08
2026.05
29、員工用 AI 洩密公司要賠千萬?老闆必看的個資法「免責」指南
最多人搜尋的幾個問題,先直接給你答案
| Q:員工用 AI處理公司資料,公司要負責嗎? 要,而且不能用「我不知道他這樣做」來推掉。台灣《個資法》採無過失責任精神,公司必須主動舉證自己「已採取合理保護措施」。 沒有 AI 使用規範、沒有教育訓練記錄,在法院和主管機關眼中,這本身就是管理疏失的直接證明。 |
| Q:員工說他不知道不能這樣做,責任是他的還是公司的? 法律上兩者都有責任,但公司通常先被追究。 沒有白紙黑字的規定,員工說他不知道,法院很難全怪員工。因此通常是公司先賠給受害者,再決定要不要向員工求償。 |
| Q:用付費版 AI 比較安全,這樣算有保護了嗎? 這是目前最常見的誤解。付費版聲稱不拿資料訓練模型,但資料仍在美國伺服器處理,依台灣個資法已算跨境傳輸。 更關鍵的是:法院在判斷「公司是否盡到管理義務」時,看的是你有沒有書面規範和教育訓練,不是你用哪個版本的 AI 工具。 |
一、幾件真實發生的事
| 真實情境 某企業開放員工使用 AI,20天內爆出三起機密外洩 2023年,該公司開放工程師使用AI協助除錯。不到三週,就發生三起內部資料外洩事件。包含半導體設備規格、工廠良率數據、內部會議紀錄,全部因為員工直接貼進 AI 而流出。 該公司有資安部門、有 IT 管控的大企業。而他們出事,是因為沒有明確禁止。那麼你的公司有明確禁止條文嗎? |
| 真實情境 AI 的「分享對話」功能,讓企業機密被搜尋到 研究人員發現,用戶透過 AI 的「分享對話」功能公開的對話紀錄,可以被搜尋引擎索引。超過 500 筆私密對話曝光,內容包含企業機密、財務規劃、甚至疑似內線交易討論。 這些人不是故意公開的。他們以為「分享給特定對象」,結果變成公開網頁。 你的員工知道這個風險嗎? |
| 真實情境 台灣業者個資外洩:被主管機關直接裁罰 200 萬元 2023年底,某公司遭駭客攻擊導致個資外洩。交通部依個資法直接裁罰 200 萬元。裁罰原因不只是「被駭」,而是主管機關認定公司在安全維護措施上有所不足。 這件事的重點是:個資法 2023 年修正後,主管機關不再「限期改正才罰」,而是「查明就直接罰」。你的公司,現在符合「已採取合理保護措施」嗎? |
這三件事,有一個共同點:出事之前,相關負責人都覺得「這不會發生在我這裡」。
二、你的公司現在是什麼狀況?
| 1.員工電腦可以直接任一開 AI工具,沒有任何公司層面的管控或限制 2.公司從未明文規定哪些類型的資料不能貼進 AI 工具 3.員工保密協議是 2022 年以前簽的,裡面沒有提到生成式 AI 4.業務在用 AI 寫開發信、HR 在用 AI 整理薪資報告,但你不知道他們輸入了什麼 5.如果客戶打電話說「我知道你們員工把我的資料貼進 AI工具」,你不確定第一步該做什麼 6.公司從未辦過任何 AI 工具相關的教育訓練,也沒有任何出席記錄 |
符合三項以上:你的公司現在沒有任何法律防線。
一旦有客戶或員工提出申訴,你拿不出任何「已採取合理保護措施」的證明。
符合全部六項:下次個資保護委員會主動稽查,會是最難免責的那一類。
三、出事法律會怎麼追你?
第一關:主管機關主動裁罰,不需要有人告你
2023 年個資法修正後,主管機關(現在是個人資料保護委員會)發現企業未採取合理保護措施,可以「直接裁罰」,不再需要等到有人提告、也不再給你限期改正的緩衝期。裁罰金額:一般情節 2 萬~200 萬元;情節重大者 15 萬~1,500 萬元。
第二關:客戶民事求償,每人每事件都算
依個資法,每位受影響的客戶都可以單獨向你求償。法院實務上的賠償金額,每人每事件從 500 元到 2 萬元不等,視情節輕重而定。這個數字看起來不大,但乘上人數就不一樣了:你的業務把 200 位客戶資料貼進 AI工具,若每人求償 5,000 元,就是 100 萬元。這還只是民事賠償,不含行政罰鍰。
第三關:商業信任崩潰,客戶不會等法院判決才離開
這一關,才是中小企業最痛的。大客戶知道你的員工把合約內容貼進 AI後,不會等你解釋、不會等法院判決,下一次採購他們就換人了。商譽的損失不會出現在任何帳單上,但它真實存在。
四、出事自己處理,會踩哪些雷?
| 老闆自己處理,常見的踩雷 | 律師在場的實際差異 |
| 第一時間叫員工進來問話,沒有做任何記錄 | 問話前要先確認:哪些問題可以問、哪些回答不適合。 |
| 對客戶道歉說「是我們的疏失,很抱歉」 | 道歉和法律上的「自認過失」不一樣,但一封措辭不當的道歉信可以讓你少掉抗辯空間 |
| 請員工把 AI 對話記錄刪掉,以為這樣就沒事 | 刪除記錄在訴訟中可能被認定為滅證。AI 的伺服器備份你刪不到,但你刪的這個動作會被記錄 |
| 以為沒有客戶抱怨就代表沒問題 | 個資法有強制通報義務,沒有主動通報是另一個獨立的違法事由,會被另外裁罰 |
| 事發一週後才想到要找律師 | 個資法要求查明後「即時」通知,這個時間窗口是主管機關後來審查的核心 |
律師在事發後最初 48 小時裡,做的是:跟進你說出去的每一句話、每一個動作,讓它不要成為你後來要付更多錢的理由。
這件事,靠自己容易踩雷的原因是,在那個當下沒有辦法同時又慌、又冷靜地想到法律後果。
五、還沒出事?現在做這三件事
第一件事:讓員工簽一份 AI 使用規範
不是發一封公告 email,是白紙黑字、員工親筆簽名的文件。內容只需要說清楚三件事:哪些類型的資料不能輸入任何 AI 工具、違反了會怎樣、員工確認已經閱讀並同意。| 律師為什麼說這件事非做不可 2022 年以前簽的保密協議,裡面不可能提到生成式 AI,因此舊合約對 AI 洩密幾乎沒有約束力。 有這份文件,員工違規了你能說「公司有規定,員工違反」。沒有這份文件,你只能說「我不知道他這樣做」後者在個資法的無過失責任框架下,幾乎沒有保護力。 |
第二件事:辦一次教育訓練,留下出席記錄
不需要外請講師,不需要一整天課程。只需要一個小時的內部說明:哪些資料不能用 AI 處理、為什麼、違反了會怎樣。| 律師為什麼說記錄比訓練本身更重要 主管機關問你「有沒有教育訓練」的時候,他要的不是你的口頭說明,他要的是出席簽到表和訓練內容存檔。 實務上,沒有記錄等同沒有辦過。這是我們在答詢案件中最常看到企業吃虧的一個環節。 |
第三件事:更新保密協議,補上 AI 條款
在現有的員工保密協議裡,加一條:明確禁止將機密資料輸入第三方 AI 服務,並說明違反的求償依據。| 律師為什麼說不能用網路找到的範本 通用範本的問題是它沒有對應你的產業、你的資料類型、你和員工現有的契約關係。 一份沒有對應到實際業務的範本,在法律爭議發生時,保護力非常有限。這是我們常見的另一個企業誤區。 |
六、為什麼這件事需要找律師?不是自己搜尋就好了嗎?
| 真實情境 「我在網路上查了個資法,應該都了解了。」 了解法條,和知道在你的具體情況下要怎麼做、怎麼說、怎麼留記錄,是完全不同的兩件事。 舉例:個資法說「應採取合理保護措施」。但什麼叫「合理」?是主管機關和法院在你的產業規模、你的資料類型、你同業的普遍做法下,綜合判斷的。沒有一個固定答案,也沒有一個網路上的文章能幫你的個案回答這個問題。 |
AI 洩密案件有三個地方,是老闆自己處理必然會卡關的:
- 事發後的第一句話怎麼說:你不知道哪一句話會被對方當成自認過失的證據
- 通報義務的時間點和格式:個資法的「即時通知」要求,實務上沒有一個簡單的標準,晚了就是另一個裁罰事由
- 員工保密協議的追責空間:舊合約沒有 AI 條款,你能向員工求償多少,需要律師逐條評估
| 本所在 AI 合規案件的具體經驗 2023 年至今,協助超過 30 家企業建立生成式 AI 使用合規體系 處理 AI 相關個資外洩事件應急,含對個資保護委員會的通報答詢、書面說明 服務產業涵蓋:科技製造業、服務業、電商、顧問業 協助企業更新員工保密協議、草擬 AI 使用政策,並建立可供主管機關查核的教育訓練記錄 我們不只告訴你法條說什麼。我們告訴你在你的情況下,具體要做哪幾件事、用什麼順序、留什麼記錄,才能在主管機關和法院面前站得住腳。 |
七、幾個老闆常有的想法誤區
「我們公司很小,不會有人特別針對我們。」
個資外洩的申訴,不需要有人特別針對你。員工離職、客戶不滿,都可以是申訴的起因。個資保護委員會正式成立後,也開始主動稽查,不再只等申訴才動作。而且個資法的裁罰是「每人每事件」計算的,你的客戶名單有 500 人,和有 50 人,被裁罰的量級差距非常大。
「刪掉 AI 對話記錄就沒事了。」
你刪的是你這端看到的記錄。AI 的伺服器備份、你公司電腦的瀏覽器 history、員工帳號的登入紀錄,這些你刪不到。更嚴重的是:刻意刪除記錄這個「動作」本身,在訴訟中可能被認定為滅證,讓你的處境比什麼都不做還要糟。
「這種事發生的機率很低,先觀望就好。」
上述提到的企業是在開放 AI 使用的第 20 天出事的。他們有 IT 部門、有資安團隊,只是沒有明確的使用規範。你公司的員工,從今天開始算,還要多久才會有人第一次把客戶資料貼進 AI 工具?
| 不確定自己公司現在的狀況?先打一通電話。 我們提供免費的初步電話諮詢。 你帶一個具體問題來就夠了:「我公司現在是 XX 狀況,我需要擔心嗎?」 我們告訴你:風險等級在哪、最優先要補的是哪一件事、如果需要進一步協助是什麼流程。 不需要準備文件,不需要知道所有細節。有疑慮,打來問。 ▶ 預約免費諮詢電話 → 📩 電話:0919 701 867 | Line:kobeneng2024 | 線上預約 律師將於 24 小時內回覆,初次諮詢不收費 |
免責聲明:本文內容為一般性資訊,不構成法律意見。個別案件因事實情形不同,法律適用結果可能有所差異。如需具體法律建議,請洽律師進行個案諮詢。