20230429（V02）；20221011（V01）｜池泰毅律師

原告主張：其於 105 年 7 月間加入被告架設之 T 購書網站會員，於 105 年 10 月 4 日下午 7 時 40 分許，接獲佯稱被告客服人員來電，告知因公司網站系統升級，導致發生連續訂購 12 筆情形，欲幫忙取消。嗣自稱郵局人員來電，要求伊依指示操作自動提款機扣除訂單，先後遭詐騙匯入 219,380 元，爰起訴請求被告公司依消費者保護法無過失責任，給付財產上損害賠償 177,993 元。

裁判案號

01. 第一審｜台北地院 107 北消簡 1（主文：原告之訴駁回）

原告證據

02. 原告提出下列證據：

• 匯款單；
• 消費者爭議申訴資料表；
• 受理刑事案件報案三聯單；
• 網路新聞公布高風險賣場資料；
• 高雄地院 106 審訴 1251 刑事判決。

台北地院 107 北消簡 1

I 非公務機關

II 個資外洩

03. 原告雖主張被告所提供網路商品或服務不符合當時科技或專業水準可合理期待之安全性致生損害等語，然僅提出訂購書籍統一發票及網路新聞公布高風險賣場資料等在卷，未具體舉證以實其說。

04. 北檢不起訴處分書：「…經查，證人即 T 公司人事總務專員蘇ＯＯ到庭證稱：T 網站客戶網路下訂完成後，會直接進到 T 公司之 MIS 電腦收單系統，系統會區分宅配或超商取貨，之後物流部門同仁由系統查看訂購資料，確認兩種出貨方式之後，即列印統一發票，並從設於物流部門之倉庫取貨包裝放入統一發票後出貨，T 公司之物流部門與委外之○○超商人員是在同一地點上班，職務如何區分伊不清楚；礙於技術關係，T 公司電腦系統如何洩漏客戶資料目前尚未查明，但公司接獲客戶反應後，即新增網路防火牆應用程式，可監測網路登入情形，以防止資料再次外洩」。

05. 可知被告所提供原告個人資料曾由被告以外之人經手，本件是否確係被告不當利用原告個人資料所致，在無證據足資證明確由被告洩漏兩造交易細節前，殊難遽認原告所指詐騙集團行騙時所稱訂單資料等細節，乃因被告之安全防護疏失所致，是原告主張被告違反個資法 §29 I、12、27，均不足採。

＂個資法 §4 規定：「受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。」施行細則 §8 I 規定：「委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。」依本案事實認定，被告公司係委託物流公司、超商人員協助派送商品，所以，即使「原告個人資料曾由被告以外之人經手」，則被告公司對該人等是否善盡監督義務？應否為該人等疏失負擔監督不周之法律責任，未見討論，實為可惜。＂

＂此時，有必要檢視受託機關——例如物流人員——掌握的消費者個人資料，與被告購物網站有何不同？以為因應。＂（20230429 Added）

06. 又以現今詐騙集團犯行猖獗，亟思以各種不同手段獲取社會大眾各類網路購物資訊，作為行騙之對象，尚難排除係由外部入侵 T 網站電腦系統之方式取得客戶資料，實無從以被告之購物資訊及個人資料遭詐騙集團取得之單純事實，逕自認定被告提供服務時，維護自身電腦系統，不符合當時科技或專業水準可合理期待之安全性。

＂(1) 本件由於原告引用消保法作為請求權基礎，因此，法院判決必須討論被告公司電腦系統是否符合當時科技或專業水準可合理期待之安全性；(2) 法院認為「無從以被告之購物資訊及個人資料遭詐騙集團取得之單純事實」，逕認被告公司提供之服務欠缺可合理期待之安全性；(3) 不過，經濟部早自 104 年 9 月 17 日即已公布施行網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法，規範電子商務業者應遵循之相關安全維護措施，本件判決未依該辦法檢視、判斷被告公司是否已盡法律責任，亦屬可惜。＂

III 違反消保法規定

07. 被告於接獲客戶反應遭詐騙後，旋於 105 年 9 月 26 日，在 T 臉書網頁貼文宣導，警告客戶勿被騙至 ATM 操作解除分期付款等語，並於 T 網站張貼類似之宣導警語，另於 105 年 9 月 26 日至 27 日間，透過電信業者發送提醒防詐之群體簡訊予訂單日期自 105 年 7 月 1 日至同年 9 月 2 日間之客戶，共計 9 萬 346 則，復於 105 年 10 月 2 日批次發送防詐宣導電子郵件予訂單日期自 105 年 7 月 1 日至同年 9 月 25 日間之客戶，再於 105 年 10 月 3 日以 T 網站會員中心訊息通知予包括原告在內之網站會員。

08. 是被告獲悉客戶資料洩漏後，隨即採取各種對應及補救措施，以圖防堵詐騙，並向警方報案尋求司法協助，足見被告於電腦系統或電磁記錄受到破壞，或電腦系統運作異常時，即採取合理之措施後儘速予以回復。

＂(1) 事後的反詐騙宣導，是否可以替代事前的安全維護措施？恐有疑問；(2) 又，關於個資外洩通知，個資法 §12、施行細則 §22 II 規定，其內容必須包括個人資料被侵害之事實，以及已採取之因應措施，單純的反詐騙宣導，是否涵蓋前述兩項內容？容有疑義，其效果可否取代「個資外洩通知」，似非無討論餘地。＂

IV 致受損害——因果關係

09. 消保法 §7、7-1 關於產品是否有瑕疵之認定，並非決定於其是否適於使用，而應考慮社會大眾有權期待之安全性的欠缺，為使被害人與製造人公平的分擔危險，安全性之評估應排除在不合理情形下之濫用產品，原告在被告網站會員個人資料雖發生洩漏，但原告接到自稱被告客服人員的詐騙電話而依指示匯款，其損失係因第三人之不法行為所致，此與消費者保護法 §7、7-1 在正常情況下使用商品或服務有別，而認被告不適用製造人無過失責任。

V 損害賠償

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。