公司LINE群組傳客戶個資會違法嗎?桃園企業法律顧問解析蒐集利用與外洩責任

前言

您是否曾在公司LINE群組中,為了方便工作,直接將客戶的姓名、電話、訂單明細,甚至是身分證、帳戶照片貼在群組裡?此舉看似提升效率,實際上卻可能讓您與公司踩上《個人資料保護法》的紅線。第一段直接回答:是,若未經客戶同意或無法律明文規定,在公司LINE群組傳送客戶個人資料,極有可能違反個資法,最高可處五年以下有期徒刑,並面臨民事賠償責任。 您現在最該做的第一步,是立即停止傳送,並保留群組對話記錄、傳送的時間與目的,切勿在未保存證據前,就刪除對話或解散群組,以免後續無法舉證。

壹、去識別化案例事實

情境: A公司為新北市一家中小型貿易公司,主要客戶為國內外採購商。為方便業務溝通,公司內部建立了一個LINE群組,成員包括業務部主管、業務員及會計,共8人。業務員小王為處理客戶B公司的緊急訂單,將該公司負責人陳先生的姓名、手機號碼、統一編號以及一份包含銀行帳號的訂購單,直接拍照上傳至公司LINE群組,並在群組中討論出貨事宜。未料,該群組內一名已離職但尚未被移除的離職員工,將此張照片截圖外傳。不久,陳先生便發現自己的個人資料遭到不明人士利用,收到詐騙電話。陳先生憤而向A公司及小王提出刑事告訴與民事求償。

目前狀態: 陳先生已提供截圖作為證據,檢警單位已通知A公司及小王到案說明。公司內部正緊急調查群組成員權限及資安流程。

貳、核心爭點
    1. 基於公司內部溝通需求,在LINE群組傳送客戶個資,是否符合《個人資料保護法》規定的「特定目的內必要利用」?

    2. 離職員工或外部廠商若仍在群組內,其觀看或外流客戶個資,責任歸屬如何劃分?

    3. 若員工一時誤傳敏感個資(如身分證、病歷),或誤傳後立刻收回,法律責任是否不同?

    4. 公司應建立哪些管理制度,才能有效降低LINE群組傳送客戶個資的違法風險?

參、法律解析
    1. 違法利用的核心責任:個資法第41條 根據個人資料保護法第41條意圖為自己或第三人不法之利益或損害他人之利益,而違反同法第20條第1項規定(非於特定目的必要範圍內利用個人資料),足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。

      個人資料保護法第41條:意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、個人資料保護法第十五條個人資料保護法第十六條個人資料保護法第十九條個人資料保護法第二十條第一項規定,或依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。

      • 適用本案: A公司員工小王將客戶資料傳送至群組,此行為屬於「利用」個人資料。此利用是否「逾越特定目的之必要範圍」是判斷違法的關鍵。若是單純為處理客戶訂單而必須讓內部相關人員知悉,或許仍可主張為特定目的內利用。然而,若群組內包含與該筆訂單無關、或已離職之人員,此行為便容易超出必要範圍,構成違法利用。參照判決(114年度台上字第1651號),法院認為在未經同意下將個人資料傳至LINE群組,已超出合法使用目的之必要範圍。

    2. 違法蒐集或處理的額外風險 即使員工不是「主動蒐集」,而是從公司系統或其他同事處「取得」後再傳送,也可能涉及違法「處理」或「利用」的問題。特別是當傳送的資料包含**個人資料保護法第6條所規定的「特種個人資料」**(如病歷、醫療、基因、性生活、健康檢查、犯罪前科)時,原則上不得蒐集、處理或利用,違者刑責更重。判決(111年度台上字第1674號)亦指出,冒用名義取得他人醫療、性生活等資料,已屬不法。

    3. 公司(雇主)的民事責任 除了員工個人可能面臨刑事追訴,公司也可能因員工的執行職務行為,依民法第188條規定負連帶賠償責任。判決(114年度上訴字第146號)即為公司負責人因與他人債務糾紛,將對方家庭成員資料印製傳單發放,並以LINE傳送威脅訊息,最終被法院判決違反個資法及刑法恐嚇罪。這顯示,即使是公司高層的個人行為,也可能將公司牽涉其中。

肆、實務判斷重點

法院或檢察官在判斷此類案件時,通常會綜合考量以下因素:

    • 傳送範圍(群組人數與成員身份): 群組是否僅限於業務必須知悉的同事?是否包含不應接觸該資料的外部人士、離職員工、其他部門員工?判決(113年度台上字第1711號)特別指出,若個人資料因共同參與社會活動而產生,原則上不具「獨佔排他性」,但若行為人有惡意不當聯結,逾越合理利用範圍,仍可能觸法。

    • 傳送資料的敏感程度: 是一般姓名、電話,還是身分證字號、銀行帳號、病歷、犯罪前科等敏感個資?判決(111年度台上字第3494號)即針對張貼他人犯罪前科資料做出有罪判決。

    • 主觀意圖: 行為人是否具有「損害他人利益」的意圖?即便沒有,若客觀上造成他人損害(如詐騙、騷擾),仍可能構成「足生損害於他人」的要件。判決明確指出,損害不限於財產上利益,亦包含非財產上利益。

    • 公司有無建立制度: 公司是否已訂立明確的資訊安全規範及個人資料保護政策?是否對員工進行教育訓練?是否有監督機制?若公司已盡力防止,員工的行為可能被認定為個人行為,但公司仍難免民事責任。

伍、證據保存與處理流程

立即行動:

    1. 截圖保存: 立即對包含個資的對話紀錄進行截圖或螢幕錄影,確保清晰顯示傳送時間、傳送者、群組名稱及成員。

    2. 保留原始訊息: 避免刪除任何對話紀錄,即使已收回,伺服器後端仍可能有備份。切勿登出或重新安裝LINE,以免影響數位證據的完整性。

    3. 確認外洩範圍: 調查該群組目前與歷史成員,釐清有多少人曾看過該訊息,特別是已離職或外部廠商。

短期處理:

    1. 內部通報: 立即依公司內部資安事件通報程序,向主管或個資管理窗口報告。

    2. 召回訊息(若時間極短): 若剛傳出且群組人數不多,可立即嘗試利用LINE的「收回」功能,但務必認知此舉不必然免除法律責任。判決案例中的上訴人即是將資料傳至5人群組,即使收回,法院仍認定其行為已構成犯罪。

    3. 通知當事人: 應誠實、主動地通知客戶此一外洩事件,並表達歉意及後續處理方式,以展現誠意,有助於降低民事求償金額。

後續步驟:

    1. 委任律師: 若已接獲檢警通知或告訴,應立即委任律師陪同偵訊或出庭,確保訴訟權益。

    2. 全面盤點: 公司應全面盤點所有LINE群組,並檢視內部資安規範,修正作業流程。

陸、不同立場的風險與策略
    • 員工立場:

      • 風險: 若因公傳送客戶個資,恐被追訴違反個資法,甚至需負擔鉅額賠償。

      • 策略: 立即提出所有證據證明自己是「執行公司交辦事項」的善意第三人,非出自惡意。聲請調查公司內部有無資安規範,若無,則可主張公司未盡監督管理之責。

    • 公司(雇主)立場:

      • 風險: 除了民事連帶賠償責任,公司負責人若知情或未盡監督之責,也可能因違反個資法第41條而被起訴。判決(109年度上訴字第2244號)中,即使被告否認,法院仍認定其主觀上有損害他人利益之犯意。

      • 策略: 立即召開緊急會議,啟動危機處理。對外發布公司已啟動內部調查,並將與律師共同擬定對策。向客戶表達誠摯歉意,尋求和解。同時,全面檢討並強化內部教育訓練與資安制度。

柒、律師建議

此類案件,時效性至關重要。

    • 協商時機: 在客戶尚未提告前,主動、誠懇地與客戶協商和解,是降低風險的最佳途徑。可委任律師協助擬定和解書,明確約定刑事不追究與民事責任拋棄。

    • 申訴時機: 若員工認為公司未盡監督責任,導致其誤觸法網,可向勞動主管機關申訴,主張公司未提供安全的工作環境。

    • 報案時機: 若客戶資料外洩是由離職員工或外部廠商惡意外流,公司應立即報警,追究該第三人的刑事責任,除可維護自身權益,也可向客戶證明公司已採取行動。

    • 訴訟時機: 當協商破局,或客戶索賠金額過高,應由經驗豐富的律師評估訴訟策略,在法庭上主張公司已盡善良管理人注意義務,爭取減輕或免除責任。

捌、謹律律師專業解析
    1. 第一步,先確認傳送內容與範圍: 判斷違法與否,關鍵不在於是否在公司群組,而在於「傳給誰」及「傳了什麼」。傳給業務必要相關的人,傳送姓名、電話等一般資料,風險較低;傳送身分證、帳戶等敏感資料,或傳給不相關之同事,風險極高。

    2. 常見誤區一:「同事都知道,沒關係。」 即使同事都認識,但未經客戶同意,仍不得任意利用。

    3. 常見誤區二:「收回就沒事。」 誤傳後立刻收回,若能證明對方尚未讀取,或許可降低損害,但仍無法完全免責。且法院仍會審酌您是否有防止損害發生的積極作為。

    4. 證據策略是決勝關鍵: 完整保留群組對話、公司資安規範、教育訓練紀錄,是證明公司已盡監督責任、員工非出於惡意的核心證據。

    5. 應採用的溝通工具: 建議公司採用具備「聊天記錄保留、後台管理、閱後即焚、禁止截圖」等功能的企業即時通訊軟體(如Teams、JANDI、企業微信等),取代一般LINE群組,從源頭降低風險。

    6. 應建立的三大機制: 公司內部應建立「最小必要原則」(只讓必要人員看到必要資訊)、「資料遮罩機制」(如將身分證號碼中間幾碼以*號代替)、「定期刪除機制」(無需保留的個資定期清理)。

玖、FAQ

Q1: 只有公司同事的群組也可能違法嗎? A1: 是的。即使群組內全是公司現職同事,若該同事與該筆客戶業務無關,或您將與業務無關的客戶隱私資料(如病歷、家庭狀況)分享於群組,仍可能違反特定目的內利用原則,構成違法。判決中,法院亦強調須有「損害他人利益之意圖」,若只是為工作所需,主觀意圖或許較輕,但仍無法完全免責。

Q2: 把身分證照片傳群組可以嗎? A2: 原則上不可以。身分證統一編號、照片及住址等均屬個人資料。若因業務必須(如報帳、簽約),應透過安全的加密管道(如公司內部系統、電子郵件加密)傳送給特定承辦人,而非直接傳到群組。傳送至群組,等於將高度敏感的資料暴露給多數人,極易構成違法。

Q3: 離職員工還留在群組怎麼辦? A3: 立即移除。這是公司最應避免的漏洞。離職員工對公司已無業務上必要,其留在群組內持續接收客戶個資,本身就是一種違法「蒐集」或「利用」。公司必須負起管理責任,在員工離職時,同步將其自所有與業務相關的群組中移除,並要求其簽署保密與刪除資料切結書。

Q4: 誤傳後立刻收回就沒責任嗎? A4: 並不會自動免責。收回功能僅能防止訊息「繼續」被其他人看到,但無法回溯已讀取過的人所取得的資訊。若訊息已被截圖,或已有成員觀看並下載,損害即已發生。此時,您必須證明自己已採取「立即且有效的防止措施」,例如立即在群組公開道歉並要求所有人「切勿傳閱、刪除截圖」,以證明自己並無惡意,且已盡力防止損害擴大,或許可作為量刑或減輕責任的依據。

Q5: 可以要求員工刪除手機裡的客戶資料嗎? A5: 可以,但必須有明確依據。公司應在勞動契約、工作規則或保密協定中明文規定,員工因業務關係取得的客戶個資,在業務結束或離職時,應無條件刪除或歸還,並禁止複製、備份在公司未授權的個人裝置(如個人手機)中。若無此規定,員工可能主張其持有資料是為後續工作需要而拒絕刪除。

拾、大桃園與雙北服務段落

謹律法律事務所深耕桃園地區,無論您的公司設立於桃園市桃園區、中壢區、八德區、平鎮區、龜山區、蘆竹區、楊梅區、龍潭區或大溪區,我們都能提供在地化的法律顧問服務。此外,對於大台北地區(台北市、新北市)的企業,本所亦有豐富的實務經驗,專精於民刑事訴訟與企業法遵。我們深知,在個資保護意識高漲的時代,單靠內部管理已不足以防堵風險。從員工教育訓練、內部規章制定,到遭遇爭議時的危機處理,我們都能提供最貼近實務的整體解決方案,協助您的企業有效降低法律風險,安心營運。

拾壹、相關文章延伸閱讀與諮詢引導

諮詢引導: 如果您正面臨公司LINE群組傳客戶個資的爭議,或希望為公司建立完善的個資保護制度,謹律法律事務所的專業律師團隊可先為您提供資料評估,再依個案事實與證據,擬定最有利的策略。


謹律法律事務所 

諮詢專線:0907-010257 

方 LINE:@best1177

LINE