宋普文 杨雯 蓝亭亭|个人信息保护视角下病假管理的合规建议
宋普文
上海汉盛律师事务所高级合伙人杨雯
上海汉盛律师事务所律师蓝亭亭
上海汉盛律师事务所实习生民法典、个人信息保护法均进一步加强了对个人信息的保护,劳动者病假信息作为敏感个人信息,得到了更有力的保护。用人单位通过病假审批与病假核查的方式进行病假管理,用人单位的用工管理权与劳动者个人信息保护存在冲突。用人单位作为个人信息处理者,对劳动者病假信息的处理应以必要为限,落实目的限制原则在规章制度中的适用,满足法律法规对知情同意规则的规定,并履行对劳动者病假信息的安全保护义务。
在企业用工管理过程中,病假管理是一大常见事项。病假是日常员工请休假期中的一种,一般指劳动者本人因患病或非因工负伤,经医生根据病情诊断建议,停止工作治病休息的期间。而医疗期又不同于病假,医疗期是一个法律概念,由《企业职工患病或非因工负伤医疗期规定》(劳部发(1994)479号)第二条阐明定义。医疗期是企业职工患病或非因工负伤,停止工作,治病休息的时限,在此期间,用人单位不得解除劳动合同,体现对相对弱势的劳动者的倾斜保护。
通常情形下,员工罹患疾病的严重程度、所需的病假时长需要由专业的医生进行诊断,用人单位通过医院出具的诊断结果、建议的休假天数对员工的病假申请作出处理。在用工管理过程中,劳动者出现身体不适症状或者罹患疾病时,用人单位一般会批准员工的病假申请,以保障劳动者合法权益。但是,实践中存在一小部分劳动者恶意利用病假制度的情形,用人单位作为理性经济主体,为预防员工出现“泡病假”、虚假病假等情形,会采取一些措施对劳动者申请病假的条件、程序进行审核与管理。
用人单位一般会在规章制度中对劳动者申请病假的流程、形式做出较为严格的规定。部分企业除了要求员工提交医生开具的病假单外,还会要求员工提供较为详细的病假信息,例如病历本、诊断信息、化验报告、X光报告等,作为病假批准的前置条件。
我国民法典是立法领域具有划时代意义的重大成果。我国民法典在编排与内容上,均加强了对个人信息的保护。在编排方面,民法典将“人格权条”独立成编,并在其第六章规定“隐私权与个人信息保护”。法典的编排一方面体现了社会发展的需要,另一方面也回应人民大众对保护人格尊严的要求。在内容方面,民法典第1034明确了健康信息属于自然人的个人信息,受到法律保护。民法典第1035条明确个人信息处理原则与条件,处理个人信息应当遵循合法原则、正当原则与必要原则,并取得该自然人或者其监护人的同意。
2021年我国个人信息保护法正式实施。个人信息保护法旨在维护个人信息权益,规范个人信息的处理行为,全面规定了信息处理的规则与责任,提高了我国个人信息保护的标准与水平。个人信息保护法为个人信息权益的确认和保障提供了一套专门的规则体系,该法既包括公法规则,也包括私法规则,具有一定的综合性。个人信息保护法在第5条、第6条、第7条明确信息处理应遵循合法、正当、必要、诚信等原则,为信息处理行为作出指导。根据个人信息保护法对于“个人信息”做出的定义,个人信息的本质特征是其可识别性。个人信息保护法第28条的规定强调了敏感个人信息的重要性与处理条件,并明确敏感个人信息包括生物识别、医疗健康、行踪轨迹等信息。根据上述规定,劳动者的医疗健康信息属于敏感个人信息,用人单位如果要对其进行处理应当以充分必要性为限,并采取严格的保护措施。
民法典第1034条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
民法典第1035条规定:处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。根据国家标准公告(2020年第1号)制定的《信息安全技术个人信息安全规范》 (以下称《个人信息安全规范》)已于2020年10月1日正式实施。《个人信息安全规范》对个人健康生理信息进行举例,包括但不限于个人因生病医治等产生的相关记录,如病历本、住院记录、检验报告、手术及麻醉记录、护理记录、生育信息、以往病史、现病史等都属于个人健康生理信息范畴。较为详尽的列举也为劳动者保护自身隐私权作出指引,同时为用人单位对劳动者病假信息的知情界限划定红线。
平衡用人单位用工管理权与劳动者个人信息保护权益二者间的冲突,关键在于用人单位获取劳动者病假信息的限度。为了劳动关系的平稳与发展,劳动者需要让渡一部分的个人信息权益,满足用人单位人力资源管理的需求,同时,用人单位也应当注意其要求劳动者提供病假信息的详细程度。
在(2021)京03民终106号案件中,用人单位为了加强病假管理,在《员工手册》中对劳动者病假申请设置严格的审批程序,未经系统申请并获批准的,视为旷工。病假证明文件涵盖了病历本、诊断证明、病假条等要求。二审法院认为,劳动者的患病细节属于个人隐私,用人单位不应过分要求劳动者提供详尽的患病信息,仅以能反映劳动者患病就诊事实即可,超过必要之限则易侵犯劳动者隐私和个人信息保护权益。而在(2019)沪02民终8959号案件中,法院则支持用人单位要求劳动者提交详细的病假信息以遵循公司的请假手续,法院认为在劳动者未按照用人单位规范手续申请病假的前提下,用人单位进一步要求劳动者提供化验证明、B超检查证明等,并前往相关医院复核劳动者罹患疾病的真实性,属于企业用工自主权的体现,不能理解为恶意针对劳动者,侵犯劳动者隐私权的行为。
对于这个案件与前述案件,用人单位均要求劳动者提供较为详细的病假信息,例如化验证明、病历本、诊断证明等。法院立场之所以有很大不同,有一原因在于,(2019)沪02民终8959号案件中的劳动者请假方式日渐随意、懈怠,从一开始申请病假手续较为规范,到委托家中老人递交病假单,再到以微信形式发送病假单,且每次请假均有延后数日之情形。用人单位对该劳动者病假申请的真实性产生合理怀疑,在此前提下,进一步要求劳动者提交就诊信息并非是用工管理权的滥用。
用人单位获取劳动者病假信息的限度可从两方面进行理解。一方面在于获取内容;另一方面在于获取条件。首先在获取内容上,用人单位要求提交的病假信息应以必要为限,其限度在于能够直接反映劳动者患病就诊的事实,若过分要求劳动者提供详细全面的就诊信息,则存在侵犯劳动者隐私权的风险。对于获取内容,不宜采取“一刀切”的态度,法院也并未完全禁止用人单位向劳动者提出提交病历本、化验报告等详细信息的权利。(2019)沪02民终8959号案件中,法院便指出,一方面,劳动者拥有因罹患疾病,停止工作,治病休息的权利,另一方面,用人单位合法合理的管理自治权应当得到遵守与保护。劳动者应当遵守用人单位的规章制度,取得医院开具的病假单应当及时递交,规范履行用人单位的请假手续。当用人单位对劳动者病假申请的真实性存在合理怀疑时,用人单位有权对其病假单的真实性进行审核,这是用人单位应有的管理措施与基本权利。所以,劳动者病假信息真实性存疑的情况可以成为用人单位对进一步患病就诊信息的获取条件。当劳动者既未按照规章制度办理请假手续,又拒绝返岗提供劳动,用人单位有理由将其行为认定为旷工。
处理个人信息应当获得信息主体知情同意之基本法律逻辑是,关于具有独立意识的主体的个人信息处理不应该过于随意,应该尊重其个人意志,做到不侵犯个人尊严与自由。知情同意规则所折射的便是对劳动者个体信息自决的维护和人格尊严的尊重。知情同意规则适用的前提是双方处于一个利益平衡、话语权平等的场域之中。劳动关系本身便具有从属性特征,劳资双方属于典型的不对等个体,知情同意规则在劳动关系中的适用囿于困境。
个人信息保护法第13条对于处理个人信息制定了一般性的处理规则。虽然规定了个人信息处理者处理个人信息时一般需要获取知情同意,同时根据第13条的规定,用人单位在人力资源管理所必需的条件下,例如劳动规章制度和集体合同的订立中,用人单位可以处理劳动者个人信息,不需要取得劳动者同意。个人信息保护法第29条规定:“处理个人敏感信息应当取得个人的单独同意。”那么,当用人单位对员工病假申请的真实性存在疑问时,可否要求员工提交病假条、病历本、医药费单据等证明材料呢?去医院进行病假调查前是否需要取得劳动者的单独同意呢?
实践中存在两种不同的观点。观点一认为,用人单位处理劳动者病假信息应当取得劳动者的单独同意。理由是:依照特殊优于一般的规则,“敏感个人信息的处理规则”属于区别于第二章第一节“一般规定”的特殊规则,应当适用特殊规定。观点二认为,用人单位处理劳动者病假信息无需取得劳动者单独同意。持此观点者一般以个人信息保护法第13条的规定为合法性基础,第13条第2至第7款明确排除取得个人“同意”的情形。另外,用工管理是一项繁琐、巨大的工程,严格要求用人单位一项项获取劳动者单独同意不具有现实可能性,也给用人单位带来较大的人力成本与经济负担。
笔者认为,在民法典、个人信息保护法施行当下,虽然对一些细节问题还未出具相应司法解释,司法实践上也尚未形成统一口径,相关法律从业者对此也众说纷纭,但毋庸置疑,不断完善个人信息保护是大势所趋。现有司法实践也倾向于“限制”用人单位未经劳动者同意,强势获取员工个人敏感信息的行为。在(2021)沪01民终3040号案件中,上海第一中级人民法院提出,用人单位拥有管理监督权,可以对劳动者执行工作任务、履行岗位职责的情况进行监督管理。用人单位享有其发放给劳动者的工作手机所有权,但未能证明,用人单位会对工作手机的通话内容予以录音并恢复数据这一事实已经明确告知劳动者,并取得劳动者明确同意。故用人单位行使监督管理权已经超过合法合理的限度,法院对该证据的合法性不予认可。所以,用人单位在处理劳动者病假信息,例如到相关医院收集员工就诊记录以核查真实性时,应当预先征得员工同意,以免后续陷入争讼时,所获证据因超合法合理限度不被法院认可。
企业在获取劳动者病假信息时应考虑双方的利益平衡,即使是基于企业生产利益和病假监管的需要,也不能任意扩大对劳动者隐私的获知和使用程度,相反,应该限缩至最小范围,使数据的使用方式与其收集的最初目的相符。个人信息保护法第6条的规定明确了目的限制原则。在我国个人信息保护法中,“目的限制”属于具体原则,在原则体系中受到“合法、正当与必要”基本原则的指引。目的限制原则要求个人信息处理者应有合法正当目的并明确告知信息主体。在病假信息收集情形下,目的限制原则可以在行为缘起便找到保护劳动者个人信息的着力点。由于劳资双方在经济实力与话语权的差距,劳动者处于弱势地位,面对用人单位摄取信息时其信息自治的意志被压抑,信息自治空间被压缩。在域外法视角下,德国2017年联邦数据保护法第26条第2款规定,基于劳动者同意进行个人信息处理的情况,应当评估此同意是否是由劳动者的自由意志作出的,参考的两个因素是:(1)劳动关系中该劳动者对用人单位的依赖程度;(2)劳动者作出同意时所处的环境。落实目的限制原则能够克制劳资双方因经济实力和话语权不同导致的知情同意规则的异化,减小用人单位用工管理权与劳动者个人信息保护间的冲突。
1.在目的限制范围内制定规章制度
企业劳动规章制度是用人单位用于组织劳动过程、加强劳动管理的规则和制度,是“企业内部法律”。用人单位制定劳动规章制度的具体内容,限定为体现劳动者权利保护,督促劳动者履行义务等直接涉及劳动者切身利益的事项。个人信息保护法第13条将用人单位依法制定的规章制度和集体合同作为处理劳动者个人信息的合法性基础。进而用人单位对劳动者的病假管理可通过用人单位的规章制度进行规制,属于劳动管理与用工管理权利的一部分,但亟须解决的是用人单位管理权和对劳动者个人信息保护之间的冲突与平衡问题。
在实践中,部分用人单位出于加强病假管理的目的,在公司规章制度中预先规定了严格的病假审批程序,要求劳动者在病假申请时提交完备的病假信息,包括就诊记录、病历本、化验报告、诊断信息等。规章制度虽然作为用人单位用工管理的一大途径,但也并非可以随意扩张管理权的避风港。
2.明确进一步获取病假信息的条件
用人单位可以在规章制度中明确约定或规定在不同条件下所对应的,劳动者应当提交的病假信息范围。在规章制度的制定仅在目的限制范围内时,劳动者只需要在形式上和内容上提供能直接证明其患病需要休息的病假信息。假如劳动者只需要提交病假单,就可以获得病假,那很可能存在意图达到不提供劳动又可以获取病假工资的劳动者,此时规章制度对员工“泡病假”、虚假病假的情况毫无防范的话,无疑不利于用人单位的用工管理权和合法权益保护。所以,劳动者在提交病假时,如果未按照用人单位要求的必要手续进行申请,用人单位在此种情形下应如何规制员工的不合理行为?是否可以据此判断劳动者属于恶意旷工,对员工予以违纪等处分?其中的界定需要根据具体案件具体分析。
用人单位可以在劳动合同或公司规章制度中明确约定或规定,员工申请病假时,需要按照公司规定范围提供病假信息,如果用人单位对劳动者病假信息的真实性存在疑问时,员工有义务配合公司进行病假核查,包括但不限于进一步提供更加详细的证明材料,授权同意用人单位至相关医院进行走访调查。若员工不予配合或提交的,则用人单位有理由怀疑劳动者虚假病假,基于劳动者病假申请未符合实质性与程序性标准而不予批准。在(2020)沪02民终1800号案件中,公司对病假真实性提出异议,其公司员工手册明确规定公司可要求肖某提交与病假证明相对应的病史记录,但肖某予以拒绝。后公司按照其员工手册的相关规定,以旷工为由解除双方劳动关系。对此,法院认为劳动者应当遵守用人单位制定的不违反法律规定的规章制度,依据公司员工手册的规定办理请假手续,其仅仅通过手机信息告知公司,让公司自行核实的行为与员工手册的规定不符,因此公司认定劳动者旷工并决定解除与其订立的劳动合同符合员工手册的规定,构成合法解除。由本案可知,在用人单位举证证明劳动者存在虚假病假情形,进一步要求劳动者提供病假详情时,其属于用人单位用工管理权项下的权利,劳动者有义务遵守用人单位规章制度规定的病假申请流程。公司可以在规章制度中规定当劳动者申请病假的日期超过一定天数时,劳动者本人或其亲属应当提交进一步的病假证明,做到用人单位管理权与劳动者隐私权的平衡。
个人信息保护法对同意规则的制定主要分为“无需同意”“同意”和“单独同意”。“无需同意”与“同意”的情况对应个人信息保护法中的第13条,“单独同意”的情形主要对应个人信息保护法中对敏感个人信息的规制。根据前文所述,劳动者的病假信息属于敏感个人信息,用人单位在处理前应当取得劳动者的单独同意,目前对“单独同意”未有法律释义,基于对相关条文的理解,“单独同意”也代表事项的单项同意,区别于概括性同意或者一揽子同意。比如,用人单位在规章制度中规定特定条件可获取员工健康信息时,应将病历本、化验报告、诊断信息等具体事项逐一列出,逐项征得员工的单独同意。
个人信息保护法对个人信息的处理作出解释,“处理”包括“收集、存储、使用、加工、传输、提供、公开、删除等”。用人单位在个人信息保护视角下的病假管理主要体现为对劳动者病假信息的处理。当劳动者申请病假时,用人单位对劳动者病假信息的处理聚焦在病假审批与病假核查的阶段。
在病假审批阶段,用人单位对劳动者病假信息的管理会涉及对其个人健康信息的收集、存储、使用。用人单位在此阶段要求劳动者提交病假信息时,应当向劳动者充分说明其收集的目的与必要性,取得员工同意。若员工未同意提交病假信息详情,用人单位直接不予批准员工病假申请,进而以旷工、违纪等理由进行处分或解除劳动合同的,缺乏合理性。用人单位与劳动者之间具有密切人身依附关系,当劳动者患病具有特殊性和私密性时,出于自我保护的本能,对病假信息的隐私部分进行处理时,其病假申请程序上可能存在瑕疵,但用人单位不应严加苛责,以“一刀切”的态度予以驳回。在(2019)京02民终11084号案件中,劳动者因患有特殊疾病异性症,并选择手术治疗,并持有医院出具的真实有效的诊断证明和休假建议。劳动者术前向其领导口头请假,术后补办了线上请假手续,提交了住院记录和诊断证明。法院认为,用人单位在未查证病假和病情的情况下,直接拒绝批准劳动者的休假申请,而后又仅以人力资源部未通过劳动者病假审核就认定劳动者未履行请假手续,其未到岗行为属于旷工,属于用工管理权行使不当,缺乏合理性。
在病假核查阶段,用人单位对劳动者病假信息真实性存疑时,一般可以采用前往劳动者就诊医院进行调查的方法。此时应当预先告知劳动者,取得劳动者同意。去医院核查劳动者的病假信息也是对劳动者敏感个人信息的收集,用人单位应当注意行为限度的必要性与程序的合规性,即使对劳动者病假信息存疑,未有较为明确的质疑理由和证据,贸然前往医院进行病假调查,存在侵犯劳动者隐私权的风险。
另外也需要注意,取得劳动者“同意”也并非是用人单位无限度收集劳动者病假信息的避风港。在域外,GDPR对于知情同意的构成要件进行了列举,其间包括对同意“自愿性”的判断。可以理解为主体同意时的意思表示是否具有自控性、真实性。用人单位背靠强大的信息技术和经济能源,具有强大的数据分析能力与数据挖掘能力,用人单位对劳动者个人信息的后续整合、流转和使用可能远远超过劳动者原来同意的范围与用途,而劳动者在此前无法真正评估风险并基于理性判断做出正确的意思表示,使得劳动者在进行同意的意思表示时其自控性克减。另外,从真实性角度出发,劳动者即使在未形成劳动关系时相较预期提供工作岗位的用人单位仍处于弱势地位,对于用人单位所要求提供的与劳动合同不具有直接关系的个人信息仍给予同意,劳动者说不的意识和表示被压制,使其同意的意思表示不够真实、自愿。域外法律为我们平衡劳动者个人信息保护与用人单位病假管理的冲突提供宝贵思路。根据我国劳动合同法第26条的规定,劳动合同中排除劳动者权利,免除用人单位法定义务的条款无效。用人单位若只是一味地让员工签署个人信息处理同意书,例如,在劳动关系建立之初,让员工一揽子签署诸多协议,要求员工在病假申请时提交详尽的病假信息、预先同意后续劳动合同履行过程中可能发生的病假调查,排斥劳动者个人信息保护权利,也很可能被视为无效授权,若用人单位据此作为病假信息处理的基础,则存在隐私权侵权风险。
2001年,“欧盟数据保护工作组”发布《雇佣背景下处理个人信息的意见》,提出在劳动用工领域,劳动者个人信息处理的7项基本原则,其中便包括安全原则,要求用人单位采取适当措施和技术确保劳动者个人信息的安全。同时根据个人信息保护法第51条的规定,用人单位在处理劳动者病假信息时,应当根据其出于病假管理的目的,可能存在的安全风险,采取措施确保用人单位在处理劳动者病假信息时符合法律、行政法规的规定,并防止劳动者的病假信息出现泄露、篡改或丢失的情形。用人单位依靠其经济实力和技术能力拥有较强的信息处理能力,同时承担信息处理者的管理责任,应当采取各种措施维护劳动者的个人信息权益。在信息处理过程中,用人单位应当保证劳动者病假信息不遗失、不被盗用、不被篡改、不被破坏、不被恶意访问,加强用人单位对劳动者个人信息的保护责任。
由于劳资关系的特殊性,职场领域的安全原则不仅规制技术措施,同时还应当考虑时间跨度。劳动合同法第50条第3款规定:“用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查”。这是用人单位对劳动合同的保管义务,此条虽然仅规定劳动合同文本,并未涉及其他个人信息。但是这说明在劳动关系结束后,用人单位仍然保管着劳动者的部分个人信息,这一段时间的规制容易被忽略但同时也是劳动者个人信息权益遭受侵害的高发期。并非所有劳动关系均为到期自然束,一段劳动关系存在非自然结束的情况,比如,用人单位单方解雇,劳动者单方解除劳动合同,此时,劳动者的个人信息存在被用人单位不当披露的风险。对劳动者而言,一段劳动关系的结束意味另一段劳动关系的开始,劳动关系的结束阶段与建立阶段其实是紧密相连的,前一段劳动关系的经历与表现必然影响下一段劳动关系的展开。个人信息保护法提到了信息保留的最少时间原则,劳动合同法中仅规制用人单位对信息保管两年的最短时长,并未规制可保留的最长时间,导致劳动者个人信息保护在时间维度形成缺口。于此,可以考虑为用人单位可保留劳动者病假相关信息的最长时间提出指导性规定。同时明确劳动者作为个人信息主体对病假信息的删除权,在劳动关系结束后,用人单位为了病假管理而要求提供的个人信息此时应当主动删除,或者在劳动者的要求下删除。
对劳动者个人信息的保护折射出对其人格独立和自我决策价值的追求,维护劳动者尊严,给予劳动者体面劳动的社会环境。在当今大数据时代,劳动者的病假信息作为数据的一部分承载了更多的利益与价值,个人利益与企业利益相互交织。病假信息的收集与提供,对平衡用人单位管理权与劳动者个人信息保护提出要求。基于劳动关系的从属性本质,劳动者在面对用人单位时很难拥有真正的信息自决权。在进入劳动关系后,用人单位基于强势地位以及对经济利益的追求,容易造成管理权的不合理扩张。用人单位应当衡量病假信息提供与审核的标准,标准过高,存在隐私权侵权的风险,标准过低,无法防范劳动者“泡病假”或虚假病假的情形。用人单位作为经济体,承担一定的社会责任,应秉承合理公平的态度对待劳动者的病假管理。
往期精彩回顾
胡华辉 吴茜茜|基于“长短视频之争”的二次创作类短视频侵权界定规则
王梦静 王青艳|建立私募股权基金二级市场拓宽私募基金退出路径研究报告
上海市法学会官网
http://www.sls.org.cn