員工的人事資料,是任何產業的公司最基本也最豐富的個人資料,從姓名、家庭狀況、金融帳戶、學經歷到健康檢查,幾乎都在公司的掌握之中。不過,公司只是抽象的法律上存在,真正在保管、利用這些資料的,仍然是公司裡的各個員工,尤其是各個部門的主管,為了要適當的管理所屬員工,難免會取得或知悉下屬的部分個人資料。對於主管而言,這些個人資料利用的界限在哪裡呢?
案例事實
2019年3月底,新北地方法院有一則刑事判決。檢察官認為,被告因為擔任某公司的業務經理,因此取得女性下屬(告訴人)的員工人事資料表後,擅自利用人事資料表上的告訴人生日,以「生命靈數」方式推算告訴人的命運與性格,再把推算的結果寫下來翻拍LINE給告訴人。檢察官認為,被告擅自以下屬的生日推算生命靈數,是意圖為自己的不法利益,基於非法利用個人資料的犯意,超出特定目的必要範圍利用個人資料的行為,因此提起公訴。
法官認為,被告雖然因為是公司主管而擁有查詢下屬資料的權限,但是因此取得的個人資料,都只能在管理公司員工的必要範圍內加以利用。被告雖然主張,自己是因為決定解雇告訴人,所以為了提供告訴人生涯規劃的參考,才以告訴人的生日為他推算生命靈數,但是這種利用方法,仍然逾越蒐集個人資料時特定目的的必要範圍,且與其蒐集原因不具任何正當合理關聯。
雖然如此,因為法官認為檢察官沒有辦法證明被告有「為自己或第三人不法之利益或損害他人利益」的意圖,因此雖然被告違反了個資法不得超出特定目的必要範圍利用個人資料的規定,仍然不構成刑事責任。
公司主管只能在公務必要範圍內利用下屬的個人資料
企業因為聘用、管理勞工而蒐集勞工的個人資料;公司主管基於公務的目的取得下屬的個人資料,依照個資法第20條的規定,就只能在「企業蒐集的特定目的必要範圍內」使用,超出特定目的的必要範圍,就必須要「另外」得到下屬的同意,否則就是違法的利用行為,不管究竟公司主管的出發點是否利益良善(如前述案例的被告,主張自己是為了要替被開除的下屬做生涯規劃)。
有不法意圖才需要負個資法的刑事責任
依照現行的個資法,違反個資法時,必須同時還有「為自己或第三人不法之利益或損害他人利益」的意圖,才會受到刑事處罰。這項修法的理由,在於立法者認為,雖然隱私權值得受到相當的保護,但是不一定都要以刑事處罰作為手段,在不具備「為自己或第三人不法之利益或損害他人利益」的意圖時,只需要以行政處罰,或是使行為人負擔損害賠償責任,就足以彌補當事人的損害,也足以遏止行為人侵害隱私權的行為。這也是為什麼在本文的案例中,法官雖然認為被告違反個資法,卻仍然做成無罪判決的原因。
企業可能要為了員工的違法負民事賠償責任及受到行政裁罰
即公司主管本人不需要負擔刑事責任,不過不能忘記,企業的公司主管仍然是企業的一員,無論是董事長、總經理還是低階小公司主管,只要是利用職務上的機會,侵害他人的權利,依照民法的規定,公司都要負擔連帶的賠償責任。且依個資法規定,被害人不需要證明自己受到損害的數額,法官就可以在500元至20,000元間決定適當的賠償金額。不僅如此,員工違法利用個人資料時,公司主管機關還可以依個資法「分別」裁罰公司及公司負責人「各」5萬至50萬元的罰鍰,責任不可謂不重。
員工是公司最重要的資產,隱私權則是核心的人格權,即使沒有法律的規定,公司本來就應該高度尊重、保護員工的個人資料,更何況個資法已經施行多年,隱私權是現代資訊社會中高度受到重視的權利種類呢!