個資外洩｜案例 22｜2019 CLTT 醬油官網案

20230501（V02）；20221011（V01）｜池泰毅律師

原告主張：其於 107 年 3 月 15 日在被告一 CLTT 醬油公司網站訂購醬油，並將其姓名、手機號碼、E-mail、地址等個人資料留於該網站，以便收受所訂貨物；嗣於 107 年 7 月 18 日，有臉書網友以訊息告知原告，其於網路搜尋原告之動態，竟能搜尋到其個人資料，原告除通知被告 CLTT 醬油公司外，亦訴由新北市政府警察局三重分局偵查。爰請求被告一、被告二（被告一之管理部經理）、被告三（JYS 資訊公司）及被告四（被告三之專案經理）連帶給精神慰撫金 500,000 元。

裁判案號

01. 第一審｜雲林地院 108 六簡 198（主文：被告三、四應連帶給付原告 20,000 元）

雲林地院 108 六簡 198

I 非公務機關

02. 本件原告對下列人員提告：

･ 被告一、二：CLTT 醬油公司及管理部經理乙（負責網購業務）；

･ 被告三、四：JYS 資訊公司及專案經理丙（負責設計網站）。

＂網路商店的成立，大致有三種方式，包括：1) 自行架設官網（或將部份工作外包，例如網站設計等）；2) 利用網站系統商現有平台架設官網；以及 3) 將產品上架至大型購物網站。與過去多屬大型電商案例不同，本件係採取第一種方式，CLTT 醬油公司擬自行架設官網，但將大部分工作外包予被告JYS 資訊公司，故原告同時對二公司及相關人員提告。不過，關於本件爭議的思考，還是要回歸到，究竟是何人在蒐集、處理、利用原告之個人資料？原告的個人資料，對被告 JYS 資訊公司而言，有無任何商業價值？＂

II 個資外洩

03. 本院核閱原告提出之被告 CLTT 醬油公司會員專區、GOOGLE 搜尋引擎所得資料等網頁截圖，能見原告之姓名、手機號碼、E-mail、住家住址等資料，堪認不特定多數人於被告 CLTT 醬油公司網站故障當時，若於 GOOGLE 搜尋引擎鍵入原告之姓名，即能獲得上開資訊，足證原告隱私權已遭侵害，自堪認定。

III 違反個資法規定

04. 本件判決分別論斷被告應盡的法律責任。

｜被告三、四｜應負損害賠償責任

05. 被告四為被告三 JYS 資訊公司之專案經理，負責為被告一 CLTT 醬油公司設計網站。

06. 然被告四並未提出已為被告一網站建置資安防護措施的資料，更乏資料認其於本事件發生前，有採取適當之資安防護措施，故難推認被告四、被告三就被告一所取得客戶之個人資料，善盡防護工作，以避免遭不法蒐集、處理、利用，足徵被告四有未依個資法 §27 規定對原告個人資料採行適當安全措施之過失。原告依個資法 §29、民法 §184 I 規定請求被告四負損害賠償責任，實屬有據。

＂消費者購物時，是在被告一 CLTT 醬油公司官網進行消費，進行消費行為時，主觀上的理解也應該是提供個人資料予被告一，應無認識被告三、四之可能性，是否應由被告三、四「直接」對消費者負擔個資法 §27 義務？亦有疑問。＂（20230501 Revised）

07. 被告四之行為既然構成民法 §184 I 之侵權行為，復以擔任被告三之專案經理職務時，對被告一公司網站取得之客戶資料未建置有效資安防護措施，致侵害原告之隱私權，故原告請求被告三應依民法 §188 I 規定負僱用人責任，與被告四連帶賠償其所受損害，應予准許。

｜被告一、二

08. 原告另主張被告一、二應與被告三、四連帶給付其所受損害。

09. 法院參考新北地檢署 107 偵 30704 不起訴處分書，認為本件係被告 三、四之疏忽，被告一、二並無違反個資法之犯意與行為，及為自己或第三人不法之利益或損害他人之利益之意圖，而為不起訴處分。

10. 且被告四到庭陳稱：「伺服器是我們公司管理，CLTT 醬油公司是訂單、出貨，僅能夠就網站去管理，但是他們是沒有登入伺服器的權限，伺服器是我們公司處理，且我們公司也不僅處理 CLTT 醬油公司，可能很多公司同時處理，但是就不知道是如何發生這個問題，僅能說是意外，我們也僅能盡快去處理這樣。」等語，足徵系爭網站之個資係由被告三支配掌握，被告一、二對於個資被竊取或外洩風險並無控制能力，難認原告受有隱私權之損害與被告一、二未善盡對客戶個人資料之保護行為間，確有相當因果關係存在，否則即有不當擴大企業責任之虞。

＂法院認為，「系爭網站之個資係由被告 JYS 資訊公司支配掌握，被告 CLTT 醬油公司、乙對於個資被竊取或外洩風險並無控制能力」，似未考慮被告一實為蒐集、處理、利用個人資料之人，該公司藉此可取得訂單、出貨等交易資訊之事實，以及個資法 §4、施行細則 §7、8，關於委託機關應監督受託機關業務執行等規定。＂

11. 是則，原告依民法 §184、188及個資法 §29之規定，請求被告一、二應與被三、四負擔共同侵權行為，連帶賠償其所受損害，自屬無據。

IV 致受損害——因果關係

V 損害賠償

｜非財產上損害

12. 原告於 107 年 3 月 15 日在被告一公司網站訂購醬油 2 瓶，並於 107 年 7 月 18 日發現其個人資料於搜尋引擎中輸入關鍵字搜尋，能取得原告完整個人資料，嗣經被告三於得知該事件後即修復系爭網站等情，為兩造所不爭執，足徵原告個人資料遭外洩僅為單一事件。

13. 又原告未能舉證證明其因被告三公司網站管理之疏失行為造成其受有 500,000 元之依據為何，是原告隱私權遭受侵害所蒙受精神上之痛苦，自有損害範圍不能證明之情形，自應回歸個資法 §29 II 準用 §28 III規定，以每一事件 500 元以上 20,000 元以下酌定賠償數額。

14. 本院審酌原告為演藝人員，係屬公眾人物；被告四為被告三之專案經理，而被告四因管理系爭網站疏失，導致侵害原告之隱私權等情，兼衡兩造身分、地位、原告個人資料隱私權及名譽受侵害之情節非輕，認原告請求被告三、四賠償之慰撫金數額，以 20,000 元為適當。

參考法條

個資法 §4

受公務機關或非公務機關委託蒐集、處理或利用個人資料者，於本法適用範圍內，視同委託機關。

施行細則 §7

受委託蒐集、處理或利用個人資料之法人、團體或自然人，依委託機關應適用之規定為之。

施行細則 §8

I. 委託他人蒐集、處理或利用個人資料時，委託機關應對受託者為適當之監督。

II. 前項監督至少應包含下列事項：

一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

二、受託者就第十二條第二項採取之措施。

三、有複委託者，其約定之受託者。

四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時，應向委託機關通知之事項及採行之補救措施。

五、委託機關如對受託者有保留指示者，其保留指示之事項。

六、委託關係終止或解除時，個人資料載體之返還，及受託者履行委託契約以儲存方式而持有之個人資料之刪除。

III. 第一項之監督，委託機關應定期確認受託者執行之狀況，並將確認結果記錄之。

IV. 受託者僅得於委託機關指示之範圍內，蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者，應立即通知委託機關。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。