用人单位基于用工管理权对劳动者个人信息进行收集处理的行为边界在哪里？不同于一般法律关系下的个人信息保护，用人单位在劳动关系中处于优势地位，用人单位与劳动者属于持续性信息不平等的关系，而数字智能时代更加剧了双方利益冲突。在解决劳动争议时，不宜因用工管理权忽略劳动者个人信息保护权益，应通过合法性、正当性、合理性三方面对用人单位信息处理行为予以审查，进行证据能力认定，以规范用人单位用工行为。

一、知情同意：用人单位信息处理的合法性基础

取得个人同意，是个人信息处理者处理信息的首要条件。按照《个人信息保护法》规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出，即个人信息保护领域中的基础原则——知情同意原则。

（一）劳动合同可视为对用人单位的概括授权

收集处理个人信息的前提，是告知并经过信息主体的同意，以实现处理的正当性。

《个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：...（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需...”

在法律逻辑上，劳动关系下同意适用的完整链条是：雇主尽到充分告知义务、劳动者在充分知情的前提下作出自愿有效的同意允诺并授权雇主在其同意的范围内处理其个人信息。

在实践中，信息流动方向具有单向性，信息处理方式要求高效快捷。用人单位基于管理便利、商业效率、经营成本等因素，需要大量且快捷地处理劳动者个人信息，以实现对众多劳动者的有序管理。劳动者个人信息虽受保护，但让渡部分个人信息权益，才能更好实现劳动目的。例如，了解求职者基本情况是招录合适员工的前提；及时掌握员工出勤情况、工作数据，才能督促员工按时到岗、提高效率、合理考评等；劳动者提供银行卡号是获得劳动报酬的前提，在工作场所的监视行为可以保障员工财产及人身安全等。

虽然《劳动合同法》第17条规定的劳动合同应当具备的条款内容中并未包含对个人信息处理行为授权的规定，但依据《个人信息保护法》第十三条规定，用人单位亦可基于“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的”，对劳动者信息进行收集处理。“

订立或履行劳动合同所必需”作为雇员信息处理的合法性基础，不代表双方就信息处理行为未形成合意，只是处理信息的合意并未在合同中明示。同时，劳动规章制度亦应经过民主程序，告知并送达劳动者，否则无法适用。

因此，基于劳动关系的特殊性及用人单位用工管理的现实需求，用人单位与劳动者签订劳动合同的行为，就可视为劳动者对用人单位进行了概括授权，即概括同意用人单位基于用工管理需要对自身必要信息进行收集处理。

（二）非必需信息处理需另获劳动者明示同意

劳动者对用人单位处理信息的概括同意是维持用人单位正常管理秩序之必要。若用人单位在用工管理权限范围内收集处理个人信息，都需要再次征得劳动者同意，将增加用人单位用工成本，不利于信息流转与利用。可以说，从劳动者向用人单位投递简历，到双方签订劳动合同，再到劳动者按照用人单位安排从事有报酬的劳动，均意味着劳动者同意用人单位在合理范围内了解、掌握、处理其个人信息。这种概括同意，是在企业用工管理权与劳动者个人信息保护之间的合理平衡。

但正如“为订立、履行个人作为一方当事人的合同所必需”之表述，用人单位处理信息必须出于“需要”之目的，劳动者通过劳动合同的概括授权亦基于用人单位用工管理之必需。当用人单位超越用工管理需要处理个人信息，或为了用工管理需要而处理敏感信息时，就应该遵循知情同意原则的基本逻辑——充分告知并取得劳动者明示同意，劳动者亦享有撤回同意的自决权。

（三）知情同意原则在劳动场域中的适用困境

劳动关系下，用人单位与劳动者地位存在结构性失衡，劳动者受劳动关系从属性、依附性因素影响，往往为了谋得或保全工作而被迫同意用人单位对其信息不加限制、没有边界的处理行为。此时，劳动者在一定程度上失去了作出同意的自由，减损了用人单位个人信息处理的合法性基础。在一般法律关系中发挥重要作用的知情同意原则，在劳动场域下存在适用困境。

同时，智能信息技术让劳动者个人信息在用人单位眼前更加透明。基于算法的管理反映了数智时代劳动管理的全新面貌，在此面貌之下，用人单位就是算法精英，而劳动者则成为受困于职场的“算法囚徒”。在大数据时代下，劳动者在网络环境中留下的各类数据痕迹都将成为用人单位精准决策的海量依据，而提供数据的劳动者则成为理性决策下的结果承担者，其中最为典型的就是被困在系统里的外卖骑手。正如学者所言，在劳动管理日趋智能化的背景下，有必要于传统的组织从属性、人格从属性和经济从属性之外，承认“算法从属性”。

可见，不对等劳动关系场景下的个人信息保护需特殊考量。原则上除了劳动者同意，用人单位个人信息处理行为还必须具有正当性、合理性，这是由劳动关系的特殊性质决定的劳动者个人信息保护的重要原则，而如何判断正当性、合理性则需要注重目的限制、比例原则在用人单位信息处理过程中的审查。

二、目的限制：用人单位信息处理的正当性审查

《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”

劳动场域下，用人单位收集处理劳动者个人信息之目的应明确、合理，且与用工管理直接相关。法院在以目的原则对用人单位信息处理行为进行评价时，可以目的相容性、可接受性、用工相关性为判断标准进行审查。

（一）信息收集与后续处理的目的相容性

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。其中，信息收集是所有环节的开端。一方面，用人单位收集劳动者个人信息时，告知劳动者收集处理信息的目的要明确具体，告知劳动者确切原因及明确的收集范围。例如，为支付工资而要求劳动者提供银行账号信息，就具有明确具体的使用用途；而用人单位通过安装电脑监控软件随时获取信息的行为，就缺乏明确使用目的。

另一方面，信息收集时告知劳动者的初始目的，应与用人单位后续处理信息的目的具有较强相关性。若两者相互背离，或超出劳动者合理预期，则不符合目的相容性要求。例如，用人单位收集劳动者健康体检信息原本系出于保障劳动者劳动安全之目的，但后续将体检信息作为末位淘汰制考核指标加以利用，信息收集与使用的目的相差较大，亦超出劳动者可能预期的体检信息使用途径，不符合目的应明确具体的原则要求。

此外，若用人单位系基于概括同意方式获得信息收集处理的合法性来源，法院在审查目的相容性时，应将劳动者作出同意的自由度、用人单位告知的精确性等因素纳入考量范围，相容性评估需要更为严格。

（二）信息处理目的具有可接受性

《个人信息保护法》中提到的目的合理，即要求用人单位收集信息之目的具有可接受性，充分考虑用工管理需要与一般理性人的接受程度。例如，用人单位在公车上安装GPS定位系统、在办公场所安装视频监控等行为，若出于防止公车私用或为了公私财物安全之目的，则具有正当性。但上述行为若出于窥探劳动者隐私、为日后可能出现的诉讼广泛收集证据材料之目的，则超出正常工作需要，严重侵害了劳动者个人信息甚至隐私的边界，用人单位由此收集到的证据材料亦不应被法院采信。

（三）信息处理应与用工管理具有关联性

目的与用工管理直接相关，即要求用人单位需基于劳动需要进行信息处理行为，不得超出其业务范围开展信息收集活动。法院在审查用人单位信息处理行为与用工管理是否具有关联性时，应结合用人单位营业范围、具体场景、劳动者岗位、政策要求等因素综合判断。例如，对于从事餐饮工作的厨师或服务员，餐饮企业应当收集劳动者健康信息，了解劳动者是否具有不宜从事餐饮工作的传染病等疾病，而对于普通单位的一般劳动者、或虽在餐饮企业但从事财会等非一线岗位工作的劳动者而言，劳动者的体检健康信息应属于其个人隐私，用人单位不得随意收集。

可以说，目的原则的直接功能就在于从广度和深度两个方面框定个人信息处理的边界，并进而实现处理者和信息主体之间的利益平衡。

三、比例原则：用人单位信息行为的合理性判断

比例原则作为行政法上的一项重要基本原则，逐渐应用在其他法域。个人信息保护下的比例原则，即要求个人信息处理者所采取的措施与其所达到的目的之间必须相称，在有多种措施可供选择的时候，应选择对信息主体权益影响最小的方式。比例原则虽未在《个人信息保护法》中明确出现，但第六条中关于“采取对个人权益影响最小的方式”“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”的表述，在实质上体现为比例原则。

（一）信息收集应遵循数据最小化

大数据时代导致个人信息的过度收集与过度分析。海量信息间的交叉比对，使用人单位更容易刺穿劳动者隐私的保护罩。此时，用人单位的过度收集行为不仅侵害了劳动者的个人信息权益，也会侵害劳动者的隐私权。因此，法律上，信息收集并非鼓励“多多益善”，而应遵循“点到为止”。当用人单位能以较少的数据实现管理目的时，用人单位就应选择数据最小化的方式。

最典型的例子系用人单位考勤方式的技术迭代。用人单位考勤方式由纸质考勤逐渐发展到电子打卡、钉钉打卡、指纹打卡、人脸打卡等，先进的考勤技术让打卡时间更加精准且不易造假，但同时也造成了对劳动者非必要信息的过度收集，比如账号信息、指纹信息、人脸信息等。

（二）“损害-收益”成正比

用人单位用工管理权的“收益”，是劳动者“损害”部分个人信息权益实现的。比例原则要求将用人单位信息处理的正当利益与劳动者个人信息权益受到侵扰程度进行比较和权衡，以此判断用人单位信息处理行为是否具有合理性。

实践中，用人单位掌握着管理手段的弹性与尺度；而劳动者对用人单位的依赖，降低了劳动者对个人信息保护的警惕性，而信息不对称及技术壁垒增加了劳动者发现用人单位侵权行为的难度。例如公司在未告知修某的情况下，在办公电脑上安装了“超级眼”电脑监控软件，并用该软件自动下载修某的微信等社交媒体上的聊天信息。用人单位由此取得的信息利益远远小于对劳动者权利的冒犯程度。

因此，法院可通过劳动者权益的损害程度与用人单位所获利益是否成正比判断行为合理性。且若有更少侵犯利益的方式能够达到同种目的，用人单位就应选择权益损害更小的方式。

结语

劳动场域下，劳动者个人信息保护，因受劳动关系从属性影响，受制于用人单位用工管理权。用工管理权使用人单位针对劳动者的信息处理行为具有表象上的正当性，通过劳动者的概括同意，提高用人单位信息处理效率，充分发挥大数据时代优势，提升用工管理水平。与此同时，但用工管理权不应使劳动者个人权益减损归零，实现经营利润扩大化司法应在劳动合同概括授权的基础上，通过目的限制与比例原则，审查用人单位信息处理行为的目的正当性、手段合理性，以实质上平衡企业用工管理与员工个人信息保护，缓解由信息技术发展带来的从属性加剧之困境。为受用人单位管理制约的劳动者，实现个人信息权益的最大化。