前陣子一位企業客戶問我:「我們想在官網放員工合照,需要簽個資同意書嗎?」

我反問他:「你覺得這是肖像權的問題,還是個資法的問題?」

他愣了一下:「這兩個不一樣嗎?」

這個反應非常典型。肖像權和個資法對臉部特徵的保護,很多人以為是同一件事,但其實它們的法律基礎、保護客體、判斷標準和救濟方式都不同。搞混的後果就是:你以為簽了同意書就沒事,結果只處理了一半的風險。

這篇文章就是要把這兩套法律架構拆開來講清楚。

臺灣沒有「肖像權法」

先講一個很多人不知道的事實:臺灣沒有一部單獨叫「肖像權法」的法律。

肖像權的保護,是從人格權、隱私權與侵權行為的體系中發展出來的,主要依據散落在幾部法律裡。

憲法層級

憲法第 22 條規定,人民的其他自由及權利,凡不妨害社會秩序、公共利益者,均受憲法保障。這是人格權、隱私權、資訊自主權的上位基礎,也是肖像權能夠受到保護的根本依據。

民法層級

民法第 18 條是人格權保護的核心條文。人格權受侵害時,可以請求除去侵害、防止侵害,在有特別規定時還可以請求損害賠償或慰撫金。

民法第 184 條處理的是一般侵權行為責任。如果有人故意或過失不法侵害你的肖像相關權益,就可能需要負損害賠償責任。

民法第 195 條則進一步規定:身體、健康、名譽、自由、信用、隱私、貞操,或其他人格法益受重大侵害時,可以請求精神慰撫金。肖像權通常就被放在「其他人格法益」這個位置,有時也會與隱私權結合來主張。

刑法層級(特定情境)

如果涉及偷拍、偷錄,問題就不只是民事上的肖像權了。刑法第 315-1 條規定,無故以工具窺視、錄音、照相、錄影他人非公開活動、言論、談話或身體隱私部位,可能成立妨害祕密罪。

個資法怎麼管「臉」

再來看個資法這邊。

個資法第 2 條定義個人資料時,列舉了「特徵、指紋」等項目,並以「其他得以直接或間接識別該個人之資料」作為概括條款。當一張照片、一段影像、一組臉部特徵值足以識別特定人時,它就是個資法所保護的個人資料。

這代表什麼?代表對這些資料的蒐集、處理和利用,都必須符合個資法的要求:

  • 第 5 條:蒐集、處理、利用個資,應在正當合理且必要範圍內
  • 第 8 條:向當事人蒐集個資時,原則上應明確告知蒐集目的、資料類別、利用對象與方式、權利行使方式等事項
  • 第 19、20 條:非公務機關蒐集、處理、利用個資,原則上要有特定目的,並具備法定事由;同意只是其中一種可能依據
  • 第 3 條:當事人可以請求查閱、複製、更正、停止蒐集處理利用、刪除

核心差異:「拍你的臉」vs「處理你的臉部資料」

理解了法律基礎之後,最關鍵的問題來了:這兩套保護到底差在哪裡?

用一句話來區分:

肖像權管的是「我的臉能不能被拍、被放、被用」。

個資法的臉部特徵管的是「我的臉部資料能不能被蒐集、辨識、建檔、分析、儲存、流通」。

保護客體不同

肖像權保護的是人格與形象的支配利益。重點在於:

  • 別人能不能拍你
  • 能不能公開你的照片
  • 能不能拿你的照片做廣告、宣傳
  • 有沒有扭曲、醜化、冒用你的形象

個資法的臉部特徵保護的是可識別個人的資料及其流通處理。重點在於:

  • 臉部影像、辨識模板、特徵值是否被蒐集
  • 是否被建檔、比對、辨識
  • 是否被共享、傳輸、二次利用

判斷標準不同

肖像權侵害的判斷通常看:

  • 是否未經同意拍攝或使用
  • 是否逾越合理範圍
  • 是否公開散佈
  • 是否用於商業用途
  • 是否侵害人格、名譽、隱私

重點不在於你有沒有「建檔」或做「資料處理」,單純未經同意使用照片就可能構成侵害。

個資法違規的判斷則看:

  • 這是不是能識別人的個資
  • 有沒有特定目的
  • 有沒有合法蒐集、處理、利用的依據
  • 是否已履行告知義務
  • 如果是以同意作為依據,同意是否有效且涵蓋實際用途
  • 是否超出必要範圍
  • 是否提供當事人行使權利的管道

重點不在照片好不好看、用得冒不冒犯,而是資料處理流程是否合法

救濟方式不同

肖像權的救濟主要走民事途徑:

  • 要求下架、刪除、停止使用
  • 請求損害賠償
  • 請求精神慰撫金

個資法的救濟則更多元:

  • 請求閱覽、刪除、停止利用(當事人權利)
  • 向主管機關申訴或檢舉
  • 特定情況下有行政裁罰
  • 造成損害時可依個資法求償

一張照片踩到兩條線:三個常見情境

理論講完了,來看實際狀況。最讓人困擾的是:同一個行為常常同時涉及兩套法律

情境一:店家未經同意拿你的照片打廣告

這先是肖像權問題——未經同意使用你的形象做商業用途。同時也可能是個資法問題——如果照片足以識別你,而店家原本並不是為廣告目的取得該照片,卻再拿去行銷,就可能涉及特定目的外利用;即使原本就是為行銷蒐集,也仍要檢查蒐集依據、告知內容與利用範圍是否完整。

情境二:大樓門禁裝了臉部辨識系統

這主要是個資法問題——蒐集、建檔、辨識、儲存你的臉部特徵,必須符合個資法對蒐集和處理的所有要求。如果管委會同時把監視器畫面拿去公開展示或其他用途,才會更明顯涉及肖像權問題

情境三:有人在公開場合拍到你

這不一定當然違法。在公開場合被拍到,還需要進一步看:

  • 是否針對特定人持續拍攝
  • 是否侵害隱私或人格利益
  • 是否公開散佈
  • 是否做商業利用
  • 是否足以識別你並被拿去做資料處理

公開場合的拍攝有比較大的容許空間,但不代表拍了就能隨便用。

但有些情境,個資法根本不適用

講到這裡,很多人會覺得個資法管得很寬。但其實個資法自己也劃了一條重要界線:第 51 條。只是要不要真的「退場」,還是得看具體事實。

個資法第 51 條規定,有兩種常見情形不適用本法:

一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。

二、於公開場所或公開活動中,未與其他個人資料結合之影音資料蒐集、處理或利用。

這兩款在肖像與照片的議題上特別重要。

第一款:純粹個人或家庭活動

你在家族聚餐時幫親戚拍照、朋友出遊時拍合照存在自己手機裡——這些屬於「單純個人或家庭活動」,個資法不管你。

但要注意邊界:不是一放上社群媒體,就當然脫離「個人或家庭活動」。實務上通常還會看分享對象是不是仍限於親友、是否對不特定多數人公開、是否帶有業務或商業目的、是否進一步標註或擴散。換句話說,你在家族 LINE 群組裡傳照片,和把表哥的醜照做成迷因公開發布,法律評價不會一樣。而且即便個資法不適用,肖像權的保護仍然存在

第二款:公開場所的影音資料

在公開場所或公開活動中拍攝的影音資料,如果只是攝錄不特定自然人的現場影像,且沒有與其他個人資料結合,原則上可能不適用個資法。

這款的立法意旨很實際:如果每拍一張街景、每錄一段活動花絮都要逐一取得入鏡路人的同意,社會運作會癱瘓。所以法律給了一個空間。但前提不是只要掛上「公開場所」四個字就夠了,通常還要看你拍的是不是不特定人影像,以及後續有沒有進一步識別、標註或串接其他資料。

但這裡有三個關鍵限制:

  1. 「未與其他個人資料結合」是硬條件。一旦你把公開場合拍到的照片拿去比對人臉資料庫、標註姓名、連結會員帳號,第 51 條的豁免就不再適用,你就回到個資法的完整規範裡。
  2. 實務上通常還會看是否只是攝錄不特定自然人影像。如果是刻意鎖定特定人、持續追拍、放大辨識,或後續把影像和其他資料交叉比對,就比較難再主張這個豁免。
  3. 就算不落入第 51 條,也不代表當然違法。這時候只是回到一般規則,檢查蒐集或利用是否有特定目的、合法事由,並符合第 5 條的必要性與比例要求。當然,個資法不適用,也不代表肖像權不適用

小結:第 51 條是個資法的退場機制,不是免責金牌

第 51 條讓個資法在特定情境下有機會「退場」,但能不能退場,要看是否真的符合「個人或家庭活動」或「公開場所中不特定人且未與其他資料結合」等條件。至於肖像權,則從來不會因為第 51 條而自動消失。這也正是為什麼理解兩套法律的差異如此重要——當個資法不適用時,肖像權往往就是最後一道防線。

照片 vs 臉部特徵:技術上的關鍵區別

這裡有一個很重要但常被忽略的技術層面差異。

肖像通常指的是可見的人像——照片、影片中的外貌形象。

臉部特徵則偏向資料化、可機器辨識的內容。這裡可以再分兩層看:

  • 原始照片或影片中的臉部影像
  • 經裁切、標註後可供系統進一步處理的人臉影像
  • 臉部幾何點位座標
  • 人臉辨識模板
  • Embedding 向量 / 特徵值
  • 用來比對身分的生物特徵資料

所以一張照片,可能同時是肖像,也是個資;但照片本身由照片萃取出的辨識模板或特徵向量,不是同一層次的資料。後者更接近可被機器穩定比對、建檔、串接的生物特徵資料,因此更明顯落入個資法上「臉部特徵 / 生物特徵資料」的範疇。

換句話說,從一張照片到一組特徵值,法律風險是遞增的

對照總整理

面向 肖像權 個資法的臉部特徵
核心保護 人格、形象、使用控制 個人資料、資訊自主
法源 憲法第 22 條 + 民法人格權 / 侵權行為 個人資料保護法
重點行為 拍攝、公開、散佈、商業使用 蒐集、處理、利用、建檔、辨識、傳輸
是否要能識別身分 不一定是唯一重點,但通常與特定人形象有關 要能直接或間接識別特定人
救濟方式 停止侵害、下架、賠償、慰撫金 查閱、更正、刪除、停止利用、申訴、行政裁罰、求償
典型案例 未經同意拿照片打廣告 臉辨系統蒐集 / 儲存 / 比對人臉資料

實務建議:企業該怎麼做

回到開頭那位客戶的問題:在官網放員工合照,需要什麼?

答案是:兩邊都要處理,但不一定都靠一張「同意書」解決

  1. 肖像權面:取得員工對照片拍攝、使用方式、公開範圍、用途與期間的授權
  2. 個資法面:如果照片足以識別員工身分,就要先確認刊登官網的特定目的、合法事由與必要範圍,並依個資法履行告知義務;只有在用途超出原本目的,或無法用其他法定事由支撐時,才再評估是否另取同意

更進一步說,如果你的企業有以下任何一種情境,就必須同時從兩個角度檢視:

  • 在行銷素材中使用員工或客戶的照片
  • 設置人臉辨識門禁或考勤系統
  • 在社群媒體上轉發含有可識別個人的照片
  • 使用 AI 工具分析或標註照片中的人臉

不要以為簽了一份同意書就萬事大吉。真正要確認的是:肖像授權有沒有寫清楚?個資法上的特定目的、合法事由、告知程序與利用範圍,有沒有各自站得住腳? 如果只是把告知事項概括貼在公告欄或網站上,也未必當然等於完成了個資法上的明確告知。

結語

肖像權和個資法對臉部特徵的保護,就像同一棟大樓的兩道門——進了一道不代表另一道也開了。

肖像權保護的是你對自己形象的控制權,個資法保護的是你對自己資料的控制權。一張照片同時觸發兩套機制的情況非常普遍,但多數企業只處理了其中一邊。

下次有人拿起相機對著你,或是你準備把別人的照片放上網,記得問自己兩個問題:

第一,我有沒有權利「用」這張臉?(肖像權)

第二,我有沒有依法「處理」這筆資料?(個資法)

兩個問題都答得出來,才算真的搞懂了。