编者按:今年3·15晚会,央视曝光的智联招聘、猎聘、前程无忧等网络招聘平台泄露求职者个人信息事件,引发群众职场信息担忧。本期特刊发用人单位如何保护劳动者个人信息的文章,供读者参考。
用人单位保护劳动者个人信息的立法规制
作者单位:青岛大学法学院
摘要:大数据时代,个人信息飞速生成、传播、更替,也更容易被获取、利用、处理。用人单位基于提高生产效率、赚取高额利润的需要,有时会超过必要限度掌握劳动者的个人信息,侵犯其隐私,由此引发劳资冲突,亟需法律对其规范。目前,我国劳动者个人信息保护方面的立法尚不完善,有必要借鉴域外经验,改进、完善相关法律法规,为处于从属地位的劳动者的隐私权保驾护航。
关键词:劳动者 个人信息保护 用人单位 劳动者隐私权
一、用人单位侵犯劳动者个人信息的实践检视
用人单位对劳动者个人信息的不当获取、利用、处理对劳动者个人信息保护带来挑战。对此,可以从个人信息的类型和劳动者任职阶段两个角度进行审视。
从劳动者个人信息的类型入手,可以将个人信息分为个人基本情况、健康信息、应用设备信息、信用状况、不良行为记录。个人基本情况指劳动者的姓名、性别、年龄、居民身份证号码、家庭住址、家庭成员等基础信息。劳动者往往会在招聘阶段向用人单位说明或者提交个人基本情况。这些信息一般被视为公开信息,用人单位对此类信息的处理一般不会侵犯劳动者的隐私权。但是若用人单位将劳动者的个人基本情况贩卖给广告商、营销机构等组织,就会对劳动者造成干扰。健康信息主要指体检报告、医疗记录或者其他健康证明中显示的基因信息、遗传信息、疾病和病毒携带等信息。现实中,存在着用人单位暗自调取劳动者的健康信息或者通过已掌握的在职劳动者的体检报告,对罹患疾病、存有遗传病、携带非传染性病毒的劳动者施以歧视性待遇等问题。应用设备信息包括手机、电脑等电子设备中的社交软件、消费记录、行动轨迹等信息。部分用人单位基于监督劳动者尽职履责、保护知识产权和商业秘密等的因素,通过安置密闭摄像头、操控电脑等方式,获取劳动者与他人的来往信息信件、聊天记录等应用设备信息。信用状况指用作个人或家庭消费用途的信用交易、个人投资、创业以及生产经营的信用和财务状况。用人单位可能会要求劳动者在入职前提交个人资产信息或者自行调查劳动者的财务状况,这些行为均超出限度地获取劳动者的个人信息。不良行为一般泛指一切违反社会规范的行为,包括违反社会生活、学习、劳动纪律、企业管理等公共道德规范的行为,违反法律规范的行为和犯罪行为。一些用人单位出于招聘优良人才的考虑,私下调查劳动者的不良行为记录,对带有“污点”的劳动者不予聘用,或者与其他用人单位交换黑名单,无形中泄露在职人员的不良行为记录,对其未来工作带来阻碍。如前文所述,个人信息并不是全然保密、不可获知的,涉及劳动者隐私的信息方为用人单位不得随意获取、使用的。在职场上,不少劳动者均有上述某一种或多种隐私信息被用人单位刺探、收集、使用、泄露的情况,这不仅侵犯了劳动者的隐私权,还可能影响劳动者的正常生活,甚至为单位谋得不法利益,影响劳动关系的和谐稳定。
从劳动者任职阶段分析,在求职阶段,用人单位为招聘心仪、优质的劳动者,通过暗自调查或者变相询问的方式攫取与劳动合同并无直接关系的劳动者性取向、宗教信仰、体检报告、婚姻家庭情况、前单位任职记录等信息。在劳动合同履行的任职阶段,用人单位为提高劳动者工作效率、保护商业秘密和知识产权,采用视频监控设备、电子邮件监控软件、定位器等监控劳动者,过度收集劳动者的聊天记录、短信信件、活动轨迹等信息。在劳动合同解除的离职阶段,用人单位为进行业内资源置换、快速清理信息库,有意或者无意地泄露劳动者的健康信息、任职档案、社交媒体信息等个人信息。
用人单位过度处理劳动者个人信息的现实问题已经显现,因此,有必要探索、分析有关劳动者个人信息保护的学理,为规制用人单位的行为、保护劳动者个人信息提供理论支撑。
二、劳动者个人信息保护的立法现状
(一)立法规定
我国劳动者个人信息保护的基础源自《中华人民共和国宪法》的原则性规定。宪法第33条第3款、第38条和第40条分别规定了国家尊重和保障人权、公民的人格尊严不受侵犯、保护公民的通信自由和通信秘密。
《中华人民共和国民法典》未颁布施行前,对公民个人信息的保护主要适用民法总则和侵权责任法的隐私保障条款,部分适用网络信息安全立法中的保护条款。民法总则第 111 条首次从民事基本法层面提出个人信息权,并明确了个人信息保护的基本行为规范。[1]与民法总则同年实施的《中华人民共和国网络安全法》第76条对网络数据和个人信息进行定义、第41条规定了收集、使用个人信息的原则与方式、第40条至第43条则规定了网络运行者的责任。除此之外,对公民个人信息保护的规定还散见于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、最高人民法院通过的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等文件中。
2021年1月1日起正式施行的民法典第六章“隐私权和个人信息保护”第1034条至第1039条对个人信息保护做了较先前的民法总则更为系统、详细的规定。民法典第1034条对个人信息进行了界定,并做了法律适用的规定。第1035条规定了处理个人信息应当遵循合法、正当、必要原则,不得过度处理,并符合系列条件。第1036条规定了处理个人信息不承担民事责任的例外情形。第1037条、1038条和1039条则分别规定了自然人的权利、信息处理者的义务和公权机关的职责。民法典的相关规定从私法领域突出了对个人信息保护的重视,为劳动者个人信息保护提供了法律依据,具有引导意义。
从劳动法律法规来看,其对个人信息保护的规定主要体现在《中华人民共和国劳动合同法》第8条和《中华人民共和国职业病防治法》第20条、第36条。劳动合同法第8条规定:“用人单位招用劳动者时,应当如实告知劳动者工作内容、工作条件、工作地点、职业危害、安全生产状况、劳动报酬,以及劳动者要求了解的其他情况;用人单位有权了解劳动者与劳动合同直接相关的基本情况,劳动者应当如实说明。”该条文主要规定了在订立劳动合同时用人单位的主动告知及劳动者的被动告知义务。用人单位无权要求劳动者告知与劳动合同无关或者并无直接关系的个人情况,这其中便包括了劳动者的个人信息,因而也可以视为对劳动者个人信息保护的法律依据。职业病防治法第20条、36条则从劳动者健康、疾病信息的隐私保护的角度出发,规定了“用人单位应当采取下列职业病防治管理措施......建立、健全职业卫生档案和劳动者健康监护档案”、“用人单位应当为劳动者建立职业健康监护档案,并按照规定的期限妥善保存”。
(二)立法不足
立法缺乏周延性。在体系上既有较高位阶的《民法典》、《网络安全法》,也有位阶较低的政策文件,立法较为散乱,且相互之间缺乏联系和衔接。[2] 这也导致了各部门机构之间缺乏协调与合作,依据各部门的法律法规对用人单位侵犯劳动者个人信息的行为的惩戒力度不够。
专门性劳动者个人信息保护的立法缺位。虽然我国民法、网络信息安全立法对公民个人信息保护进行了规定,但是在劳动法领域内,尚未有与个人信息保护直接相关的内容。在职场,用人单位过度获取、利用劳动者个人信息的行为屡见不鲜。现实情况极需弥补劳动者个人信息保护的立法空缺,对用人单位获取、利用、处理劳动者个人信息的行为进行规制,为劳动者隐私权提供更为直接、详细的劳动法保护依据。
立法缺少规制用人单位行为的实质内容。纵观现有的法律,民法典对个人信息的保护是以普通民事权利为基础的,民事关系中当事人的地位存在形式上平等。而在劳动关系中,劳动者与用人单位的地位实质上并不对等,劳动者处于弱势一方,在特定方面需要更多的保护。虽然民法典对处理个人信息的条件和信息处理者的义务的规定适用于用人单位,但是出于保护劳动者这一特定主体的个人信息的角度,需要对用人单位的行为制定更严格、细致、系统的法律规定。
三、规制用人单位行为的学理分析
(一)劳动者个人信息的特殊性
个人信息与每位公民的日常生活息息相关,它的重要性与在大数据时代下的易受侵犯性呼唤法律对其进行保护。有关个人信息的规定在网络安全法、《信息安全技术个人信息安全规范》等网络信息安全立法和民法典中均有据可循。民法典对隐私和个人信息分别作出了界定(民法典第1032条、1034条),其延续了民法总则对公民隐私权与个人信息权的规定,将两项权利并行置于人格权编下。个人信息在民事权利和网络安全方面都被置于重要的地位,而由于劳动者个人信息存在职场时空下的特殊性,对劳动者个人信息的保护理应引起广泛的关注与重视。劳动者个人信息的特殊性具体表现在以下两个方面。
劳动者个人信息方便获取。在招聘阶段,劳动者需要提供与订立劳动合同直接相关的基本情况。在社会生活中,自然人向另一私主体主动提交较为详细的个人信息的情况并不多见。科技的发展也使得用人单位获取劳动者个人信息的手段日益增多。用人单位通过私下调查、信息搜索技术、业内资源沟通等方法,可以获得比劳动者个人提供的范围更大、内容更多的个人信息。
劳动者个人信息易被侵犯。劳动关系具有从属性,劳资双方地位不平等。用人单位的人力、财力优势为其获取劳动者个人信息提供便利。劳动者个人可能在未被告知、无法预料的情况下便被用人单位刺探个人信息。除此之外,劳动者保护意识的提高远没有跟上科技发展与用人单位获取其信息的步伐。个人信息保护意识薄弱也是劳动者个人信息易被侵犯的原因之一。
(二)劳动者个人信息保护的法律原则
偏重保护原则
在劳动关系中,用人单位处于强势地位,与劳动者个人相比,具备较大的人力、财力和物力优势,易于获取劳动者的个人信息,加之用人单位为确保劳动者高效率工作以提高经济效益,往往过度掌握劳动者个人信息,侵犯劳动者的隐私。在这种劳动者个人信息尤其是个人信息中的隐私信息极易受到用人单位威胁的情况下,有必要在立法上对劳动者进行倾斜性保护,通过法律规定对用人单位收集、使用、处理劳动者个人信息的行为进行规制,在司法上注重对用人单位获取、利用劳动者个人信息行为的合法性、合理性考量,对违法行为予以制裁,
对劳动者的偏重保护并不是绝对的和片面的。在追求劳动权利实质平等的价值目标的同时,需要注意对企业重大利益和社会重要公益的优先保护。没有一种权利是完全自由行使和不受限制的,隐私权并非一种绝对权,而是一种相对权,在特殊情况和条件下其权利行使受到限制。比如出于维护国家安全和国家利益的需要、维护公共利益的需要、维护社会公序良俗的需要以及根据各国历史传统、文化、习俗等,对隐私权保护加以事实上的限制。[3]对劳动者个人信息的保护亦要将企业重大利益和社会公共利益放在优先位置加以考虑。
比例原则
比例原则源于行政法,它是指行政机关行使自由裁量权时,应在全面衡量公益与私益的基础上采取对相对人侵害最小的适当方式,同时不能超过必要限度。在劳动法领域,劳动者个人信息受到用人单位过度使用问题的背后实质上是用人单位劳动监管权与劳动者隐私权的冲突。用人单位虽然不是公权力主体,但是其与劳动者在职场时空中的地位并不对等,从属性方为劳动关系的本质特征。劳动者隐私权的相对性、劳资双方的权利冲突、劳动关系的从属性助推比例原则在劳动者个人信息保护中发挥作用。这并不是把比例原则强加于劳动法之上,而是在分析劳动者个人信息保护问题时可以运用比例原则进行法益考量。用人单位为维持企业秩序、追求经济效益最大化不可避免地会收集、利用劳动者的个人信息,但其所采取的措施、手段必须具有合法性、正当性,并且应当选择对劳动者无负面影响、不侵犯其隐私的方法。出于企业重大利益或社会公共利益的需要确需知悉劳动者的隐私、敏感信息时,应采取对其侵害最小的方式。
限制原则
用人单位的劳动监管权并非是没有边界的,其运用必须充分考虑与劳动者利益的平衡,因而在劳动者个人信息保护中需要对用人单位的监管权进行限制。[4]这可以在欧洲经合组织隐私规则中找到依据。对流动的交界地带的个人信息的隐私保护始于1980年经济合作与发展组织签订的经合组织隐私原则。[5]其中的两项原则为“收集限制原则”和“利用限制原则”。收集限制原则意为获取数据应限制在以法律和公平的范围内,并以相对人的认知或同意为前提。利用限制原则指未经相对人同意,不得将获取的数据披露或另做他用。在劳动法领域,用人单位在获取、利用、处理劳动者个人信息时,应当树立底线意识,将行使的劳动监管权限制在不侵犯劳动者隐私权的范围内。
四、域外立法经验借鉴
针对我国劳动者个人信息保护立法方面的不足之处,可以分析美国、欧盟、日本关于劳动者个人信息保护的立法方式,总结其规制用人单位行为的有益经验,改善我国劳动者个人信息保护的现状。
(一)美国
在劳动者个人信息保护方面,美国有关法律既有国会的统一规定,也有各州的相关规定,实现了地方立法与中央立法的妥善衔接。同时,美国还开辟了对劳动者隐私权专门立法的先河。
美国很早便开始对公民隐私权保护的研究,1968 年的《联邦法律(ECPA)》规定了公民的通讯隐私权,1986 年《联邦窃听法》第3章修正案对隐私权做了系统规定。1993 年5月,美国国会通过了《消费者与工作者隐私权法案》。该法案的规定具有针对性,直接涉及劳动法领域。法案对“电子监控”进行严格定义,并规定了相关的排除条款,即“对薪金、保险和其他福利、雇员求职资料以及雇主可能收集的其他与人事相关的仅用于管理用途的报表、图表的电子传输不在电子监控之列。”美国肯定雇主进行电子监控的合法性,但对用人单位的行为进行规制,将保险、雇员求职资料等涉及劳动者个人信息的内容排除在电子监控范围之外,对劳动者个人信息进行了有效保护。作为联邦制国家,美国各州享有充分的立法权。在《消费者与工作者隐私权法案》通过后,美国很多州开始颁布州法规来保护劳动者的个人信息。例如,康涅狄格州的法律对于工作场所的监控进行了明确规定:雇主若在工作场所内装有电子监控设备,应当书面告知其雇员。判例认为,如果没有事前告知,可能侵害劳动者的“合理的可期待的隐私权”,而雇主若明确告知雇员其行为有可能被监控,并得到雇员的同意,那么雇主的监控行为就不会违反《欧洲人权公约》第8条。[6]
在劳动特别法方面,美国也十分注重对劳动者健康信息的保护。进入信息时代,为解决雇主通过不法手段获取劳动者个人信息而导致的就业歧视问题,美国国会于2008年通过的《基因信息反歧视法案》(简称GINA 法案)。其立法的现实该法案构成了在大数据时代对劳动者隐私权通过专门立法予以保障的先例,且其本身是一部优先适用法。[7]GINA法案的具体内容主要是对劳动者的基因隐私信息进行保护。其在范围上包括家庭病史、家庭成员显性疾病、个人和家庭成员的遗传基因检测信息等;在基因隐私保护原则方面,GINA法案 确立了不伤害原则、知情同意原则、保护不知情原则、尊重基因差异性原则、维护人类尊严与基因技术发展平衡原则、维护个人遗传信息机密性原则。[8]GINA法案通过对利用、处理基因信息的详细规定来有效保护劳动者的个人健康信息。
(二)欧盟
欧盟对劳动者个人信息保护采取的是统一立法模式,将个人隐私与个人数据信息等同起来保护,制定综合性的个人信息保护法律,并与经合组织隐私原则、《欧洲人权公约》配套适用,[11]以对劳动者的个人信息进行管理和保护。欧盟立法较为严格,对数据控制与处理主体做出了体系性规制,同时通过立法创设监督机构,加强对个人信息的保护力度。欧盟多数成员国则制定了与域内统一法配套的国内法律。
欧盟在2018 年5 月25 日正式出台了《通用数据保护条例》(General Data Protection Regulation,简称GDPR),其旨在约束任何收集、传输、保留或处理涉及欧盟国家的个人信息的行为。《通用数据保护条例》第四章“控制者与处理者”对控制者的义务、处理数据的方式和程序、和监督机构的合作等内容进行了全面、详细的规定,第六章“独立的监管机构”则着重阐述了监督机构成员的一般条件、权限、任务与职权。《通用数据保护条例》的规定较为严格,对数据控制者、处理者提出了较高的要求,对其行为的着手、实施、后续处理进行了连贯的规制。同时,GDPR创设了通用数据监管机构,在机构设计上发挥行政主体的积极作用,对数据控制者、利用者进行监管,起到良好的监查与警示作用。GDPR的内容亦适用于处理个人信息的用人单位,为劳动者个人信息保护提供了强有力的法律支撑。就欧盟各成员国而言,GDPR优先于各成员国国内法而统一适用,但各成员国可以以 GDPR为基础,进一步细化本国个人信息保护的法律规定。如德国的《联邦资料保护法》,以概括列举的方式对个人资料信息予以保护。[9] 除了立法上的有效配合外,各国也积极执法,践行GDPR。例如英国、法国、比利时等25个成员国设置数据保护局(DPA)并且明确规定其职责,同时由欧盟数据保护委员会通过指令、建议、意见、有约束力的决定等措施,来协调各成员国对GDPR 规则的统一适用。[10]有数据表明GDPR法案生效以来各成员国共对87件案件做出共计3.7亿欧元的处罚,处罚力度不断增强以及大额罚单频现。[11]
(三)日本
与欧盟相似,日本在劳动者个人信息保护方面也采取了统一立法模式。2005年4月1日起施行的《个人信息保护法》为劳动者个人信息保护的法律依据,适用范围包括雇主与雇员。日本虽然没有单独的劳动法条文,但是在《个人信息保护法》基础上,有较为详细、全面的行政指南,对用人单位的利用劳动者个人信息尤其是健康信息的行为进行专门的规定。行政机关的行政文件与立法机关的法律条文紧密结合,突出对劳动者隐私权的保护。
与美国从健康信息中的基因信息这一较小的分支入手对劳动者个人信息进行保护有所不同,日本在劳动法领域对劳动者健康信息采取了宏观、全面的立法保护。2015年大幅修正的《个人信息保护法》将个人医疗健康信息归为需要格外注意以防止不公正的歧视和偏见以及其他不利情况发生的特殊信息,并对该类信息的保护制定了非经信息主体本人同意,不得向第三人提供的原则。为更好地使劳动法与《个人信息保护法》的规定相衔接,在劳动领域的立法中,日本政府于2017年发布了《关于雇佣管理之个人信息中健康信息的留意事项》,对雇主应如何在遵守《个人信息保护法》规定的基础上对劳动者医疗健康信息进行处理做出了指导。[12]该《事项》划定了劳动者医疗健康信息的范围,并对雇主基于法律规定对劳动者医疗健康信息的处理做出了严格的行为指导,为《个人信息保护法》在劳动领域的细化以及劳动者医疗健康信息权利之保护提供了有力的支持。[13]
(四)小结
总体而言,美国、欧盟日本采用专门立法形式或者统一立法形式,实现了中央与地方、立法机关与行政机关关于劳动者个人信息保护规定的衔接、协调与配合。详细、全面、严格是三者在立法方面共同的特征,直接或间接地规制了用人单位处理劳动者个人信息的行为。这些国家也注重对劳动者健康信息的保护,通过专门立法或出台相关规定的方式,详细列明属于劳动者健康信息的内容,并对雇主收集、储存劳动者健康信息的行为进行严格规制,对违法者予以严厉惩治。他山之石,可以攻玉。我国劳动者个人信息保护立法便可借鉴上述三者的有益做法,弥补现有的不足,完善相关的法律。
五、我国的立法构想
对劳动者个人信息保护进行专门立法。在民法典正式施行、个人信息保护法草案已提请全国人大常委会审议的当下,如何实现劳动法与两部法律的有效衔接与配合是一项重要的问题。一方面,劳动者个人信息保护的内容较为琐细,若将之作为从宏观层面规定劳动者与用人单位权利义务关系的劳动法或劳动合同法的修改内容,可能欠缺契合度,有损法律的统一性;另一方面,智能科技发展迅猛,用人单位越来越容易获取、利用劳动者的个人信息,劳动者个人信息被过度利用的事件有增无减。综合考量现实需要与立法技术,借鉴美国、日本有关个人信息保护的劳动法规定后,立法机关可以制定关于劳动者个人信息保护的法律法规,弥补此处的法律空白。可以借鉴民法典的相关规定,对劳动者个人信息的范围采用“列举+排除式”的规定,对用人单位获取、利用、处理劳动者个人信息的方式作出合法性、合理性要求,明确规定用人单位使用劳动者个人信息时应尽的通知、协商、保密义务,详细规定用人单位违法时应承担的法律责任,加大惩罚力度。同时,可以通过立法创设劳动者个人信息保护监督机构。欧盟多个成员国设立诸如数据保护局这样的数据监管机构,加大执法监督力度,将GDPR对公民个人信息保护的规定落到实处,而不是纯粹依靠司法的终极救济。劳动者个人信息保护专门立法可以在涉及个人信息保护的行政部门中增设相关的监督机构,如国家人力资源和社会保障部可以设立个人信息保障司,地方劳动行政部门也增设相应的个人信息保护监督机构,或者赋予劳动监察大队个人信息保护监督职能。执法与立法相配合,实现对劳动个人信息的全方位保护。
注重对劳动者健康信息的保护。随着医疗技术的发展,公民的个人健康信息愈加完善,医疗档案、体检报告、家庭成员健康信息也时刻跟随着每位劳动者。无论是主动询问还是暗中调查、就职前还是就职中的体检,用人单位都有多种途径了解到劳动者的病史、基因信息等情况。而在职场时空,对待健康信息“与众不同”的劳动者,部分用人单位和其他劳动者会对相对人产生避讳心理与歧视态度,不仅侵犯劳动者的隐私,还会重挫其人格尊严。过去一年,感染新型冠状病毒的劳动者的医疗档案中不可避免地会留下相关记录。纵使已经治愈,也仍可能受到异样看待。在这种情况下,用人单位对劳动者健康信息妥善保密的必要性由此显现。在劳动者个人信息保护的专门立法中,应注重对健康信息的保护,可以借鉴美国GINA法案中的“维护个人遗传信息机密性原则”,对用人单位的保护劳动者健康信息的行为进行详细规定。
在地方进行劳动者个人信息保护立法的试点。市场经济、科技发达的省份可以结合当地情况出台关于保护劳动者个人信息的地方性法规或者地方政府规章,调查相关法规施行后用人单位的实践情况、发生纠纷后的企业内部处理和司法实践的情况。
六、结论
大数据时代给劳动者个人信息保护带来了挑战,劳动者在就职任何阶段的各类信息都有可能遭到用人单位的过度处理,有必要对用人单位的行为进行妥善的立法规制。我国目前在个人信息保护方面的立法规定较为散乱,部门法之间、中央与地方之间缺乏有效的衔接、配合,立法规定的详尽程度与严格程度有所欠缺,且关于劳动者个人信息保护的立法规定缺位。对此,可以分析美国、欧盟、日本等的立法模式与内容,借鉴域外经验,完善劳动者个人信息保护方面的立法,促使我国劳动者个人信息保护愈来愈好的发展。
参考文献:
[1]田思路:《智能化劳动管理与劳动者隐私权的法律保护》,载《湖湘论坛》2019年第2期。
[2]苏炜杰:《大数据时代我国劳动者的隐私保护:对欧盟和美国立法的借鉴》,载《社会科学论坛》2020年第4期。
[3]王利明:《人格权法研究》,中国人民大学出版社2005年版,第594-602页。
[4]王健:《社交媒体中劳动者隐私权的法律保护——基于欧盟与我国司法实践的比较研究》,载《华中科技大学学报(社会科学版)》2019第4期。
[5]Omar Tene.“Privacy Law’s Midlife Crisis: A Critical Assessment of the Second Wave of Global Privacy Laws”,74 OHIO ST. L.J. 1217,1220 (2013).
[6]张民安主编:《侵扰他人安宁的隐私侵权——家庭成员、工作场所、公共场所、新闻媒体及监所狱警的侵扰侵权》,中山大学出版社2012年版,第236-237、263页。
[7]参见前注[6],苏炜杰。
[8]黎志敏、蒋 川、王 萍:《刍议美国〈2008 年遗传信息反歧视法〉及其启示》,载《医学与哲学(A)》2015 年第 3 期。
[9]Gail Lasprogata,Nancy J King,Sukanya Pillay.“Regulation of Electronic Employee Monitoring: Identifying Fundamental Principles of Employee Privacy through a Comparative Study of Data Privacy Legislation in the European Union”,United States and Canada,STAN. TECH. L. Rev. 4.( 2004) .
[10]许 可:《欧盟〈一般数据保护条例〉的周年回顾与反思》,载《电子知识产权》2019 年第 6 期
[11]参见前注[6],苏炜杰。
[12]徐婉宁:《劳工隐私权之保护:以日本法上劳动关系存续中劳工健康资讯之隐私保护为中心》,载《台大法学论丛》2017年第4期。
[13]魏倩:《日本法上的劳动者人格保护——以劳动者健康隐私为中心》,载《科技与法律》2014年第3期。