一個資安長被董事會質問的下午:「合法,但要怎麼合法?」
那是星期四下午兩點,台中市一家上市公司董事會議室。資安長阿宏正在做今年第二次的董事會報告。董事長翻著簡報問:「阿宏,這個 AI 監控專案我看你寫『預計第 4 季導入』,但我去年聽法務說個資法很嚴,會不會出問題?」
阿宏深吸一口氣:「董事長,AI 監控本身是『能裝的』,個資法、勞基法、勞動部規範都不是『禁止』,只是設定了門檻。問題是我們要怎麼裝才能符合所有門檻?這就需要建立一套法律分析框架。」
董事長挑眉:「框架?意思是這不是『裝個軟體』這麼簡單?」
「對,董事長。AI 監控合法性不能用『yes / no』來看,要用『四階段檢查』來看:第一階段確認目的正當性、第二階段檢驗必要性、第三階段選擇最小侵害手段、第四階段做員工溝通與工作規則納入。如果有一個階段沒通過,整個專案就有違法風險。」
另一位董事接話:「那這個四階段是法律規定的嗎?還是你的個人見解?」
「是憲法與勞動部規範。憲法第 23 條規定『以上各條列舉之自由權利,除為防止妨礙他人自由、避免緊急危難、維持社會秩序,或增進公共利益所必要者外,不得以法律限制之。』這條法律建立了「比例原則」,是所有人權限制的最高指導原則。勞動部 113 年企業實施員工監看正當性判斷指引,就是把這個比例原則具體化為四階段。」
董事長若有所思:「所以你今天要報告的,不是『要不要做』,而是『怎麼做才合法』?」
「是。今天我帶來的不是技術簡報,是合法性分析框架簡報。」
這就是 2026 年台灣企業最稀缺的能力——不是「裝 AI 監控」的技術能力,而是「合法導入 AI 監控」的法律分析能力。本文專為法務、資安長、HR 主管、企業主寫,深入拆解 AI 監控合法性的四階段判斷框架。注意:本文聚焦「該怎麼做」的合法性分析方法論。進階的「能不能做」紅線判斷(哪些情境絕對禁止),請參見 #05。
合法性判斷的核心:憲法 §23 比例原則三要素
要理解 AI 監控合法性,必須從比例原則開始。
比例原則是憲法層級的審查標準。中華民國憲法第 23 條規定:「以上各條列舉之自由權利,除為防止妨礙他人自由、避免緊急危難、維持社會秩序,或增進公共利益所必要者外,不得以法律限制之。」這條看似抽象的條文,建立了人權限制的「必要性審查」。司法院大法官多次將其具體化為比例原則三要素:適當性、必要性、狹義比例性。
要素一:適當性(手段適合目的)。雇主使用的 AI 監控手段,必須能達成其聲稱的目的。例如,雇主聲稱「為了提升專案管理效率」,那麼裝設「視訊鏡頭情緒分析」是否能達成這個目的?答案是「未必」——情緒不一定影響專案管理效率,這個手段與目的的連結性薄弱。適當性審查要求雇主明確說明「監控資料如何用於達成目的」。
要素二:必要性(無更少侵害替代)。即使手段能達成目的,仍須證明「沒有更少侵害的替代方案」。例如,要達成「提升專案管理效率」,較少侵害的方案包括:每週專案進度會議、看板管理工具(Trello、Jira)、敏捷管理導入。如果這些方案可以達成目的,AI 監控就缺乏「必要性」。
要素三:狹義比例性(利益衡量)。即使手段適當且必要,仍須權衡「達成的利益」與「侵害的利益」。例如,AI 監控可以提升 10% 的專案管理效率,但同時造成員工流動率上升 20%、團隊氛圍惡化、員工心理壓力增加,整體利益是負的。狹義比例性要求雇主做整體評估。
林郁汶顧問建議的比例原則自我檢核問題:
- 適當性:我蒐集的資料,真的能達成我聲稱的目的嗎?
- 必要性:我有沒有先嘗試過侵害更小的方案?
- 狹義比例性:員工的損失,真的小於公司的獲益嗎?
如果三個問題都通過,比例原則的初步審查就過關。接下來進入勞動部 113 年指引的四階段細部檢查。
階段 1 — 目的正當性檢驗
第一個階段,是確認監控目的本身是否正當。
勞動部 113 年指引明列「正當目的」的 5 大類型:
- 資訊安全管理(防止資料外洩、防範駭客攻擊)
- 出勤與工時管理(依勞基法 §30-V 義務)
- 客戶服務品質管理(如客服通話錄音)
- 特定行業合規要求(如金融業反洗錢、醫療業病歷管理)
- 職場安全與健康管理(如工廠生產線安全監控)
「不正當目的」的常見情境:
- 「了解員工工作狀態」(過於抽象)
- 「提升管理效率」(無具體連結到員工權益的對價)
- 「測試員工忠誠度」(明顯不正當)
- 「淘汰績效落後員工」(淘汰本身應靠 §11 §12 解僱事由認定,不能靠監控數據自動判斷)
- 「了解員工私生活」(顯然違法)
目的正當性檢驗的 3 個書面化要件:
- 目的書面化:在勞動契約、工作規則、監控同意書中明確記載監控目的。
- 目的可驗證:監控目的應與公司營運實際相關,可由第三方檢視。
- 目的不可變更:一旦明訂目的,不得日後悄悄擴大或變更(受 §16 目的拘束原則拘束)。
林郁汶顧問實戰提醒:很多企業在實施 AI 監控時,把目的寫得太抽象(如「提升營運效率」),結果勞檢時無法說明具體用途,被認定為「目的不正當」。正確做法:把目的寫得越具體越好。例如「為防範客戶資料外洩,蒐集工作設備之大量檔案外傳異常行為」、「為符合金管會反洗錢要求,記錄交易室語音通話」。
階段 2 — 必要性檢驗
第二個階段,是確認 AI 監控是「達成目的所必要」的手段。
必要性檢驗的 3 個次要件:
次要件 A:替代方案窮盡。雇主必須先嘗試侵害較小的方案,並在這些方案不足時才考慮 AI 監控。實務檢視清單:
- 是否先做過明確的工作規則?
- 是否先做過績效目標管理?
- 是否先做過員工培訓?
- 是否先做過主管面談?
- 是否先做過傳統打卡 + 工時管理?
如果以上方案都做了仍不足,才有「必要性」採用 AI 監控。
次要件 B:手段最小化。在 AI 監控的範圍內,也應採取「最小手段」。例如:
- 能用「工作 App 使用時長」就不用「螢幕擷取」
- 能用「鍵盤敲擊頻率」就不用「鍵盤內容紀錄」
- 能用「總工時統計」就不用「分段時間追蹤」
次要件 C:時間最小化。蒐集資料的時間應限於必要範圍:
- 工作時段內監控,非工作時段不監控
- 工作場域內監控,工作場域外不監控
- 保存期限明訂(建議 3-6 個月),超過期限自動刪除
林郁汶顧問建議的必要性自我檢核:建立「替代方案窮盡清單」,在每次導入新的監控功能前,先填寫這份清單。若清單上有未嘗試的替代方案,應先嘗試。這個清單也是日後勞檢與爭議時的最重要書面證據。
階段 3 — 最小侵害手段
第三個階段,是在所有合格的方案中選擇「侵害最小」的具體手段。
最小侵害的 5 個操作原則:
原則 1:功能模組化。AI 監控系統通常有多個功能模組(如鍵盤監控、螢幕擷取、視訊分析、應用使用追蹤)。應只開啟必要的模組,關閉其他模組。
原則 2:監控範圍邊界化。明訂監控的地理範圍(如「僅辦公室工作區,不含休息室」)、時間範圍(如「工作時段 9:00-18:00」)、人員範圍(如「客服部門員工,不含其他部門」)。
原則 3:資料去識別化。可去識別化的資料,應採去識別化處理。例如:
- 工時統計用「群組平均」呈現,不用「個人姓名」
- 螢幕擷取若必要,應採低解析度(避免讀取私人內容)
原則 4:存取權限分層。蒐集的資料應採「最小存取權限」原則:
- 一般主管:只能看「群組統計」
- HR 主管:可看「個人摘要」但不能看「即時影像」
- 資安長:可看「異常事件詳情」但不能看「日常行為」
- 董事長 / 老闆:除非有具體調查需要,不應日常存取
原則 5:保存期限明訂。資料保存期限應明訂並自動刪除:
- 日常監控資料:保存 3 個月
- 異常事件紀錄:保存 1 年
- 涉及員工懲處的資料:保存至懲處結束後 2 年
林郁汶顧問實戰提醒:許多企業在實施 AI 監控時,「忘記設保存期限」或「忘記設存取權限」,結果蒐集了 5 年的資料,主管 A 隨意看 B 員工的資料——這違反個資法 §16 與勞動部規範。正確做法:在實施前明訂「資料治理辦法」,含保存期限、存取權限、刪除機制、稽核紀錄。
階段 4 — 員工溝通與工作規則納入
第四個階段,是員工溝通與工作規則納入——這是 90% 企業最容易出錯的環節。
勞動部 113 年指引的溝通要件:
- 事前告知:實施前以書面方式告知員工。
- 勞資會議溝通:實施前於勞資會議報告並徵求意見。
- 工會溝通(若有工會):與工會溝通協商。
- 工作規則納入:依勞基法 §70,將監看辦法納入工作規則,報主管機關核備。
- 個別同意:對敏感個資(§6)取得員工書面同意。
勞基法 §70 工作規則的法定事項:
- 工作時間、休息、休假、國定紀念日、特別休假及繼續性工作之輪班方法
- 工資之標準、計算方法及發放日期
- 延長工作時間
- 津貼及獎金
- 應遵守之紀律
- 考勤、請假、獎懲及升遷
- 受僱、解僱、資遣、離職及退休
- 災害傷病補償及撫卹
- 福利措施
- 勞雇雙方應遵守勞工安全衛生規定
- 勞雇雙方溝通意見加強合作之方法
- 其他
AI 監控辦法屬於「應遵守之紀律」與「考勤、獎懲」的延伸,應納入工作規則並依勞基法 §70 報主管機關核備。
員工溝通的「3 階段流程」:
- 階段 A — 規劃前的徵詢:實施前 60 天向勞資會議報告草案,徵求意見。
- 階段 B — 規劃中的公告:實施前 30 天以書面方式公告全體員工,並提供 14 天意見收集期。
- 階段 C — 實施前的個別同意:實施前 7 天取得員工個別書面同意(敏感個資情境)或員工知情聲明(非敏感個資情境)。
林郁汶顧問實戰提醒:實務上 90% 的企業 AI 監控被認定違法,不是因為技術違規,而是因為溝通流程不完整。最常見的錯誤:(一)沒召開勞資會議;(二)沒納入工作規則報主管機關核備;(三)沒事先公告,員工某天「驚覺」被監控;(四)沒留書面同意紀錄。正確做法:完整走 60-30-7 天三階段流程,每個階段都留書面紀錄。
勞動部 113 年指引的四階段對照清單
整合勞動部 113 年企業實施員工監看正當性判斷指引,可建立以下對照清單:
| 階段 | 檢查項目 | 必備文件 |
|---|---|---|
| 階段 1 目的正當性 | 監看目的具體記載 | 書面目的聲明、勞動契約條款 |
| 階段 1 目的正當性 | 目的不屬不正當類型 | 法務審查紀錄 |
| 階段 2 必要性 | 替代方案窮盡 | 替代方案清單與評估報告 |
| 階段 2 必要性 | 手段最小化 | 系統功能設定文件 |
| 階段 2 必要性 | 時間最小化 | 監控時段與保存期限規範 |
| 階段 3 最小侵害 | 功能模組化 | 系統設定文件 |
| 階段 3 最小侵害 | 範圍邊界化 | 監控辦法第 X 條 |
| 階段 3 最小侵害 | 去識別化處理 | 資料處理流程文件 |
| 階段 3 最小侵害 | 存取權限分層 | 權限管理矩陣 |
| 階段 3 最小侵害 | 保存期限明訂 | 資料保存規範 |
| 階段 4 員工溝通 | 60 天勞資會議報告 | 勞資會議紀錄 |
| 階段 4 員工溝通 | 30 天公告全體員工 | 公告文件與發送證明 |
| 階段 4 員工溝通 | 7 天個別同意(§6 情境) | 同意書 |
| 階段 4 工作規則 | 工作規則納入 | 工作規則修訂版 |
| 階段 4 工作規則 | 報主管機關核備 | 核備函 |
這份清單共 14 項,每一項都缺一不可。實務上若被勞動部勞檢或被個人資料保護委員會查察,這 14 項是關鍵的書面證據。
實作案例:一家 200 人軟體公司的四階段合法導入
讓我們看一個實際案例:台中市一家 200 人軟體公司「智能科技」(化名)在 2026 年合法導入 AI 監控的完整流程。
背景:智能科技過去 2 年發生 3 起客戶資料外洩事件,造成商譽損失與賠償成本。公司決定導入 AI 監控系統防範資安事件。
階段 1 目的正當性檢驗:
- 目的:「為防範客戶機敏資料外洩,蒐集工作設備之大量檔案外傳異常行為」
- 法律依據:個資法 §15 第 2 款(合約關係)、§27 個資法 §27 安全維護義務
- 法務審查:通過,目的正當且符合個資法第 27 條義務
階段 2 必要性檢驗:
- 替代方案窮盡清單:
- ✓ 已實施工作規則資安條款
- ✓ 已實施 USB 禁用政策
- ✓ 已實施每年資安培訓
- ✓ 已實施主管面談與資安意識調查
- ✗ 仍有大量檔案外傳異常事件未及時發現
- 結論:替代方案窮盡,AI 監控具備必要性
階段 3 最小侵害手段:
- 監控功能:僅啟用「大量檔案外傳偵測」與「USB 寫入監測」
- 監控時段:工作時段(9:00-18:00),非工作時段不監控
- 監控範圍:僅公司配發的工作設備,個人手機不監控
- 資料保存:6 個月後自動刪除
- 存取權限:資安主任 + 法務長 + 董事長秘書三人
階段 4 員工溝通與工作規則納入:
- 60 天前(2026/1/15):勞資會議報告 AI 監控草案,徵求意見
- 30 天前(2026/2/15):書面公告全體員工,提供 14 天意見收集
- 7 天前(2026/3/8):取得 200 位員工書面同意(其中 195 位同意、5 位選擇傳統打卡)
- 工作規則修訂:將監看辦法納入工作規則第 21 條
- 報主管機關核備:2026/2/28 報請台中市政府勞工局核備
- 核備完成:2026/3/10 核備通過
實施結果:智能科技於 2026/3/15 正式上線,6 個月內偵測 3 起異常檔案外傳事件,避免重大資安事故。零員工申訴,零勞動部開罰。
這個案例的關鍵:完整走完 14 項對照清單——沒有任何一項偷工減料。林郁汶顧問實戰:90% 的企業在實施 AI 監控時忽略階段 4 的溝通流程,造成事後糾紛。智能科技的成功,就是因為「規劃 60 天,實施 1 天」——把所有合規工作做在事前。
最常被問到的問題
Q1:實施 AI 監控前,一定要召開勞資會議嗎? A:強烈建議,且依勞動部 113 年指引「應與勞資會議或工會溝通」。若無勞資會議,可採「全體員工會議」替代。
Q2:工作規則沒有納入監控辦法,會怎麼樣? A:依勞基法 §70,工作規則應記載「應遵守之紀律」與「考勤、獎懲」,AI 監控屬此範疇。未納入工作規則,企業違反 §70,勞動部可開罰 2-30 萬。
Q3:員工不同意 AI 監控,可以強制要求嗎? A:對非敏感個資(§15)監控,員工同意應「自願」,但實務上勞動契約 + 工作規則的「綜合同意」可能構成默示同意。對敏感個資(§6)監控,必須個別書面同意,員工有權拒絕。
Q4:報主管機關核備需要多久? A:依各縣市政府勞工局實務,1-4 週不等。建議實施前 2 個月送件,留足核備時間。
Q5:實施後員工檢舉,公司會被怎麼處理? A:勞動部會發函要求公司提交 14 項對照清單中的書面證據。若 14 項皆完整,多數情況不會被開罰。若有缺漏,視情節輕重開罰 2-30 萬(勞基法)+ 5-50 萬(個資法)。
Q6:「監看」與「監控」有差別嗎? A:勞動部用「監看」,個資法用「蒐集」。兩個詞描述同一行為,但「監看」較中性,「監控」較負面。實務上文件採用「監看」較佳。
Q7:可以委外給第三方 AI 公司處理嗎? A:可以,但第三方屬於「受託處理」,依個資法 §27 雇主仍須負責督促受託人。應簽訂「受託處理契約」,明訂資料處理範圍、保密、刪除義務。
林郁汶顧問如何協助企業:金豐企業軍師如何收費
AI 監控合法化是 2026 年企業數位轉型的關鍵能力之一。林郁汶顧問為中小企業設計如何收費:
第 1 層:入門講座體驗 1,000 元——3 小時實體講座,深入解析比例原則三要素、勞動部 113 年指引四階段、14 項對照清單、實作案例,課後贈送 90 分鐘 1-on-1 免費諮詢。
第 2 層:90 分鐘免費企業健檢——林郁汶顧問親自診斷你公司的 AI 監控規劃、四階段合規度、員工同意書設計、工作規則納入準備,並產出書面健檢報告。
第 3 層:專案制陪跑服務——首年每月平均 1-3 萬、續年不到 1 萬,85% 客戶選擇。涵蓋四階段合規導入專案、員工同意書設計、勞資會議協助、工作規則修訂、主管機關核備代辦、員工申訴答辯。
金豐 2 大承諾:✅ 零隱藏費用 ✅ 分期付款零利息
📲 LINE 加好友 @eapro(lin.ee/11ZEQZj)預約「90 分鐘免費企業健檢」。
💡 服務範圍說明:林郁汶顧問為企業勞資顧問(非執業律師),提供制度諮詢、四階段合規設計、勞動部與個資會答辯協助等顧問服務;正式行政訴訟代理請另委任律師。
延伸閱讀
資料來源
- 法務部全國法規資料庫《中華民國憲法》第 23 條
- 法務部全國法規資料庫《個人資料保護法》第 6 條、第 15 條、第 16 條、第 27 條、第 47 條
- 法務部全國法規資料庫《勞動基準法》第 30 條第 5 項、第 70 條
- 勞動部 113 年「事業單位實施員工監看相關規範」 https://www.mol.gov.tw/1607/1632/1640/51806/
- 司法院大法官解釋(比例原則相關)
- 個人資料保護委員會解釋函令
本文由林郁汶顧問團隊撰寫|2026 年 5 月 14 日 林郁汶|企業勞資顧問|28 年勞資實戰|1,000+ 家中小企業選擇的合作夥伴
關於 28 年實戰的企業軍師林郁汶服務,可進一步了解我們的專業團隊。
延伸閱讀(金豐企業軍師深度指南)
官方權威資料來源
立即預約:企業主 1 對 1 免費諮詢
為你安排企業主 1 對 1 免費諮詢。林郁汶老師將針對你的企業現況,量身診斷合規風險。
預約連結:https://forms.gle/PFvcw93NzfCHbr1H8
聯絡管道:諮詢專線 0985-037-168|LINE 官方帳號 @eapro|官網 king-fong-chufu.com.tw
每週僅服務 5 家企業,建議盡早預約。
企業軍師 林郁汶|金豐 28 年實戰勞資顧問|1,000+ 家中小企業選擇的合作夥伴|500+ 起爭議處理|百件以上職場性平霸凌防治專案|免費勞動法務管理諮詢
