個資外洩｜案例 02｜2009 RM 購物網站案

20230428(V02)；20221010(V01)｜池泰毅律師

原告主張：先前曾在被告公司經營之 RM 網站上購買商品，嗣於 98 年 3 月 3 日，有詐騙集團成員自稱其為被告公司網站人員，並騙稱：原告因上開購物網站疏失導致帳戶扣款有誤，需至提款機操作更正等語，原告誤信為真而至提款機處依指示操作，致分別匯款共新台幣 428,989 元，因而受有損害，並請求被告等人（包括詐騙集團成員）連帶給付 550,000 元。

裁判案號

01. 第一審｜桃園地院 98 訴 2094（主文：原告之訴駁回）

原告證據

02. 原告提出下列證據：

• 刑案勝訴判決（及刑案卷宗）；
• RM 網出貨單。

桃園地院 98 訴 2094

I 非公務機關

03. 被告當時並非電腦處理個人資料保護法 §3 VII 規範之非公務機關，並無該法適用，因此，原告等人引用之請求權基礎，為消費者保護法規定。

II 個資外洩

04. 由於本案緝獲詐騙集團成員，因此，原告個資是否外洩，雙方並無爭議。

III 違反消保法規定

05. 本案原告引用消費者保護法，請求被告公司負擔損害賠償。

06. 原告請求權基礎如下：

• 消費者保護法 §7：「從事設計、生產、製造商品或提供服務之企業經營者，於提供商品流通進入市場，或提供服務時，應確保該商品或服務，符合當時科技或專業水準可合理期待之安全性。」「商品或服務具有危害消費者生命、身體、健康、財產之可能者，應於明顯處為警告標示及緊急處理危險之方法。」「企業經營者違反前二項規定，致生損害於消費者或第三人時，應負連帶賠償責任。但企業經營者能證明其無過失者，法院得減輕其賠償責任。」
• 施行細則 §5：「本法第 7 條第 1 項所定商品或服務符合當時科技或專業水準可合理期待之安全性，應就下列情事認定之：一、商品或服務之標示說明。二、商品或服務可期待之合理使用或接受。三、商品或服務流通進入市場或提供之時期。」

＂被告公司究竟是不是「提供服務」之企業經營者，而有消費者保護法之適用？適用該法，與適用個資法最大差異有二，在：(1)企業經營者應負無過失責任；(2)消費者可請求懲罰性賠償。＂（20230428 Added）

07. 法院認為，縱認被告公司屬於「提供服務」之企業經營者，惟參酌該公司所述：公司網站設有防火牆，雖偶而會接獲類似原告情形的投訴，但很少等語，應認其所提供之網路購物服務應足認已符合「一般可期待之合理使用或接受」之程度。

08. 是以原告請求被告公司須負擔損害賠償責任一節，難認有據。

IV 致受損害——因果關係

V 損害賠償

＂(1)本案屬早期案例，法院對於電子商務業者應盡之安全維護義務（資安義務），要求並不嚴格（可能了解也較為有限）；以目前法規標準而言，倘若業者僅設有防火牆，恐怕很難被認定已盡安全維護義務。(2)請參考個人資料保護法施行細則 §12 II，以及網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法等規定。 ＂

參考法條

個資法施行細則 §12

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。