企業保有個人資料外洩，誰需要負責任？

　　企業對於個人資料保護，通常會做的是防範駭客入侵、勒索病毒、系統被駭客攻擊等，於是投入大量成本建置防火牆、購買防毒軟體、做雲端備援等，相關預算多半投向資訊安全設備上。然而，實務上企業常見的個人資料外洩風險來源，往往不是外部攻擊，而是來自企業內部最常接觸到個人資料處理與保管的員工。

　　客戶名單被私下備份、離職前匯出客戶資料、員工以私人手機拍攝客戶資訊、人資將履歷轉傳給無關主管、客服將顧客電話與地址截圖傳送至通訊軟體，這些情況在企業營運現場並不罕見。對企業而言，個人資料外洩風險，大都不是公司保有的個人資料被偷，而是個人資料原本就在員工手上，而且拿得到、看得到，也帶得走。這正是許多企業最容易忽略的內部個人資料外洩風險。

企業保存個人資料外洩，真正的破口在企業內部

　　多數企業在個人資料保護議題上，習慣將焦點放在外部威脅，卻忽略了內部人員本身就是企業保存個人資料接觸最頻繁、最容易造成風險的對象。相較於外部駭客需要突破系統防線，企業內部員工往往本來就擁有企業保存個人資料存取權限，甚至熟悉企業保存個人資料存放位置、作業流程與管理漏洞。也因此，一旦缺乏明確的企業保存個人資料內部控管制度，員工不論是基於圖利、便宜行事、離職轉職，甚至只是欠缺法律觀念，都可能成為企業保存個人資料外洩的第一道破口。

　　例如，業務人員為方便聯繫客戶，將客戶名單同步至私人手機；客服人員為加快處理速度，將客戶資料截圖傳送至個人通訊軟體；行政人員將報名名冊帶回家處理；離職員工在交接前匯出客戶名單，轉作日後開發使用。這些行為在許多企業內部甚至被視為「工作習慣」，但實際上，都可能已經構成企業保存個人資料不當蒐集、處理、利用或洩漏的風險。企業最危險的個人資料外洩漏洞，從來不只是系統有沒有上鎖，而是企業保存個人資料是否被妥善管理。

員工濫用企業保存個人資料，很多時候不是惡意，而是公司沒管

　　員工濫用企業保存個人資料，許多企業第一反應往往是「員工問題」，但從實務觀察來看，真正的問題往往不只是員工，而是企業根本沒有建立足夠清楚的規範與界線。員工之所以容易濫用企業保存個人資料，常見原因有以下四項。

　　第一個因素，是「看得到太多」。不少企業內部對企業保存個人資料權限毫無區分，業務可看完整客戶資料、人資的資料夾可被多人共用，甚至連工讀生都能接觸完整企業保存個人資料。當員工不需要經過任何授權與審核，就能取得大量企業保存個人資料，風險自然大幅升高。

　　第二個因素，是「拿得走太容易」。許多企業雖有系統，但缺乏有效控管，Excel 可任意匯出、名單可自由下載、私人手機可拍照、通訊軟體可直接轉傳，企業保存個人資料流出幾乎沒有門檻。企業若未設下技術與管理上的基本限制，等同默許企業保存個人資料可被任意攜出。

　　第三個因素，是「員工根本不知道這叫違法」。實務上，許多員工並非出於惡意，而是誤以為「只是為了工作方便」。例如先傳到私人 LINE 晚上回家處理、先存手機比較好聯絡、先備份避免客戶資料遺失、離職後聯繫舊客戶只是延續關係。然而，這些看似便利的習慣，實際上都可能已經逾越合法利用企業保存個人資料的範圍。

　　第四個因素，也是最核心的問題，是企業根本沒有「企業保存個人資料制度」，也就沒有個人資料使用規範、沒有職務權限分級、沒有設備管理、沒有離職清查、沒有操作紀錄，員工自然不知道企業保存個人資料的紅線，也無法建立應有的個人資料保護意識。因此，員工外洩或濫用企業保存個人資料，不是因為技術高明，而是因為公司沒有建立「企業保存個人資料制度」。

員工違反個人資料保護法，不代表公司可以免責

　　企業在面對員工濫用企業保存個人資料時，最常見的誤解之一，就是認為「違法的是員工，企業只是受害者」。但從法律與監管角度來看，這樣的理解往往過於樂觀。因為員工是在企業的指揮監督體系下接觸、處理與利用企業保存個人資料，當員工於職務過程中違法使用企業保存個人資料，企業通常很難完全切割責任。

　　首先，企業可能面臨民事責任。若客戶、會員或員工的個人資料遭不當利用、外洩，造成當事人權益受損，企業可能面臨當事人損害賠償的請求。通常遭個人資料外洩的當事人，追究的對象不僅是外洩個人資料的員工，還會包括蒐集與保存個人資料的企業。

　　其次，企業可能承擔行政責任。若主管機關認定企業未善盡企業保存個人資料管理義務，可能會要求限期改善、命其提出資料、說明或陳述意見、發布行政裁罰，甚至限制企業保存個人資料處理或利用。即便違規行為是由個別員工所為，若企業欠缺應有的個人資料管理措施，仍難依法主張已盡善良管理人之注意義務。

　　再者，員工個人也可能面臨刑事風險。若涉及違法洩漏、出售或不法利用企業保存個人資料，行為人可能須承擔刑事責任。企業仍須承擔客訴、品牌信任崩解、商譽受損等實質損害。對企業而言，員工帶走的不只是企業保存的個人資料，而可能是公司的客戶信任、交易關係與商業命脈。

防止員工濫用企業保存個人資料，企業至少應做好五件事

　　防止員工濫用企業保存個人資料，關鍵在於建立清楚、可執行、可追溯的管理制度，至少應先完善以下五項基本控制與管理制度。

　　第一，建立企業保存個人資料權限分級制度。企業保存個人資料不應由所有人自由存取，應依職務需要設定最小必要權限。業務僅能接觸客戶資料、人資僅能接觸人事資料、財務僅能接觸付款資訊，避免無關人員接觸過量企業保存個人資料。

　　第二，限制私人設備接觸企業保存個人資料的權限。企業應明確規範以私人手機拍攝、下載、備份或轉傳企業保存個人資料的權限，並就員工自帶個人裝置例如智慧型手機、平板電腦或筆記型電腦等，應建立最低限度的安全管理機制，避免企業保存個人資料流入私人設備後失去控制。

　　第三，訂定明確的企業保存個人資料使用規範。應清楚告知員工哪些企業保存個人資料可以看、哪些不得傳、哪些不得下載、哪些情境屬違規，讓員工知道企業保存個人資料的規範。

　　第四，強化離職前後企業保存個人資料管制。員工離職前後，通常是企業保存個人資料外洩易發生的時期，因此企業應建立員工離職盤點機制，包括帳號停權、設備回收、權限關閉、企業資料刪除確認與保密義務，避免企業保存個人資料於交接空窗期遭員工帶走。

　　第五，保留員工操作與存取紀錄。誰曾查閱、誰曾下載、誰曾匯出、誰曾轉傳，企業應保有個人資料存取、下載、匯出及傳輸紀錄。企業沒有紀錄，就無法追查；無法追查，就無法究責，也無法證明企業已善盡企業保存個人資料管理的責任。

企業保存個人資料管理的核心，不是事後追責，而是事前防失控

　　企業保存個人資料最大的風險，從來不只是外部攻擊，而是內部失控。真正成熟的企業保存個人資料管理，也不是等資料外洩後再追究責任，而是在風險發生之前，就先建立制度、權限與界線，讓企業保存個人資料沒有被濫用的機會。

　　企業防止個人資料外洩，防外部入侵固然重要，也須防止內部失控。因為真正讓企業受傷最深的，未必是駭客偷走資料，而可能是企業自己從來未管好資料。企業必須認識到，企業保存個人資料制度不清楚、權限不受控、資料可任意攜出，再好的員工也可能在錯誤的流程中做出錯誤的事。

個人資料保護研究發展委員會 主委 楊白全