【個資保護系列:責任篇】違反個資法的法律後果:法律責任全面解析

2025-10-15 / 個資保護 / 個資外洩, 刑事責任, 安維辦法, 民事賠償, 行政罰鍰

前面的文章中,我們探討了企業應如何合法地蒐集、處理與利用個資。然而,如果企業未能遵循這些規範,甚至發生了個資外洩事故,將會面臨什麼樣的法律後果?

隨著個資保護意識崛起,企業的法律遵循要求已不再僅限於個人資料保護法(下稱「個資法」)的原則性規範。自2023 年以來,各中央主管機關依據個資法第 27 條第 3 項,已陸續推出超過 50 部針對各產業的「個人資料檔案安全維護管理辦法」(下稱「安維辦法」)。企業是否落實個資保護,已從抽象的原則性要求,轉變為具體的法遵義務。這些安維辦法將抽象的「適當安全措施」具體化,要求企業從風險評估、內部管理到事故應變,都必須建立完整的個資保護機制。是否遵循安維辦法,已成為主管機關判斷企業是否違法,以及法院衡量企業過失程度的關鍵指標。

本篇文章將從個資法與安維辦法的角度切入,全面解析企業一旦違規,可能觸發的多層次法律責任。

個資保護系列:責任篇

、來自政府的追擊:行政機關的罰鍰

行政機關的罰鍰,可依據違規行為的類型,區分為「直接裁罰」與「限期改正後裁罰」兩大類。

(一)直接裁罰

  1. 依個資法第 47 條:針對核心的違法行為,主管機關可直接處新臺幣 5 萬至 50 萬元罰鍰。並令限期改正,屆期未改正者將按次處罰,包含:
    • 違法蒐集、處理、利用敏感性個資(違反第 6 條第 1 項)。
    • 違法蒐集或處理一般性個資(違反第 19 條)。
    • 違法進行目的外利用(違反第 20 條第 1 項)。
    • 違法進行國際傳輸(違反第 21 條)
  2. 依個資法第 48 條第 2 項、第 3 項:針對未採行適當之安全措施,未落實安全維護義務的違法行為(違反第 27 條第 1 項、第 2 項),則分為兩階段處罰
    • 一般違規:若為首次違規,主管機關可處新臺幣 2 萬元以上 200 萬元以下罰鍰,並令其限期改正;若屆期未改正,罰鍰將加重至新臺幣 15 萬元以上 1500 萬元以下,並可按次處罰。
    • 情節重大:若違規情節重大,罰鍰將加重至新臺幣 15 萬元以上 1500 萬元以下,並可令其限期改正,屆期未改正則按次處罰。
  3. 依個資法第 49 條:對於規避、妨礙或拒絕主管機關檢查的行為(違反第 22 條第 4 項),處新臺幣 2 萬元以上 20 萬元以下罰鍰。

(二)限期改正後裁罰:針對其他法遵義務的違反,主管機關會先命其限期改正,若屆期未改,才按次處新臺幣 2 萬至 20 萬元罰鍰(依個資法第 48 條第 1 項)。主要包含:

  1. 未盡告知義務(違反第 8、9 條)。
  2. 拒絕當事人行使權利(違反第 10、11 條)。
  3. 個資外洩未通知當事人(違反第 12 條)。
  4. 未於法定期間內處理當事人請求(違反第 13 條)
  5. 未提供或配合拒絕行銷的方式(違反第 20 條第 2、3 項)。

(三)代表人責任(個資法第 50 條):

除了處罰企業本身,個資法還設有代表人責任。除非代表人能證明已盡到防止義務,否則將與企業併同承擔相同金額的罰款,這強調了管理層在個資保護中的關鍵責任。

二、來自消費者的反撲:民事上的損害賠償

相較於行政罰鍰,來自大量消費者的民事集體求償,可能才是企業財務上真正的夢魘。依據個資法規定,被害人可以請求個人資料遭不法蒐集、處理、利用或其他侵害當事人權利所造成之損害賠償。即使是非財產上之損害,也可以請求賠償相當之金額,且名譽被侵害的話,可以請求為回復名譽之適當處分。在訴訟上,更有以下對消費者極為有利的規定:

(一)舉證責任倒置(個資法第 29 條):

在個資訴訟中,個資法對消費者有特別保障。企業必須自己證明「對損害之發生並無故意或過失」,否則就要負賠償責任,這在訴訟實務上相對困難。

(二)法定損害賠償額(準用個資法第 28 條第 3 項):

即使消費者無法證明具體的財產損失,仍可請求法院依侵害情節,以每人每一事件新臺幣 500 元以上、2 萬元以下的金額計算賠償。

(三)團體訴訟的威力:

只要有 20 名以上受害者,就可以委由符合資格的財團法人或公益社團法人(如消費者保護團體)提起團體訴訟。若發生數萬筆會員資料外洩的事件,累積的總賠償金額將可能對企業的財務造成毀滅性的打擊。

三、來自司法的追訴:潛在的刑事責任

個資法針對特定惡意行為,設有 5 年以下有期徒刑的刑事處罰。企業經營者與相關員工應特別留意其構成要件,避免誤觸法網。

(一)兩大犯罪類型:

  1. 非法利用個資罪(個資法第 41 條):指違反個資法關於蒐集、處理、利用的規定(違反第 6 條第 1 項、第 19 條、第 20 條第 1 項等),並意圖為自己或第三人謀取不法利益,或意圖損害他人利益,且足以對他人造成損害的行為,最高可處 5 年以下有期徒刑,得併科新臺幣 100 萬元以下罰金。
  2. 非法變更個人資料罪(個資法第 42 條):指意圖為自己或第三人謀取不法利益,或意圖損害他人利益,而對於個人資料檔案進行非法變更、刪除,或以其他非法方法,導致資料不正確,並足以對他人造成損害的行為,最高可處 5 年以下有期徒刑,得併科新臺幣 100 萬元以下罰金。

(二)主觀意圖的認定(最高法院 109 年度台上大字第 1869 號刑事裁定):

對於上述第 41 條犯罪的「意圖」,最高法院大法庭已做出權威性的統一見解,釐清了兩種意圖的範圍:

  1. 「意圖為自己或第三人不法之利益」:此處的「利益」,限縮解釋為財產上之利益。例如,竊取客戶名單販售牟利,就屬於此類。
  2. 「意圖損害他人之利益」:此處的「利益」,則不限於財產利益,也包含了名譽、隱私等人格權的損害。例如,出於報復心態,在網路上公布前同事的個人隱私資料,即使行為人沒有獲得任何金錢利益,但其損害他人名譽的意圖明確,仍可能構成犯罪。

這則裁定意味著,即使企業或員工的違法行為沒有產生任何金錢收益,但只要是出於損害他人利益的意圖(例如報復、騷擾),就可能觸犯刑事責任。

四、其他衍生責任

除了上述三大法律責任外,個資外洩事件還會引發一連串同樣棘手的問題:

(一)董監事責任:若因董事會疏於建立或監督公司的資安防護體系,導致公司遭受重大損失,股東可提起「股東代表訴訟」,向董事或監察人個人求償。

(二)契約責任:在 B2B 的商業模式中,若因企業的疏失導致客戶資料外洩,客戶可依據合約,向企業請求損害賠償、支付高額違約金,甚至要求企業承擔他們被終端用戶求償的所有費用(損害填補義務)。

(三)附隨的調查與補救成本:外洩事件本身就會觸發高昂的成本以恢復正常營運,包括數位鑑識費用、法律顧問費、公關危機處理費、營運中斷損失、設立客服專線,以及系統安全升級的補救費用等補救措施的費用。

五、結論

個資外洩的法律責任,是一個從行政、民事、刑事到公司治理環環相扣的立體網絡。隨著各產業的安維辦法陸續施行,主管機關的監管力道只會愈來愈強。企業必須將個資保護,從單純的法務議題,提升到董事會層級的全面風險管理議題,投入足夠的資源籌備完善的防護體系,建立起扎實的個資保護文化,才能在這個數位時代中,行得穩、走得遠。

Related Posts