「職場物聯網」下涉及員工資訊隱私權之保護問題
眾律國際法律事務所 范國華/主持律師、吳尊傑/法務助理
從工業革命興起伊始,再從弗里德里克·溫斯羅·泰勒(Frederick Taylor)早期的「科學管理」思想到戴夫.尤里奇(Dave Ulrich)提出的「人力資源管理三支柱」;時至今日,在資訊時代下,科技發展滲透到絕大多數的人力資源管理模式之中。其中,值得期待的是「職場物聯網」(WorkPlace-IOT)之未來性。[1]本文有鑑於職場物聯網或將顛覆傳統人資管理模式,惟亦有衍生相關涉及員工資訊隱私權保護的法律問題。在這一點上,本文認為企業在未來建構職場物聯網時務必認真看待。
首先,所謂「物聯網」(Internet of Things, IoT),意即「萬物相連的互聯網」,乃以互聯網為基礎進行延伸及擴展的網絡,並將所有資訊傳感裝置與互聯網相結合之巨大網絡,從而得以實現在任何時間、任何地點、人、機、物的互聯互通。[2]因此,企業建置職場物聯網系統的目的,實有助於員工根據喜好自動調節辦公設備,以優化工作環境、監測辦公場所人員資訊以及提升職場安全性。[3]本文認為,物聯網生態系統雖有利於企業內部可持續發展及市場預測,但從建置系統之硬體層、軟體層、連接層及數據層來看[4],則將意味著企業利用智慧裝置來隨時隨地採集職場中物體的動態資訊。縱然人資部門得以借助物聯網來作數據洞察優化和改進職場環境、員工體驗、規章制度以及流程等有關內容。[5]惟亦會碰觸到涉及員工個人資訊隱私權等問題。
關於個人資訊隱私權的保護,依照司法院大法官釋字第603號解釋[6],該號解釋明確了憲法保障「個人自主控制個人資料之資訊隱私權」,即無論是一般或特殊之個人資料,該個人資料當事人的同意權原本就屬於憲法所保障的基本權利。因此,企業蒐集、處理或利用特殊之個人資料,皆須經過當事人的同意。基此,立法院在晚近2015年的一次修法中[7],立法者認為若「當事人書面同意」僅為得例外蒐集的條件之一,那麼勢將導致保障「個人自主控制個人資料之資訊隱私權」的精神落空;又,現行法中大量使用籠統的「公共利益」條款,涉及到「不確定法律概念」問題甚為嚴重,至此造成公務機關在個人資訊保護的層面上,似乎有脫法行為,尤以敏感性個人資料的保護不足為重。因此,修正個人資料保護法第7條第4項,蒐集者就本法所稱經當事人同意之事實,應負舉證責任。葉志良教授認為,此舉證責任規範在複雜多變的物聯網世界,其對資料主體的保護程度較高,故值得被肯定。[8]
總之,上述修法有助於臺灣在物聯網科技走向普及化的時代,修法以符合新時代趨勢之個人資料保護規範。又從歐盟GDPR中分析很多與物聯網有關之規範,並指出需建立「可供操作的告知同意」,原因在於物聯網環境下資料主體難以知悉被特定監控物件所蒐集、處理及利用其個人資料。雖然傳統資料保護法律亦有規定資料主體於受告知並予同意的前提下,始可對該資料進行蒐集、處理及利用。惟歐盟GDPR有鑑於這在物聯網時代應屬常態,所以進而強調資料主體須給予更明確之同意行為,並採取適當保護措施以便保護資料主體之權利以及正當利益。[9]除此之外,完備資料主體之權利與涉及到資料推測、資料再利用暨特徵分析之風險管控等,尤其在物聯網時代下,資料主體逐漸喪失自身就個資之控制能力,故讓資料主體藉著取得較強的權利,以此來平衡資料經濟運作下之失衡狀態。[10]就顯得更為必要!
最後,誠如高德納諮詢公司(Gartner)研究副總裁Nick Jones所言「數據是推動物聯網的燃料,該組織從數據中獲得意義的能力將決定它們的長期成功」。[11]由此可見,在萬物互聯的物聯網時代,掌握大數據的公司意味著其已擁有通往未來的鑰匙。然而,由企業之「職場物聯網」以觀,雖然智慧化工作場所有助於提升員工對週遭環境的滿意度,從而打造一個於企業於員工皆有利的工作場所。但企業亦可能透過各種傳感裝置來侵害員工的資訊隱私權。故解決之道,即應強化「可供操作的告知同意」之運轉機制。
[1] 參見法國里昂商學院、眾旗,「2020全球人力資源科技趨勢研究報告」,研究報告,2019年8月,頁3。