個資法責任解析:民事與刑事責任比較
目錄
一、個人資料保護法上「個人資料」之定義
依個人資料保護法(下稱個資法)第2條第1款規定:「個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」及個人資料保護法施行細則第3條規定:「本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。」因此,個資法在民、刑責任上並未區分「個人資料」的認定標準,凡能透過資料本身,或與其他資訊(包含公開可得資料)連結,而足以識別特定個人者,均屬個資法所稱之個人資料,並受其規範。但若個人資料經「去識別化」處理,致不可逆地失去直接或間接識別性,即不再屬個資法保護範圍。所謂去識別化,係指透過加工處理,使資料無法再回復至可識別狀態(參照法務部法律字第10703513050號函)。
二、實務上對個資之判斷
一、單一資訊如不足以直接或間接識別特定個人,即非個資,例如僅有姓名,因同名同姓者眾多,難以單獨憑此辨識對象。法院亦曾指出,姓名雖可作為身分表徵,但若未搭配出生年月日、身分證號或住址等足資辨識資訊,即不足以識別(臺灣高等法院103年度上易字第2172號刑事判決)。
二、單一資料具有高度差異性,足以個別化,即具識別性,本身即為個資,例如臉部或身體特徵,因其生物差異性,足以直接辨識特定個人,當屬個資法所欲保護之標的,不得非法擅自利用。
三、另外,即便單一資訊本身不足以識別,但如與其他資訊(含公開可得資料)相互對照、組合後足以指向特定個人,整體仍屬個資。
三、非公務機關侵害個資之民刑事責任
一、民事上依個資法第28條、第29條規定,非公務機關違反個資保護義務,致他人個人資料受不法侵害者,應負損害賠償責任,賠償範圍包括財產與非財產上損害,且依個資法規定,民事賠償責任原則上採過失推定原則,行為人需舉證證明無故意或過失,始能免責。另個案如另涉及名譽權、隱私權或人格權之侵害,亦得以民法第18條、第184條及第195條作為請求權基礎,請求慰撫金等損害賠償。
二、刑事上,以實務最常發生之個資法第19條、第20條及第41條為例,其客觀要件在於,非公務機關對特種個資以外之個資,其蒐集、處理或利用,足生損害於他人。而所謂足生損害於他人,係指他人有可受法律保護之利益,因此遭受損害或有受損害之虞,不以實際發生損害者為必要(臺灣高等法院110年度重上更二字第41號刑事判決意旨參照)。至於主觀要件,行為人除客觀行為之故意外,尚須有意圖為自己或第三人不法之利益或損害他人之利益。並認為「意圖為自己或第三人不法之利益」,限於財產上之利益。而「損害他人之利益」,則不限於財產上之利益(最高法院大法庭109年度台上大字第1869號裁定)。另有規定阻卻違法事由可排除犯罪之成立,即蒐集或處理有特定目的,並符合第19條第1項法定情形之一;或是,利用係於特定目的必要範圍內為之,或有個資法第20條第1項但書例外容許特定目的外利用之情形。
四、個資法民事與刑事責任比較表
| 項目 | 民事責任 | 刑事責任 |
|---|---|---|
| 法源依據 | 個資法第28、29條;另可依民法第18、184、195條請求 | 個資法第41至43條 |
| 成立要件 | ➤非公務機關違反個資保護義務 | ➤ 蒐集、處理或利用個資之行為 |
| ➤ 致個資遭不法侵害 | ➤ 足生損害於他人(實際或可能) | |
| ➤ 損害發生(財產或非財產) | ➤ 行為人具故意,且意圖取得不法利益或損害他人 | |
| ➤ 依第19、20條但書,若符合特定目的或合法例外,則不構成犯罪 | ||
| 責任原則 | 過失推定(行為人須舉證無故意過失始免責) | 故意,且意圖為自己或第三人不法之利益或損害他人之利益 |
| 損害範圍 | 財產損害、非財產損害(含精神慰撫金) | 不限於財產上損害,亦包括名譽、隱私、人格權 |
五、常見個資侵害模式與司法實務分析
一、常見態樣:
因感情、債務或糾紛,行為人於公開平台(如社群媒體)散布他人姓名、身分證字號、聯絡方式、住址、照片、家庭成員等個資,或公開訴訟文書,並多伴隨貶抑性言論。
二、實務案例分析:以109年發生之Deepfake換臉案為例
知名YouTuber甲指示助理乙於網路上蒐集被害人照片或影像,擷取臉部特徵後,利用「DEEPFACELAB」軟體合成至色情影片,並於網路販售,非法獲利逾1,300萬元,嚴重損害被害人名譽。
(一)涉案個資:
被害人之臉部特徵、姓名、藝名及網路暱稱等,足以直接或間接識別被害人等,屬個人資料保護法所規範之個人資料。
(二)行為性質:
甲、乙未經同意,利用被害人個資製作猥褻影片以牟利,侵害人格名譽與社會評價,為故意以不法方式侵害原告之人格權,損害他人可受法律保護之利益。
(三)阻卻違法檢視:
即是否係於蒐集之特定目的必要範圍內為之,或有無第20條但書例外容許特定目的外利用之情形?
- 特定目的:有無逾越特定目的必要範圍,應審查行為人目的是否有正當性、基於正當性目的而利用個人資料之手段是否適當、是否是在所有可能達成目的之方法中盡可能選擇對被害人最少侵害之手段、因此對個人造成之損害是否與其手段不成比例等情(最高法院111年度台上字第2226號判決意旨參照)。
- 本件行為目的並非正當特定目的,且手段侵害過度,不具比例性,顯已逸脫蒐集上開個人資料特定目的之必要範圍。
(四)名人個資是否屬於個資?
此問題涉及第19條第1項第3款「當事人自行公開或其他已合法公開之個人資料」
- 自行公開或其他已合法公開之個人資料,雖屬個人資料保護法第19條所定之合法蒐集、處理事由,但第20條但書並未將此列為例外得為「特定目的外利用」之情形。因此,即使名人自行公開照片、影像或其他資訊,行為人仍不得逾越原蒐集或處理之特定目的而利用。
- 自行公開或合法公開之個資,固然屬一般可得來源,惟個資當事人仍享有資訊隱私權及自主控制權,並非一經公開即喪失控制力或允許他人任意利用。此時應具體審酌行為人利用該等資料之目的、手段及造成之影響,以判斷是否符合主觀故意及客觀侵害要件。
- 是以,若行為人僅揭露名人自行於網路公開之資訊,未伴隨貶抑性言論或侵害人格之行為,難認有隱私權侵害或實質損害,亦難構成刑事責任。惟若利用方式已逾越合理界限,例如將名人影像用於不當商業牟利或深偽色情影片,即可能構成侵害人格權或觸犯刑責。
最新文章
