判例译析 | 保护生物识别数据：雇员没有义务使用指纹考勤系统

作者：马蓁蓁，加州大学伯克利分校LL.M.

一审：刘汉青，北京师范大学硕士

二审：Kristing，北京交通大学本科

编辑：陈逸漩，中国人民大学本科

编辑：王冰子，烟台大学本科

被告在德国经营一家放射科诊所，原告自2007年起担任该诊所的医疗技术助理。多年来，诊所提供纸质版时间表，由员工自行填写每日到岗工作时间和加班情况。2018年8月1日，诊所引入了一个指纹考勤系统，并公开说明该电子系统不会储存员工的整个指纹图案，只储存指纹细节特征点的数字代码。但此后原告继续在纸质表格上记录上班时间。被告先后向原告发出两次警告，称如果原告依然拒绝使用指纹考勤系统，将采取包括解雇在内的各种措施。原告则认为被告采集其生物特征数据违反了GDPR（General Data Protection Regulation，《通用数据保护条例》），要求被告将前述两次警告从其人事档案中删除。

被告认为其采用的指纹考勤系统并没有储存指纹，而只储存了指纹上的细节特征点，这不属于受到GDPR保护的生物识别数据。同时，该系统采用了保护性措施，将记录的指纹细节特征点转化为数字代码，防止它们被未经授权的访问者直接读取。

被告还提出，其与原告之间的劳动合同能否得到履行，在很大程度上取决于原告能否遵守约定的工作时间。根据被告长期以来的经验，通过其他方法（例如填写纸质表格、输入识别号码、使用电子芯片卡等）记录的工作时间都很容易被员工篡改，导致事后难以确认实际工作时间。从更长远的角度来看，被告对员工工作时长的记录会影响到员工的职位晋升，因而采用准确度更高的考勤系统也符合员工的利益。

此外，由于被告经营行业的特殊性，诊所中保存了若干患者的个人健康数据，被告称为了防止患者信息丢失，必须建立能够准确记录进出诊室的员工的身份和进出具体时间的电子系统，以确定哪些员工曾接触过这些敏感数据。同时，部分员工的工作还面临一定的职业暴露风险，指纹考勤系统能够帮助被告快速明确并明确员工的感染传播链条。

最后，被告提出使用指纹录入系统的花费比维护芯片卡系统的费用低。因为芯片卡一旦丢失就必须更换或者重新编程，指纹考勤系统则不存在这一开支。

本案主要争议点为被告发出的两次警告是否合法，即在GDPR的框架下，诊所是否有权以记录考勤数据为目的，收集和处理员工的指纹信息。

（一）指纹细节特征点是否为受到GDPR保护的生物识别数据

根据GDPR第4条第14款，由特定技术处理而来、与自然人的身体特征相关、可以用于确认自然人的独特身份的个人数据属于“生物识别数据”。[3]本案中具有争议的个人信息为原告的指纹细节特征点。在实践中，由于指纹图案具有较高的复杂度，它们不会被作为一个整体进行处理，而是在人为划分出数个细节特征点后才能被识别，因而细节特征点就是识别指纹的最小单位。

由此，法院认为被告的抗辩无法成立，其所收集的指纹细节特征点属于能够与自然人独特身份挂钩的生物识别数据。

指纹细节特征点示例，图源“科普中国-科学原理一点通”

（二）被告对生物识别数据的处理是否必要

根据GDPR第9条第1款，禁止出于识别自然人独特身份的目的处理生物识别数据。[4]不过，第9条第2款规定了前者的例外情况，其b项规定：“对于数据控制者或者数据主体在雇佣关系等领域履行义务和行使权利而言，处理是必要的，只要这是由欧盟、成员国法律或成员国法律下的集体协议所授权的，且对数据主体的基本权益有合理的保障”。[5]根据欧洲法院相关判例法和《欧盟基本权利宪章》第31条第2款规定的劳工工时制度[6]，雇主有义务建立一个客观可靠的系统，用以衡量员工的每日工作时间。因此，如果采集员工的指纹对被告完成考勤工作和原告遵守约定的工作时间来说是必要的，则这一处理生物识别数据的行为不会违反GDPR。

然而，法院认为这一说法不能成立，使用员工的生物识别数据对于原被告分别履行义务和行使权利而言并不具有必要性。法院的主要判决理由如下：

1.使用生物识别数据对员工利益侵害强度更大

在目前的技术条件下，记录工作时间的途径是多样的，例如填写纸质表格、输入识别号码、使用电子芯片卡等，一个客观可靠的考勤系统完全可以通过收集员工生物识别数据以外的方式记录工作时长。相较于其他可替代的考勤方式，通过处理员工生物识别数据的方式进行考勤，对员工个人隐私的侵害强度和数据安全的威胁明显更大。而被告处理员工出勤数据所获得的利益并没有显著增加，这显然违反了比例原则，不能通过最基本的必要性测试。

2.被告对其他必要性的证明缺少证据

被告虽然提出指纹考勤系统的运行成本和被员工恶意篡改的风险更低，但是这一主张仅基于其多年来经营的经验和常识，没有提供客观事实予以证明。

对于诊所中储存的患者健康信息，法院认为被告没能说明此类信息的具体保存方式和风险等级。更重要的是，面向员工的考勤记录系统不应当成为保护患者个人数据的主要措施，二者不具有手段与目的上的关联性，被告理应采取其它更合适的方式加强对患者敏感信息的针对性保护。

对于被告提出的指纹考勤系统能够帮助明确员工感染链条的说法，法院同样没有支持。联邦劳工法院曾规定，工作中的危险应当在一定的风险评估框架内确定，以便制定必要的预防措施。但在本案中，被告既没有提供具体事实证明存在员工感染的危险，也没有提供风险评估的结果以证明澄清感染链的必要性。

最终，柏林和勃兰登堡地区劳工法院判定，被告无权强制原告使用指纹考勤系统，应从原告的人事档案中删除其对原告发出的两次解雇警告。

相较于德国对于个人信息保护的重视，在我国，用人单位收集劳动者指纹信息用于记录考勤的情况相当普遍，这一做法在实践中似乎也得到了大众的普遍默许。例如，在中国裁判文书网检索全文包含“指纹考勤”字样的民事案由文书，检索结果为4684篇。

最后访问时间：2022年8月22日

然而，我国2021年颁布的《个人信息保护法》第28条至第30条和第55条明确规定，生物识别信息属于敏感个人信息，处理此类信息需要事前进行个人信息保护影响评估，取得个人的单独同意，并向个人告知处理该信息的必要性以及对个人权益的影响。可见在我国立法视角下，个人的生物识别信息能够直接与特定自然人身份挂钩，且在较长时间跨度内基本不会发生变化，一旦处理不当则可能引发难以补救的后果。与GDPR相似，我国《个人信息保护法》也严格限制了对指纹等生物识别信息的处理行为。

基于此，目前我国劳动者与个人信息处理者对指纹信息的保护意识较弱，现实中种种滥用指纹采集的行为还有待规范。本案对我国最直接的启示是，用人单位应当使用对劳动者个人信息侵害最小的方式进行考勤，强制采用指纹考勤系统难以通过必要性测试，有违反《个人信息保护法》之嫌。

- 参考文献 -

[1] 参见LAG Berlin-Brandenburg - 10 Sa 2130/19案，https://gdprhub.eu/index.php?title=LAG_Berlin-Brandenburg_-_10_Sa_2130/19。

[2] 参见GDPR第4条第14款：‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data.

[3] 参见GDPR第9条第1款：Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

[4] 参见GDPR第9条第2款：Paragraph 1 shall not apply if one of the following applies: ……processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject.

[5] 参见《欧盟基本权利宪章》第31条第2款：Every worker has the right to limitation of maximum working hours, to daily and weekly rest periods and to an annual period of paid leave.