個資外洩｜案例 31｜2021 B 訂房網站——第二案

20230501（V01）｜池泰毅律師

原告主張：其於民國 110 年 3 月 5 日於被告之 B 網站訂購箣○花飯店兩間房，並於隔日入住，原告於 3月 12 日下午 5 點 28 分接到電話，來電陳稱為箣○花飯店之員工，明確說明入住時間地點，稱其會計在整理高級會員入會資料時，誤把普通會員即原告資料送進去並已扣款，並要求原告提供銀行帳戶辦理退款，原告一時不查提供銀行帳戶明細。嗣於下午 5 點 41 分接到第二通詐騙來電，謊稱為銀行，原告經友人提醒，電話對象口音濃厚並非台灣人而察覺掛斷電話。數天後，接到箣○花飯店個資外洩簡訊，始確定上開電話均屬詐騙，且外洩之來源顯為箣○花飯店，爰向被告請求 20,000 元損害補償。

裁判案號

01. 第一審｜台北地院 110 北小 1949（主文：原告之訴駁回）

台北地院 110 北小 1949I 非公務機關

I 非公務機關

02. 本件原告係對「台灣 B 管理諮詢股份有限公司」提告。

03. 被告抗辯：並無經營系爭網站，與經營管理系爭網站之 B B.V. 公司並非同一權利義務主體，無須為 B B.V. 公司經營系爭網站所生之責任負責。

04. 本件並未審酌上述爭議，請另參考【案例 30】。

案例 30｜2021 B 訂房網站——第一案

II 個資外洩

III 違反本法規定

05. 原告雖然提出被告登記資訊、訂房與入住飯店資訊等，但僅能證明原告曾經由 B 網站訂購箣○花飯店並入住，依目前社會一般訂房網服務的模式，原告所提供住房所需的個人資料，服務端的旅宿業者，亦會擁有，並不能僅因上述訂房的過程，即當然推認原告本件主張的個資外漏與 B 網站有關。

｜個資外洩簡訊，署名提供的是箣○花飯店

06. 而原告另提所謂的詐騙來電，僅有通話紀錄，無具體內容，也無法認定與 B 網站未善盡保管原告個資有關。

07. 至於原告所提的個資外洩簡訊，署名提供的是箣○花飯店，依此簡訊署名，即無法排除是箣○花飯店未依個資法的規定妥善保存原告個資並致洩漏的可能，且依該署名，應足以認定應與 B 網站無關，也因此，無法認定被告有應對原告個資外洩負賠償之債的成立要件事實。

08. 有關原告另提被告洩漏個資的新聞資料，但查，上述資料比較明確有關的是 B 網站 2019 年個資外洩的部分，無法推認本件與上述事件有關。另 2021 年 4 月 25 日的洩漏新聞，並未有進一步的調查結果，尚難僅因該報導，即推認原告本件的個資洩漏與 B 網站直接相關，而有成立原告本件主張損害賠償之債的要件事實。

｜結論

09. 依原告與 B 網站間的契約約定，係由 B 網站負責處理原告的個人資料，在沒有證據可以認定原告本件經由 B 網站訂購桐○花飯店房間的過程，被告有蒐集原告本件個資的情形下，原告即應受上述約定的拘束。

10. 且如前說明，在沒有辦法認定 B 網站或被告與原告本件個資外洩有直接關連的情形下，原告要求被告應依個資法 §29 I 但書證明無故意過失，即無依據，且沒有原告主張，以契約債之關係免除侵權行為的情形，也沒有被告應依民法 §184 II 應證明並無過失的問題。

＂消費者透過 App 訂購旅館房間，此時，究竟是經營 App 的廠商還是旅館，為個資法所指蒐集、處理及利用個人資料的「非公務機關」？ App 廠商與旅館之間的法律關係是如何約定？何人有權決定個人資料的處理方式及利用？二者之間，有無個資法 §4 所指之委託關係？將是未來處理此類爭議的關鍵議題。＂

＂GDPR 關於控管者（controller）、處理者（processor）的規範架構，或許可以對未來處理爭議、個資修法提供一些線索。例如，對控管者要求履行下列義務：§5(2 )的當責性原則（Principle of Accountability）， §24(1)控管者應採取適當的技術上及組織上措施以遵循 GDPR 規定等。＂

IV 致受損害——因果關係

V 損害賠償

參考條文

§4 Definitions

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

§5 Principles relating to processing of personal data

1. Personal data shall be: [processed following the Principles of ‘lawfulness, fairness and transparency’, ‘purpose limitation’, ‘data minimisation’, ‘accuracy’, ‘storage limitation’, ‘integrity and confidentiality’.]

2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).

§24 Responsibility of the controller

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。