個人資料保護法第四十一條規定註釋-違反個資法刑事責任

個人資料保護法第41條規定：

意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。

說明：

修正主觀構成要件，不具營利意圖者，亦構成犯罪。鑑於原條文第十九條之登記證照制度業已刪除，爰將原條文有關違反第十九條第一項、第二項之規定刪除，另增訂違反第六條第一項規定（違法蒐集、處理或利用特種個人資料）者，亦須處罰之規定，其餘配合條次變更予以修正。為避免罰金數額上限偏低，無法收刑懲之效，爰提高罰金數額上限至新臺幣二十萬元。增訂第二項，規定意圖營利犯前項之罪者，刑罰提高到五年以下有期徒刑，得併科新臺幣一百萬元以下罰金，期能遏阻盜賣個人資料之不法行為。

按個人資料保護法於民國104年12月30日修正公布、105年3月15日施行。其中該法修正前第41條規定：「違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金」；第2項規定：「意圖營利犯前項之罪者，處5年以下有期徒刑，得併科新臺幣1百萬元以下罰金」。修正後不再區分第1、2項，而合併規定為：「意圖為自己或第三人不法之利益或損害他人之利益，而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處5年以下有期徒刑，得併科新臺幣1百萬元以下罰金」。其立法理由為「無不法意圖而違反本法相關規定，原則以民事賠償、行政罰等救濟為已足。惟若行為人如有意圖為自己或第三人不法利益而違反本法相關規定，仍有以刑罰處罰之必要」。簡言之，修正後個人資料保護法已刪除修正前第41條第1項規定，並將修正前第41條第2項構成要件中之「意圖營利」文字修正為「意圖為自己或第三人不法之利益或損害他人之利益」而移為本條內容。細繹此等修正內容，顯有限縮非法使用他人個人資料之刑事處罰範疇，將對於「無意圖為自己或第三人不法之利益或損害他人之利益」，而違反個人資料保護法第20條第1項規定者，廢止其刑罰之規定，而以民事賠償、行政罰資為救濟之旨甚明。職是，現行個人資料保護法第41條係以行為人意圖為自己或第三人不法之利益或損害他人之利益而違反該條所列各該規定、命令或處分，足生損害於他人為要件。至於何謂「意圖為自己或第三人不法之『利益』或損害他人之『利益』」，參酌個人資料保護法第41條之修正理由，提案立法委員認為：「無不法意圖而違反本法相關規定，原則以民事賠償、行政罰等救濟為已足。惟若行為人如有意圖為自己或第三人不法利益而違反本法相關規定，仍有以刑罰處罰之必要」（見立法院第8屆第6會期第8次會議議案關係文書第討482頁至第討483頁），復參酌上開修法過程中機關代表即法務部之說明：「本次修正重點：2、第41條：非意圖營利部分而違反本法相關規定，原則以民事損害賠償、行政罰等救濟為已足，且觀諸按其他特別法有關洩漏資料之行為縱使非意圖營利，並非皆以刑事處罰，再則非意圖營利違反本法規定之行為，須課予刑責者，於相關刑事法規已有規範足資適用，為避免刑事政策重複處罰，爰將第1項規定予以除罪化，並將第2項移為本條內容，酌作文字修正」等內容。堪認現行個人資料保護法第41條所定「意圖為自己或第三人不法之利益或損害他人之利益」，以文義解釋方法而言，雖無法完全排除該條所謂「利益」包含「非財產上利益」之可能性，然依前述修法歷程及目的觀之，違反個人資料保護法相關處罰規定之行為，本質上即屬客觀侵害人格權（如名譽、隱私權等）之行為，若解釋上將意圖要件即「意圖為自己或第三人不法之利益或損害他人之利益」，及於人格權等非財產上之利益，則因違反個人資料保護法相關處罰規定之行為，本即易合致前開意圖要件，而將大幅擴及至立法者原先不欲以刑罰處罰之範圍，反而無法達到修正後個人資料保護法第41條欲限縮處罰範圍之修法目的，從而由修法之精神以觀，前開法條文字所謂「利益」，應予以目的性限縮，僅限於「財產上之利益」，不應及於侵害人格權等非財產利益之情形，始符修法意旨。…經查，本件被告雖於其個人臉書頁面上張貼有關告訴人照片、出生日期等個人資料，且其利用該等個人資料難認與蒐集目的具有正當合理關聯，客觀上固有違反個人資料保護法第20條第1項規定之行為。然被告將告訴人個人資料張貼於臉書之目的，無非係為催討告訴人對其所積欠之債務，此經原判決論述綦詳，即非基於為自己或第三人不法利益之主觀意圖甚明；而被告張貼告訴人個人資料，尚乏證據證明其主觀意圖係為損害告訴人財產上之利益。縱令被告意圖迫使告訴人出面處理債務，其可悉所為將不無損及告訴人名譽、隱私權等人格權之可能，然依上揭說明，此並不該當個人資料保護法第41條非法利用個人資料罪之主觀要件，亦僅屬告訴人得否依民事賠償等方式尋求救濟之問題。準此，被告所為固違反個人資料保護法第20條第1項規定，但其主觀上既不具不法意圖，即不符合同法第41條非法利用個人資料罪之主觀構成要件，自難以該罪對被告相繩。檢察官上訴意旨指稱被告主觀上有損害告訴人利益即隱私權之意圖，已符合本罪之主觀要件云云，容係對法律規定有所誤解，自非可採（臺灣高等法院108年度上訴字第3696號刑事判決）。

個人資料保護法規範之個人資料，係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料，此觀諸該法第2條第1款規定甚明；又有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用，同法第6條第1項前段亦定有明文。被告所張貼告訴人之上開告訴人之犯罪前科紀錄，均屬上開個人資料保護法所規定得以識別告訴人之個人資料，又被告並非公務機關，對於前開個人資料之利用，依同法第19條第1項第7款之規定：非公務機關對個人資料之蒐集或處理，除第6條第1項所規定資料外，應有特定目的，並符合下列情形之一者：「個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。」關於限制個人資料之蒐集，依99年05月26日修正第19條之法務部立法說明載明：由於資訊科技及網際網路之發達，個人資料之蒐集、處理或利用甚為普遍，尤其在網際網路上張貼之個人資料其來源是否合法，經常無法求證或需費過鉅，為避免蒐集者動輒觸法或求證費時，明定個人資料取自於一般可得之來源者，亦得蒐集或處理，惟為兼顧當事人之重大利益，如該當事人對其個人資料有禁止處理或利用，且相對於蒐集者之蒐集或處理之特定目的，顯有更值得保護之重大利益者，則不得為蒐集或處理，仍應經當事人同意或符合其他款規定事由者，始得蒐集或處理個人資料，爰參考德國聯邦個人資料保護法第28條規定，增訂第7款之規定。依該條款立法說明所示，為避免蒐集者動輒觸法或求證費時，明定個人資料取自於一般可得之來源者，不在限制之列。本件被告僅係張貼告訴人之前科紀錄，而上開前科紀錄係有關告訴人之法院判決及檢察官不起訴處分書的所涉罪名概要而已，這些資料來源通常法院或檢察署都會將判決書或不起訴處分概要公告，明顯是一般可得之來源。再法院的判決或檢察機關的起訴或不起訴結果，新聞媒體也常常加以報導，網路上搜尋亦非困難，一般社會通念也不會認為這對當事人有何更值得保護之重大利益，否則新聞媒體報導當事人之法院判決或檢察機關之起訴或不起訴內容都更為詳盡，勢將動輒觸法並都因此違反個人資料保護法，豈非箝制人民的言論自由與表意自由，莫此為甚。是依上開說明，本件被告上開行為顯與個人資料保護法第19條第1項第7款之規定無違。個人資料保護法第41條第1項原係規定：「違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。」第2項規定：「意圖營利犯前項之罪者，處5年以下有期徒刑，得併科新臺幣1百萬元以下罰金。」然於104年12月30日修正公布，並於105年3月15日施行之現行同法第41條已修正（並刪除原第2項）為：「意圖為自己或第三人不法之利益或損害他人之利益，而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處5年以下有期徒刑，得併科新臺幣1百萬元以下罰金。」亦即，修正後個人資料保護法，已刪除修正前第41條第1項規定，並將修正前第41條第2項構成要件中之「意圖營利」文字修正為「意圖為自己或第三人不法之利益或損害他人之利益」，條項編排上亦移置為同條第1項。觀其修正內容，顯有限縮非法使用他人個人資料之刑事處罰範疇，對於「無意圖為自己或第三人不法之利益或損害他人之利益」而違反個人資料保護法第20條第1項規定之行為，廢止其刑罰之規定。是以現行個人資料保護法第41條，係以行為人意圖為自己或第三人不法之利益或損害他人之利益而違反第41條所列各該規定、命令或處分，足生損害於他人為要件。至於何謂「意圖為自己或第三人不法之『利益』或損害他人之『利益』」，參酌個人資料保護法第41條之修正立法理由，提案立法委員認為：「無不法意圖而違反本法相關規定，原則以民事賠償、行政罰等救濟為已足。惟若行為人如有意圖為自己或第三人不法利益而違反本法相關規定，仍有以刑罰處罰之必要。」（見立法院第8屆第6會期第8次會議議案關係文書第討482頁至第討483頁），復參酌修法過程中機關代表即法務部之說明：「本次修正重點：2、第41條：非意圖營利部分而違反本法相關規定，原則以民事損害賠償、行政罰等救濟為已足，且觀諸按其他特別法有關洩漏資料之行為縱使非意圖營利，並非皆以刑事處罰，再則非意圖營利違反本法規定之行為，須課予刑責者，於相關刑事法規已有規範足資適用，為避免刑事政策重複處罰，爰將第1項規定予以除罪化，並將第2項移為本條內容，酌作文字修正」（參見立法院第8屆第6會期第8次會議議案關係文書第討443頁至第討445頁）。依上所述，堪認現行個人資料保護法第41條所定「意圖為自己或第三人不法之利益或損害他人之利益」，文義解釋雖無法完全排除該條所謂「利益」包含「非財產上利益」之可能性，然依前述修法歷程及目的觀之，違反個人資料保護法相關處罰規定之行為，本質上即屬客觀侵害人格權之行為，若解釋上將意圖要件即「意圖為自己或第三人不法之利益或損害他人之利益」，及於人格權（如隱私權、名譽權等）等非財產上之利益，則因違反個人資料保護法相關處罰規定之行為，本亦容易合致前開意圖要件，而將大幅擴及至立法者原先不欲以刑罰處罰之範圍，也牴觸同法第19條第1項第7款之規定，反而無法達到修正後個人資料保護法第41條限縮處罰範圍之修法目的。從而，由修法之精神以觀，前開法條文字所謂「利益」，應予以目的性限縮，僅限於「財產上之利益」，不得任意擴張及於侵害精神、人格等非財產利益之情形，始符合修法之旨（臺灣高等法院108年度上更一字第71號刑事判決）。

按，所謂個人資料，係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料，個人資料法第2條第1款定有明文。又，被告行為後，該法第41條業於104年12月30日修正公布，並自105年3月15日施行，修正前原規定「違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。」；修正後之規定則為「意圖為自己或第三人不法之利益或損害他人之利益，而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。」。其立法理由為「無不法意圖而違反本法相關規定，原則以民事賠償、行政罰等救濟為已足。惟若行為人如有意圖為自己或第三人不法之利益損害他人之利益而違反本法相關規定，仍有以刑罰處罰之必要。」。是修正前該法第41條第1項需以「足生損害於他人」、「意圖營利、足生損害於他人」為要件；修正後則以「意圖為自己或第三人不法之利益或損害他人之利益，足生損害於他人者」為構成要件。查：被告因獎金發放問題與喜泰公司存有勞資糾紛，並提起請求給付工資之訴，被告於104年9月30日至喜泰公司與負責會計事務之自訴人商談時，係為維護自身權利，方錄製當日對話內容，用以提出予審理該民事事件之法院，其欲蒐集之資訊，係其等對獎金計算方式之解讀，並非用以辨識自訴人身份之聲紋資料；蓋自訴人為喜泰公司員工，前為被告之同事，被告早已知悉自訴人之姓名、身份等資料，而得辨識自訴人之正確身份，實無藉錄音取得自訴人聲紋，以辨識自訴人正確年籍或藉此取得自訴人隱私資料之必要。被告持前開錄音提供予承審案件之法院，亦無因此使自訴人之聲紋資料被無故使用、散佈之情，自難認為有足生損害於自訴人之情，更難認為被告主觀上有意圖營利、意圖為自己或第三人不法之利益或損害他人利益之意思，而與個人資料保護法第41條之構成要件未合（臺灣高等法院107年度原上訴字第55號刑事判決）。