如果違法蒐集、處理或利用個人資料,會有什麼法律責任?

刊登:2020-11-12・最後更新:2022-11-29

案例

一、

A與是B養殖七彩神仙魚的同好,在網路上結識,進而見面互通姓名。沒想到雙方發生七彩神仙魚隻的買賣糾紛,A委請律師對B寄發律師函,催告B出面處理,再將這個載有B姓名的律師函張貼在他的臉書網頁上,請問A的行為是否違反個人資料保護法?

二、

C與D是臺北市X大廈的住戶,因社區事務而發生紛爭並相互訴訟。D主張C向社區住戶謊報學歷,在與C的訴訟案件中閱卷取得C的戶役政資訊連結作業系統、個人基本資料查詢結果影本,並以紅筆塗去C的身分證統一編號、出生日期後,張貼在X大廈的公布欄上,又交給管理員置放在X大廈大廳櫃檯,請問D的行為是否違反個人資料保護法?

本文
圖1 違法蒐集、處理或利用個人資料,會有什麼法律責任?||資料來源:韓瑋倫 / 繪圖:Yen
圖1 違法蒐集、處理或利用個人資料,會有什麼法律責任?
資料來源:韓瑋倫 / 繪圖:Yen

一、違反個人資料保護法的法律責任(見圖1)

(一)民事責任

個人資料保護法對於公務機關及非公務機關蒐集、處理、利用一般個人資料及特種個人資料[1]的要件,規定於同法第6條第1項、第15條、第16條、第19條、第20條第1項[2],若違反上述規定,導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利的情況,即須負擔民事損害賠償責任[3]

(二)刑事責任

1. 個人資料保護法第41條

但如果行為人主觀上有「為其他不法利益或惡意損害他人的意圖」,而違反個人資料保護法第6條第1項、第15條、第16條、第19條、第20條第1項規定,針對此種行為,立法者認為仍有以刑罰處罰的必要[4],因此於2015年修正通過個人資料保護法第41條,行為人意圖為自己或第三人不法的利益或損害他人的利益,而違反前面提到的相關條文,可能足以損害他人時,最高可以處5年的有期徒刑,還可以併科新臺幣100萬元以下罰金[5]

2. 什麼是「意圖為自己或第三人不法之利益或損害他人之利益」的「利益」?

修法後,多數實務見解認為,個人資料保護法第41條的「意圖為自己或第三人不法之利益或損害他人之利益」所稱的「利益」,應限縮在「財產上的利益」,不包含精神或情感上的利益或損害[6]。因此,行為人違反個人資料保護法利用他人個人資料的行為,縱使造成他人精神痛苦、人格名譽受損,被害人也只能透過民事訴訟途徑請求賠償。

但有少數實務見解認為,如果行為人有意圖其他「具體之不法利益」或「惡意損害他人」,並發生非財產上利益或損害,也可以例外依個人資料保護法第41條,處以刑事罰[7]

這個法律問題,也受到最高法院的重視,甚至認為有統一見解的必要性,因此於2020年7月提出至大法庭評議[8],後續結果值得各位讀者持續關注。

二、案例分析

(一)案例一

1. 個人資料的蒐集、利用

A因雙方有買賣糾紛,而將B的姓名載於律師函,再將律師函張貼於他的臉書網頁上,屬於經A「蒐集」所得且對B個人資料的「利用」行為。

2. A的行為不構成個人資料保護法的刑事責任

如果A在委請律師寄發律師函催告B出面處理,而未能獲得善意回應的情形下,採取在臉書網頁上張貼載有B姓名的律師函內容,作為再次通知並催告B出面處理的手段,且律師函的內容僅揭露B的姓名外,並未同時揭露B的其他個人資料,則A利用B「姓名」的個人資料行為,可認為有正當性目的並符合比例原則,難認A有意圖為自己或第三人不法之利益或損害他人之利益,並沒有違反個人資料保護法第41條第1項非法利用個人資料罪的問題。

3. A也不需要負擔民事賠償責任

由於A蒐集及利用B個人資料的行為並沒有違反個人資料保護法的規定,B的權利也沒有遭到A侵害,因此A不需要負擔民事賠償責任。

(二)案例二

1. 個人資料的利用

D將載有C個人資料的個人基本資料查詢結果、戶役政連結作業系統資料張貼、散布於X大廈,雖然有以紅筆塗去C的部分個人資料,但個人基本資料查詢結果及戶役政資訊連結作業系統影本內,還有C的姓名、住址、出生地、婚姻狀況、教育程度等個人資料,仍屬於「利用」C個人資料的行為。

2. D的行為可能成立個人資料保護法的刑事責任

然而,C的個人資料與大廈住戶及公共利益並無關係,即使D是為了告知大廈住戶C有學歷不實問題,也應該採取其他合法、合理且符合一般人期待的方式,但D卻公開揭露法院為特定C身分、審理案件所需的資料,客觀上顯逾越蒐集目的必要範圍;而且雙方已經有訴訟糾紛,顯然關係不合,則D公開揭露C個人資料的行為,主觀上多是出於私怨、損害C的隱私和社會評價,還是有可能會被法院認定有惡意損害C利益的意圖,而成立個人資料保護法第41條第1項非法利用個人資料罪。

3. D可能也需負擔民事賠償責任

由於D蒐集及利用C個人資料的行為違反個人資料保護法的規定,C如果受有隱私或社會評價減損的侵害,可以依同法第29條及第28條第2項規定[9],請求D賠償相當之金額,如果C難以證明實際損害的額度,也可以依同法第28條第3項規定[10],請求法院依侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。

註腳

  1.   關於哪些資料屬於個人資料,請見韓瑋倫(2020),《哪些資料是個人資料?判斷標準是什麼?》。
    另外其他個人資料保護的相關文章,請見韓瑋倫(2020),《有哪些資料是受到特別保護的特種個人資料?應如何合法運用這些資料?》;
    韓瑋倫(2020),《什麼是利用個人資料的「特定目的」與「必要範圍」?》。
  2.   個人資料保護法第6條第1項、第15條第16條第19條第20條第1項。
  3.   個人資料保護法第28條第1項:「公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。」
    個人資料保護法第29條第1項:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」
  4.   立法院(2015),《立法院公報》,第104卷第9期,頁206-208。
  5.   個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
  6.   臺灣高等法院108年度上訴字第2587號刑事判決:「依前述修法歷程及目的觀之,違反個人資料保護法相關處罰規定之行為,本質上即屬客觀侵害人格權之行為,若解釋上將意圖要件即『意圖為自己或第三人不法之利益或損害他人之利益』,及於人格權(如隱私權、名譽權等)等非財產上之利益,則因違反個人資料保護法相關處罰規定之行為,本亦容易合致前開意圖要件,而將大幅擴及至立法者原先不欲以刑罰處罰之範圍(仍可以民事賠償及行政罰等途徑救濟),反而無法達到修正後個人資料保護法第41條限縮處罰範圍之修法目的,從而由修法之精神以觀,前開法條文字所謂『利益』,應予以目的性限縮,僅限於『財產上之利益』,不得任意擴張及於侵害精神、人格等非財產利益之情形,始符合修法之旨。」
    同樣的見解可以參照臺灣高等法院107年度上訴字第1709號刑事判決臺灣高等法院107年度上易字第1989號刑事判決
  7.   臺灣高等法院108年度上訴字第1519號刑事判決:「惟依據該條之修正提案總說明:『惟若行為人雖無營利之意圖,卻為其他不法利益或惡意損害他人等意圖而違反本法相關規定,仍有以刑罰處罰之必要』等文字,解釋上倘發生非財產上利益或損害,行為人必須有意圖其他『具體之不法利益』或『惡意損害他人』者,始例外亦依修正後第41條處以刑事罰,方符合修法之目的。」
    採取相同見解,可以參照臺灣高等法院高雄分院109年度上訴字第709號刑事判決臺灣臺中地方法院108年度訴字第1346號刑事判決
  8.   參照最高法院109年度台上大字第1869號刑事提案裁定
  9.   個人資料保護法第29條
    個人資料保護法第28條第2項:「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」
  10.   個人資料保護法第28條第3項:「依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」
person
person
LU0010501(一般會員) 2022-03-03 21:22:26
請問在公司任職時「個人資料取得同意書」,離職後應無法應使用,但對方公司卻在離職後持他人的個人資料取得同意書去查詢別人的個資,並謊稱員工還在公司任職,且同意書已簽署過,請問是否合法?假設如果學歷真的是不實的話一樣違反個資法嗎?
網站採用CC授權,內容歡迎轉載分享。