AI 監控員工合法性的法律框架總覽
AI 監控員工的合法性並非單一條文可以斷定,而是涉及一組相互疊加的法律框架。
從框架性角度看,至少要同步檢視四大法源:個人資料保護法(特別是第 5 條比例原則、第 19 條特定目的、第 20 條目的外利用)、勞動基準法所承載的人格尊重原則與憲法第 22 條人格權保障、刑法第 315 條之 1 妨害秘密罪,以及勞動事件法施行後對雇主的舉證責任倒置。
任一法源踩線都可能讓整套監控制度失效。
同時,合法性判斷在實務上會通過四個審查框架——目的正當、手段必要、程度合理、告知充分——這四項缺一不可。
本篇從 HR、法務與顧問的框架性視角,逐項拆解這四大法源與四大框架,並提供一套七步驟合法建制度 SOP。
若您要的是快速「我這個監控合不合法」的口語化判斷,建議改讀《AI監控員工合法嗎》一文,兩篇互補。
第一法源:個資法第 5 條比例原則與合理關聯
個資法第 5 條規範個人資料之蒐集、處理或利用,應「尊重當事人權益、依誠實及信用方法為之、不得逾越特定目的之必要範圍、並應與蒐集之目的具有合理關聯」。
這是 AI 監控合法性最核心的基礎條文,也是法院判斷雇主監控行為是否過度的主要依據。
第 5 條的關鍵字是「比例」與「合理關聯」:雇主想以資安為由蒐集員工鍵盤紀錄,必須證明鍵盤紀錄與資安目的之間有合理關聯且不過度;雇主想以績效評估為由蒐集螢幕截圖,必須證明截圖內容與績效評估之間有實質連結而非泛泛而為。
實務上,雇主在訴訟或勞檢時最常被攻擊的就是「目的與蒐集範圍之間欠缺合理關聯」——例如以資安為由蒐集了私人通訊、以防盜為由錄音員工日常對話、以出勤管理為由 24 小時 GPS 追蹤。
這些做法都過不了第 5 條的比例審查。
第二法源:個資法第 19 條蒐集合法性與例外
個資法第 19 條規定非公務機關蒐集個人資料原則上須經當事人同意,但同時列出例外情形:法律明文規定、與當事人有契約或類似契約之關係且採取適當之安全措施、當事人自行公開或其他已合法公開之資料、為學術研究、為增進公共利益、與當事人權益無侵害之虞等。
在勞雇關係下,雇主想合法蒐集員工監控資料,最常援引的合法性基礎有三:第一是員工同意(但實務上同意有強制性疑慮,效力有限);第二是契約必要性(為履行勞動契約所必要的監控,例如出勤紀錄);第三是法定義務(例如為符合勞基法第 30 條保存出勤紀錄之義務)。
雇主若無法明確指出第 19 條的哪一款例外作為合法基礎,整套監控就缺乏蒐集合法性,後續所有處理利用都會連帶違法。
第三法源:個資法第 20 條目的外利用禁止
個資法第 20 條規範個人資料之利用應於「蒐集之特定目的必要範圍內」為之,若要逾越須有法定例外(如為增進公共利益、為防止他人權益重大危害、經當事人書面同意等)。
第 20 條是 AI 監控合法性中最常被忽略卻最容易踩雷的條文。
實務上常見的目的外利用樣態包含:以資安為目的蒐集的螢幕截圖被拿去做考績評估;以出勤管理為目的的 GPS 資料被拿去做員工私生活分析;以防盜為目的的鏡頭錄影被拿去做工作效率評估;以員工手冊知情同意為基礎的監控資料被分享給第三方分析公司做行為預測。
任一項都可能違反第 20 條。
建議雇主在制度設計時就把監控資料的可用途與不可用途明確列在內部規範中,避免事後被認定為目的外利用。
第四法源:勞基法人格尊重與憲法第 22 條
勞基法雖未明文規範 AI 監控,但學說與實務一致認為,雇主管理權應受到勞工人格權與隱私權的限制。
這個限制的法源來自憲法第 22 條(人格權保障)、民法第 18 條(人格權侵害禁止)、民法第 195 條(侵害人格法益之非財產上損害賠償),並由勞基法的立法精神承載。
實務上的核心判準有三:第一是「持續被監視的心理壓力」是否已超出合理範圍;第二是「演算法評估」是否涉及性別、年齡、宗教、政治立場等歧視;第三是「重大監控措施」是否經工會或勞資會議同意(程序保障)。
雇主若以為「監控只是技術問題、跟勞基法無關」,這在 2026 年的訴訟實務中幾乎一律敗訴。
建議雇主把人格尊重視為制度設計的基礎原則,不要踩線後才補救。
第五法源:刑法第 315 條之 1 妨害秘密罪
刑法第 315 條之 1 規範「無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者」,處 3 年以下有期徒刑、拘役或 30 萬元以下罰金。
這條是 AI 監控合法性中刑事責任的核心條文。
本罪的關鍵要件是「無故」與「非公開」:若雇主未事前告知監控存在、或將攝影/錄音設備裝設在員工休息室、更衣室、廁所等明顯屬於私密空間之處,即可能符合「無故」與「非公開」兩項要件,構成本罪。
反之,若雇主已事前以書面方式明確告知監控範圍、目的、時間,且監控區域為「公開工作場所」(如辦公室、工廠生產線、收銀台),通常不構成「無故」。
本罪屬刑事責任,會留下前科紀錄,且雇主或具體執行者皆可能被追訴,比個資法行政罰更嚴重。
第六法源:職業安全衛生法的隱性要求
職業安全衛生法雖未直接規範 AI 監控,但其第 6 條第 2 項規定雇主應採取必要之安全衛生措施防止「執行職務因他人行為遭受身體或精神不法侵害所致之危害」。
實務上,過度 AI 監控可能被認定為造成員工精神壓力與職場霸凌,間接觸發職安法的雇主責任。
例如,全時段螢幕監控、強制 AI 情緒分析、自動推論離職傾向並做差別對待,這些做法可能被認定為使員工處於精神不法侵害狀態,雇主可能需依職安法相關規定改善。
職安法的這層隱性要求常被忽略,但在勞動部與職安署的近年函釋方向中已逐漸浮現。
建議雇主在設計 AI 監控制度時,同步評估是否會對員工造成可預見的精神壓力,並建立申訴與救濟管道。
第七法源:勞動事件法的舉證責任倒置
勞動事件法雖非個資保護法令,但其舉證責任倒置原則對 AI 監控合法性訴訟產生重大影響。
依勞動事件法第 35 條文書提出義務、第 37 條工資定性舉證、第 38 條加班時數推定等規範,雇主在勞動爭議中負擔比一般民事案件更重的舉證責任。
具體影響有三:第一是員工若主張被違法監控並造成損害,雇主必須提出完整文件證明監控目的、告知流程、合法基礎、資料保存期;第二是員工若主張監控資料被用於不利益處分(如解僱、降薪),雇主必須證明處分有合法基礎;第三是員工若主張監控造成精神損害,雇主必須提出反證。
這三項舉證在勞動事件法之下幾乎都對雇主不利。
建議雇主在制度建置階段就把每一份文件電子化備置,未來爭議時才能有效舉證。
第一判斷框架:目的正當性
合法性判斷的第一個框架是目的正當性。
法院與主管機關審查 AI 監控時,會先問:你的監控目的是什麼?答案必須具體、明確、可驗證,並且屬於法律或實務認可的正當目的範圍——例如資安、營業秘密保護、財產安全、法遵義務、工作流程管理等。
不正當的目的範例包括:純粹想看員工有沒有偷懶、想知道員工的政治立場或私生活、想透過監控施加心理壓力、想用監控資料對特定員工做差別對待。
目的正當性的判斷標準是客觀的——雇主不能只說「我覺得這個目的正當」,必須能在書面文件中說明這個目的對應的具體業務需求、預期效果、不做監控會出什麼問題。
實務上,沒有書面化的目的等於沒有目的,雇主一旦進入訴訟或勞檢就會在第一框架就出局。
第二判斷框架:手段必要性
合法性判斷的第二個框架是手段必要性。
即使目的正當,雇主仍須證明「沒有其他侵害較小的手段可以達成相同目的」。
實務上的判準是:是否有更精準、更低侵害、更可控的替代工具?例如想防止營業秘密外洩,可以先用權限控管、檔案外傳警告、稽核日誌等較低侵害手段,這些手段做不到再考慮鍵盤側錄;想了解外勤人員是否準時拜訪客戶,可以先用定點打卡、訪客簽到、業績指標等較低侵害手段,這些手段做不到再考慮 GPS 追蹤。
雇主若直接跳過低侵害手段、選擇最強監控工具,幾乎一律過不了手段必要性審查。
建議在制度設計時,明確記錄為什麼選擇此工具而非其他低侵害替代方案,這份記錄會成為訴訟時的關鍵證據。
第三判斷框架:程度合理性
合法性判斷的第三個框架是程度合理性,也就是監控範圍與目的之間應成比例。
實務上的判準是「範圍最小化」:監控時間是否限於工作時段、監控區域是否限於工作場所、監控資料類別是否限於工作相關、監控資料保存期是否限於目的所必要的最短期間。
違反程度合理性的典型樣態包括:24 小時持續監控、非工作時段仍持續定位、蒐集工作無關的私人通訊內容、保存期間遠超目的所必要範圍。
程度合理性與手段必要性的差別在於——手段必要性問「能不能用別的工具替代」,程度合理性問「同一工具能不能再縮小範圍」。
實務上雇主常通過手段必要性卻在程度合理性上失敗,例如選對了工具但範圍開太大、時段開太長、保存太久。
第四判斷框架:告知充分性
合法性判斷的第四個框架是告知充分性。
個資法第 8 條要求蒐集個資前應告知五件事:蒐集目的、資料類別、利用範圍、保存期間、權利行使方式。
在 AI 監控的情境下,這五件事必須以書面方式具體載明——具體到員工可以明確知道公司會用什麼工具、蒐集什麼資料、用於什麼目的、保存多久、如何行使查閱更正刪除等權利。
告知方式可以是員工手冊、勞動契約附件、單獨告知書、線上告知系統等,並須留存簽收紀錄。
實務上常見的不充分告知包括:只在員工手冊寫「公司有監控」這種泛泛說法、告知範圍與實際監控不一致、告知後又擴大監控範圍未重新告知。
告知不充分時,即使其他三個框架都過了,整套監控仍可能被認定違法。
建立合法 AI 監控制度 SOP:第一步至第三步
合法建立 AI 監控制度的第一步是「監控目的書面化」。
雇主應撰寫一份監控目的說明書,列出每一項擬導入的監控工具對應的具體業務目的、預期效果、不做監控會出什麼問題、與公司業務的關聯性,並由法務或顧問審核。
這份文件是後續所有程序的基礎,也是訴訟時最關鍵的證據。
第二步是「手段必要性評估」:把所有可能的替代工具列表比較,說明為什麼選擇此工具而非其他低侵害替代方案,這份比較表也須書面化。
第三步是「監控範圍界定」:明確限定監控時段(工作時間內)、區域(公開工作場所)、資料類別(工作相關)、設備(公司提供)、排除範圍(私人通訊、私人裝置、休息時段、私密空間)。
三步合計屬於「制度設計階段」,這個階段做不好,後續所有程序都會跟著歪。
建立合法 AI 監控制度 SOP:第四步至第五步
第四步是「修訂員工手冊與監控政策」。
雇主應在員工手冊或工作規則中載明監控制度的目的、範圍、工具、資料保存期、員工權利、申訴管道,並依勞基法第 70 條規定報請主管機關核備。
若工作規則修訂涉及員工權益重大變動,應依勞動部函釋方向先經勞資會議同意。
第五步是「事先充分告知與簽收」。
雇主應以書面方式單獨告知每一位現職員工監控制度的五項要件(目的、資料類別、利用範圍、保存期間、權利行使方式),並請員工簽收。
新進員工則應在到職時取得告知與簽收。
實務上有些雇主以為「員工手冊已寫,員工已簽到職同意書,就算告知了」,這在嚴格的訴訟審查下可能不足,建議單獨告知並單獨簽收較安全。
建立合法 AI 監控制度 SOP:第六步至第七步
第六步是「經工會或勞資會議同意」。
若公司有工會,應將監控制度提交工會討論並取得書面同意;若無工會,依勞動部函釋方向應提交勞資會議討論並做成決議。
勞資會議的決議方式、出席門檻、表決程序皆有規範,建議由顧問或律師協助確認程序合法。
同步建立員工申訴與救濟管道,例如指定申訴窗口、訂定申訴處理時限、提供匿名申訴選項。
第七步是「定期檢視與刪除資料」。
資料保存期不得逾越目的所必要的最短期間,應依不同資料類別訂定具體保存期:鍵盤側錄與螢幕截圖建議不超過六個月、鏡頭錄影建議不超過三十天、GPS 定位建議不超過三個月、生物辨識建議在離職後立即刪除、AI 行為推論結果建議使用後立即刪除。
建立定期銷毀流程並留存銷毀紀錄。
跨國借鏡:歐盟 GDPR 與新加坡 PDPA
歐盟 GDPR 與新加坡 PDPA 對台灣企業(特別是有外資背景或跨境業務的企業)有重要借鏡價值。
GDPR 將員工個資視為高敏感類別,要求合法性基礎、目的限制、資料最小化、準確性、儲存限制、完整性與機密性、可問責性等七大原則;對 AI 自動化決策(如自動評估離職傾向)有特殊保護,員工有權要求人為介入。
新加坡 PDPA 採用「合理性原則」,雇主蒐集處理員工個資須有合理目的、合理範圍、合理方式,並提供個資保護官(DPO)機制。
台灣企業的啟示有三:第一是制度設計應提早接軌國際標準,避免未來個資法修法時被迫大幅重建;第二是 AI 自動化決策應有人為覆核機制;第三是建立內部個資保護負責人或顧問角色。
跨境企業特別應同步檢視 GDPR/PDPA 合規,避免被總部歐盟或新加坡分公司處罰連帶。
FAQ
雇主的指揮監督權與員工人格權衝突時優先誰?
實務上採利益衡量原則,視具體情境判斷。
雇主指揮監督權有其正當基礎(勞動契約、企業經營自由),但當監控明顯逾越必要範圍、進入私密領域、造成持續精神壓力時,員工人格權通常優先。
判斷標準包含監控目的的正當性、手段的必要性、範圍的合理性、告知的充分性,四項全部通過時雇主管理權較易站得住腳;任一項過不了,則員工人格權通常勝出。
建議雇主在制度設計時做利益衡量書面評估。
員工同意書是合法的唯一基礎嗎?
不是。個資法第 19 條提供多種合法性基礎,員工同意只是其中一種。
其他基礎包含契約必要性(為履行勞動契約所必要)、法定義務(如勞基法保存出勤紀錄)、公共利益等。
實務上同意有兩個問題:第一是勞雇關係下員工弱勢,同意可能有強制性疑慮;第二是同意可隨時撤回,撤回後監控基礎可能消失。
建議雇主將同意作為「補強性」基礎,另外援引契約必要或法定義務作為「主要」合法性基礎。
個資影響評估 DPIA 是必做的嗎?
台灣個資法目前未明文要求 DPIA,但歐盟 GDPR 要求高風險處理應做 DPIA。
實務上,台灣顧問與律師多建議高風險 AI 監控(鍵盤側錄、生物辨識、AI 行為分析)導入前做 DPIA,原因有三:第一是訴訟時 DPIA 是雇主已盡注意義務的證據;第二是有助於識別合法性風險並提早修補;第三是與國際標準接軌。
雖然不是法定強制,但建議高風險場景一律執行。
勞資會議同意要怎麼跑才合法?
依勞動部函釋方向,勞資會議的合法程序包含:勞資代表人數對等且至少三人、勞方代表由全體勞工選舉產生(30 人以下事業單位可由勞資雙方各推派代表)、每三個月召開一次、討論事項提前公告、會議紀錄留存。
AI 監控制度作為「事業單位內勞動條件之重大變動」,建議在導入前提交勞資會議討論並做成決議。
決議雖非絕對拘束雇主,但有重要程序正當性意義,且未經會議討論直接導入可能被認定程序瑕疵。
AI 演算法歧視在台灣有沒有法律規範?
目前無單一專法規範 AI 演算法歧視,但散見於就業服務法第 5 條(就業歧視禁止)、性別平等工作法(性別歧視禁止)、身心障礙者權益保障法等。
實務上,若 AI 監控演算法在效率評估、晉升評估、離職傾向預測上對特定性別、年齡、宗教、政治立場造成差別待遇,員工可依上述法規申訴或請求賠償。
建議雇主在引入 AI 演算法時做歧視風險評估,並提供人為覆核機制。
工會在 AI 監控合法性中扮演什麼角色?
工會的角色有三:第一是程序正當性的把關者,公司導入監控制度應提交工會討論並取得書面同意;第二是員工集體權益的代表者,可協助員工就監控議題與雇主協商;第三是申訴與救濟的協助者,員工被違法監控時可透過工會提出申訴。
若公司無工會,前述程序由勞資會議承擔。
實務上,有工會的公司導入 AI 監控的合法性風險較低,因為程序正當性較完整。
GDPR 的合法性基礎跟台灣比有什麼不同?
GDPR 提供六種合法性基礎(同意、契約必要、法定義務、保護生命利益、公共利益、合法利益),且對員工同意採嚴格標準(明確、自由、可隨時撤回)。
台灣個資法第 19 條的例外較類似但範圍稍寬。
實務差別有三:第一是 GDPR 對自動化決策有特殊保護(要求人為介入),台灣個資法目前未明文;第二是 GDPR 要求 DPO 與 DPIA,台灣未強制;第三是 GDPR 的罰鍰金額遠高於台灣個資法。
跨境企業應同步檢視兩套規範。
監控資料外洩雇主要負什麼責任?
若監控資料外洩,雇主可能面臨多重責任。
第一是個資法責任:個資法第 28 條規範非公務機關違反個資法致個資被竊取、洩漏、竄改或其他侵害者,應負損害賠償責任;第 41 條規範意圖營利之違反,可能涉及刑事責任。
第二是民事責任:員工可請求侵權損害賠償與精神慰撫金。
第三是行政責任:個資保護委員會可處罰鍰並令限期改正。
第四是商譽損害:媒體曝光與員工集體不信任。
建議建立資料外洩通報與應變 SOP。
AI 監控結果可以拿來解僱員工嗎?
原則上不行,除非滿足三項要件:第一是監控目的範圍內就包含績效或紀律評估,並已事前書面告知;第二是監控資料的解讀有人為覆核機制,非完全自動化決定;第三是解僱事由符合勞基法第 11 條或第 12 條的具體規定,並提供陳述機會。
若雇主僅以 AI 監控結果為唯一依據解僱員工,未通過上述三項要件,員工可主張解僱無效並請求復職與工資。
建議雇主把 AI 監控結果作為輔助參考而非單一依據。
預約 30 分鐘專業諮詢
如果您是 HR、法務或顧問,正在為公司建立 AI 監控合法性框架、撰寫員工手冊與監控政策、跑勞資會議程序、做個資影響評估,建議先做完整合法性框架診斷,避免單點修補後仍有結構性風險。
歡迎加 LINE @eapro 或來電 0985-037-168,由林郁汶|企業勞資顧問(非執業律師)為您預約「30 分鐘專業諮詢」。
三層服務沿用 v4.0:第一層 90 分鐘免費企業健檢、第二層 制度建置專案(專案制、零隱藏費用、分期零利息)、第三層 長期駐案顧問。
28 年實戰、不收回扣、不綁長約、不上業配,從免費健檢開始診斷您的 AI 監控制度合法性破口。
關於 28 年實戰的企業軍師林郁汶服務,可進一步了解我們的專業團隊。
延伸閱讀(金豐企業軍師深度指南)
官方權威資料來源
立即預約:企業主 1 對 1 免費諮詢
為你安排企業主 1 對 1 免費諮詢。
林郁汶老師將針對你的企業現況,量身診斷合規風險。
預約連結:點此預約 90 分鐘免費企業健檢
聯絡管道:諮詢專線 0985-037-168|LINE 官方帳號 @eapro|官網 king-fong-chufu.com.tw
每週僅服務 5 家企業,建議盡早預約。
企業軍師 林郁汶|金豐 28 年實戰勞資顧問|1,000+ 家中小企業選擇的合作夥伴|500+ 起爭議處理|百件以上職場性平霸凌防治專案|免費勞動法務管理諮詢
