個資外洩｜案例 05｜2015 R 購物網站案

20230428(V02)；20221010(V01)｜池泰毅律師

原告主張：於 103 年 5 ⽉、8 ⽉間，在被告公司 R 網站購物後，於同年 8 ⽉遭到詐騙，損失 29,900 元。

裁判案號

01. 第一審｜台北地院 104 北⼩ 376（主文：原告之訴駁回）

原告證據

02. 原告提出下列證據：

• 刑事案件報案三聯單；
• 購物紀錄網⾴資料及統⼀發票。

台北地院 104 北⼩ 376

I 非公務機關

II 個資外洩

03. 法院認為，原告所提證據，可以證明原告曾使⽤系爭網站從事網路購物交易，且於 103 年 8 ⽉間接獲詐騙集團來電之事實。

04. 但原告交易資料外洩，可能係因帳號、密碼外洩，遭第三⼈登入系爭 R 網站取得交易資料所致，或可能係因其交易相對⼈遭他⼈以正確帳號、密碼登入，進⽽窺探交易資料所致。

05. 原告對於被告公司個資外洩之事實，未予證明。

＂法院要求原告負擔個資外洩舉證責任，要求是否太過嚴格？＂（20230428 Added）

III 違反個資法規定

｜採取適當安全措施

＂非公務機關應採取之適當安全措施，可依事前、事中、事後三個維度進行分析，請參考【案例 35｜2022 GRVB 溫泉酒店案】。＂（20230428 Added）

06. 被告為維護系爭網站個⼈資料之安全，業依個資法 §27 I 規定採取各項安全措施，包含訂定資訊作業安全管理辦法、於資料保存系統中設置加密措施、定期審查程式碼及防火牆等防護設備之安全性、實施員⼯資訊安全教育訓練、禁⽌員⼯⾃⾏安裝軟體於被告公司所配發之相關電腦設備等，並設有「個⼈資料保護處理⼩組」及「資訊安全事故處理⼩組」，負責個資保護事項之檢討及監督。

07. 此外，被告復委請經 PCIDSS 官⽅網站公布核可之 Trustwave 公司每季以專業程式對系爭網站進⾏弱點掃瞄，皆獲合格評鑑等節，有 PCIDSS 官⽅網站公布核可之弱點掃瞄廠商名單、系爭網站於 101 年 5 ⽉ 16 ⽇迄⾄ 103 年 9 ⽉ 23 ⽇間每季弱點掃瞄合格評鑑、101 年 12 ⽉ 7 ⽇⾄ 103 年 9 ⽉ 23 ⽇之弱點掃瞄報告在卷⾜憑，⾜徵被告為維護系爭網站個⼈資料之安全，已於平⽇踐⾏各項資訊安全管理措施、實施員⼯資訊安全教育，並定期請第三⼈⾃外部檢視系爭網站網路及應⽤程式之安全性。

08. 被告既已確實對系爭網站進⾏例⾏性弱點掃瞄，平時亦針對會員資料採取各項安全措施，復於接獲原告通知後，積極查詢原告及其交易相對⼈之帳號有無⾃異常 IP 位置登入之情形，進⽽提出建議⽅法，益徵被告對於所屬會員資料之維護，已善盡管理維護責任。

＂個資法 §12 規定：「公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。」關於應通知內容之範圍？可以參考外國立法例，例如建議當事人應採取何種方式保護個人資料，就是重點之一。＂（20230428 Added）

IV 致受損害｜因果關係

V 損害賠償

＂(1)本件法院對於原告個資是否自被告公司外洩，採取相對較為嚴格的見解。(2) 本件重點，在於被告提出已採取個資安全維護措施，以及確實執行的證明，此前，並無被告提出如此完整的證據資料，以資答辯。＂

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。