員工違反資安規範及破壞公司網頁或其他電磁記錄，有犯罪嗎？如何加以規範？

問題摘要：

員工於任職期間刪除公司網站或資料，行為若具損害公司利益之故意，即構成刑法背信罪與破壞電磁紀錄罪；離職後再入侵系統者，則另構成入侵電腦罪與破壞電磁紀錄罪。公司可依法提告並即時解僱，並於人事規章中建立資安、忠誠與懲戒制度，以防止同類事件再發。企業唯有兼顧法律、制度與技術三方面之防線，方能在資訊化時代下妥善維護自身資產與信譽，避免一時人為衝動造成不可逆的損失與法律糾紛。

 

律師回答：

關於這個問題，員工在職期間負有誠實忠誠義務，對於公司之財產、業務資訊及系統安全均應善盡保護之責，若因個人情緒或報復心理而破壞公司資訊資產，除可能構成民事損害賠償責任外，更可能觸犯刑法上之背信罪或電腦相關犯罪，情節重大者甚至可構成同時多罪並罰之結果。

 

如「任職網路工程師刪除公司網頁」，從刑事構成要件、人事規章防範、解僱程序合法性及企業資安治理四個層面，探討資訊犯罪與勞動關係交錯下的法律風險與制度對策。

 

首先，關於刑事責任部分，員工於離職前仍屬僱傭關係存續階段，依受僱人應以善良管理人之注意處理受僱事務，並應忠實執行職務，不得為損害雇主之行為；若其職務內容涉及網頁管理、伺服器維護或資料存取，即屬「為他人處理事務」之典型情形。

 

刑法第342條背信罪明定：「為他人處理事務，而為自己或第三人不法之利益，或損害本人之利益者，處五年以下有期徒刑、拘役或科或併科五十萬元以下罰金。」員工於任職期間刪除公司網頁或資料，若出於報復或意圖使公司營運中斷、名譽受損，主觀上具損害公司利益之故意，固不需要獲得利益或使第三人獲得利益，但重點在於主觀確有損害利益之意圖，客觀上違背職務忠誠義務，即可成立背信罪

 

最高法院判例一貫認為，受僱人於職務範圍內違背任務，導致雇主財產受損，足以構成背信罪，只要有損害發生即可，但仍須要用。

 

至於刪除行為亦屬刑法第359條「破壞電磁紀錄罪」之範疇，其條文規定：「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」此條係保護資訊系統完整性及電磁紀錄安全，不以侵入為前提，只要行為人「無故刪除」他人電腦資料而致損害，即屬構成要件。

 

因此，員工於離職前刪除公司網站、資料庫或伺服器設定檔，不僅可能觸犯背信罪，亦同時構成電磁紀錄損壞罪。兩罪為一行為觸犯數罪名之想像競合，依刑法第55條前段「從一重處斷」之規定，應從刑度較重之電磁紀錄罪處斷。

 

若員工於離職後，已非為公司處理事務，自不再構成背信罪，惟若其以破解密碼、利用系統漏洞或駭入公司伺服器等方式刪改資料，則可依刑法第358條「入侵電腦罪」及第359條「破壞電磁紀錄罪」處罰，其中第358條規定：「無故輸入他人帳號密碼、破解保護措施或利用漏洞而入侵他人電腦者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」實務上認為，行為人若於離職後仍以先前取得之管理者帳號入侵公司系統，仍屬「無故」，因其職務權限已消滅，不得再行使登入權限。

 

若因此刪除、修改網站或資料庫導致損害，除構成刑事責任外，尚應負民法第184條侵權行為之損害賠償責任，公司得請求重建費用、營業損失與名譽損害等。其次，就勞動法角度而言，公司在員工有類似行為時，得依勞動基準法第12條第4款及第5款即時終止契約。第4款規定「違反勞動契約或工作規則，情節重大者」，第5款則規定「故意損耗機器、工具、原料、產品或其他雇主所有物，或故意洩漏雇主技術上、營業上之秘密，致雇主受有損害者」，刪除公司網頁顯然屬於故意損耗公司財產或破壞資訊資產之重大違紀行為，雇主得不經預告即行解僱。惟為防爭訟，公司須確保其工作規則已依法報請主管機關核備並公告，且明列該等行為屬可即時解僱之情事。

 

若公司未明確規範或未公告，則員工可主張解僱違法，要求工資或資遣費。實務上法院多認為，雇主必須於知悉違反情事起30日內行使解僱權，否則視為逾期失權（勞基法第12條第2項）。因此，企業在處理資訊破壞事件時，應於蒐證後立即通知調查並依法終止契約。再者，從資安管理與人事制度角度，公司應於人事規章中明定資訊安全與保密義務條款，如：「員工應依公司資安政策使用資訊系統，不得擅自刪除、修改、轉移或公開公司資料。違反者，除依工作規則懲處外，並應負刑民事責任。」

 

同時建立帳號管理機制，於員工離職前應即時停用其系統權限、回收電腦設備與存取權限，避免離職後仍能登入系統。企業亦應導入ISO 27001或CIS Controls等資訊安全管理制度，透過權限分級、日誌監控、異常警示與備份機制，降低人為風險。若公司能保留系統日誌與存取紀錄，除可證明損害發生，亦能於刑事訴訟中作為具體證據，強化法律主張。再者，從背信罪的實質意義觀察，其立法目的在於維護「信任關係」下之財產秩序，對於受託人或代理人等具信任義務者之濫權行為加以刑罰制裁。公司聘任網路工程師，授與其網站管理權限，係基於專業信任與忠誠預期，若員工利用該權限進行破壞，便是典型之「違背任務」行為。最高法院歷年判決中，如會計擅自挪用資金、倉管員將存貨轉售、銀行行員違規放貸，皆以背信罪論處。即使行為人未謀取私利，只要主觀上具損害雇主之意圖，客觀上導致財產損失，即屬構成要件。

 

值得注意的是，刑法第342條背信罪與第359條破壞電磁紀錄罪雖同時保護財產利益，但前者重在「信任關係違反」，後者重在「電腦資料安全」；前者著眼於人際信託，後者著眼於技術防護，因此若同時行為符合兩罪要件，法院將依刑法第55條認為為「想像競合」，從重罪（第359條）論處。

 

再從企業管理層面觀之，此類案件亦顯示人事制度與資安控管之缺陷。公司若授權過廣、缺乏監控或未規範離職交接程序，即使刑法可懲罰行為人，損害仍難彌補。故企業應於工作規則及聘僱契約中增訂「離職交接義務條款」，明定員工離職時應完整交接網站、系統帳密及資料備份，未履行者公司得暫扣薪資或追償損害。並於人資流程中建立「資訊交接清單」，由資訊部門與人事單位共同確認權限關閉、資料備份及設備回收，防止惡意刪除或資料外洩。企業亦應設置「資訊安全事件應變程序」，明定若發生異常登入、資料刪除或系統異動時，由資安主管即刻啟動封鎖、備份、調查及通報流程，並於人事規章中授權管理階層可對可疑員工採取暫時停職調查措施(勞動基準法第70條)。

 

至於勞資關係終止後，公司若認員工構成犯罪，可同時提起民事求償及刑事告訴，並依民法第184條請求損害賠償。若公司能證明因網站刪除導致營業中斷或客戶流失，則員工須賠償實際損失與可得利益。法院審理時將依公平原則酌定損害額，並可能命員工承擔重建及公關費用。

 

最後，從制度面觀之，資訊安全事件雖多屬個人行為，但其發生往往反映企業治理上的系統性漏洞。企業應建立「三層防線」：第一層為內部管理規章，包括員工保密條款、權限管理及違紀懲處制度；第二層為技術防護，透過帳號稽核、系統備份與異常警示減少人為風險；第三層為法律應對，確保工作規則依法核備、解僱程序合法、證據保全完備。若能在僱傭關係存續與終止階段均明確規範責任界線，並於發現異常時即啟動調查與法務程序，方能有效平衡勞工權益與企業資產安全。

-勞資-人事規章-忠實規章-背信罪(員工)

瀏覽次數：8