2026.06.01
企業蒐集、處理與利用個資的法律紅線
本文更新日期:2026年6月1日
在現今高度數位化的時代,企業每天都在處理大量的客戶與員工個人資料。近年來,無論是知名電商會員資料外洩遭到重罰,或是企業在招募時違規查閱求職者隱私,屢屢引發社會關注與法律糾紛。這不僅是科技業或金融機構的問題,任何蒐集、處理或利用個人資訊的組織都受《個人資料保護法》規範。一旦觸法,企業不僅可能面臨高額的行政罰鍰,負責人更可能面臨刑事追訴與鉅額民事賠償。本文將為您全面解析企業最常踩雷的個資法紅線與實務應對策略。
如何判斷是不是屬於個人資料?
在實務上,判斷資料是否屬於個人資料,主要著重於其是否具有「直接識別性」或「間接識別性」:
•
直接識別性:指單獨憑藉該資料即可直接辨識出特定個人,例如姓名、身分證字號等。
•
間接識別性:指僅憑該資料無法直接識別,但若與其他資料對照、組合、連結後,即可識別出特定個人,亦屬個人資料保護法所保障的個人資料。
依據現行《個人資料保護法》,企業蒐集個資必須有「特定目的」並符合法定事由(如當事人同意、契約關係等);若逾越特定目的使用,或未做好安全防護導致外洩,即使企業本身遭到外部駭客攻擊,依然會構成違法並面臨罰則。
【常見違反個資法情境與法律責任】
| 常見實務情境 | 可能面臨的法律責任 | |
|---|---|---|
| 未經合法授權蒐集 | 缺乏法定事由任意調查求職者信用紀錄,或未善盡告知義務(如隱私政策字體過小)。 | 行政罰鍰(5萬至50萬元)、若具不法意圖另有刑事責任 |
| 超出特定目的外利用 | 人資將應徵履歷轉交行銷部門使用,或電商將交易聯絡資訊挪作廣告促銷且未經同意。 | 行政罰鍰、民事損害賠償、違法利用罪(最高5年徒刑) |
| 缺乏適當安全維護 | 未加密傳輸敏感資料、員工存取權限未控管,導致離職者或駭客輕易取得資料庫。 | 屆期未改善可按次連續處罰(最高可達2億元)、民事連帶賠償 |
| 資料外洩與不當揭露 | 遭勒索軟體攻擊致資料外流、員工私自將客戶名單販賣/提供給第三方或公審截圖。 | 行政處分、刑事意圖營利違法利用罪 |
如果遇到了,該怎麼一步步處理?
•
Step 1:檢視個資類型及確保合法基礎
會同企業內部人資、IT與行銷主管,並尋求專業律師協助,全面檢視目前公司擁有之個資類型(區分一般及特種個資)與來源。確認現行蒐集表單、網頁隱私權條款是否符合個資法第 8 條的「告知義務」,並同時具備法定蒐集事由(如契約關係或書面同意)。
•
Step 2:建置防護與權限控管
依據結果,建立內部個資管理政策。在技術面,落實資料加密傳輸、備份與防火牆建置;在管理面,設定員工「最小必要權限」,定期辦理員工資安與個資保護教育訓練。若委託第三方處理個資,需於合約中明定受託者的保護義務與違約責任。
•
Step 3:危機應變與損害控制
若不幸發生資料外洩,企業依法必須立即採取損害控制措施(如封鎖漏洞),並查明外洩原因。最關鍵的是必須主動「以適當方式通知當事人」。若試圖隱匿,後續面對主管機關行政調查或民眾集體民事訴訟時,將面臨更嚴重的連續處罰或加重賠償。
遇到更複雜的狀況,不確定如何處理嗎?歡迎提供相關文件,預約我們的法律諮詢服務,讓專業律師為您評估最佳策略。
常見的爭議點有哪些?(Q&A)
Q1:我們公司只是為了跨業結盟,讓合作廠商「看看」我們的客戶名單,並沒有把資料賣給他們,這樣也算違反個資法嗎?
A:是的。將個人資料提供給第三方使用,無論有無營利,只要未經當事人明確同意或未具備法定例外事由,都會構成違法的「目的外利用」。即使只是資源互惠,雙方都可能因違法提供與接收個資而面臨行政罰鍰甚至刑事責任。
Q2:公司被駭客攻擊導致資料外洩,公司本身也是受害者,為什麼還需要賠償消費者或被政府罰款?
A:個資法課予企業採取「適當安全維護措施」的法定義務。若調查發現企業防護不足(如未加密敏感資料、未修補已知漏洞、帳號權限控管鬆散),主管機關可處最高新台幣2億元罰鍰。且在民事賠償上,即使被害人無法證明實際財產損失,法院仍可能認定需賠償當事人慰撫金。
Q3:什麼是「特種個資」?企業蒐集這類資料有什麼特殊限制?
A:特種個資(敏感性個資)包含:病歷、醫療、基因、性生活、健康檢查及犯罪前科等六大類。法律對此採取「原則禁止、例外允許」的嚴格標準。非公務機關除非有法律明文規定,或經過當事人「書面同意」且未逾越必要範圍,否則不得任意蒐集、處理或利用。
Q4:面試求職者時,可以從網路上(如他的公開社群帳號)隨便蒐集資料來做背景調查嗎?
A:雖然個資法規定「當事人自行公開」的資料可以作為合法蒐集事由之一,打企業將這些資料用於「處理與利用」時,仍必須符合「人事管理」等特定目的,並且不能違反比例原則。若該資料對當事人有更值得保護之重大利益時,雇主仍應避免過度利用。
Q5:若企業蒐集個資的目的已經達成了(例如員工已經離職很久),還能繼續保留資料嗎?
A:依據個資法規定,特定目的消失或期限屆滿時,企業原則上負有「主動刪除、停止處理或利用」個人資料的義務。除非是因執行職務/業務所必須(例如稅法要求保存薪資資料 5 年),或是經當事人書面同意延長保留,否則逾期保留即屬違法。
本文內容僅為法律資訊之整理,非屬個案之正式法律意見;相關法規及實務見解可能隨時變動,實際情形仍應諮詢專業律師。
【作者簡介】
理鴻法律事務所 郭柏鴻律師(德國慕尼黑大學法學碩士)
律師證號:106臺檢證字第13414號
專長:公司法、勞資爭議、不動產、工程法律、個資法
聯絡方式:加入官方Line(ID: @kl.legal)或點擊下方 Line 按鈕
回上一頁
