8日，德國聯(lián)邦勞動和社會事務(wù)部、聯(lián)邦內(nèi)政和家園部曾提出了一份《關(guān)于加強(qiáng)數(shù)字工作環(huán)境中公平處理員工數(shù)據(jù)及提高雇主和員工法律安全性的法律草案》（Besch?ftigtendatengesetz,BeschDG），該草案專門對雇主處理雇員個人數(shù)據(jù)的必要性審查提出了詳細(xì)的判斷標(biāo)準(zhǔn)，依據(jù)該草案第4條，在審查雇主處理員工的個人數(shù)據(jù)的必要性時，應(yīng)當(dāng)考慮員工在雇傭關(guān)系中的依賴性。同時，要權(quán)衡雇主的處理利益與受影響員工用于反對此種處理的利益，其中雇主的處理利益具體取決于：a）是否履行法律、集體協(xié)議或合同中規(guī)定的義務(wù)；b）雇主的基本權(quán)利是否受到影響及其影響程度；c）是否存在公共利益及其權(quán)重。對于員工基本權(quán)利的干預(yù)，具體要考慮：a）處理的持續(xù)時間和頻率，尤其是考慮雇傭關(guān)系的長期性；b）處理的員工數(shù)據(jù)的類型；c）處理的員工數(shù)據(jù)的范圍；d）員工數(shù)據(jù)是否與其他數(shù)據(jù)相匹配或關(guān)聯(lián)從而整合不同信息和個人特征；e）處理的方式和手段，例如是模擬處理還是通過技術(shù)設(shè)備處理，是實時處理還是存儲后處理；f）參與處理并有權(quán)訪問數(shù)據(jù)的人員數(shù)量和職能，例如是否涉及到直接的上級；g）數(shù)據(jù)是否是直接從受影響員工處收集的；h）員工對雇主處理其數(shù)據(jù)的合理期望，尤其是考慮雇傭關(guān)系中的特殊保護(hù)和照顧義務(wù)；i）從處理的數(shù)據(jù)中不當(dāng)推斷工作表現(xiàn)的風(fēng)險，特別是可能對員工的職業(yè)發(fā)展產(chǎn)生不利影響的情況；j）在使用人工智能系統(tǒng)時人類監(jiān)督和控制的可能性，以及向員工清晰解釋人工智能系統(tǒng)功能的可能性。此外，還考慮雇主根據(jù)該法律草案第9條采取的技術(shù)和組織措施，以使得對受影響員工產(chǎn)生的風(fēng)險最小化并維護(hù)其人格尊嚴(yán)、合法權(quán)益和基本權(quán)利。

在我國司法實踐中，法院也是從必要原則出發(fā)來認(rèn)定實施人力資源管理的個人信息處理活動是否必需。在一個案件中，被告公司于其規(guī)章制度中規(guī)定，企業(yè)會在其提供部分補(bǔ)貼而由員工自行購買的手機(jī)上安裝MDM（即移動設(shè)備管理軟件）插件，一旦員工離職公司有權(quán)通過該插件刪除手機(jī)上的工作數(shù)據(jù)。同時，由于公司的規(guī)章制度并未禁止員工使用該類手機(jī)用于個人的社會交往活動，因此，原告員工的手機(jī)上必然會因其日常使用而存儲大量的個人信息。被告公司完全可以通過MDM插件僅僅刪除手機(jī)上的工作數(shù)據(jù)，卻于員工剛剛提出離職申請的當(dāng)日，不向原告發(fā)出任何通知即通過遠(yuǎn)程操作將原告員工的手機(jī)進(jìn)行系統(tǒng)重置，導(dǎo)致該手機(jī)上包括個人信息在內(nèi)的全部數(shù)據(jù)被刪除。這種簡單粗暴的、刪除手機(jī)上的全部數(shù)據(jù)的行為，明顯違反了必要原則，不是對個人權(quán)益影響最小的方式。故此，法院認(rèn)為，被告公司的行為違反《個人信息保護(hù)法》第6條規(guī)定的最小必要原則，缺乏合理性，不屬于該法第13條第1款第2項規(guī)定的實施人力資源管理所必需的情形。

由于敏感的個人信息一旦被泄露或者被非法使用，容易導(dǎo)致個人的人格尊嚴(yán)遭受侵害或者危害個人的人身安全、財產(chǎn)安全，故此，《個人信息保護(hù)法》對于敏感個人信息的處理提出了更加嚴(yán)格的要求。一方面，依據(jù)該法第28條第2款，無論是依據(jù)何種法律根據(jù)處理敏感的個人信息，都必須“具有特定的目的和充分的必要性”并且要采取嚴(yán)格的保護(hù)措施，如此，個人信息處理者方可處理敏感的個人信息。另一方面，除非符合《個人信息保護(hù)》所規(guī)定的免除告知義務(wù)的情形（第18、35條），否則處理者除要將該法第17條第1款規(guī)定的事項向個人進(jìn)行告知外，還必須向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響。據(jù)此，在用人單位以實施人力資源管理所必需作為法律根據(jù)處理敏感的個人信息時，法院認(rèn)定該處理活動的必要性時應(yīng)采取更加嚴(yán)格的審查標(biāo)準(zhǔn)。

（三）個人信息處理活動采取的是對個人權(quán)益影響最小的方式

按照目的限制原則的要求，任何個人信息處理活動都必須采取對個人權(quán)益影響最小的方式（《個人信息保護(hù)法》第6條第1款）。所謂“個人權(quán)益”，是指個人信息處理活動可能影響的個人的各種類型的權(quán)益，不僅包括《民法典》等法律規(guī)定的自然人享有的名譽(yù)權(quán)、隱私權(quán)、肖像權(quán)、個人信息權(quán)益等各類人身權(quán)益與財產(chǎn)權(quán)益，還包括《憲法》上規(guī)定的人格尊嚴(yán)、人身自由、通信自由、通信秘密等基本權(quán)利，以及《消費(fèi)者權(quán)益保護(hù)法》《未成年人保護(hù)法》《婦女權(quán)益保障法》《殘疾人保障法》等法律規(guī)定的特殊群體享有的個人權(quán)益。對于處理者是否采取對個人權(quán)益影響最小的方式的判斷，應(yīng)當(dāng)遵循比例原則的要求。該原則要求處理者在有多種適當(dāng)性手段均能同等程度地實現(xiàn)個人信息的處理目的時，應(yīng)當(dāng)選擇對于個人信息主體的合法權(quán)益造成最小不利影響的那種方式。因此，用人單位以實施人力資源管理所必需作為法律根據(jù)時，必須采取對勞動者的個人權(quán)益影響最小的方式。是否屬于對個人權(quán)益影響最小的方式需要在權(quán)衡用人單位的處理目的的實現(xiàn)程度與對勞動者個人權(quán)益影響程度之間的關(guān)系后加以決定。考量因素包括：用人單位維護(hù)的合法利益與勞動者的個人權(quán)益的位階關(guān)系，用人單位面臨的特定風(fēng)險類型、程度與維護(hù)合法利益的急迫性，各種可供采取的處理行為對個人權(quán)益的侵害性和影響的程度等。就如何平衡處理者旨在維護(hù)的合法利益與個人權(quán)益之間的關(guān)系問題，歐洲法院曾提出“三階段測試”（dreistufige Prüfung）標(biāo)準(zhǔn)。該測試中最重要的就是第三階段的“平衡測試”（balance test），即確定受到個人數(shù)據(jù)處理影響的個人的基本權(quán)利和自由是否超越了控制者的合法利益，只有當(dāng)保護(hù)數(shù)據(jù)控制者的合法利益的需求超越數(shù)據(jù)主體的權(quán)益時，才能以之作為個人數(shù)據(jù)處理的法律根據(jù)。

由于實施人力資源管理而必需處理個人信息的場景眾多，判斷處理者是否采取對勞動者個人權(quán)益影響最小的方式當(dāng)然要考慮具體的場景。而這些場景中最復(fù)雜的就是所謂的“職場監(jiān)控”，即用人單位以維護(hù)工作的紀(jì)律和秩序、防止泄密、保護(hù)公司財產(chǎn)等合法利益為由，通過勞動規(guī)章制度規(guī)定用人單位有權(quán)對員工的通信和電信設(shè)施、工作場所的活動進(jìn)行相應(yīng)的監(jiān)控，例如，通過內(nèi)置軟件程序攔截雇員發(fā)出的電子郵件并秘密查看，監(jiān)聽雇員使用辦公電話時的通話、對雇員在辦公場所的活動進(jìn)行視頻采集監(jiān)控等。歐洲法院對于職場監(jiān)控采取了比較嚴(yán)格的態(tài)度。歐洲人權(quán)法院認(rèn)為，用人單位計劃實施或者可能實施監(jiān)控之前要通知被監(jiān)控者，如果沒有通知，則對私人通信的錄音是違法的，并且被記錄的數(shù)據(jù)也不得超出監(jiān)控目的所必需的范圍。在1992年的“Halford訴英國案”中，歐洲人權(quán)法院指出，攔截員工在工作場所的電話通話違反了《歐洲人權(quán)公約》第8條關(guān)于“每個人的私人和家庭生活、住所和通信都有權(quán)得到尊重”的規(guī)定。該判決確立了三個原則：①員工在工作場所有合理的隱私期待，該期待不會因為員工使用雇主的通信設(shè)備或其他業(yè)務(wù)設(shè)施而被推翻，但是雇主向員工提供適當(dāng)?shù)男畔⒖赡軙p少員工的合理隱私期待；②保護(hù)通信秘密的一般原則涵蓋工作場所的通信，也包括電子郵件及其附件；③尊重私人生活還包括在一定程度上有權(quán)建立和發(fā)展與他人的關(guān)系，而這種關(guān)系很大程度上發(fā)生在工作場所，因此，這限制了雇主對監(jiān)控措施的合法需求。

不過，在我國司法實踐中，法院對于職場監(jiān)控采取比較寬松的態(tài)度。例如，在一個案件中，被告公司在辦公室安裝監(jiān)控攝像頭，公司員工在辦公室的一舉一動都被監(jiān)控。原告張某娟為了躲避監(jiān)控攝像頭堅持在工位上撐傘十多個工作日，被告公司認(rèn)為原告的行為違反工作紀(jì)律，將其開除。原告則主張被告公司在辦公室安裝監(jiān)控攝像頭的行為侵害了隱私權(quán)。法院認(rèn)為，被告公司安裝的監(jiān)控攝像頭是在辦公室而非私人生活區(qū)域，并且安裝的位置也在墻角上方。故此，安裝監(jiān)控攝像頭屬于正常行使用人單位的監(jiān)管權(quán)，具有合理性。在另一個案件中，被告公司將交付給勞動者使用的辦公電腦上安裝“超級眼”電腦監(jiān)控軟件，并用該軟件自動下載勞動者的社交媒體上的聊天信息。法院認(rèn)為，公司提供的辦公電腦只能用于完成工作任務(wù)，因此，勞動者辦公電腦的使用空間對于公司來說是公開的，不構(gòu)成秘密，公司安裝此種監(jiān)控軟件屬于企業(yè)的自我管理行為。筆者認(rèn)為，在認(rèn)定用人單位實施的通信和電信設(shè)施監(jiān)控以及視頻監(jiān)控行為是否采取了對個人權(quán)益影響最小的方式時，需要遵循比例原則的要求，平衡用人單位維護(hù)自身合法利益的客觀需要與有效保護(hù)勞動者的個人信息權(quán)益、隱私權(quán)、通信秘密等權(quán)利與自由的關(guān)系。一方面，《憲法》《民法典》《個人信息保護(hù)法》等法律高度重視保護(hù)通信秘密等基本權(quán)利以及個人信息權(quán)益、隱私權(quán)等人格權(quán)益，禁止任何組織或者個人拍攝、窺視、竊聽、公開他人的私密活動和非法處理私密信息。另一方面，用人單位在實施人力資源管理時，對于勞動者是否遵守勞動紀(jì)律，有無違紀(jì)違法行為等信息的處理也有客觀的需求。一概允許或禁止職場監(jiān)控，都不妥當(dāng)。需要綜合考慮用人單位采取電信監(jiān)控以及視頻監(jiān)控行為的必要性、急迫性以及所維護(hù)利益的重大性，勞動者被影響的權(quán)利的類型、被侵害的程度等因素，從而判斷用人單位對勞動者個人信息的處理行為是否是對個人權(quán)益影響最小的方式，繼而認(rèn)定用人單位的個人信息處理活動是否屬于實施人力資源管理所必需。例如，用人單位從事高度危險化學(xué)品的生產(chǎn)，為了確保工人嚴(yán)格遵守操作規(guī)程，防止生產(chǎn)過程中出現(xiàn)違規(guī)操作，并在發(fā)生事故后能夠確定責(zé)任，用人單位在車間內(nèi)安裝監(jiān)控設(shè)施，屬于對個人權(quán)益影響最小的方式。但是，用人單位在所有的辦公場所都安裝攝像頭，對員工的一舉一動加以監(jiān)控，或者在員工的辦公電腦中都安裝監(jiān)控軟件而對員工的通訊活動進(jìn)行秘密檢查，對個人權(quán)益的影響顯然過大，損害了員工享有的通訊秘密、通信自由以及隱私權(quán)。

五、實施人力資源管理所必需與其他法律根據(jù)的關(guān)系

歐盟等國外個人數(shù)據(jù)保護(hù)法并未將實施人力資源管理所必需作為一項單獨(dú)的個人數(shù)據(jù)處理的法律根據(jù)。歐盟第29條工作組在《第2/2017號關(guān)于工作場景中個人數(shù)據(jù)處理的意見》認(rèn)為，在工作當(dāng)中處理個人數(shù)據(jù)的合法性基礎(chǔ)是多元化的，可能是基于告知并取得員工的同意，也可能是基于為訂立或履行個人作為一方當(dāng)事人的合同所必需，為了履行法定義務(wù)所必需，為了處理者的合法利益所必需，或為了保護(hù)數(shù)據(jù)主體的重大利益或維護(hù)公共利益所必需等其他法律根據(jù)。在我國法上，告知并取得個人同意是個人信息處理的主要法律根據(jù)，無需同意甚至無需告知的情形必須由法律或行政法規(guī)規(guī)定。除了實施人力資源管理所必需外，《個人信息保護(hù)法》第13條第1款第2—6項還規(guī)定了其他無需個人同意的具體情形。其中，與實施人力資源管理所必需關(guān)聯(lián)性比較密切的主要是為履行個人作為一方當(dāng)事人的合同所必需以及為履行法定義務(wù)所必需。

（一）與為履行個人作為一方當(dāng)事人的合同所必需的關(guān)系

為了協(xié)調(diào)個人信息權(quán)益的保護(hù)與正常經(jīng)濟(jì)活動秩序的關(guān)系，《個人信息保護(hù)法》第13條第1款第2項將“為訂立、履行個人作為一方當(dāng)事人的合同所必需”也作為一類獨(dú)立的個人信息處理的法律根據(jù)。勞動合同屬于典型的“個人作為一方當(dāng)事人的合同”。因此，理論上，用人單位不僅可以將實施人力資源管理所必需作為處理勞動者個人信息的法律根據(jù)，也能以為訂立或履行勞動者作為一方當(dāng)事人的合同所必需作為個人信息處理的法律根據(jù)。在用人單位與勞動者之間還沒有成立勞動關(guān)系如僅處于招聘的階段，用人單位無法以實施人力資源管理所必需作為處理個人信息的法律根據(jù)，但能夠以為訂立個人作為一方當(dāng)事人的合同所必需作為法律根據(jù)。不過，適用該法律根據(jù)的前提應(yīng)當(dāng)是個人提出請求，即用人單位不能單方面在未經(jīng)個人請求的情形下以訂立個人作為一方當(dāng)事人的合同所必需為由處理個人信息。在勞動合同成立并生效后，用人單位以履行勞動合同所必需處理勞動者的個人信息的情形比較多，如為了向員工支付工資、津貼等勞動報酬，需要取得員工的銀行賬號等。

為履行勞動合同所必需與為實施人力資源管理所必需的最大差異在于二者的依據(jù)不同。實施人力資源管理依據(jù)的是勞動規(guī)章制度和集體合同，而為履行勞動合同所必需依據(jù)的僅僅是勞動合同。勞動規(guī)章制度、集體合同與勞動合同這三者在當(dāng)事人、規(guī)范內(nèi)容和形式上都有差異。勞動規(guī)章制度是用人單位對勞動者進(jìn)行組織與管理的規(guī)則和制度的總稱，涉及事項眾多。集體合同的當(dāng)事人是勞動者團(tuán)體（工會、職工代表代表全體勞動者）與用人單位，必須采取書面形式，其中約定的內(nèi)容包括勞動報酬、工作時間、休息休假、勞動安全衛(wèi)生、保險福利等各種事項。并且，集體合同的簽訂須依據(jù)法定程序，其生效后對于用人單位的所有勞動者都具有約束力。勞動合同是由用人單位和勞動者一對一協(xié)商成立，僅僅是對作為該合同一方當(dāng)事人的特定勞動者具有約束力，對同一用人單位的其他勞動者沒有效力。勞動合同也無須如集體合同和勞動規(guī)章制度那樣依據(jù)《勞動法》《勞動合同法》規(guī)定的法定程序制定或簽訂。勞動合同并非如集體合同那樣必須采取書面形式，也可采取口頭形式。勞動合同中約定的事項往往比較簡單，主要針對特定勞動者的事項如工資待遇、工作內(nèi)容等作出約定。至于對勞動者如何進(jìn)行管理和約束等具體內(nèi)容，仍須交由勞動規(guī)章制度和集體合同等加以規(guī)定或約定。故此，實踐中用人單位處理勞動者個人信息時更多的是以實施人力資源管理所必需而非以履行勞動合同所必需作為法律根據(jù)。

（二）與為履行法定義務(wù)所必需的關(guān)系

為履行法定義務(wù)所必需的個人信息處理活動是《個人信息保護(hù)法》第13條第1款第3項規(guī)定的無需取得個人同意的情形之一。該項的“法定義務(wù)”是指直接由我國法律、法規(guī)和規(guī)章規(guī)定的公法上的義務(wù)，承擔(dān)法定義務(wù)的主體是個人信息處理者而非個人。大多數(shù)情形下，用人單位實施人力資源管理所必需的個人信息處理活動與為履行法定義務(wù)所必需的個人信息處理活動的區(qū)別比較明顯。當(dāng)然，二者也可能存在競合關(guān)系，即用人單位的個人信息處理活動既屬于為履行法定義務(wù)所必需，也屬于實施人力資源管理所必需。例如，A公司是食品生產(chǎn)企業(yè)，其規(guī)章制度中要求工人必須定期參加公司組織的體檢，以了解工人是否存在傳染病。這種個人信息的收集行為，既屬于為實施人力資源管理所必需，也是在履行法定義務(wù)。因為，依據(jù)《食品安全法》第45條，患有國務(wù)院衛(wèi)生行政部門規(guī)定的有礙食品安全疾病的人員，不得從事接觸直接入口食品的工作。從事接觸直接入口食品工作的食品生產(chǎn)經(jīng)營人員應(yīng)當(dāng)每年進(jìn)行健康檢查，取得健康證明后方可上崗工作。再如，《未成年人保護(hù)法》第98條規(guī)定：“國家建立性侵害、虐待、拐賣、暴力傷害等違法犯罪人員信息查詢系統(tǒng)，向密切接觸未成年人的單位提供免費(fèi)查詢服務(wù)。”此外，《未成年人學(xué)校保護(hù)規(guī)定》第36條明確要求，學(xué)校應(yīng)當(dāng)嚴(yán)格執(zhí)行入職報告和準(zhǔn)入查詢制度，不得聘用受到剝奪政治權(quán)利或者因故意犯罪受到有期徒刑以上刑事處罰的人員，因賣淫、嫖娼、吸毒、賭博等違法行為受到治安管理處罰的人員，因虐待、性騷擾、體罰或者侮辱學(xué)生等情形而被開除或者解聘的人員，以及實施其他被納入教育領(lǐng)域從業(yè)禁止范圍的行為的人員。幼兒園、學(xué)校可能在其規(guī)章制度中就有查詢和收集教職工有無上述違法犯罪信息的要求，同時，這種個人信息處理活動本身也是為履行法定義務(wù)所必需。

（三）與為維護(hù)處理者的合法利益所必需的關(guān)系

在比較法上，處理者的合法利益被作為一類單獨(dú)的個人信息處理的法律根據(jù)。例如，歐盟《通用數(shù)據(jù)保護(hù)條例》第6條第1款第（f）項規(guī)定，當(dāng)“處理是控制者或者第三方所追求的合法利益之目的所必需的，但該利益與被要求保護(hù)個人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本的權(quán)利與自由相沖突的除外，尤其是數(shù)據(jù)主體是兒童的情形下”。再如，巴西《通用數(shù)據(jù)保護(hù)法》第7條第1款列舉個人數(shù)據(jù)處理的各類法律根據(jù)，其第9項規(guī)定，“為滿足控制者或第三方合法利益所必需的，但根據(jù)數(shù)據(jù)主體普適性的基本權(quán)利和自由要求保護(hù)個人數(shù)據(jù)的情況除外”。上述條款被稱為“合法利益條款”（legitimate interest clause），它們將處理者為維護(hù)其自身的合法利益也作為一項個人信息處理的法律根據(jù)。

我國《個人信息保護(hù)法》并未將維護(hù)處理者的合法利益作為個人信息處理的法律根據(jù)。之所以如此，除了因為合法利益在解釋和適用上具有較大的不可預(yù)期性和難度外，一個重要的原因是，《個人信息保護(hù)法》第13條第1款第2項已經(jīng)將實施人力資源管理所必需規(guī)定為個人信息處理的法律根據(jù)，這一法律根據(jù)實際上已經(jīng)可以涵蓋大部分處理者的合法利益。對于用人單位而言，它們完全可以通過勞動規(guī)章制度和集體合同對那些為維護(hù)其自身合法利益的個人信息處理活動作出明確的規(guī)定或約定，進(jìn)而以實施人力資源管理所必需作為此類個人信息處理活動的法律根據(jù)。例如，在訴訟中通過提供相關(guān)個人信息而證明自己的主張或維護(hù)合法權(quán)益的情形，屬于為維護(hù)處理者的合法利益。用人單位可以在勞動規(guī)章制度中明確規(guī)定：發(fā)生勞動爭議時，用人單位可以向法院或仲裁庭提供處理勞動者的相關(guān)個人信息（如違紀(jì)信息等）。例如，某個勞動者經(jīng)常上下班遲到且上班期間擅自離崗，公司將其開除后，該勞動者申請仲裁或起訴。這種情形下，公司就可以提供相關(guān)打卡記錄和監(jiān)控視頻作為證據(jù)。

六、結(jié)語

在勞動關(guān)系中，用人單位會出于各種目的而對勞動者的個人信息實施多種多樣的處理活動。此時，用人單位經(jīng)常會以《個人信息保護(hù)法》第13條第1款第2項所規(guī)定的實施人力資源管理所必需作為法律根據(jù)。因此，有必要從實施人力資源管理所必需這一個人信息處理法律根據(jù)的規(guī)范目的出發(fā)，清晰地界定實施人力資源管理所必需的適用范圍，提出合理的標(biāo)準(zhǔn)以判斷該處理活動是否屬于實施人力資源所必需。同時，應(yīng)當(dāng)明了實施人力資源管理所必需與為履行勞動合同所必需、為履行法定義務(wù)所必需等其他個人信息處理法律根據(jù)的相互關(guān)系。惟其如此，方能促使用人單位合理利用勞動者的個人信息，有效地發(fā)揮人力資源的效用，提升管理的效率，并且維護(hù)勞動者的個人信息權(quán)益、隱私權(quán)及人格尊嚴(yán)等個人權(quán)益。

（原文刊載于《中外法學(xué)》2025年第3期）

《數(shù)字法治》專題由上海市法學(xué)會數(shù)字法學(xué)研究會特約供稿，專題統(tǒng)籌：秦前松。