個資法會坐牢嗎?解析個人資料保護法下的刑事責任與防範之道

Byadmin

「我的個資被外洩了,會不會被告到我坐牢啊?」當我們聽到「個資法」這幾個字,腦中常常會浮現這樣的疑問,尤其在新聞報導中,不時會傳出企業或個人因為違反個資法而面臨訴訟,甚至可能涉及刑責,這難免讓人感到擔憂。究竟,在台灣的個人資料保護法(以下簡稱個資法)底下,觸犯的嚴重程度真的會導致「坐牢」嗎?這個問題的答案,並非簡單的「會」或「不會」就能帶過,它牽涉到許多細節、行為的性質以及實際造成的損害。身為一個長期關注個資保護議題的觀察者,我必須明確地告訴大家:個資法確實有刑事責任的規定,最嚴重的情況下,是有可能觸犯刑法並被判刑入獄的。 不過,這絕非一概而論,大多數的違規行為,可能以行政罰鍰或民事賠償為主。那麼,到底是什麼樣的行為,會觸犯到刑事責任的紅線呢?讓我們深入探討。

一、個資法真的會「坐牢」嗎?釐清刑事責任的門檻

許多人一聽到「刑責」,就聯想到牢獄之災,這也難怪。然而,在個資法中,真正的「坐牢」情況,也就是觸犯刑法的部分,通常是針對比較嚴重的犯罪行為。台灣的個資法,主要規範的是個人資料的蒐集、處理、利用等行為,目的在於保護個人隱私權。它同時也明訂了行政罰鍰、民事賠償,以及最關鍵的「刑事責任」。

根據個資法第41條的規定,意圖為自己或第三人不法之利益或損害他人之利益,而違反第5條至第15條、第16條、第19條至第25條規定之一者,處一年以下有期徒刑、拘役或科或併科新臺幣十萬元以下罰金。

這段文字,就是大家最關心的「坐牢」可能性來源。仔細拆解這條文,我們可以發現幾個重點:

  • 意圖: 必須要有「意圖」為自己或第三人不法之利益,或是損害他人利益。單純的疏忽或過失,通常不在此條文的刑事責任範圍內。
  • 違反特定條款: 必須是違反了個資法中規定的特定條款,例如非法蒐集、處理、利用個人資料,或是妨礙他人行使個資法上的權利等等。
  • 法定刑: 最重可處一年以下有期徒刑。這代表,確實有「坐牢」的可能,但刑期相對較短,且還有拘役或罰金的替代選項。

由此可知,並非所有違反個資法的行為都會導致坐牢。通常,是那些帶有「意圖」、惡意,且行為情節嚴重的狀況,才可能觸及刑事責任。舉例來說,如果有人是為了詐騙、販賣個人資料牟取暴利,而大量竊取或非法利用他人個資,那麼他就很有可能面臨刑事訴訟,並被判處有期徒刑。

二、哪些行為最可能觸犯個資法的刑事責任?

了解了法律條文後,我們更需要知道,在實際生活或工作中,哪些行為最有可能踩到刑事責任的紅線?以下列出幾個常見,且情節較為嚴重的態樣,大家可以自行對照,提高警覺:

1. 非法蒐集、處理、利用個人資料,意圖營利

這是最常見的觸犯刑事責任的樣態。例如:

  • 販賣個資: 網站、系統漏洞被駭客入侵後,竊取大量用戶資料(姓名、電話、身分證字號、信用卡號等),然後這些資料被轉賣給詐騙集團、行銷公司,甚至是地下錢莊。這種行為,不僅損害了個資主體的權益,更是嚴重侵害了個人隱私,且有營利的意圖,極有可能面臨刑事追訴。
  • 網路爬蟲的濫用: 雖然網路爬蟲(Web Scraping)本身不是違法的,但若有心人士利用爬蟲程式,大規模、系統性地抓取公開網站上的個資(例如會員資料、聯絡資訊),並將其彙整、販售,這就可能構成非法利用。
  • 內部人員的不法行為: 公司內部員工,利用職務之便,非法複製、竊取公司的客戶資料庫,再將其帶離公司,賣給競爭對手或用於自己的業務。這種「監守自盜」的行為,意圖獲取不法利益,情節通常更為嚴重。

2. 妨礙他人行使個資法上的權利

個資法賦予了民眾許多權利,例如查詢、閱覽、複製、補充、更正、停止蒐集/處理/利用、刪除等權利。如果有人惡意阻撓、妨礙他人行使這些權利,特別是出於惡意,那麼也可能觸犯到刑責。

  • 拒絕刪除個資: 假設一位民眾要求某公司刪除其在該公司的所有個資,但該公司卻為了留存「客戶紀錄」以便未來行銷,而故意不予刪除,甚至銷毀相關的申請紀錄,這就可能構成妨礙權利行使。
  • 隱匿或偽造資料: 當民眾申請查詢或更正個資時,相關單位或人員,為了隱藏錯誤或不當的蒐集、處理行為,而故意隱匿、偽造相關的紀錄或資料,這也可能觸犯刑事責任。

3. 竊取、洩漏、交付、購買、提供或持有他人應秘密之個人資料

有些個人資料,依其性質,是應當秘密保管的,例如醫療紀錄、財產資訊等。若有心人士透過非法手段,竊取、或從不法管道購得這些應秘密的個人資料,並意圖為不法的使用,那麼也可能構成刑事犯罪。

三、除了刑事責任,個資法還有哪些懲罰?

當然,並非所有違規行為都會直接觸犯到刑事責任。大部分情況下,個資法的處罰是透過「行政罰」和「民事賠償」來達成。這也是為什麼,即便沒有坐牢的風險,企業和個人仍然需要嚴格遵守個資法,以免受到巨大的經濟損失和商譽損害。

1. 行政罰鍰

這是最常見的處罰方式。主管機關(例如國家發展委員會、公平交易委員會、金融監督管理委員會等,依權責劃分)會對違反個資法的行為人處以罰鍰。罰鍰的金額,依據個資法的不同條款,從新臺幣5萬元至2500萬元不等。例如:

  • 違反蒐集、處理、利用個資的原則: 若未告知當事人告知事項,或違反特定目的外利用等,可能面臨最高20萬元的罰鍰。
  • 違反安全維護義務: 若企業未採取適當之安全措施,導致個資外洩,情節重大者,最高可處2500萬元的罰鍰。這條款的目的是鼓勵企業做好資安防護。

表格:常見個資法行政罰鍰金額範圍 (非窮盡,僅供參考)

違規態樣 主管機關 罰鍰範圍 (新台幣)
違反告知義務、特定目的外利用等原則 國家發展委員會 5萬元 ~ 20萬元
違反個資安全維護義務,致個資外洩 國家發展委員會 5萬元 ~ 2500萬元 (情節重大者)
公司於公開招募廣告中,蒐集應徵者不符招募目的之個人資料 勞動部/地方主管機關 2萬元 ~ 10萬元
網路廣告內容,有為不實、誇大之宣傳,導致消費者誤信 公平交易委員會 5萬元 ~ 75萬元 (若涉及個資,可能合併裁罰)

2. 民事賠償

除了行政罰,個資法也保障了個資受到侵害的當事人,可以向違法者請求損害賠償。這部分是透過民法以及個資法的相關規定來實現。

  • 法定賠償金額: 個資法第28條規定,個人資料被蒐集、處理、利用,或毀損、滅失、妨害其主張權利者,可請求損害賠償。若無其他證據證明實際損害,一人計算不得超過新臺幣20萬元。
  • 實際損害賠償: 如果能證明實際受到的損害,則可以請求超過法定金額的損害賠償。這可能包含財產上的損失,以及精神上的慰撫金。

這代表,即使企業沒有被處以刑事責任,一旦發生個資外洩,可能會面臨數量龐大的個資當事人求償,這對企業的財務和聲譽都會造成毀滅性的打擊。

四、如何有效防範觸犯個資法,避免「坐牢」風險?

了解了個資法的嚴峻性後,相信大家心中都會有一個疑問:「我該如何做,才能確保自己不小心觸犯到個資法,甚至惹上牢獄之災呢?」這是一個非常實際的問題,尤其是對於企業來說,個資的處理與保護,已經是經營上不可或缺的一環。以下我將提供一些具體的建議,希望能幫助大家建立起完善的個資保護機制:

1. 盤點與分類個人資料

首先,你需要清楚知道自己或公司,目前正在蒐集、處理、利用哪些個人資料。這些資料的性質是什麼?(例如:基本資料、聯絡資訊、財務資訊、健康資訊、生物特徵等)。

  • 建立資料盤點清單: 列出所有蒐集的個資項目。
  • 識別敏感性個資: 特別注意敏感性個資(如病歷、犯罪紀錄),這些資料的保護要求通常更高。
  • 釐清資料來源: 這些資料是怎麼來的?是直接蒐集?還是從第三方取得?

2. 檢視與優化蒐集、處理、利用行為

針對盤點出來的個資,逐一檢視你的蒐集、處理、利用行為,是否符合個資法的原則。

  • 告知義務: 在蒐集個資時,是否已充分告知當事人個資法第8條或第9條規定的內容?(例如:蒐集目的、類別、當事人權利、資料保存年限等)。
  • 特定目的: 是否僅在蒐集時告知的特定目的範圍內使用?若有其他利用需求,是否符合個資法第20條的例外規定,或是重新取得當事人同意?
  • 最小化原則: 只蒐集與特定目的相關的、最小必要範圍內的個人資料。
  • 合法基礎: 你的個資蒐集、處理、利用,是否有法律依據?(例如:當事人同意、法律明文規定、為履行契約、學術研究等)。

3. 強化安全維護措施

這是個資法非常重視的一環,也是許多企業面臨行政罰鍰甚至更嚴重問題的關鍵。必須採取適當的安全措施,防止個資被竊取、竄改、毀損或洩漏。

  • 技術層面:
    • 設定強密密碼,並定期更換。
    • 使用防火牆、入侵偵測系統。
    • 對機敏資料進行加密儲存與傳輸。
    • 定期進行系統漏洞掃描與修補。
  • 組織層面:
    • 建立明確的個資保護政策與作業程序。
    • 指派專責人員(或團隊)負責個資保護事項。
    • 對員工進行定期的個資保護與資安教育訓練。
    • 建立員工的存取權限管理機制,落實權限最小化。
    • 制定個資外洩應變計畫,並定期演練。

4. 尊重並回應當事人權利

當民眾行使個資法上的權利(如查詢、更正、刪除等)時,應依循法律規定,積極、誠懇地回應。

  • 建立處理流程: 針對當事人權利主張,建立標準化的處理流程。
  • 明確回應期限: 於法定期限內(通常是30天,必要時可延長)給予回覆。
  • 確認身分: 在處理權利主張前,務必確認申請人的身分。

5. 建立契約與合約規範

如果你的業務會委託第三方處理個人資料(例如:委外製作、雲端服務、行銷公司等),務必在契約中明確規範對方的個資保護義務。

  • 要求第三方遵守個資法: 在合約中明訂,委託的第三方應遵守個資法及相關規定。
  • 明確安全措施要求: 要求第三方採取相當的安全措施,並保留稽核權。
  • 約定個資外洩的處理責任: 若因第三方疏失導致個資外洩,應由其承擔相應的法律責任。

五、常見疑難雜症解答

關於個資法,我常常在演講或諮詢中聽到一些重複出現的疑問。這裡我將整理一些常見的,並提供更深入的解答,希望能幫助大家釐清更多盲點。

Q1:我的公司網站上有顧客的聯絡資訊,只是拿來寄發電子報,這樣也會觸犯個資法嗎?

這是一個很常見的灰色地帶,答案是:「有可能,而且需要非常小心!

雖然寄發電子報看似一般行銷行為,但根據個資法第5條及第6條的規定,個人資料的蒐集,必須有特定目的,而且不得逾越這個目的為利用。如果你的公司在蒐集顧客聯絡資訊時,並沒有明確告知顧客「將用於寄發電子報」這個目的,或者顧客當初同意的蒐集目的,並未包含行銷電子報,那麼僅僅是寄發電子報,就可能構成「特定目的外利用」,而違反個資法。

更進一步來說,如果您的電子報是大量、未經同意寄發,甚至可能帶有詐騙性質,那麼情況就更嚴重了。為避免觸法,建議您的公司:

  • 重新檢視個資蒐集同意條款: 確保在用戶註冊或填寫資料時,已經清楚告知「蒐集目的」包含「寄發行銷訊息」,並取得用戶的同意。
  • 提供明確的退訂機制: 確保每一封電子報都提供簡單、方便的退訂(取消訂閱)連結,並立即生效。
  • 尊重用戶意願: 如果有用戶明確表達不希望收到電子報,務必立即將其從名單中移除。

雖然僅寄發電子報,不至於直接觸犯刑事責任,但若處理不當,極有可能面臨主管機關的行政罰鍰,以及用戶的民事求償。所以,千萬不可掉以輕心。

Q2:我只是在社群媒體上分享朋友的照片,沒有商業用途,這樣也會違法嗎?

這涉及到「非意圖營利」但仍可能觸犯法律的狀況。對於單純的社群媒體分享,主要有幾個考量點:

  • 是否為「個人資料」: 照片中的人臉,通常被視為可以識別出特定個人的「個人資料」。
  • 是否妨礙他人權利: 即使沒有商業意圖,未經當事人同意而公開其照片,可能侵犯了當事人的肖像權、隱私權,甚至可能違反個資法中的「蒐集、處理、利用」規定。
  • 「特定目的」的解釋: 雖然你聲稱沒有商業意圖,但法律上對於「特定目的」的認定,會考量多方因素。未經同意的公開,很難說有合法的特定目的。

在個資法中,雖然第41條的刑事責任需要「意圖」營利,但第6條和第16條對於個人資料的蒐集、處理、利用,都有限制。未經當事人同意,而將其個人資料(包括照片)公開傳輸到網路上,即便你聲稱沒有商業目的,也可能構成對當事人權利的侵害,進而觸犯個資法。

簡單來說,分享朋友的照片,最保險的做法就是「取得對方的同意」。 如果是公開場合、背景人物模糊,且未聚焦於特定個人,或許風險較低;但一旦照片明顯聚焦於某人,且未經同意就分享,就存在法律風險。對於「分享」這件事,我們往往覺得理所當然,但從法律角度看,卻需要更審慎的評估。

Q3:我的公司資料庫被駭客入侵,導致客戶個資外洩,這我該負刑事責任嗎?

這是一個大家非常關心的問題。針對「資料庫被駭客入侵導致個資外洩」,初步判斷,不必然會直接觸犯個資法第41條的刑事責任。

前面提到,刑事責任需要有「意圖」為自己或第三人不法之利益,或損害他人之利益。單純的「被駭客入侵」,如果您的公司本身並沒有疏忽,已經盡到了相當程度的安全維護義務,那麼直接歸咎於公司刑事責任的可能性會比較低。

但是,請注意,這絕不代表您的公司就沒事!

個資法第27條有嚴格的「安全維護義務」規定。如果您的公司未能採取適當的安全措施,導致個資外洩,即便不是出於惡意,也可能面臨:

  • 嚴重的行政罰鍰: 情節重大者,最高可處新臺幣2500萬元。這是非常驚人的數字!
  • 民事賠償: 所有受害的個資當事人,都可以向公司請求損害賠償。

因此,對於「被駭客入侵」的情況,重點不在於「是否會坐牢」,而在於「您是否有盡到應有的資安防護責任?」。如果您的資安措施明顯不足,例如:

  • 密碼過於簡單、未定期更新。
  • 系統未經必要的更新與修補。
  • 缺乏基本的防火牆或入侵偵測系統。
  • 未對資料庫進行加密。

那麼,您就很有可能被認定為「違反安全維護義務」,而面臨上述的行政罰鍰和民事賠償。

我的建議是:

  • 平時就做好資安投資: 這是最有效的預防措施。
  • 發生後立即應變: 一旦發現異常,立即啟動應變計畫,封鎖攻擊來源,蒐集證據,並儘快通報主管機關及通知當事人。
  • 尋求專業協助: 立即與資安專家、律師聯繫,處理後續事宜。

總結來說,「個資法會坐牢嗎?」這個問題的答案,取決於行為的「意圖」與「情節」。惡意、意圖營利且行為嚴重的,確實有可能觸犯刑事責任。但對於大多數的企業和個人,更需要關注的是行政罰鍰和民事賠償的風險。務必建立完善的個資保護機制,才能在瞬息萬變的數位時代,有效規避風險,保護自己與他人的權益。

個資法會坐牢嗎