20230429（V02）；20221011（V01）｜池泰毅律師

原告主張：曾於被告公司所營 O 購物網站上消費，因而留下個人資料；嗣於 106 年 10月 21 日下午突然接到自稱為 O 網站會計人員打來之電話，陳稱該公司內部電腦系統出錯，造成多筆購買資料須轉銀行協助，並「準確告知」原告於同年 8 月 10 日有在該公司 O 網站上購買鈕釦衣物等相關消費資訊，幸得家人即時提醒該電話可能為詐騙集團所打，方驚覺可能受騙並掛斷該電話。嗣致電信用卡公司客服人員及 165 反詐騙專線進行確認，得悉前開電話確為某詐騙集團成員所打，令原告受有非財產上損害。爰依個資法 §29規定，請求被告賠償 20,000 元。

裁判案號

01. 第一審｜士林地院 107 湖小 401（主文：被告應給付原告 20,000 元）

原告證據

02. 原告提出下列證據：

• 信用卡帳單；
• 電話通聯紀錄；
• 106 年 9 月24 日中時電子報上刊登 O 網站疑洩漏客戶個資 43 人遭詐逾 300 萬元之新聞網頁資料。

＂本件詐騙失敗，但法院仍判決被告購物網站必須賠償原告非財產上損害賠償。＂（20230429 Added）

士林地院 107 湖小 401

I 非公務機關

II 個資外洩

03. 被告否認客戶個資外洩。

04. 惟 106 年 9 月 24 日之中時電子報上刊登有 O 網站疑洩漏客戶個資 43 人遭詐逾 300 萬元之新聞，原告證物亦載有警政署 165 反詐騙專線統計被告所營 O 網站之客戶個資外洩遭詐騙集團使用之數量達 106 年度之第 5 名之新聞網頁資料。

05. 甚且，被告自承接有獲警方通知而再次檢視所營網站受攻擊狀況等情，益徵被告於 106 年 9 至 11 月間應有大量客戶個資外洩而遭某詐騙集團不法使用之情事為是。

06. 是則，原告主張被告於公司內部儲存之系爭消費資訊有遭竊取或外洩情形，應堪認屬實。

＂本件法院根據媒體報導、警政署 165 反詐騙專線統計等資料，認定被告公司確有個資外洩事實。＂

III 違反本法規定

07. 按事實有常態與變態之分，其主張常態事實者無庸負舉證責任，反之，主張變態事實者，則須就其所主張之事實負舉證責任。

08. 經查，被告為資本額達億元以上之公司，經營規模非小，依常情而言其能力自較一般消費大眾來得強大。

＂被告公司資本額多寡，有時是法院判斷舉證責任、舉證能力的重要關鍵。＂

09. 被告辯稱系爭消費資訊之所以外洩，可能是原告在不安全網路環境下，任意點選連結，又或者是原告未定期更換密碼，致原告手機或電腦遭植入木馬程式所致，另也有可能為物流業者便利商店業者或是大樓管理人員於取得原告之個人資料或消費訊息後外洩云云。

10. 究其所辯固非絕無可能，惟依前開說明，仍應由被告先行舉證證明已善盡對於該公司客戶所留消費資料之保存義務，且未遭不法蒐集。

＂個資外洩原因多元，也正因為如此，由何人負擔舉證責任，證明個資外洩途徑，才會這麼重要。＂

11. 被告雖辯稱其公司內已就資安防護工作建置以下規格之保護措施：Arbor Networks 阻斷式（DoS, DDoS）攻擊防護系統、Forti Gate 防火牆、Forti Analyzer 網路安全記錄、Imperva 應用程式防火牆（WAF）、Last1ine-APT 防禦系統、Fidelis 三合一資安鑑識設備、思科電子郵件安全設備（ESA）、賽門鐵克防毒軟體、IP Guard 文件加密系統、App Spider 網路安全掃描工具。對經手客戶資訊人員亦有完善、嚴格之管理制度，並定期委託第三方專業資安防護公司進行網站弱點掃描等防護措施，目前尚無發現任何可能由被告內部流出客戶個資的漏洞云云。

12. 然被告除未提出前述資安防護工作之建置資料、建置日期、曾委託第三方專業資安防護公司定期對被告所營網站進行弱點掃描或防護措施之工作資料，以佐證所述屬實，且屬有效之防護手段外，更乏資料可認被告於本事件發生前，已於公司內部就經手客戶資訊之員工建置完善、嚴格之管理制度。故難推認被告已就其所取得客戶個人資料，已善盡防護工作，以避免遭不法蒐集、處理、利用。

IV 致受損害——因果關係

＂關於個資外洩與損害之間因果關係的判斷，本判決引用兩件重要的最高法院判決（最高法院 103 台上 1311、最高法院 102 台上 31 判決），以決定因果關係舉證責任如何分配。＂

13. 按，當事人主張有利於己之事實者，就其事實有舉證之責任，但法律別有規定，或依其情形顯失公平者，不在此限，民事訴訟法第 277 條規定甚明。上開但書規定係於 89 年 2 月 9 日該法修正時所增設，肇源於民事舉證責任之分配情形繁雜，僅設原則性之概括規定，未能解決一切舉證責任之分配問題，為因應傳統型及現代型之訴訟型態，尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理，如嚴守本條所定之原則，難免產生不公平之結果，使被害人無從獲得應有之救濟，有違正義原則。是法院於決定是否適用上開但書所定之公平要求時，應視各該具體事件之訴訟類型特性暨求證事實之性質，斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素，以定其舉證責任或是否減輕其證明度（最高法院 103 台上 1311 判決）。

14. 原告依個資法第 29 條規定請求被告損害賠償，仍以被告違反個資法之過失行為與原告所述損害間具備「相當因果關係」為要件。然而，宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難，責令被害人擔負完全之舉證責任實有不公。且被告既為經營網路購物平台之企業，原告交付個資後即由其支配掌握，其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告；抑有進者，對於經營網路購物平台業者良窳之評斷，於其就消費客戶個資維護義務一項，佔有重要之考量，更負有防免重大資安事故之社會責任，故本院斟酌本件訴訟性質、兩造之舉證能力、被告違反義務之情節及風險分配之合理性，進而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解，認被告行為所生之危險已有相當合理確定性，即推定有一般因果關係之存在（最高法院 102 台上 31 判決），被告倘認無一般或個別因果關係存在，自應提出確切之反證證明。

15. 原告主張被告違反個資維護義務致將其個資外洩之侵權事實，既經認定，且被告迄未就原告個資之外洩與其未盡之義務間是否欠缺相當因果關係提出確切之反證，堪認原告主張被告未盡法定維護義務，致原告個資外洩，令其隱私權因而受害等節為可採。

V 損害賠償

｜非財產上損害

16. 原告依個資法 §29、28 II 規定，請求非財產上損害 20,000 元，於法有據，且衡情並未過當。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。