違反個資法會怎樣?個資外洩的民刑事責任 現代人幾乎每天都會遇到個資外洩的困擾:剛買完房子就接到裝潢推銷、網購後收到詐騙簡訊、甚至連法院判決書都可能把你的身分證字號公開上網……這些事情不只惱人,更可能讓你成為犯罪目標。究竟,當你的個資被不當洩漏或利用時,法律能給你什麼保障?而洩漏個資的人或企業又會面臨哪些責任?這篇文章將用最白話的方式,帶你了解個資法的民刑事責任,並引用真實法院見解與案例,讓你知道該如何保護自己,以及不小心觸法時可能付出的代價。 一、什麼是「個人資料」?先搞清楚保護範圍 根據《個人資料保護法》第2條第1款,個人資料指的是「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。簡單來說,只要能夠辨識出你是誰的資料,幾乎都算個資。例如:姓名+電話、email地址(如果可連結到特定人)、身分證字號、住址、甚至臉部辨識特徵等等。 其中,病歷、醫療、基因、性生活、健康檢查及犯罪前科屬於「特種個資」,受到更嚴格的保護,原則上不得蒐集、處理或利用,除非符合法定例外情形(例如:法律明文規定、公務機關執行法定職務、當事人自行公開等)。違反特種個資規定的責任也會更重。 二、違反個資法的三大責任 違反個資法可不是賠錢了事那麼簡單,可能會同時面臨民事、刑事與行政三種責任。以下分別說明: 1. 民事責任:賠償金從500元到2億都有可能 個資法第28條規定,公務機關或非公務機關違反個資法規定,導致個人資料被不法蒐集、處理、利用或其他侵害當事人權利者,應負損害賠償責任。但若能證明無故意或過失,就可以免責(不過實務上要證明非常困難)。 賠償範圍包括: - 財產上損害:例如因個資外洩被詐騙而損失的金錢,可以請求賠償。 - 非財產上損害(精神慰撫金):就算沒有實際財產損失,只要個資被侵害造成精神痛苦,也可以請求賠償。依個資法第28條第3項,每人每一事件賠償金額在500元至2萬元之間。但如果情節重大,賠償金額可以超過2萬元,但同一事件對多數當事人的賠償總額最高不得超過2億元。 舉例來說,某電商公司資料庫被駭,導致10萬筆客戶個資外洩,每位客戶都可以請求精神慰撫金。若法院認定情節重大,每人可能判賠數千元,但總賠償額不得超過2億元。 此外,個資法第29條採「推定過失」原則:被害人只要證明損害發生及加害行為,加害人就必須證明自己沒有故意或過失,否則就要賠償。這對被害人非常有利。 2. 刑事責任:最重關5年,罰金100萬 個資法針對惡意侵害個資的行為設有刑罰,主要規定在第41條至第44條。 - 第41條:違反個資法有關蒐集、處理、利用個人資料之規定,足生損害於他人者,處5年以下有期徒刑,得併科100萬元以下罰金。 - 第42條:意圖營利而違反第6條第1項(特種個資)、第15條(公務機關蒐集)、第16條(公務機關利用)、第19條(非公務機關蒐集)、第20條第1項(非公務機關利用)規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科100萬元以下罰金。 - 第44條:公務員假借職務上之權力、機會或方法犯本章之罪者,加重其刑至二分之一。 常見的刑事案例包括:公司員工盜賣客戶名單給詐騙集團、駭客入侵竊取個資、徵信社非法蒐集他人行蹤等。一旦被起訴,不僅可能坐牢,還要繳納高額罰金。 3. 行政責任:最高罰200萬,還可連續罰 除了民刑事責任,主管機關還可以對違反個資法的企業或個人處以行政罰鍰。主要條文如下: - 第47條:非公務機關有違反個資法相關規定(例如:未訂定個資檔案安全維護計畫、未設置個資保護專人等),處5萬元以上50萬元以下罰鍰,並限期改正,屆期未改正者按次處罰。 - 第48條:非公務機關違反第27條第1項(應採行適當安全措施)或未依中央目的事業主管機關所定辦法採取適當安全措施,處2萬元以上200萬元以下罰鍰,並限期改正,屆期未改正者按次處罰。 - 第49條:非公務機關無正當理由規避、妨礙或拒絕主管機關檢查者,處2萬元以上20萬元以下罰鍰。 也就是說,如果公司沒有做好個資保護措施(例如:未加密、未設防火牆、員工教育訓練不足),導致個資外洩,主管機關最高可開罰200萬元,而且可以連續處罰直到改善為止。 三、真實案例看法院怎麼判 為了讓大家更具體了解個資法的適用,以下引用幾個實際的法院見解與案例。 案例1:法院判決書忘了遮個資,民眾怒告求償5萬 在一個真實案例中(參照111年度北國小字第26號判決所述),原告因為臺灣高等法院在處理他的刑事聲明上訴狀時,未先刪除他的個資(姓名除外),就直接將該上訴狀登載於司法院法學資料檢索系統的判決附件中,導致原告的姓名、身分證字號、性別、住址、出生年月日、職業、電話等資料全部被公開洩漏。任何人上網都能查詢下載,甚至被第三人獲知並在臉書上張揚。原告認為法院嚴重侵害他的個資權益,因此向法院請求賠償5萬元。 這個案例凸顯了公務機關(包括法院)也有義務採取適當的安全措施來保護個資。根據個資法第27條,公務機關應採取適當的安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。如果公務機關疏於採取措施(例如未遮蔽個資就公開判決書),就可能面臨民事賠償責任。目前該案仍在審理中,但過去類似案件,曾有法院判決公務機關應賠償精神慰撫金數千元至數萬元不等。 案例2:寄信沒用密件副本,算不算違反安全措施? 另一個常見的爭議是:公司在處理消費爭議時,用電子郵件回覆客戶,卻未使用「密件副本」(BCC)功能,導致其他收件人的email地址被揭露,這樣是否違反個資法? 想深入了解精神慰撫金以及相關的權利保障方式,網路法律自保指南涵蓋了完整的法律指引。 行政機關曾對此表示見解(參照個資籌法字第 1140000195 號判決所述):依個資法第27條第1項及施行細則第12條規定,非公務機關應採取技術及組織措施,包括事故預防、通報應變、內部管理程序、資料安全管理、人員管理及教育訓練等,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。是否達成此目的,應視個案所採行之具體措施內容綜合判斷。換句話說,並非只要未使用密件副本就一定違法,而是要看整體安全措施是否足夠。但若因此導致他人個資外洩,且公司無法證明已採取適當措施,就可能被認定違法而受罰(參照個資籌法字第 1140000195 號判決所述,違反第27條者可處2萬至200萬元罰鍰)。 案例3:雜誌社蒐集讀者個資寄贈品,合法嗎? 某雜誌社舉辦活動蒐集讀者的姓名、地址、電話等資料,用來寄送贈品,這樣有沒有違反個資法?行政機關認為(參照法律字第 10603503880 號判決所述):如果雜誌社是基於「消費者、客戶管理與服務」之特定目的(代號090)蒐集聯絡資訊,且與當事人有契約關係(例如訂閱雜誌),則符合個資法第19條第1項第2款規定,可以合法蒐集。而利用這些資料寄送贈品,若未逾越原蒐集目的,也屬於合法利用。但如果雜誌社未經同意將個資用於其他行銷行為(例如推銷保險),就可能違法。 四、企業與個人該如何自保? 企業:做好安全措施,避免個資外洩 - 訂定個資檔案安全維護計畫:依個資法第27條及施行細則,非公務機關應採取適當安全措施,並訂定計畫。 - 進行教育訓練:確保員工了解個資保護的重要性及操作規範。 - 技術防護:加密、防火牆、存取控制、定期備份等。 - 處理個資時謹慎:例如寄送大量郵件時使用密件副本、對外提供文件時遮蔽不必要的個資。 - 發生外洩時立即通報:依個資法第12條,公務機關或非公務機關知悉個資被竊取、洩漏等事故時,應即時查明並通知當事人。 個人:發現個資外洩,三步驟自救 1. 蒐集證據:截圖、保存通知、錄音等,證明個資被不當使用。 2. 向主管機關申訴:可向目的事業主管機關(如金融業向金管會、電商向經濟部)或直轄市、縣市政府提出申訴,請求調查及裁罰。 3. 提起民事訴訟或刑事告訴:可向法院請求損害賠償,或向地檢署提出刑事告訴(個資法第41條非告訴乃論,檢警可主動偵辦)。 五、常見QA Q1:個資外洩可以求償多少錢? A:依個資法第28條,每人每一事件可請求500元至2萬元的精神慰撫金。如果情節重大(例如外洩筆數眾多、造成嚴重精神痛苦),可以請求超過2萬元,但同一事件總賠償額不得超過2億元。財產損害則按實際損失請求。 Q2:公司個資外洩會被罰多少? A:依個資法第48條,違反安全措施者可處2萬至200萬元罰鍰;若未依規定訂定安全維護計畫等,依第47條處5萬至50萬元罰鍰。主管機關會根據違規情節、公司規模等因素裁處。 Q3:不小心把客戶email用普通副本寄出,會觸法嗎? A:不一定。依行政機關見解(參照個資籌法字第 1140000195 號判決所述),是否違法需綜合判斷公司整體的安全措施。如果只是單一疏失,且公司平時有完善的教育訓練與防護措施,可能不會被認定違法;但若因此造成客戶個資外洩且客戶受損害,仍可能面臨民事賠償。建議寄送群組郵件時務必使用密件副本,或先取得收件人同意。 Q4:個資法有告訴乃論嗎? A:個資法第41條、第42條都是非告訴乃論罪,也就是檢警可以主動偵辦,不需要被害人提出告訴。但被害人還是可以提出告訴,以促使檢方調查。 Q5:發現個資被盜用,該如何蒐證? A:保留所有相關證據,例如:詐騙電話錄音、垃圾郵件截圖、對方使用你個資的網頁畫面等。如果是網路上的個資外洩,可以請公證人公證網頁內容。並儘快向警方報案或向主管機關申訴。 參考公司作的說明;參考虛報助的說明。 六、結語 個資外洩在數位時代幾乎無法完全避免,但法律提供了多重的救濟管道。無論是企業或個人,都應該了解個資法的規範,企業做好防護以免受罰,個人則要知道如何主張權利。一旦發生個資外洩,不要默默承受,勇敢站出來求償或檢舉,才能讓不肖業者付出代價,也讓我們的個資環境更安全。
