您目前面臨的情境是,公司的董事長透過您的主管要求您提供一份名單。這個要求是以電話的方式傳達給您的,而並非書面指示。您對於這項要求感到猶豫,因為您擔心可能涉及的法律責任,特別是在公司是否有相關的隱私政策或指引方面,您並不清楚。董事長認為他有權利獲得這份名單,但您擔心這可能會違反法律或公司的內部政策。到目前為止,您尚未採取任何行動來回應這個要求,並考慮是否需要與法律顧問討論,以確保您的行為不會違反任何法律或公司的政策。您希望能找到一個解決方案,既能滿足董事長的要求,又不會違反法律。
本案涉及公司董事長透過主管以口頭方式要求員工提供特定名單,該員工對此要求感到疑慮,擔心可能違反個人資料保護法或公司內部政策。主要爭議點在於:
(一)董事長是否有權要求取得該名單
(二)提供名單是否違反個人資料保護相關法規
(三)員工應如何妥適處理此要求
依個人資料保護法第2條規定:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」
若該名單包含上述任何資訊,應屬個人資料保護法規範範圍。本案中,名單之具體內容尚未明確,但若涉及員工或客戶之姓名、聯絡方式等資訊,可能構成個人資料。
依個人資料保護法第19條第1項規定:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。六、為增進公共利益所必要。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。八、對當事人權益無侵害。」
本案中,若名單涉及個人資料,公司內部調閱該名單應符合上述情形之一。若係基於公司業務管理需要,可能符合第二款「與當事人有契約或類似契約之關係」之規定,但仍須確認是否已採取適當之安全措施。
依個人資料保護法第20條第1項規定:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。」
本案關鍵在於董事長要求名單之目的是否符合原始蒐集該資料之特定目的。若超出原始蒐集目的,應符合上述但書規定之情形之一,否則可能構成違法利用。
依個人資料保護法第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」
本案中,若以口頭方式要求提供名單,缺乏書面授權與使用紀錄,可能不符合適當安全措施之要求,增加個人資料外洩或不當使用之風險。
依個人資料保護法第11條第1項規定:「公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。」
提供名單前,應確認資料之正確性,並確保當事人之權利不受侵害。若未經適當程序即提供名單,可能影響當事人權益。
若未依個人資料保護法規定處理或利用個人資料,依該法第47條規定,可能面臨新台幣5萬元以上50萬元以下之罰鍰。雖然該條文未於提供之法源中完整呈現,但依個人資料保護法之體系,違反第19條、第20條規定者,應受行政處罰。
若因不當提供名單致個人資料遭不法利用,依個人資料保護法第27條(應為第28條,但提供之法源為第27條安全維護規定)之精神,當事人可能請求損害賠償。
若意圖為自己或第三人不法之利益或損害他人之利益,而違反第19條、第20條規定,依個人資料保護法第41條(未於提供法源中),可能涉及刑事責任。
若拒絕提供名單,可能面臨工作關係緊張或考績受影響之風險。但若係基於合法理由拒絕違法指示,應受法律保護,雇主不得因此對員工為不利處分。
雖然董事長為公司最高負責人,對內管理公司業務,但其取得個人資料仍須符合個人資料保護法規定。公司內部之職位高低不影響個人資料保護法之適用,即使是董事長,亦不得違反法律規定任意取得或利用個人資料。
在未確認合法性及取得適當授權前,建議暫時不要提供名單,以避免可能的法律風險。此舉並非拒絕董事長之要求,而是基於保護公司及個人免於法律責任之考量。
建議以專業且尊重的態度,向主管或董事長說明,基於公司資訊安全與個人資料保護考量,需要書面指示以確認要求之正當性。書面指示應載明:
(1)要求名單之具體內容與範圍
(2)使用目的
(3)授權依據
(4)保密與使用限制
建議回應範例:「關於董事長透過您轉達的名單需求,為確保符合公司資訊安全政策及個人資料保護法規定,並保障公司與相關人員權益,建議由董事長或授權主管提供書面指示,載明名單用途、範圍及授權依據,以利依規定辦理。」
(1)查閱公司是否有個人資料保護政策
(2)檢視資訊安全管理辦法
(3)確認內部控制制度相關規定
(4)了解資料調閱之授權層級與程序
(1)名單是否包含個人資料保護法第2條所定義之個人資料
(2)資料蒐集之原始特定目的為何
(3)提供名單是否符合原始蒐集之特定目的
(4)是否需要當事人同意或符合其他法定事由
(1)董事長要求名單之具體用途
(2)該用途是否屬於公司正當業務需求
(3)是否符合個人資料保護法第20條規定之利用範圍
(4)是否有其他替代方案(如提供匿名化或去識別化資料)
(1)人力資源部門:了解公司人事資料管理規範
(2)法務部門:確認法律合規性(若公司設有法務)
(3)資訊安全部門:確認資訊安全政策要求
(4)稽核部門:了解內部控制要求
若公司內部無法提供明確指引,建議諮詢公司之法律顧問或專業律師,以確保處理方式符合法律規定。
(1)選擇適當時機:私下、正式的場合
(2)表達方式:強調是為保護公司利益,說明可能的法律風險,提出替代解決方案
(3)準備說明文件:相關法規摘要、公司內部規範、風險評估
若名單用途不需要完整個人資料,可建議提供統計數據而非個人名單,或提供匿名化、假名化資料,僅提供必要欄位資訊。
建議公司建立資料調閱申請表、分級授權機制、使用目的審查機制及使用紀錄與追蹤機制,以符合個人資料保護法第27條安全維護之要求。
若名單涉及個人資料且無其他合法基礎,可考慮向名單上的個人說明使用目的,取得明確同意,並告知權利與救濟管道。
保留所有相關電子郵件、會議紀錄,電話溝通後應以郵件確認,建立完整的決策軌跡,以備日後查證。
避免單獨承擔決策責任,確保有適當授權與指示,必要時以書面表達疑慮,保留所有相關證據。
定期接受個人資料保護教育訓練,了解公司資訊安全政策,建立正確的資料管理觀念,遇有疑義時及時尋求協助。
關於董事長透過主管要求提供名單一事,考量可能涉及個人資料保護法之規範,建議採取以下處理原則:
任何個人資料之提供行為都應符合個人資料保護法第19條、第20條及第27條之規定,不因要求者職位而有所不同。即使是董事長之要求,仍應確保符合法定要件。
建議要求書面授權與明確使用目的,建立可追溯的決策過程,以符合個人資料保護法第27條安全維護措施之要求,並保護各方權益。
在不確定合法性的情況下,應優先尋求公司內部法務或外部專業意見,避免承擔不必要的法律風險。依個人資料保護法規定,違法處理或利用個人資料可能面臨行政罰鍰及民事賠償責任。
以專業、尊重的態度與主管及董事長溝通,說明個人資料保護法之要求,尋求符合法規又能滿足業務需求的解決方案,如提供去識別化資料或建立正式調閱程序。
本案中,您的謹慎態度是正確的。在數位時代,個人資料保護已成為企業治理的重要環節。建議您堅持要求書面授權,確認使用目的符合個人資料保護法第20條規定之特定目的必要範圍,並在確認合法性後再行動。此舉不僅保護您個人免於法律責任,也保護公司免於可能的行政處罰及民事求償風險。
免責聲明:本法律意見書僅供參考,不構成正式法律諮詢。具體個案仍應視實際情況,諮詢專業律師後為適當處理。
您可以:
點擊下方「複製本頁連結」按鈕
加入法速答的官方LINE帳號
將連結傳送給我們,即可免費與法速答的專業法務進行諮詢!
重要聲明:僅供參考,非法律意見
本平台由AI提供的法律回答經專業律師優化,旨在為您提供快速的法律參考。然而,回答內容可能仍存有誤差,並不具法律效力。若您需要具體的法律服務或專業意見,請加入FastLaw法速答的 LINE 官方帳號 (ID: @361yejxh),讓律師團隊提供進一步協助,以確保您的權益得到完善保障。
其他人也問了:
2026-01-22
2026-01-22
老闆要求提供同仁癌症名單,我能給嗎?會違反隱私法嗎?
我是公司護理師,老闆董事長要求我要把癌症的同仁名單給他,他擔心那些人會因為疾病影響工作,我能提供嗎?老闆說他有權利知道,要我一定要提供,我該如何處理
2026-01-23
2026-01-23
FastLaw法速答 - 您的線上法律諮詢平台,提供經由律師優化的AI回覆,即時解答各種法律問題。無論民事、刑事或家事案件,讓您快速掌握法律基礎觀念,並可進一步和律師團隊進行詳細諮詢。我們提供專業、準確、且值得信賴的法律知識支援。
© 喆律法律事務所 All Rights Reserved.
