如果違法蒐集、處理或利用個人資料,會有什麼法律責任?

文:韓瑋倫(認證法律人)
4   0
刊登:2020-11-12 ‧ 最後更新:2020-11-12

案例

A與是B養殖七彩神仙魚的同好,在網路上結識,進而見面互通姓名。沒想到雙方發生七彩神仙魚隻的買賣糾紛,A委請律師對B寄發律師函,催告B出面處理,再將這個載有B姓名的律師函張貼在他的臉書網頁上,請問A的行為是否違反個人資料保護法?
C與D是臺北市X大廈的住戶,因社區事務而發生紛爭並相互訴訟。D主張C向社區住戶謊報學歷,在與C的訴訟案件中閱卷取得C的戶役政資訊連結作業系統、個人基本資料查詢結果影本,並以紅筆塗去C的身分證統一編號、出生日期後,張貼在X大廈的公布欄上,又交給管理員置放在X大廈大廳櫃檯,請問D的行為是否違反個人資料保護法?
本文
違反個人資料保護法的法律責任
民事責任
個人資料保護法對於公務機關及非公務機關蒐集、處理、利用一般個人資料及特種個人資料[1]的要件,規定於同法第6條第1項、第15條、第16條、第19條、第20條第1項[2],若違反上述規定,導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利的情況,即須負擔民事損害賠償責任[3]
刑事責任
個人資料保護法第41條
但如果行為人主觀上有「為其他不法利益或惡意損害他人的意圖」,而違反個人資料保護法第6條第1項、第15條、第16條、第19條、第20條第1項規定,針對此種行為,立法者認為仍有以刑罰處罰的必要[4],因此於2015年修正通過個人資料保護法第41條,行為人意圖為自己或第三人不法的利益或損害他人的利益,而違反前面提到的相關條文,可能足以損害他人時,最高可以處5年的有期徒刑,還可以併科新臺幣100萬元以下罰金[5]
什麼是「意圖為自己或第三人不法之利益或損害他人之利益」的「利益」?
修法後,多數實務見解認為,個人資料保護法第41條的「意圖為自己或第三人不法之利益或損害他人之利益」所稱的「利益」,應限縮在「財產上的利益」,不包含精神或情感上的利益或損害[6]。因此,行為人違反個人資料保護法利用他人個人資料的行為,縱使造成他人精神痛苦、人格名譽受損,被害人也只能透過民事訴訟途徑請求賠償。
但有少數實務見解認為,如果行為人有意圖其他「具體之不法利益」或「惡意損害他人」,並發生非財產上利益或損害,也可以例外依個人資料保護法第41條,處以刑事罰[7]
這個法律問題,也受到最高法院的重視,甚至認為有統一見解的必要性,因此於2020年7月提出至大法庭評議[8],後續結果值得各位讀者持續關注。
案例分析
案例一
個人資料的蒐集、利用
A因雙方有買賣糾紛,而將B的姓名載於律師函,再將律師函張貼於他的臉書網頁上,屬於經A「蒐集」所得且對B個人資料的「利用」行為。
A的行為不構成個人資料保護法的刑事責任
如果A在委請律師寄發律師函催告B出面處理,而未能獲得善意回應的情形下,採取在臉書網頁上張貼載有B姓名的律師函內容,作為再次通知並催告B出面處理的手段,且律師函的內容僅揭露B的姓名外,並未同時揭露B的其他個人資料,則A利用B「姓名」的個人資料行為,可認為有正當性目的並符合比例原則,難認A有意圖為自己或第三人不法之利益或損害他人之利益,並沒有違反個人資料保護法第41條第1項非法利用個人資料罪的問題。
A也不需要負擔民事賠償責任
由於A蒐集及利用B個人資料的行為並沒有違反個人資料保護法的規定,B的權利也沒有遭到A侵害,因此A不需要負擔民事賠償責任。
案例二
個人資料的利用
D將載有C個人資料的個人基本資料查詢結果、戶役政連結作業系統資料張貼、散布於X大廈,雖然有以紅筆塗去C的部分個人資料,但個人基本資料查詢結果及戶役政資訊連結作業系統影本內,還有C的姓名、住址、出生地、婚姻狀況、教育程度等個人資料,仍屬於「利用」C個人資料的行為。
D的行為可能成立個人資料保護法的刑事責任
然而,C的個人資料與大廈住戶及公共利益並無關係,即使D是為了告知大廈住戶C有學歷不實問題,也應該採取其他合法、合理且符合一般人期待的方式,但D卻公開揭露法院為特定C身分、審理案件所需的資料,客觀上顯逾越蒐集目的必要範圍;而且雙方已經有訴訟糾紛,顯然關係不合,則D公開揭露C個人資料的行為,主觀上多是出於私怨、損害C的隱私和社會評價,還是有可能會被法院認定有惡意損害C利益的意圖,而成立個人資料保護法第41條第1項非法利用個人資料罪。
D可能也需負擔民事賠償責任
由於D蒐集及利用C個人資料的行為違反個人資料保護法的規定,C如果受有隱私或社會評價減損的侵害,可以依同法第29條及第28條第2項規定[9],請求D賠償相當之金額,如果C難以證明實際損害的額度,也可以依同法第28條第3項規定[10],請求法院依侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。

註腳

  1.   關於哪些資料屬於個人資料,請見韓瑋倫(2020),《哪些資料是個人資料?判斷標準是什麼?》。
    另外其他個人資料保護的相關文章,請見韓瑋倫(2020),《有哪些資料是受到特別保護的特種個人資料?應如何合法運用這些資料?》;
    韓瑋倫(2020),《什麼是利用個人資料的「特定目的」與「必要範圍」?》。
  2.   個人資料保護法第6條第1項、第15條第16條第19條第20條第1項。
  3.   個人資料保護法第28條第1項:「公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。」
    個人資料保護法第29條第1項:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」
  4.   立法院(2015),《立法院公報》,第104卷第9期,頁206-208。
  5.   個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
  6.   臺灣高等法院108年度上訴字第2587號刑事判決:「依前述修法歷程及目的觀之,違反個人資料保護法相關處罰規定之行為,本質上即屬客觀侵害人格權之行為,若解釋上將意圖要件即『意圖為自己或第三人不法之利益或損害他人之利益』,及於人格權(如隱私權、名譽權等)等非財產上之利益,則因違反個人資料保護法相關處罰規定之行為,本亦容易合致前開意圖要件,而將大幅擴及至立法者原先不欲以刑罰處罰之範圍(仍可以民事賠償及行政罰等途徑救濟),反而無法達到修正後個人資料保護法第41條限縮處罰範圍之修法目的,從而由修法之精神以觀,前開法條文字所謂『利益』,應予以目的性限縮,僅限於『財產上之利益』,不得任意擴張及於侵害精神、人格等非財產利益之情形,始符合修法之旨。」
    同樣的見解可以參照臺灣高等法院107年度上訴字第1709號刑事判決臺灣高等法院107年度上易字第1989號刑事判決
  7.   臺灣高等法院108年度上訴字第1519號刑事判決:「惟依據該條之修正提案總說明:『惟若行為人雖無營利之意圖,卻為其他不法利益或惡意損害他人等意圖而違反本法相關規定,仍有以刑罰處罰之必要』等文字,解釋上倘發生非財產上利益或損害,行為人必須有意圖其他『具體之不法利益』或『惡意損害他人』者,始例外亦依修正後第41條處以刑事罰,方符合修法之目的。」
    採取相同見解,可以參照臺灣高等法院高雄分院109年度上訴字第709號刑事判決臺灣臺中地方法院108年度訴字第1346號刑事判決
  8.   參照最高法院109年度台上大字第1869號刑事提案裁定
  9.   個人資料保護法第29條
    個人資料保護法第28條第2項:「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」
  10.   個人資料保護法第28條第3項:「依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」
4
這篇文章有幫助到你的話,
請給我一個讚,謝謝。
送出 取消
網站採用CC授權,內容歡迎轉載分享。