雇员个人信息是后隐私时代劳动者人格尊严的表现形式和重要内容。近年来,伴随着信息技术的发展,各个领域都逐渐向数字化转型,作为生产要素之一的个人信息无疑为政府行政管理、市场主体竞争、企业内部管理等方面发挥着不可替代的作用。在劳动领域也不例外,用人单位对劳动力管理由泰勒制转向智能化,越来越多的用人单位倾向于依靠招聘算法、监控设备、第三方离职预警软件等手段实现多元化管理目的,包括筛选员工、劳动效率监督以及人事结构调整等。归根到底,这些目的的实现都离不开雇员个人信息作为“原材料”。从信息保护和信息利用的权重来看,用人单位对劳动者信息的利用与保护之间极不匹配,鲜有用人单位重视劳动者信息权益。究其原因,一方面是因为法律对劳动者信息权益保护上的缺失;另一方面,劳动关系的从属性以及劳动合同的继续性都使得用人单位在获取或处理雇员信息时几乎没有门槛。从司法实践来看,近年来由劳动者个人信息引发的权益损害案件不在少数,所造成的损害类型有数据泄露、下游犯罪、社会分选、数据监控下的不安和自我审查等,这些损害都属于新型损害。在劳动领域还存在就业歧视、不法解雇等特有的信息损害。传统私法侧重于对隐私权侵害的事后救济,但劳动者个人信息的范围远宽于隐私权,将隐私权保护直接套用在劳动者个人信息权益保护上只能解决部分问题,难以有效规范用人单位信息处理行为,也无法为劳动者信息权益提供周延的保护。近年来世界范围内掀起了对个人信息保护的浪潮,也催生了大量信息立法,当前世界各国信息立法模式主要包括,以欧盟为代表的综合性立法、以美国为代表的从隐私到分散式信息立法模式。我国的信息立法模式与欧盟更为相近,可以概括为具有公私法融合属性的信息立法。在劳动领域,我们可以将雇员个人信息定义为“以电子或其他方式记录的能够单独或者与其他信息结合识别特定劳动者的个人信息,用人单位为信息控制者,享有在一定限度内使用信息的权利。”在信息分类上,《民法典》和《个人信息保护法》形成了对个人信息双轨制的分类格局,但是双轨制分类方式难以与劳动关系语境下的雇员信息特性相匹配。为了规范用人单位信息处理行为、划定信息处理的合理范围,根据劳动关系的特性,可以将劳动者个人信息分为三类,即“符合雇佣目的的个人信息”、“超越雇佣目的的敏感信息”、“超越雇佣目的的私密信息”。雇员主体的信息保护与一般的消费者主体有所不同,主要体现在三个方面,即劳动者主体身份的特性、信息处理的合法性基础不同以及损害后果上的差异。信息自决权作为信息保护的核心理论,强调信息主体对自身个人信息的控制与选择,即自我决定的权利,由信息主体基于其真实意思、自由地决定其个人信息在何时、以何种方式、在多大范围内被收集、使用、转移等。信息自决权理论起源于德国,其根源是自然法上的伦理要求,即“人的尊严”,体现了人格的价值地位和对人格的尊重。尽管自决权理论在个人信息保护中具有至高的地位和不可动摇的根基,但自决权理论也存在固有弊病。反映到劳动领域中,自决权存在巨大的适用缺陷,受制于劳动关系的从属性,劳动者几乎没有自决的空间,主要体现为劳动者意思表示的非自由以及同意的异化。为克服自决权理论的弊端,需要寻找其他理论基础替代自决权理论,实现对劳动者信息权益的保护。对持续性、不平等法律关系的稳定和发展具有强大解释力的关系契约理论,可以作为自决权理论在劳动领域的合适的“替代品”。关系契约理论与劳动关系之间具有紧密的关联关系,能够运用和拓展到劳动者信息保护问题上。关系契约理论通过劳动基准法律制度、集体合同制度矫正劳动者弱自治性,该理论所蕴含的“对团结的维持”这一价值理念,制约着用人单位基于不法信息处理行为而作出解雇决策。除了关系契约理论外,面对信息风险的社会化,劳动法上的倾斜保护理念、社会保护理念仍然具有解释力,发挥着预防和解决不确定信息风险及实际损害的作用。用人单位在处理劳动者个人信息时,应当遵守信息立法中的一般原则,即合法、正当性和必要性原则。在这些一般原则的指导之下,结合《个人信息保护法》、《网络安全法》与《民法典》中的规定,信息处理者的义务具体可归纳为:保密义务、告知与通知义务、安全影响评估义务、信息安全保障义务。个人信息本身兼具公益性和私益性,这也决定了《个人信息保护法》是一部具有公私法融合属性的法律。与作为第三法域的社会法十分相似,两法之间都以社会公共利益为连接点。鉴于劳动者个人信息的属性,用人单位的信息义务也同样具有双重属性,故对其义务亦应从社会法视角进行解读。此外,在职场空间对劳动者信息的处理存在复数主体的情形也十分常见,包括用人单位委托处理、用人单位主体地位变化引起的信息转移、雇员信息的跨境传输等场景。这些情形下的复数信息处理者应当遵守信息法律制度中的特殊规则,承担对应的信息义务和法律责任。用人单位不遵守前述信息处理原则和义务,可能损害劳动者的合法权益。由于劳动合同是继续性合同,信息处理将贯穿于劳动关系的始末,劳动者个人信息权益也可能在各个阶段的处理过程中遭受损害。在求职阶段,当用人单位超越了一定界限收集或处理劳动者的个人信息,该行为应评价为不法,由此给劳动者带来的损害后果主要是劳动者平等就业权损害、影响劳动者自由择业权。目前我国对“就业歧视”采取封闭列举式的认定,但随着时代的变迁,用人单位信息获取和处理能力都不断增强,越来越多的新型歧视不断出现,但就业歧视的内涵无法涵盖基于信息处理的歧视性决策。故应打破传统就业歧视事由的限制,建立以“个人信息保护”为中心的“就业歧视”概念。在履职阶段,用人单位的侵害行为主要包括两类,其一,超越职务履行与人事管理限度的监控;其二,履职阶段的信息过度收集。用人单位不法的信息处理行为给劳动者造成的损害为违法解雇。在离职阶段,用人单位可能实施的信息侵害行为主要包括不当披露、职场信息的超期保存,所导致的损害后果表现为对劳动者再就业的不当妨害。在劳动者的信息权益以及劳动权益遭受侵害时,可以运用多元化的救济方式,包括私法救济、社会法救济以及信息公益诉讼。在私法救济方式,结合《民法典》与《个人信息保护法》的有关规定,劳动者首先可以请求消除侵害状态,有权针对过度的信息处理行为向用人单位主张撤回授权。撤回权行使后,用人单位应及时停止与原初处理目的不相容的行为。对于用人单位无权存储、非法公开信息的行为行使删除权,若相关信息无法删除或不必删除,用人单位应当进行匿名化或去标识处理。用人单位错误记载劳动者个人信息的,劳动者有权行使异议权和更正权。侵害状态的消除不足以为劳动者提供充分的救济,因此还应考虑其他救济方式。在发生就业歧视的情况下,理论上用人单位负有强制缔约义务,但从实际效果上看意义不大。在发生不法解雇的情况下,劳动者可以请求恢复劳动关系。最后,“金钱赔偿”意义上的损害赔偿与劳动法领域特有的经济补偿金或赔偿金可以作为填补损害的最终手段。社会法对劳动者信息权益损害的回应主要从四个方面推进。其一,在劳动合同层面,可以扩大劳动者单方解除权的适用范围。用人单位损害劳动者信息权益、没有为劳动者提供信息安全环境的,都应赋予劳动者单方解除权,并且用人单位需要支付经济补偿金。其二,允许在集体合同中对劳动者信息处理、信息保护问题作出灵活化的安排。借助集体谈判所形成的集体合同,能够弥补劳动者意思自治的不足,并且充分兼顾不同行业、不同工作岗位对信息处理的不同需求,灵活协调劳资双方信息利益关系。其三,借助劳动基准立法的这一契机,将劳动者个人信息保护纳入劳动基准,将其作为信息权益保护的底线。未来劳动基准法的制度设计中可以考虑在信息基准的适用主体上、基准对自治的协调与限制等方面作出规定。其四,对劳动者信息权益维护程序机制的完善,主要包括完善工会的维权功能和拓宽劳动监察的维权机制两个方面。就工会维权功能而言,用人单位侵害劳动者个人信息、没有提供保护劳动者信息权益的工作条件的,应当允许工会介入劳动关系中纠正用人单位的不法行为。就劳动监察执法而言,无论劳动者个人信息是否纳入劳动基准,劳动者信息权益侵害行为都应当纳入监察范畴,并且健全劳动监察的投诉举报机制。在私法和社会法救济之外,公益诉讼作为一种社会化的救济方式,亦应充分关注对劳动者个人信息的保护,由此拓宽劳动者的维权途径。公益诉讼可借助社会组织的力量,向一些大规模侵害行为的加害人提起诉讼,从而弥补个人能力的不足。我国《个人信息保护法》第70条在法律层面承认了个人信息的公益诉讼制度,我们应将之具体应用于劳动领域,推演形成劳动者个人信息公益诉讼的具体规则。工会组织是社会组织中最能代表众多劳动者信息权益的组织,可将之作为提起劳动者个人信息公益诉讼的适格主体。在组织层级上,可参考消费者公益诉讼将中国消费者协会组织、省级消费者协会作为诉讼主体的做法,将全国总工会、地方总工会或产业工会作为信息公益诉讼的适格原告,从而辐射不同区域和不同行业。考虑到劳动领域不法信息处理行为的复杂性与多发性,宜采用类型化列举的方式,对信息公益诉讼的范围形成限制。在责任承担方式上,可考虑引入劳动者信息侵害的惩罚性赔偿机制。