老闆要求「刷臉、掃指紋」打卡合法嗎？員工拒絕能記曠職？人資必看！「自保3眉角」不踩勞資地雷

最近就有企業人資長問我：「陳律師，我們公司買了一套很貴的人臉辨識系統，要求員工以後不用帶識別證，全部『刷臉』進出。如果有員工拒絕，我可以視為不服從指揮監督而懲處嗎？」

這個問題看似簡單的管理權行銷，實則涉及《個人資料保護法》（下稱個資法）與《就業服務法》的深水區。

員工的臉及指紋是個資？

首先，我們要定性「人臉特徵」「指紋」是什麼。

在現行《個資法》第2條的定義中，特徵、指紋等得以直接或間接識別該個人的資料，都屬於個人資料。雖然目前台灣的《個資法》第6條所列舉的「特種個資」（敏感性個資）僅包含病歷、醫療、基因、性生活、健康檢查及犯罪前科等，尚未明確將「生物特徵」納入。

但這不代表雇主可以隨意蒐集！蒐集一般個資，仍必須符合《個資法》第19條的規定：具有特定目的，且符合法律明文規定或經當事人同意。

雇主為了管理出勤，確實符合「002 人事管理」的特定目的。但關鍵在於：手段是否具備「必要性」？

必要性與比例原則：殺雞焉用牛刀？

《個資法》第5條規定了一個帝王條款：「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」這就是所謂的比例原則。

試想，若是一般行政職務，傳統的刷卡、打卡鐘、甚至手機GPS打卡，已足以完成「記錄出勤時間」的目的。是否有必要強迫蒐集具有「不可變更性」的生物特徵（臉部或指紋數據）？

密碼忘了可以改，卡片丟了可以補發，但員工的臉部特徵數據一旦外洩，是無法「換一張臉」的。

因此，若非高度機密場所（如金庫、研發中心、無塵室），僅為了上下班打卡就強制蒐集生物特徵，極可能被法院認定違反比例原則。

關鍵在「同意」：不能強迫中獎

實務上，雇主若要實施人臉辨識打卡，最合規的做法是取得員工的「書面同意」。

這裡要特別提醒雇主，所謂的同意，必須是告知法定事項後出於自由意志的同意。

如果公司公告：「不簽署人臉辨識同意書者，視同考勤異常或記曠職」，這種在不對等權力關係下的「被迫同意」，在法律上是無效的。

依據《就業服務法》第5條第2項第2款規定，雇主招募或僱用員工，不得違反其意願，「留置其國民身分證、工作憑證或其他證明文件，或要求提供非屬就業所需之隱私資料」。

若人臉特徵被認定為非絕對必要的隱私資料，雇主強迫留存，恐將面臨6萬元以上、30萬元以下的罰鍰。

員工拒絕刷臉，雇主能懲處嗎？

答案是：「不行。」

如果員工拒絕提供人臉個資，雇主有義務提供「替代方案」。例如，願意刷臉的走快速通道，不願意的則維持傳統刷卡或紙本簽到。

雇主不能因為員工捍衛隱私權，就給予不利待遇（如扣薪、記過、解僱）。若因此解僱員工，極高機率會被法院認定為《勞動基準法》下的違法解僱，屆時不但要補發薪資，還得讓員工復職。

資訊安全的重責大任

最後，若員工同意了，公司也蒐集了員工個資，雇主的責任才剛開始。

《個資法》第20條-1規定，保有個資的非公務機關應採行適當的安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

人臉或指紋辨識資料庫若遭駭客入侵或被內部人員盜賣，後果不堪設想。

一旦發生個資外洩，依據個資法第29條規定，企業除面臨行政罰鍰外，還需負擔民事損害賠償責任，且須由企業舉證「已盡防止義務」才能免責，這是非常重的舉證責任。

勞動法遵的專業具體建議

為了兼顧管理效率與法律風險，我給企業主以下三點建議：

1.採取「雙軌制」： 絕不強制全員使用人臉辨識，保留傳統打卡方式作為替代方案，尊重員工選擇權。

2.簽署書面同意書： 依個資法規定，明確告知蒐集目的、利用期間、利用對象及方式，並取得員工親筆簽名。

3.強化資安防護： 確保人臉特徵數據經過加密處理（例如轉化為雜湊值Hash儲存，而非儲存原始照片），並嚴格控管存取權限。

科技始終來自於人性，法律的底線則是尊重人性。人臉辨識雖方便，但唯有在合法的基礎上運用，才能真正為企業帶來效率，而非法律糾紛。

作者簡介_陳業鑫

在台灣勞動法園地辛勤耕耘的工作者。

台灣唯一同時具有法官、勞動局長、訴願審議委員會主委、金控公司董事、公司治理委員會委員經驗的律師。

目前致力於勞動法普及教育，除以主題式企業內訓從源頭減少勞資糾紛風險外，亦於各民間團體授課，期使勞資雙方對勞動法適用有正確觀念，知悉權利義務邊界之紅線，消弭不必要的爭議。

新著作上市《懂一點法律3：勞資小白超實用寶典 32道勞資難題，招募、資遣、性騷防治全應用》