前言
「我只是想讓AI幫我整理一下這份客戶名單,加速工作進度,這樣也不行嗎?」這可能是許多員工與企業主管內心的疑問。在生成式AI工具快速普及的今天,員工為了提升效率,將客戶資料、合約甚至公司機密文件輸入AI,已非罕見。然而,這個看似無害的動作,背後隱藏著違反個人資料保護法、營業秘密法、違背勞動契約忠實義務,甚至公司內規的重大風險。直接回答:非常有可能違法,且可能同時觸犯多條法律。在尚未確認公司政策與AI平台資料使用授權前,請絕對不要採取輸入行動,以免造成不可逆的資料外洩風險。
壹、去識別化案例事實
一家位於桃園的廣告公司,為提升提案效率,要求業務部門使用某知名公開版生成式AI工具輔助工作。員工A君為了快速製作客戶分析報告,將公司過去三年內、數十家具有保密合約的客戶名單、聯絡方式、報價紀錄及客製化產品需求等資料,未經任何去識別化處理,直接「複製貼上」至該AI工具的對話框中,要求AI根據這些資料生成一份新的提案簡報。
數日後,公司資訊部門在進行資安稽核時,發現內部網路曾有大量機敏資料流向該AI平台的紀錄。公司緊急啟動調查,發現A君的行為。此時,A君才驚覺自己的便利之舉,可能已讓公司的核心客戶資料暴露於未知風險中。公司現正面臨客戶要求說明、內部懲處,甚至潛在的法律訴訟風險。
貳、核心爭點
將客戶資料輸入公開版生成式AI,員工與公司各需要負擔哪些法律責任?
輸入的資料類型(如:姓名、聯絡方式 vs. 病歷 vs. 報價單)與AI平台版本(公開版 vs. 企業版 vs. 自建模型),其法律風險有何差異?
若公司未明文禁止員工使用生成式AI,員工是否就能免責?
公司是否有權利與義務去監控員工的AI使用紀錄?
資料已經輸入後,還能採取哪些補救措施以降低風險?
參、法律解析
一、個人資料保護法(個資法)
根據台灣現行個人資料保護法,非公務機關對個人資料的利用,應於蒐集之特定目的必要範圍內為之(個人資料保護法第20條第1項)。若未經客戶同意,或逾越特定目的,將客戶的姓名、電話、地址、病歷、消費習慣等個人資料輸入第三方AI平台,就構成「利用」,此舉極可能違反**個人資料保護法第20條**。
尤其當員工「意圖為自己或第三人不法之利益,或損害他人之利益」,而違法利用,更可能觸犯**個人資料保護法第41條,面臨五年以下有期徒刑的刑事責任。縱使員工無此意圖,若「足生損害於他人」,公司仍可能面臨民事賠償責任。參照判決中,負責人因修車糾紛取得並張貼客戶個資,被認定違反個人資料保護法第41條**;判決中,員工將他人個資輸入貸款網站,同樣構成違法。這兩案均顯示,未經同意或逾越目的而將個資提供給第三方平台,即有極高風險。
二、營業秘密法
若員工輸入的資料,是公司投入相當成本開發或維護、具有實際或潛在經濟價值,且公司已採取合理保密措施(如:標示機密、設有權限控管)的客戶名單、產品配方、成本結構或商業策略等,即可能構成營業秘密。
營業秘密法第2條明確定義營業秘密需具備秘密性、經濟性及已採取合理保密措施。若員工未經授權,將此類營業秘密輸入AI平台,可能觸犯營業秘密法第13條之1第1項第2款:「知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密者」,此罪可處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金。
參照判決,台積電員工因違反「Need to Know」原則,重製非職務所需之機密文件,即被認定違反**營業秘密法第13條之1**。本案中,員工將資料輸入AI,無異於將公司核心資產置於外部系統中,風險極高。與判決則指出,若客戶資料可從公開管道取得,或公司未採取合理保密措施,則法院可能不認定其為營業秘密,但這不代表員工即可免於違反個資法或勞動契約的責任。
三、違反勞動契約與忠實義務
即使不構成刑事犯罪,員工的行為也已違反勞動契約中「誠實信用原則」與對雇主的「忠實義務」。員工本應為雇主利益行事,不得洩漏或利用職務上知悉的秘密。將客戶資料輸入不受控的第三方平台,明顯違背此義務。即便公司無明文禁止AI使用,員工也應負有基本的注意與保密義務。
四、版本差異與風險
| AI類型 | 風險說明 |
|---|---|
公開版AI | 風險最高。此類平台常利用用戶輸入的資料來訓練或優化模型。員工輸入的機密資料,可能被作為答案提供給其他用戶,從根本上喪失其秘密性。 |
企業版AI | 風險較低但仍存在。通常企業版會承諾資料僅供該企業使用、不用於模型訓練。然而,仍需審閱其服務條款與資料處理協議(DPA),確保數據在傳輸與儲存過程中被適當保護。 |
公司自建模型 | 風險最低,但成本與技術門檻最高。資料完全在內部環境中處理,不涉及第三方。 |
五、公司未訂規範時,能否懲處員工?
可以。法律規範(如個人資料保護法、營業秘密法)與勞動契約的「忠實義務」是最低底線,不因公司內規未詳細規定而免除。員工行為若已構成違法,公司自得依勞動基準法第12條第1項第4款(違反勞動契約或工作規則,情節重大)或第5款(故意洩漏雇主營業上秘密)予以解僱,且無需預告,亦無需給付資遣費。
肆、實務判斷重點
法院或主管機關在判斷時,通常會綜合考量以下因素:
資料的敏感程度:單純姓名、電話與包含病歷、財務資料、核心配方等高敏感度資料,風險層級截然不同。
AI平台的性質與條款:員工使用的是公開版、企業版還是自建模型?該平台的服務條款是否明確放棄對用戶輸入資料的使用權?
公司的資訊安全政策與教育訓練:公司是否有明確的AI使用規範?是否對員工進行過相關資安與法律教育訓練?若公司已盡告知義務,而員工仍違規,責任更重。
員工的職位與權限:高階主管、業務、研發等接觸核心機密人員,其注意義務與忠實義務的程度更高。
輸入資料的目的與範圍:是為了完成公司交辦任務,還是私人使用?輸入的資料量與範圍是否超出必要範圍?
伍、證據保存與處理流程
立即(發現後24小時內)
停止行為:立即要求員工停止所有將資料輸入AI的行為。
切斷連線:若必要,可暫停可能被攻擊或外洩的系統或帳號。
保存本地端紀錄:保留員工電腦的瀏覽器歷史紀錄、對話記錄截圖(注意,不得透過非法手段,如未經授權破解密碼)。
短期(3-7天內)
正式調查:由法務、資訊、人資組成調查小組,訪談當事員工,釐清事實。
聯繫AI平台:立即聯繫AI平台業者,請求確認資料是否已被用於訓練,並要求立即刪除已上傳的資料(詳見FAQ第5題)。
通知客戶:若涉及客戶個資,評估是否需要主動通知客戶,說明事件經過與補救措施,避免後續更大規模的求償。
後續(1-2週內)
擬定或修訂AI規範:制定明確的公司內部「生成式AI使用管理辦法」,規範員工何時、如何使用AI工具。
簽署同意書:要求接觸機敏資料的員工,簽署AI使用規範同意書。
進行教育訓練:針對全體或特定部門,進行相關法律與資訊安全教育訓練。
評估風險:委任專業律師評估本事件可能引發的法律責任、損害賠償範圍,並擬定因應策略。
陸、不同立場的風險與策略
員工視角
風險:可能面臨公司解僱、民事求償、甚至刑事告訴。
策略:若已發生,應立即停止並主動向主管坦承,配合調查,盡可能協助公司聯繫AI平台刪除資料。切勿隱瞞或銷毀證據。若公司未提供明確規範,仍應以保障客戶資料安全為最高原則。
企業視角
風險:客戶集體訴訟、商譽損失、營業秘密外洩、違反法規被裁罰。
策略:立即啟動應變流程(如上述第五點)。內部調查與外部法律諮詢應同步進行,並對外(尤其是客戶)保持溝通透明。
柒、律師建議
第一步:立即取證、保全資料。 包括員工與AI平台的對話紀錄、公司資料處理政策等。
第二步:內部調查與程序啟動。 人資與法務應介入,確認事實是否符合解僱或提起訴訟的要件。
第三步:評估刑事與民事途徑。 若員工涉及個人資料保護法或營業秘密法,可考慮提出刑事告訴。民事上,則可依勞動契約或侵權行為請求損害賠償。
避免策略:不宜立即公開指責,以免激化衝突或引來更多訴訟。 建議先行協商,若協商不成,再啟動正式法律程序。
捌、謹律律師專業解析
有責與否,不看結果,看行為。 即使資料未被AI平台「學走」或外洩,只要員工將客戶個資或機密輸入第三方平台,此一行為本身即已違法。
「去識別化」不是萬靈丹。 單純隱去姓名,但結合其他輸入的資訊(如職位、公司、地址)仍可能回推特定個人,仍屬個資。參照判決,法院會審酌整體資料是否仍具備「識別性」。
公開版AI風險極高。 即使只是測試,也不應在公開版AI上輸入任何機敏資訊。
企業沒有訂定AI使用規範,不代表員工免責。 法律與勞動契約的忠實義務是基本要求。
證據是訴訟的基礎。 AI對話記錄、系統存取日誌、公司政策文件都是關鍵證據,應以合法方式妥善保存。
預防勝於治療。 公司應優先建立明確的AI使用內規,並進行員工教育訓練,風險遠低於事後補救。
資料類型決定風險高低。 輸入一般客戶名單的風險低於輸入含有財務、健康或核心技術的資料層級。
補救是必要的,但無法完全免責。 立即要求AI平台刪除資料,能降低損害,但無法完全抹去已發生的違法事實。
玖、FAQ
1. 只貼一小段資料也有風險嗎?
有。判斷是否違法,重點不在「量」,而在「質」與「行為」。只要這「一小段資料」包含足以直接或間接識別特定自然人的個人資料(如姓名+手機號碼),或屬於公司保護的營業秘密,將其輸入外部AI平台,就已構成「利用」或「洩漏」行為,就有法律風險。參考精判決,主管機關會認為,未經主管機關許可,擅自將個人資料以電腦處理,即構成違法。
2. 去掉姓名就一定安全嗎?
不完全是。個人資料保護法第2條定義的「個人資料」包括姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動等。若去掉姓名,但輸入的文字中包含了「中壢某科技公司業務經理、去年業績5000萬、曾因XX原因與客戶發生糾紛」,這些資訊仍可能與特定人連結,風險依然存在。唯有做到「完全無法識別特定個人」的「去識別化」才是相對安全的。
3. 使用付費企業版就沒問題嗎?
不一定。付費企業版通常會提供更嚴格的資料保護保證,例如承諾不使用客戶資料進行訓練,或在合約中載明資料處理方式。然而,這不代表問題完全解決。首先,仍需仔細審閱服務條款與資料處理協議(DPA),確認其法律約束力。其次,員工未經公司授權,自行註冊企業版帳號並輸入資料,仍可能違反公司內規與忠實義務。最後,即使企業版平台,也無法保證百分之百不會發生資料外洩事件。
4. 公司可以查員工AI使用紀錄嗎?
可以,但有界線。 若公司使用公司的設備(電腦、網路帳號),其設備與網路使用紀錄原則上屬於公司的財產。公司為了資訊安全、防止營業秘密外洩等合法目的,進行合理範圍內的監控,通常被認為是合法的(例如清查公司網路流量、查看公司配發電腦的使用紀錄)。但若公司未經告知或過度、持續性地監控員工的私密通訊,則可能涉及侵犯隱私權。建議公司在員工手冊或工作規則中明確訂定「監控政策」。
5. 資料輸入後還能要求刪除嗎?
可以,但效果有限,且需立即行動。應立即聯繫該AI平台業者,提供相關帳號與對話記錄,要求刪除已上傳的資料。多數平台有資料刪除請求流程。然而,若資料已被用於模型訓練,刪除的難度極高,且無法保證模型已完全「忘記」這些資訊。這是為什麼預防遠比補救重要的原因。參照精判決,行政法院在團體協約事件中強調,資料提供後是否仍可控制其後續利用,是判斷風險的重要依據。
拾、大桃園與雙北服務段落
若您正位於桃園、中壢、八德、平鎮、龜山、蘆竹、楊梅、龍潭或大溪,正面臨員工使用AI衍生的法律難題,或是希望建立完善的公司治理與AI使用內規,我們是您值得信賴的桃園企業法律顧問,能提供從預防性合約審閱到爭議解決的一站式服務。我們的桃園民事律師團隊,也擅長處理因上述行為引發的勞資糾紛、營業秘密侵害及損害賠償案件。我們同時服務台北市、新北市(雙北)地區之客戶,協助企業在快速變化的數位時代,穩健建立法律風險防火牆。
拾壹、相關文章延伸閱讀與諮詢引導
諮詢引導
任何法律上的疑問,建議應由專業律師根據您的具體情況進行評估,才能做出最有利的判斷。歡迎與我們聯繫。
謹律法律事務所
諮詢專線:0907-010257
官方 LINE:@best1177
您可以先準備好相關的對話紀錄、公司政策文件等資料,由律師為您提供精準的個案分析與策略建議。


