個資外洩｜案例 24｜2019 L 旅行社——第五案

20230501（V02）；20221011（V01）｜池泰毅律師

原告主張：其於 105 年 5 月起至 106 年 8 月 19 日陸續向被告之八德門市購買機票，於 106 年 8 月 19 日下午 3 時許以刷信用卡方式購買機票後，被告未能善盡保護原告在消費過程中提供之個人資料之責任，而使消費者個人資料外洩，致原告於同日晚間 7 時許，接到假冒被告公司會計人員之詐騙份子來電，告知因門市人員疏失，導致誤設分期約定轉帳，將按月對原告扣款 12 期，為協助解決上開問題，要原告配合處理，原告信以為真，乃至附近提款機依指示操作，總計轉帳 40,187 元至對方所提供之訴外人陳○薇於合庫商銀南興分行開立之帳戶，而受有上開金額之損失。又被告在 106 年 5 月間即有資料外洩之情形，竟未亡羊補牢，至同年 8 月仍發生原告個人資料外洩之事，足見被告未對消費者之個人資料盡安全防護之責，導致原告遭受詐騙，應賠償原告所受損害。爰依個資法 §29 規定，請求賠償財務損失 40,000 元。

裁判案號

01. 第一審｜士林地院 108 湖小 558（主文：原告之訴駁回）

士林地院 108 湖小 558

I 非公務機關

II 個資外洩

02. 依個資法 §29 I 但書規定，被告就其無故意或過失，固負舉證之責，然原告既主張被告違反個資法規定，致其權利受損，則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站，及被告違反個資法規定之事實，即應先負舉證責任。

03. 經查，被告固不否認其公司網站系統曾於 106 年 5 月 23 日遭到入侵，然被告公司網站內原告之個人資料是否遭入侵「成功」及外流，則尚不足以「確認」。亦即詐騙份子向原告實施詐騙時所使用之原告個人資料是否係來自被告之公司網站系統遭到入侵而外流者，尚非明確，自難遽認本件向原告實施詐騙行為之人所使用之原告個人資料確係來自被告之公司網站系統遭到入侵而外流之消費者資料。

＂法院要求原告舉證證明「詐騙份子向原告實施詐騙時所使用之原告個資即來自被告公司網站系統遭到入侵而致資料外流」，可能是比天還高的舉證門檻，因為有時候，連詐騙集團對使用的個資來源為何，自己都搞不清楚；法院既已肯認，被告公司當時已發生個資外洩事件，並有多起受害事件，並非偶發事件，基於此點被害的共通性，依經驗法則判斷，應可認定原告個人資料，應係從被告公司網站流出，始屬合理。＂

III 違反個資法規定

04. 公務機關或非公務機關違反個資法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法 §12 定有明文。揆其立法理由略以：當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式，迅速通知當事人，讓其知曉。另同法施行細則 §22 規定：「本法第 12 條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。依本法第 12 條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。」，係課予公務機關或非公務機關於違反本法規定且致個人資料被竊取、洩漏、竄改或其他侵害時，應於查明後負有通知之義務。

05. 被告於知悉其網站遭不法入侵後，於 106 年 5 月 27 日以主旨為「重要必看！○○會員防詐騙說明。保障自身財物安全」電子郵件之通知會員，並於同年月 23 日及 26 日寄送如前揭意旨之提醒詐騙之簡訊至原告門號等情，有電子郵件及簡訊內容在卷可佐，並為原告所不爭執，應認被告知悉其網站遭入侵後亦有採取相當之措施。

＂個資法施行細則 §22 II 規定：「依本法第 12 條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。」被告寄送主旨為「重要必看！○○會員防詐騙說明。保障自身財物安全」之電子郵件，其通知內容是否符合細則規定？＂（20230501 Added）

06. 原告以被告在 106 年 5 月間已知悉其網站遭入侵之事，然原告仍於 106 年 8 月 19 日發生遭詐騙之事，即推論原告未盡保護消費者個人資料之義務，尚非可採。

＂本件並未討論被告公司「事發前」是否已依個資法 §27 規定，採取適當安全維護措施，而僅以「事發後」，寄發防詐騙通知簡訊予原告，認為被告公司已依個資法規定辦理，有無討論餘地。＂（20230501 Revised）

IV 致受損害——因果關係

07. 本件縱認被告如未疏於維護其公司網站內之原告個人資料，原告不致被詐騙份子詐騙而受財物損失，而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。

08. 然被告已 106 年 5 月 23 日及 26 日寄送如前揭意旨之提醒詐騙之簡訊至原告所有手機門號，予以提醒，原告即應對此一詐騙技倆有所警覺，然原告未有所警覺，因其個人疏忽而誤信詐騙份子伎倆，致被詐騙份子詐騙，又衡諸一般情形，客戶資料外洩固係對於客戶隱私權之侵害，然並不必然發生客戶受詐騙且受有財物損失之財產權侵害結果。

09. 是以被告縱令有疏失行為，其與原告之財物損失結果，不得謂有相當之因果關係，依前揭說明，即難認被告應就原告被詐騙之損失負責。

V 損害賠償

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。