因資訊部設錯權限看到公司履歷文件，是否違反個資法？

一、問題／事實整理（LawChain 原文）

當事人任職於某公司研發部門，在公司共用資料夾搜尋資料時，發現可存取人資單位的資料夾，內含面試履歷、同事履歷、同事薪資單等個人資料。當事人出於好奇打開瀏覽了多份文件，僅瀏覽並未複製或洩漏。資訊部隨後致電詢問為何在複製公司資料，當事人否認複製並表示不知為何有權限。資訊部回覆稱研發部門本來就有權限。隔日經理表示事件已處理完畢，係資訊部權限設定錯誤。當事人擔心是否會被秋後算帳，想了解是否違反法律。

資料來源：法律圈 LawChain

二、爭點

• 因公司資訊部權限設定錯誤而瀏覽人事資料，是否構成個人資料保護法之違反？
• 僅瀏覽而未複製、轉傳或洩漏，是否構成違法蒐集或利用個人資料？
• 是否可能構成刑法妨害電腦使用罪（無故入侵電腦系統）？
• 公司能否以此為由對當事人進行懲處？

三、相關法條

• 個人資料保護法第19條（非公務機關蒐集或處理個人資料之要件）
• 個人資料保護法第20條（非公務機關利用個人資料之限制）
• 個人資料保護法第41條（違反個資法之刑事責任）
• 刑法第358條（無故入侵電腦罪）
• 刑法第359條（無故取得電磁紀錄罪）

四、法律分析

（一）個人資料保護法之適用：個資法第19條規範非公務機關蒐集或處理個人資料之要件，第41條規定意圖為自己或第三人不法之利益或損害他人之利益而違反者，處五年以下有期徒刑。本案中，當事人係因公司系統權限設定錯誤而取得存取權限，並非以不法手段取得，且僅係出於好奇瀏覽，並無蒐集、複製、轉傳或利用之行為，亦無損害他人利益之意圖，因此不太可能構成個資法之刑事責任。

（二）刑法妨害電腦使用罪：刑法第358條規定「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者」。本案中，當事人係以自己合法帳號登入公司系統，且係因資訊部設定錯誤而非利用漏洞入侵，故不符合「無故入侵」之構成要件。同理，刑法第359條無故取得電磁紀錄罪亦難以成立，因當事人並未「取得」（下載或複製）相關資料。

（三）公司內部紀律：雖然法律責任風險不高，但公司可能依內部資訊安全規範或員工守則，對員工瀏覽非職務所需之資料進行內部懲處。然而，本案係因資訊部權限設定錯誤所致，且經理已表示處理完畢，公司以此為由懲處之正當性值得商榷。

五、結論與建議

結論：因公司資訊部權限設定錯誤而瀏覽人事資料，在未複製、轉傳或洩漏之情況下，不太可能構成個資法或刑法之違反。但仍應注意公司內部規範。

1. 保留與資訊部及經理溝通之相關紀錄（如通話紀錄、對話截圖），尤其是經理表示「已處理完畢、權限設定有錯誤」之內容，作為自保證據。
2. 日後若發現自己可存取非職務相關之資料，應立即通報資訊部門，避免擅自瀏覽而產生爭議。
3. 確認公司是否有簽署資訊安全保密協議或相關員工守則，了解自身義務範圍。
4. 若公司日後以此事進行懲處或不利處分，可主張係因公司自身權限管理疏失所致，並非員工故意為之。
5. 如遭公司秋後算帳或不當處分，建議諮詢勞動法律師，評估是否構成違法解僱或不當懲處。