個資外洩最棘手的問題,是傷害看不見,卻又確實存在。
接到陌生來電準確報出自己的姓名與消費紀錄、私人照片被張貼到社群平台、買賣往來的個人資料被轉手給第三方,個資外洩的當事人最常陷入的疑問,並不是「我有沒有受害」,而是「這種摸不到、算不出金額的損害,法律真的追究得到嗎」。《個人資料保護法》早已預見個資外洩的損害難以量化的特性,並針對此一困境設計了專屬的求償機制,讓被害人即便無法精確計算損失,仍能依法請求賠償。
謙曜國際法律事務所將協助當事人拆解個資外洩的完整法律架構,從個資侵害的法律定性、刑事責任的要件、刑事告訴與民事求償的並行程序,到法定賠償額的計算方式與企業的責任,協助被害人將看似無從著手的無形損害,轉化為具體可行的法律主張。
❖ 個資外洩的法律定性:什麼情況構成個資法的侵害
個資外洩是否構成個資法的侵害,關鍵在於行為人是否「不法蒐集、處理或利用」個人資料。並非所有涉及個人資料的行為都違法,個資法允許在符合法定要件下蒐集與使用個資,唯有違反法定要件、缺乏合法事由的蒐集、處理或利用,才構成個資外洩的法律侵害。
⦿ 哪些資訊算是法律保護的「個人資料」?
個人資料是指任何可以直接或間接識別特定個人的資訊。《個人資料保護法》第2條第1款,個人資料包含自然人的姓名、出生年月日、國民身分證統一編號、聯絡方式、財務情況、社會活動等,以及其他得以直接或間接方式識別該個人的資料。這個定義的範圍比一般人想像得更廣,除了姓名、身分證字號這類明顯的識別資訊外,只要透過某項資料能夠間接連結到特定個人,該項資料便受到個資法的保護。值得特別注意的是,個資法另外針對「特種個人資料」設有更嚴格的保護,依個資法第6條第1項,病歷、醫療、基因、性生活、健康檢查及犯罪前科等資料,原則上不得任意蒐集、處理或利用。所以當外洩的內容涉及這類敏感資訊時,行為人所面臨的法律責任會比一般個資外洩更為嚴重。
⦿ 個資被外洩,一定構成違法嗎?
個資被外洩不一定違法,必須是「不法」的蒐集、處理或利用,才構成個資法的侵害。個資法允許在當事人同意、或符合法律所定特定情形下蒐集與使用個資,若行為人具備合法事由,即便涉及個人資料的流通,也未必構成違法。判斷個資外洩是否違法,核心在於行為人有無合法的蒐集與利用事由。舉例而言,公務機關依法執行職務、企業基於與當事人的契約關係而處理必要的個人資料,這些都屬於合法範圍;相對地,將因業務而取得的客戶個資轉賣給第三方、未經同意將他人的私人資訊張貼於網路、或將任職期間接觸到的個資挪作私用,這些缺乏合法事由的行為,便構成個資外洩的不法侵害。
❖ 個資外洩的刑事責任:不是所有外洩都能追究刑責
個資外洩要構成刑事責任,行為人必須具有「不法意圖」,單純的過失外洩通常只負民事賠償與行政責任。這是個資法刑事責任最關鍵、也最容易被誤解的要件。許多被害人以為只要個資被外洩就能追究對方刑責,但若行為人並非出於不法意圖,刑事告訴往往難以成立。
⦿ 個資法第41條的刑事責任,要件是什麼?
個資法第41條,行為人須「意圖為自己或第三人不法之利益或損害他人之利益」而違法蒐集、處理或利用個資,才構成犯罪,最重可處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。此處的「意圖為自己或第三人不法之利益」,實務見解多認為限於財產上的利益;「損害他人之利益」則不限於財產上的利益。除個資法第41條外,個資法第42條另規定,意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,同樣處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。這兩條規定構成個資外洩刑事責任的核心。需要強調的是,這兩條的共通要件都是「不法意圖」,這也是區分「構成刑事犯罪」與「僅負民事責任」的關鍵分界。
⦿ 公司不小心外洩,可以告刑事嗎?
若公司是因為疏失而非出於不法意圖導致個資外洩,通常難以成立刑事責任,但仍須負擔民事損害賠償與行政責任。個資法的刑事責任以行為人具有不法意圖為前提,單純的資安管理疏失、系統漏洞遭駭等過失情形,原則上不該當刑事犯罪的要件。許多大規模的個資外洩事件,起因於企業的資安防護不足、員工不慎、或遭受外部駭客攻擊,這類情形多屬於過失,而非企業出於不法意圖主動洩漏。在這種情況下,被害人雖然難以對企業追究刑事責任,但企業仍須依個資法負擔民事損害賠償責任,主管機關也可對企業裁處行政罰鍰。換言之,刑事責任的成立與否,並不影響被害人請求民事賠償的權利,被害人應將求償重心放在民事損害賠償與行政檢舉上,而非執著於難以成立的刑事告訴。
❖ 個資被外洩怎麼提告:刑事告訴與民事求償的雙軌並行
個資被外洩怎麼提告,可以同時進行刑事告訴與民事求償兩條路,兩者目的不同、依據不同,並不互相排斥。資料外洩提告的核心,在於刑事告訴的目的是追究行為人的刑事責任,民事求償的目的是請求損害賠償,被害人可依個案情況選擇單獨或並行採取。
⦿ 提告前要先做什麼準備?
提告前最重要的準備,是完整保全個資外洩的證據,確立外洩的事實、來源與內容。個資外洩的證據包含外洩資料的截圖、收到不明來電或訊息的紀錄、資料被張貼或散布的網頁存證,以及能追溯外洩來源的相關線索。若個資是被張貼於網路或社群平台,應立即進行截圖或網頁存證,畫面須清楚顯示網址、張貼帳號與時間;若是接到能準確報出個資的詐騙或行銷來電,應記錄來電號碼、時間與對方所掌握的資訊內容;若懷疑特定企業或個人是外洩來源,應保留與該來源往來的相關證據(例如曾向該企業提供個資的紀錄)。由於網路上的資料可能隨時被刪除,證據保全的時效性相當關鍵,無論走刑事告訴或民事求償都不可或缺的基礎。
⦿ 刑事告訴和民事求償,差別在哪?
刑事告訴是向檢警機關請求追究行為人的刑事責任,民事求償是向法院請求行為人賠償損害,兩者的程序與目的完全不同。刑事告訴若成立,行為人可能面臨有期徒刑或罰金;民事求償若成立,被害人可獲得金錢賠償。兩條路徑可以並行,也可以透過刑事附帶民事訴訟一併處理。實務上,在刑事程序進行的同時或之後,被害人可以另外提起民事損害賠償訴訟,或是在刑事訴訟中提起刑事附帶民事訴訟,請求行為人賠償。
❖ 個資法賠償金額怎麼算:法定賠償額的特殊設計
個資法賠償金額,在被害人難以證明實際損害時,可依個資法第28條請求法院以每人每一事件新臺幣500元至2萬元計算。這項「法定賠償額」的設計,正是為了解決個資外洩損害難以量化的困境,讓被害人即便無法精確舉證損失金額,仍能獲得合理的賠償。
⦿ 為什麼個資外洩賠償有「法定金額」?
因為個資外洩的損害往往是無形的、難以用金錢精確計算,所以立法者特別設計了法定賠償額,作為舉證困難時的計算基準。一般的損害賠償訴訟,被害人必須舉證證明自己受到的具體損害金額,但個資外洩造成的傷害(例如隱私受侵犯、生活安寧受干擾、遭受詐騙風險升高)往往難以換算成精確的金錢數字。法定賠償額的設計,讓被害人在這種情況下,不需要費力舉證精確損失,即可請求法院依侵害情節在500元至2萬元的範圍內裁定賠償。實際的賠償金額,法院會綜合考量外洩個資的性質、外洩範圍、對被害人造成的影響程度,以及行為人的可歸責程度等因素來決定。涉及特種個人資料(如病歷、性生活)的外洩,因侵害程度較高,法院裁定的金額通常也會偏高。
⦿ 大規模外洩可以一起求償嗎?
個資法設有團體訴訟制度,讓大規模個資外洩的眾多被害人能透過特定團體統一求償。依個資法規定,對於同一原因事實造成多數當事人權利受侵害的事件,財團法人或公益社團法人經受害當事人二十人以上以書面授與訴訟實施權者,得以自己的名義提起損害賠償訴訟。團體訴訟的設計,是為了因應企業大規模個資外洩的情形。當一家公司的資料庫遭外洩,受害的可能是成千上萬的客戶,若要求每位被害人各自提起訴訟,不僅曠日廢時,個別求償的金額也可能不符訴訟成本。透過團體訴訟,符合資格的團體可以集合眾多被害人的權利,以自己的名義統一提起訴訟,大幅降低個別被害人的訴訟負擔。此外,個資法也對同一原因事實造成的賠償總額設有上限,合計最高總額以新臺幣二億元為限,但若該原因事實所涉利益超過二億元者,則以該所涉利益為限。
❖ 公司洩漏員工個資怎麼辦:企業的責任與員工的救濟
公司洩漏員工個資,屬於非公務機關違反個資法,員工可依個資法第29條向公司請求損害賠償。企業在僱傭關係中蒐集、保管員工的個人資料,負有依法妥善保護的義務,若因違反個資法導致員工個資外洩,企業須負擔民事損害賠償責任。
⦿ 公司洩漏員工個資,要負什麼責任?
公司洩漏員工個資,須依個資法第29條負民事損害賠償責任,並可能面臨主管機關的行政裁罰;若公司具有不法意圖,相關人員另可能構成刑事責任。企業作為非公務機關,在個資法下對於所保管的員工個資負有保護義務。常見的公司洩漏員工個資情形,包含將員工的薪資、身分證字號、聯絡方式、健康檢查資料等提供給無關的第三方,或是因內部管理不當導致員工個資遭不當揭露。依個資法第31條,非公務機關的損害賠償適用民法的規定。員工在主張權利時,同樣可以援引前述法定賠償額的規定,在難以證明實際損害時,請求法院以每人每一事件500元至2萬元計算。若公司洩漏的是員工的特種個人資料(例如健康檢查、病歷資料),侵害情節更為嚴重,企業所須負擔的責任也相應加重。
⦿ 員工發現個資被公司外洩,該怎麼主張?
員工發現個資被公司外洩,應先保全外洩的證據,再依個資法向公司請求損害賠償,必要時可同時向主管機關提出檢舉。保全證據、確認外洩來源與範圍,是員工主張權利的第一步;向主管機關檢舉則能促使行政機關介入調查並對企業裁罰。所以員工應先蒐集足以證明個資外洩的證據,確認外洩確實源自公司後,員工可以透過存證信函向公司正式請求損害賠償,或直接提起民事訴訟。同時,員工可以向該企業的中央目的事業主管機關提出檢舉,由主管機關依個資法調查企業是否違反保護義務,並可對企業處以行政罰鍰、命其限期改善。需要注意的是,個資外洩的損害賠償請求權有時效限制,依個資法第30條,自請求權人知有損害及賠償義務人時起二年間不行使而消滅,自損害發生時起逾五年者亦同。
❖ 常見法律問題|個資外洩常見問題
個資被外洩第一步不是急著提告,而是完整保全外洩的證據。確立外洩的事實、來源與內容後,再評估採取刑事告訴、民事求償,或兩者並行。需要提醒的是,個資外洩的刑事責任以行為人具有不法意圖為要件,若對方僅屬過失,刑事告訴可能不成立,但民事求償不受影響。所以對於難以證明對方不法意圖的個資外洩,將重心放在民事損害賠償,往往是更務實的選擇。網路上的證據可能隨時被刪除,證據保全的時效性相當關鍵,發現個資外洩後應儘速處理。
個資法賠償金額,在被害人難以證明實際損害時,可請求法院以每人每一事件新臺幣500元至2萬元計算。法定賠償額的設計,正是為了解決個資外洩損害難以量化的困境,讓被害人不需要費力舉證精確損失,仍能獲得合理賠償。實際金額由法院綜合外洩個資的性質、外洩範圍、對被害人的影響程度與行為人的可歸責程度來決定。涉及病歷、性生活等特種個人資料的外洩,因侵害程度較高,法院裁定的金額通常偏高。若屬於企業大規模外洩,眾多被害人還可以透過團體訴訟統一求償,降低個別求償的負擔。
公司洩漏員工個資,員工可以依個資法第29條向公司請求損害賠償,並可向主管機關檢舉。企業在僱傭關係中保管員工個資,負有依法保護的義務,違反個資法導致員工個資外洩時,須負擔民事損害賠償責任。員工同樣可以援引法定賠償額的規定,在難以證明實際損害時請求每人每一事件500元至2萬元。需要注意個資法第30條的時效限制,自知悉損害及賠償義務人起二年、自損害發生起五年,所以發現後應及時主張權利。若公司洩漏的是員工的健康檢查、病歷等特種個人資料,侵害情節更重,企業的責任也相應加重。
❖ 把看不見的損害,化為法律上具體的主張
個資外洩之所以讓人感到棘手,在於它不像車禍有明確的傷勢、不像欠債有具體的金額,被害人常常清楚知道自己受到侵害,卻說不清這份傷害該如何主張、能換得什麼結果。然而個資外洩的無形性,並不等於法律上的無從追究。《個人資料保護法》從刑事責任的設計、民事損害賠償的規範,到專為舉證困難而設的法定賠償額與團體訴訟制度,構築了一套相當完整的救濟體系,讓被害人可以確認外洩的來源、保全關鍵的證據、選對求償的路徑、援引正確的法律依據。
謙曜國際法律事務所協助當事人處理個資外洩與惡意散布的求償案件,從外洩來源的釐清、證據的保全與存證、刑事告訴與民事求償路徑的評估,到法定賠償額的主張、向主管機關的檢舉,以及必要時的民事訴訟與法院開庭,將繁雜的程序對應與法規研析交由專業機制處理。讓原本看似摸不著、算不清的損害,能夠依循明確的法律途徑獲得追究與賠償,協助當事人在個資受侵害後,重新取回對自身資料與生活安寧的掌握。
