場景一:你在人力銀行投了履歷,系統幾秒後回覆:「感謝您應徵,此職缺已找到合適人選。」你不知道的是,這份履歷可能從來沒有被任何人類看過。招募系統已經根據學歷、工作經驗、語意特徵,甚至履歷中的空白期與用字模式,替你打了分數,然後把你的檔案歸類到「不優先考慮」。
場景二:你任職的公司上線了一套新的「智慧考勤系統」,用臉部辨識取代傳統打卡鐘。人力資源部門說這是「提升效率」。但沒有人清楚說明,影像資料會不會被上傳到雲端、供應商位於哪個國家、臉部特徵模板會保存多久,或者離職後是否會刪除。
場景三:公司引進 AI 績效評估系統,每週根據鍵盤輸入節奏、會議參與率、電子郵件回覆速度與任務系統紀錄,自動計算「組織貢獻指數」。你的年終獎金、晉升機會,甚至是否被列入改善名單,都可能受一個你從未看過、也難以挑戰的模型影響。
這三個場景分別對應三種就業場域的自動化決策風險:招募篩選中的歧視、生物特徵監控中的隱私侵害,以及績效評估中的黑箱演算法。在 AI 大量進入人力資源管理之後,勞工隱私早已不是「有沒有被監控」的問題,而是「監控到什麼程度、由誰決定、能不能理解與挑戰」的問題。
一、台灣就業隱私的法規落後於技術現場
台灣目前沒有完整的就業隱私專法。勞工隱私保護主要散見於《個人資料保護法》、《勞動基準法》及各部會子法規。這種分散式監管架構,在傳統雇傭關係中尚可勉強運作;但當 AI 系統大量進入招募、考勤、績效、排班與離職風險管理時,制度缺口就變得明顯。
1.1 生物特徵資料:不是所有風險都被明確列為「特種個資」
台灣《個人資料保護法》第 2 條將「特徵、指紋」列入個人資料定義;但第 6 條所規範的特種個人資料,列舉的是病歷、醫療、基因、性生活、健康檢查及犯罪前科,並不包含指紋或臉部特徵。
這一點很重要。指紋或臉部幾何資料只要可直接或間接識別自然人,仍然是個人資料,雇主仍須符合特定目的、必要性、告知、安全維護、保存期限與國際傳輸等要求。但在現行法下,它們並未像 GDPR 的「biometric data for uniquely identifying a natural person」那樣,被明確放入特殊類別資料的框架,也沒有一套專門處理員工生物辨識考勤的細緻規則。
實務風險因此落在幾個問題上:
- 雇主使用指紋或臉部辨識打卡,是否真的是達成出勤管理目的的必要方式?
- 是否有低侵害替代方案,例如卡片、手機、一次性驗證或人工補登?
- 生物特徵模板儲存在公司內部、供應商系統,還是境外雲端?
- 員工離職、門禁系統汰換或供應商終止服務後,資料是否確實刪除?
- 如果員工拒絕提供生物特徵資料,公司是否提供合理替代方式?
這些問題在台灣法下並非完全「無法可管」,但也沒有像歐盟、中國或日本改革方向那樣,以生物特徵本身建立更高密度的規範。對企業而言,這正是合規盲點:法律沒有明講,不代表風險不存在。
1.2 自動化決策:個資法沒有 GDPR 第 22 條等級的保障
台灣《個人資料保護法》至今沒有與 GDPR 第 22 條相對應的自動化個人決策條款。GDPR 賦予資料主體一項權利:原則上不受「僅以自動化處理,包括剖析」作成,且對其產生法律效果或類似重大影響的決定約束。即使符合例外情形,控制者也必須提供適當保障,例如人工介入、讓當事人表達意見,以及挑戰決定。
台灣個資法雖然有告知、查詢閱覽、更正、停止利用及刪除等權利,也有第 13 條規定的回覆期限,但沒有要求企業在使用 AI 篩履歷、AI 打績效分數或演算法排班時,主動告知「這是一個自動化決策」;也沒有明文賦予求職者或員工要求人工覆核、取得主要邏輯說明或挑戰模型輸出的權利。
這不代表企業可以放心使用黑箱系統。若 AI 系統輸出導致差別待遇、間接歧視、違法解僱、工資或獎金爭議,仍可能回到勞動法、就業服務法、性別平等工作法、民法侵權責任及個資法比例原則處理。問題在於,這些法律並不是為演算法管理設計的,證明責任與救濟路徑都不清楚。
1.3 就業場域監控:合法目的不等於無限監控
《勞動基準法》第 30 條要求雇主記載勞工出勤紀錄,並保存五年;個資法第 19 條也允許非公務機關在特定目的下,基於契約或類似契約關係蒐集、處理個人資料。這些規定可以支持必要的工時、薪資與人事管理。
但合法目的不等於雇主可以無限擴張監控範圍。實務上常見的灰色地帶包括:
- 使用 GPS 追蹤公務車或外勤人員時,是否只在工作時間啟用?
- 雇主是否可以常態監看員工電子郵件、即時通訊或電腦操作紀錄?
- 辦公室內部署 AI 行為分析系統,記錄說話頻率、離席時間、專注程度或互動對象,是否已超過出勤與績效管理必要範圍?
- 員工是否知道資料會被用於考核、調薪、裁員或風險評分?
這些問題的核心不是「公司有沒有管理權」,而是管理權是否符合目的限制、資料最小化、比例原則與可問責性。
二、國際框架比較
當台灣仍以一般個資法處理 AI 人資系統時,主要法域已開始建立更具體的風險分類與問責要求。台灣企業若有跨國據點、海外員工、境外供應商或歐盟市場接觸,就不能只看台灣法。
2.1 歐盟:GDPR 第 22 條與 AI Act 高風險系統並行
歐盟的就業 AI 規範由兩條線組成。
第一條線是 GDPR。第 22 條處理僅以自動化方式作成、且對當事人有法律效果或類似重大影響的決定。第 15 條也要求,在特定情形下提供關於自動化決策存在、主要邏輯、重要性與預期影響的資訊。用在就業場域,AI 履歷篩選、電子招募拒絕、績效剖析與自動化裁員建議都可能進入這個框架。
第二條線是《歐盟人工智慧法》(AI Act)。截至 2026 年 5 月 1 日,AI Act 已生效,禁止類 AI 實務已自 2025 年 2 月 2 日開始適用;多數高風險 AI 義務則將自 2026 年 8 月 2 日適用。附件三第 4 類明確列出就業、勞工管理與自營工作近用相關的高風險 AI,包括招募或篩選自然人、分析與過濾求職申請、評估候選人、影響工作條件、升遷、終止契約、依個人行為或特徵分派任務,以及監測或評估工作表現。
有一個常見誤解需要釐清:AI Act 第 14 條的「至少兩名自然人分別確認」要求,並不是所有 HR AI 都適用。該要求是針對附件三第 1(a) 類的遠端生物辨識系統,不是一般履歷篩選或績效評估系統。一般 HR 高風險 AI 的核心義務,是風險管理、資料治理、技術文件、紀錄保存、透明度、人類監督、準確性、穩健性與資安。
另一個值得注意的點是,AI Act 已禁止在工作場所使用 AI 推斷自然人的情緒,除非是醫療或安全目的。這使得「面試表情分析」、「員工情緒監控」這類產品,在歐盟的合規風險非常高。
2.2 新加坡:以通知、同意、問責與 AI 指引補強
新加坡《個人資料保護法》(PDPA)沒有設計一個等同 GDPR 第 22 條的自動化決策權利,也沒有一般性地把所有「敏感個人資料」列為單獨法定類別。新加坡制度的核心是通知、同意、目的限制、合理性、保護義務、保存限制、移轉限制與問責。
就生物特徵而言,PDPC 的《Guide on the Responsible Use of Biometric Data in Security Applications》明確提醒,生物樣本或生物模板若與其他可識別個人的資訊結合,會構成該個人的個人資料。對於人臉辨識、指紋門禁等系統,企業應進行必要性評估、提供告知、限制保存、落實安全措施,並評估是否有侵害較小的替代方案。
就 AI 系統而言,PDPC 於 2024 年 3 月 1 日發布的《Advisory Guidelines on use of Personal Data in AI Recommendation and Decision Systems》不是具強制力的法律本身,但很有實務參考價值。它說明企業在開發、測試、監控與部署 AI 系統時,如何適用 PDPA 的同意例外、通知義務與問責義務。指南也鼓勵企業在高影響結果中提供關於人類監督、問責機制、公平性測試與資料治理的資訊。
新加坡模式的特色不是禁止企業使用 AI,而是要求企業說得清楚、管得住、留得下紀錄。這對台灣企業很有參考價值,因為多數公司真正缺的不是法條清單,而是可稽核的內部治理流程。
2.3 日本:改革方向開始正面處理臉部特徵資料
日本個人情報保護委員會在 2026 年 1 月 9 日公布「三年一度檢討」制度改革方針。依其英文概要,改革方向包括:針對臉部特徵資料,要求業者告知特定處理事項、放寬本人請求停止利用的要件,並禁止透過 opt-out 機制將此類資料提供第三方。
這裡要特別小心施行狀態:截至 2026 年 5 月 1 日,這不是已於 2026 年 4 月 1 日全面生效的制度。日本 PPC 的改革概要指出,修法草案預計最快於 2026 年春季提交國會;若通過,預計約兩年後施行。也就是說,它是明確的改革方向與法案進程,不應寫成已生效規範。
日本的制度演變對台灣企業有兩個啟示。第一,臉部特徵資料已經被主要法域視為需要單獨處理的高風險資料,不宜再用一般員工資料的管理方式處理。第二,opt-out 不適合拿來處理高度不可替代、難以更換的生物特徵資料;若企業真的需要使用,應以明確告知、必要性評估、安全保護與替代方案作為最低治理標準。
三、台灣企業最常見的實務痛點
台灣科技製造業、金融業、零售業與平台服務業,在過去十年已大量引進員工監控與自動化決策系統。這些系統常以「提升效率」為名上線,但未必經過隱私影響評估,也未必建立員工救濟機制。
3.1 跨國 HR 系統中的生物特徵資料跨境傳輸
台灣母公司為了統一管理亞太區考勤、薪資與績效,可能同時使用 Workday、SAP SuccessFactors、Microsoft Dynamics、在中國使用釘釘或飛書,以及在東南亞使用當地考勤系統。當員工指紋、臉部影像或生物特徵模板被上傳到境外伺服器,就會同時觸發個資法國際傳輸、供應商管理與當地法要求。
| 情境 | 主要法規問題 | 台灣企業常見缺口 |
|---|---|---|
| 台灣據點使用指紋或臉部考勤 | 個資法第 5、8、11、19、21 條;必要性、安全維護、保存期限與國際傳輸 | 只以「門禁安全」或「出勤管理」概括告知,缺少替代方案與資料刪除流程 |
| 中國工廠使用臉部辨識考勤 | PIPL 第 13、24、28 至 30、38、55 條;敏感個人信息、單獨同意、自動化決策、個保影響評估與出境機制 | 員工被要求簽制式同意書,但未評估同意是否自願,也未完成個保影響評估 |
| 新加坡或東南亞據點使用跨國 HR SaaS | 各國移轉限制、通知與供應商管理要求;新加坡 PDPA 要求境外接收方提供可比保護 | 母公司只看集團採購合約,沒有建立逐國資料流向矩陣 |
| 歐盟子公司導入 AI 招募或績效工具 | GDPR 第 15、22 條及 AI Act 附件三第 4 類高風險 AI | 系統由台灣總部採購,但歐盟子公司缺少本地化 DPIA、人工監督與申訴流程 |
3.2 AI 招募篩選系統中的歧視風險
AI 招募系統通常會根據履歷內容、語意特徵、測驗結果、語音或影像資料評估候選人。問題在於,模型往往會把歷史招募資料中的偏見學起來,再以看似中立的分數輸出。
例如,若一家公司的歷史錄取資料高度集中於少數學校、特定性別或特定年齡層,模型可能把「像過去成功員工」誤認為「適合這份工作」。表面上系統沒有直接排除某個族群,實際上卻可能透過學校、年資、空白期、社團經驗、住址或用字模式形成間接歧視。
在台灣,落選者很難知道自己是否被 AI 篩掉,也很難要求企業說明模型邏輯。這就是制度缺口。企業若要降低風險,至少應做到三件事:告知求職者是否使用自動化篩選、避免讓 AI 輸出直接成為唯一決定、定期檢測模型對性別、年齡、身心障礙、學校或其他敏感代理變數是否產生不利影響。
3.3 績效評估中的黑箱演算法
AI 績效系統的風險常被低估,因為它不像招募拒絕那樣有明確的單一決定點。實務上,績效分數可能逐週累積,最後影響獎金、升遷、調職、改善計畫或裁員名單。
真正的問題不是企業不能用數據管理績效,而是員工是否知道哪些資料被納入評分、評分是否合理、資料是否準確、是否存在例外情境,以及人類主管是否只是形式上「按下確認」。若系統把會議發言次數、鍵盤節奏、通訊軟體回覆速度或螢幕活動時間直接連到績效,企業必須能解釋:這些資料與工作表現有什麼正當合理關聯?
四、台灣與主要法域的關鍵差距
| 維度 | 台灣個資法 | EU GDPR + AI Act | 新加坡 PDPA + AI 指引 | 日本 APPI 改革方向 |
|---|---|---|---|---|
| 生物特徵分類 | 第 2 條列「特徵、指紋」為個資;第 6 條特種個資未列指紋或臉部特徵 | GDPR 將特定目的的生物辨識資料列特殊類別;AI Act 對生物辨識與情緒辨識另設高風險或禁止規範 | 生物資料與可識別資訊結合時屬個資;以指南要求必要性、安全與替代方案評估 | 2026 改革方向擬針對臉部特徵資料強化告知、停止利用與第三方提供限制 |
| 自動化決策 | 無 GDPR 第 22 條式自動化決策權利 | 第 22 條、資料近用權與 AI Act 高風險義務並行 | 無 GDPR 第 22 條式權利;以通知、同意、問責與指南補強 | 無完整 GDPR 第 22 條式制度 |
| HR AI 風險分類 | 無明確高風險 AI 分類 | 附件三第 4 類列就業與勞工管理為高風險 | 指南鼓勵按風險程度調整透明度、人類監督與問責 | 仍以個資與個別指引處理 |
| 人類監督 | 無明文要求 | 高風險 AI 須設計可由自然人有效監督;雙人確認僅限特定遠端生物辨識 | 指南建議高影響結果可說明人類監督與問責機制 | 無一般性要求 |
| 跨境 HR 資料傳輸 | 第 21 條採主管機關得限制模式,無全面 SCC 制度 | 須有充分性認定、SCC、BCR 或其他傳輸工具 | 須確保境外接收方提供可比保護 | 原則上須符合法定告知、同意或例外要求 |
| 當事人權利回覆 | 第 13 條:查詢閱覽 15 日內准駁,更正、停止利用或刪除等 30 日內准駁,均可依法延長 | 通常 1 個月內回覆,可延長 2 個月 | 依 PDPA 近用、更正等規定及 PDPC 指引處理 | 依 APPI 近用、更正、停止利用等規定 |
| 罰則與監理 | 刑事責任、民事賠償與行政罰並行;2025 修正已提高特定安全維護違規罰鍰,但部分條文施行日須看行政院公告 | GDPR 最高可達全球營業額 4%;AI Act 另有高額行政罰 | PDPC 可處罰鍰並要求改善;重視問責文件 | 2026 改革方向納入更有效的行政制裁工具 |
這個比較顯示,台灣制度的問題不是完全沒有保護,而是缺少針對就業 AI 的專門語言。企業若只問「台灣法有沒有明文禁止」,很容易低估跨國營運、員工關係與品牌信任的風險。
五、在效率與尊嚴之間
就業場域的隱私,不是「保護員工」與「提升效率」的二選一。AI 系統確實可以幫助企業降低行政成本、改善排班、加速招募與找出管理盲點;但如果企業把員工變成一組不可理解、不可挑戰、不可修正的分數,效率就會變成風險。
台灣的就業隱私法律仍落後於技術發展與國際規範。這是一個制度事實。但在法律補上之前,企業不應等待。跨國子公司、境外供應商、歐盟員工、新加坡辦事處、日本客戶與中國工廠,都會把台灣企業拉進更高密度的合規環境。
一個負責任的企業隱私管理系統,應該在法律最低要求之外,主動建立更高標準的保護措施。因為最終,員工信任是企業最重要的無形資產;而信任無法建立在員工不知道自己如何被評分、如何被監控、如何被決定的前提上。
延伸閱讀與參考來源
- Taiwan Personal Data Protection Act, Laws & Regulations Database of the Republic of China: https://law.moj.gov.tw/ENG/LawClass/LawAll.aspx?pcode=I0050021
- 台灣《個人資料保護法》,全國法規資料庫: https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021
- 台灣《勞動基準法》,全國法規資料庫: https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=N0030001
- GDPR, Regulation (EU) 2016/679, EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
- EU AI Act, Regulation (EU) 2024/1689, EUR-Lex: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
- Singapore PDPC, Advisory Guidelines on use of Personal Data in AI Recommendation and Decision Systems (issued 2024-03-01): https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/advisory-guidelines/advisory-guidelines-on-the-use-of-personal-data-in-ai-recommendation-and-decision-systems.pdf
- Singapore PDPC, Guide on the Responsible Use of Biometric Data in Security Applications: https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/other-guides/guide-to-biometric_17may2022.pdf
- Japan PPC, System Reform Policy under the Triennial Review of the Act on the Protection of Personal Information (January 9, 2026): https://www.ppc.go.jp/en/topix/triennial_review_2026_02/
- South Korea Personal Information Protection Act, KLRI English translation: https://elaw.klri.re.kr/eng_service/lawViewContent.do?hseq=62389
- China PIPL, CAC official text: https://www.cac.gov.cn/2021-08/20/c_1631050028355286.htm
- ISO/IEC 27701:2025, ISO: https://www.iso.org/standard/85819.html
- NIST AI Risk Management Framework 1.0: https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-ai-rmf-10
- NIST Privacy Framework 1.0: https://www.nist.gov/privacy-framework/privacy-framework