求職履歷未經同意被主管分享給同事，是否侵害個人隱私？

一、問題／事實整理（LawChain 原文）

當事人為新進員工，甫進入某公司任職。上班後發現自己在求職網站上的履歷表，被公司主管未經其同意即以電子郵件方式轉寄給同部門之同仁瀏覽。當事人認為此舉侵害其個人隱私，感到不被尊重，因而希望了解主管未經同意分享履歷表之行為是否合法。

資料來源：法律圈 LawChain

二、爭點

• 求職履歷表中之資訊是否屬於個人資料保護法所保護之「個人資料」？
• 雇主取得員工求職履歷後，將其轉寄給同部門同仁是否逾越蒐集目的之「利用」？
• 雇主是否得以「人事管理」或「業務需要」為由主張其利用行為合法？
• 當事人得主張哪些法律上之救濟途徑？

三、相關法條

• 個人資料保護法第2條 — 個人資料之定義
• 個人資料保護法第5條 — 個人資料之蒐集、處理及利用應尊重當事人權益
• 個人資料保護法第19條 — 非公務機關蒐集個人資料之要件
• 個人資料保護法第20條 — 非公務機關利用個人資料應於蒐集特定目的範圍內
• 個人資料保護法第29條 — 非公務機關違反本法致損害之賠償責任
• 民法第184條 — 侵權行為損害賠償之一般規定
• 民法第195條 — 侵害人格權之非財產上損害賠償

四、法律分析

求職履歷表通常載有姓名、出生年月日、學歷、經歷、聯絡電話、電子郵件、住址等資訊，依個人資料保護法第2條第1款規定，此等足以直接或間接識別該個人之資料，均屬受保護之「個人資料」。雇主於招募過程中取得求職者之履歷，其蒐集目的係為「人力資源管理」（個資法施行細則所定特定目的之「人事管理」類別），嗣後對該等個人資料之利用，依個資法第20條第1項規定，原則上應於蒐集之特定目的必要範圍內為之。

本案中，主管將當事人之完整求職履歷轉寄給同部門同仁瀏覽，是否屬於「人事管理」特定目的範圍內之合理利用，須視具體情形判斷。若公司係基於團隊協作之需要，僅將新進員工之基本職務背景介紹予同仁知悉，且未揭露過多私密資訊（如薪資期望、家庭狀況等），則可能被認為尚屬合理範圍。然而，若主管係將完整履歷（含聯絡方式、個人照片、自傳等私密內容）未經篩選即全部轉寄，則已逾越人事管理之必要範圍，構成個資法第20條之違反。實務上，臺灣高等法院曾在類似案件中指出，雇主對員工個資之利用應遵循比例原則，不得逾越特定目的之必要範圍。

就救濟途徑而言，當事人得依個資法第29條規定，向公司請求損害賠償；如無法證明實際損害，法院亦得酌定每人每一事件新臺幣500元以上2萬元以下之賠償額。此外，當事人亦得依民法第195條主張人格權（隱私權）受侵害，請求非財產上之損害賠償。惟須注意，單純將履歷轉寄予同部門少數同仁，其侵害程度可能被法院認定尚屬輕微，賠償金額未必太高。較務實之作法係先向公司人資部門反映，要求公司建立員工個資管理規範，避免類似情形再度發生。若公司置之不理，再考慮向主管機關（各縣市政府）檢舉違反個資法。

五、結論與建議

結論：求職履歷屬個人資料保護法所保護之個人資料，主管未經當事人同意將完整履歷轉寄給同部門同仁，若已逾越人事管理之必要範圍，即構成違反個資法第20條。當事人得依個資法及民法主張損害賠償，亦可向主管機關檢舉。

1. 先向公司人資部門反映：以書面（電子郵件）向人資部門說明主管未經同意分享履歷之事實，要求公司正式回應並防止再犯，保留溝通紀錄。
2. 確認履歷被分享之範圍與內容：瞭解主管轉寄之履歷內容是否包含敏感個資（如身分證字號、家庭狀況、薪資期望），以及接收之同仁人數，以評估侵害程度。
3. 要求公司建立個資管理制度：促請公司訂定員工個人資料蒐集、處理及利用之內部規範，明確限制履歷資料之使用範圍與權限。
4. 保全相關證據：截圖保存主管轉寄履歷之郵件紀錄、同事之證言等，作為日後主張權益之證據。
5. 向主管機關檢舉：若公司未積極處理，可向所在地縣市政府（個資法主管機關）提出檢舉，由主管機關進行調查與裁罰。
6. 評估是否提起民事訴訟：如確有損害（如個資外洩導致騷擾、精神痛苦等），可依個資法第29條及民法第195條請求損害賠償，建議先諮詢律師評估訴訟實益。
7. 於求職網站調整隱私設定：檢視並調整求職網站上履歷之公開程度，避免過多個資被雇主取得後不當利用。