法律論壇

A:  您好：

一、按法務部106年07月14日法律字第10603509150號函：「…二、按個人資料保護法（下稱個資法）第2條第1款規定略以：「本法用詞，定義如下：一、個人資料：指自然人之......財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」是以，自然人之薪資、收入或所得等資料，應屬個資法所定之個人資料，合先敘明。」

二、次按，個人資料保護法第2條規定：「…三、蒐集：指以任何方式取得個人資料。四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。五、利用：指將蒐集之個人資料為處理以外之使用…。」

三、有關員工之薪資明細表，依上開法務部函釋說明，為自然人之薪資、收入或所得資料，為個人資料保護法第2條第1款定義之「自然人之財務情況」，屬個人資料範疇。

四、本題公司委託各部門主管轉送所屬部門員工之薪資明細表，再由主管各別轉交予員工，或再由主管委託部門中某位員工轉交予員工，其中受委託「部門主管」或「某位員工」為受非公務機關委託蒐集、處理或利用個人資料，依個人資料保護法第4條規定，於個人資料保護法範圍內，視同委託機關；並依個人資料保護法施行細則第7條規定，受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

五、而本題公司委託各部門主管轉送所屬部門員工之薪資明細表，再由主管各別轉交予員工，或再由主管委託部門中某位員工轉交予員工，性質上有認為公司將歸屬於員工之個人資料交予員工之行為，係屬於建立或利用個人資料檔案所為資料之記錄、複製、內部傳送，而屬個人資料保護法第2條第4款定義之個人資料之「處理」；或有認公司轉交薪資明細予員工，供員工核對薪資項目及金額，對公司而言性質上為個人資料保護法第2條第5款規定之個人資料之「利用」。惟不論性質為個人資料之「處理」或「利用」，均應符合個人資料保護法第19條、第20條及第27條規定為之。

六、要言之，本題公司轉交薪資明細(個人資料)予員工為例，如從非公務機關對個人資料之「處理」角度觀之，則依個人資料保護法第19條第1項規定，應有特定目的(例如：本題雇主發送員工之薪資明細供核對、留存，係基於人事管理目的)，並應符合個人資料保護法第19條第1項各款規定：「…二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。…。」舉例而言，本題公司(雇主)與勞工間訂立有勞動契約、僱傭契約關係，而屬個人資料保護法第19條第1項第2款規定：「當事人有契約或類似契約之關係」，故在公司在「處理」個人資料，「採取適當之安全措施」；以及公司應依個人資料保護法第27條第1項規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

七、再言之，公司(雇主)應注意在將員工之薪資明細表傳送予員工知悉時，不論是透過各部門主管轉交，或主管指派其他某位員工(受僱人)轉交，應採取適當保密或加密措施，如以紙本轉交予員工之方式，可採取封緘或採取加密等適當之安全措施轉交予員工，以保護個別員工之個人資料、隱私等人格權，防止個人資料被竊取或洩漏，而不致有違反個人資料保護法之疑慮。又例如常見公司以公司內部系統傳送員工之薪資明細表，僅個別員工可自登入系統查看自己個人之薪資明細，其他員工無法知悉，則亦不會有違反個人資料保護法之疑慮。

八、倘公司(雇主)或主管或主管指派其他某位員工(受僱人)，在轉交薪資明細予員工之過程中，未採取適之安全措施，導致個人資料被竊取或洩漏，則可能違反個人資料保護法第19條規定或第27條第1項規定，得分別依同法第47條規定，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰；或依同法第48條第2項規定，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。

九、又，本題所詢個案具體情況，倘認有違反個人資料保護法之相關規定，是可以書面方式檢具相關違法具體事證，向所在地方縣市政府勞動主管機關提出檢舉。

十、以上回覆敬供參考，謝謝您。