個資外洩｜案例 07｜2017 SMWH 官網案

20230428(V02)；20221010(V01)｜池泰毅律師

原告主張：其於 106 年 2 月 14 日晚間 11 時 4 分許，透過被告 SMWH 公司官網訂書，嗣於 106 年 5 月 3 日晚間 7 時 42 分許，接到詐騙集團來電，導致原告受詐騙而損失 9 萬元，因而請求財產上損害賠償 60,000 元，非財產上損害賠償 10,000 元。

裁判案號

01. 第一審｜新竹地院 106 竹小 297（主文：原告之訴駁回）

原告證據

02. 原告提出下列證據：

• 被告公司官網線上購物明細、領書簡訊；
• 詐騙電話通聯紀錄；
• 受詐騙匯款存摺暨自動櫃員機明細表；
• 被告 106 年 5 月 4 日反詐騙宣導簡訊、106 年 5 月 6 日反詐騙宣導電郵；
• 派出所受理刑事案件報案三聯單等。

新竹地院 106 竹小 297

I 非公務機關

II 個資外洩

｜舉證責任

03. 原告既主張被告違反個資法規定致其權利受損，則原告就其有利於己之事實，即主張被告違反個資法規定之事實，即應先負舉證責任。

04. 經查，原告雖主張其被詐騙後曾與被告負責人當面討論，被告公司也承認系統可能遭到入侵而導致消費者資料外流等情。然縱被告承認系統「可能」遭到入侵而導致消費者資料外流，惟究尚非已「確認」係被告之官網系統遭到入侵而導致消費者資料外流，並不能排除並非係被告之官網系統遭到入侵而導致消費者資料外流之可能性，自難遽以認定本件確係因被告之官網系統遭到入侵而導致包括原告之消費者個人資料外流，更難遽認被告是否未採行適當之安全措施，以防止包括原告在內之消費者個人資料被洩漏。

＂1) 原告於 106 年 5 月 3 日晚間 7 時 42 分許，接到詐騙集團來電；2) 被告於106 年5 月 4 日寄送反詐騙宣導簡訊；3) 被告於 106 年 5 月 6 日傳送反詐騙宣導電郵。如此密接的時間點，為何不能認定原告個資係由被告網站外洩？＂

III 違反個資法規定

05. 被告嗣後雖曾以簡訊、電子郵件通知原告有多人同時受害之情事，然觀諸被告通知原告之電子郵件同時載明「此種情形實務上不會發生，申請會員時不會知道帳戶資訊」等情，亦足堪認被告應確有採行適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏；況如前述，本件原告之個人資料外流，亦無從確認係因被告之官網系統遭到入侵所致，因此原告主張有多人同時受害之情事，即遽以推論係被告未做好安全措施云云，亦尚嫌速斷，而難逕為採信。

＂除了防詐通知外，本件判決並未討論被告有無採取其他的安全維護措施，殊屬可惜。＂

＂判決認為：「被告通知原告之電子郵件同時載明『此種情形實務上不會發生，申請會員時不會知道帳戶資訊』等情，亦足堪認被告應確有採行適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏」，這樣的認定標準，恐怕不容易被接受。＂（20230428 Added）

IV 致受損害｜因果關係

V 損害賠償

案例摘要，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。