個資外洩｜案例 33｜2021 WP 餐飲集團——第一案

20230501（V01）｜池泰毅律師

原告主張：(1) 原告為「西○牛排」會員與「WP 瘋美食」app會員；(2) 109 年 11 月19 日上午 12 時 29 分，原告啟動西○會員領取壽星折價券及向西○牛排新店民權店訂位用餐，並於同日下午 7 時 11 分現場刷中國信託 VISA 信用卡付款結帳；(2) 惟 110 年 3 月 6 日下午 7 時 34 分接獲來電，自稱為被告 WP 集團所營運之「西○牛排新店民權店餐廳」來電，宣稱上開消費交易有誤，誤將個人單筆刷卡資料刷成「經銷商 20 筆扣款資料」，於同日下午 12 時會完成筆自動由伊名下任一銀行強制扣款，因此須於名下有綁 APP 銀行的網路 ATM 後端處理解除 20 筆交易與解除個資公開事項，與伊核對資料，清楚掌握最近一次消費的所有詳細紀錄，消費時間、地點哪家分店、金額、用餐人數、刷卡資料、生日、幾點結帳，使原告陷於錯誤，共匯款 99,996 元至詐欺集團指定帳戶內；(3) 茲依附表所示之法律關係，請求被告賠償附表所示之各項損害共計 509,988 元。

裁判案號

01. 第一審｜台中地院 110 中簡 1952（主文：被告應給付原告 20,000 元）

原告證據

02. 原告提出下列證據：

• 交易訂單截圖、來電顯示截圖、郵局存簿儲金簿、交易確認單；
• 派出所受（處）理案件證明單。

本件爭點

03. 爭點：

• 被告有無幫助詐欺集團侵害原告之行為？
• 被告有無違反個資法致侵害原告權利之行為？
• 被告有無違反契約及消保法致侵害原告之行為？

04. 本件法院以被告違反個資法規定，判決應對原告負擔給付損害賠償責任，至於原告其餘主張，則予以否定；以下摘要，以個資法相關討論為中心，法院對於其餘爭點之認定，則列最後。

台中地院 110 中簡 1952

I 非公務機關

II 個資外洩

05. 原告主張個資外洩等情，業據其提出交易訂單截圖、來電顯示截圖、郵局存簿儲金簿、交易確認單及派出所受（處）理案件證明單附卷。

06. 參以前開受（處）理案件證明單記載發生時間 110 年 3 月 6 日 20 時 25 分、受理時間 110 年 3 月 6 日 22 時 12 分、報案（受理）內容：報案人於上述時、地接獲宣稱為西○餐飲公司來電，稱設定錯誤，要求依其指示解除，使被害人陷於錯誤，依其指示網銀匯款共 2 筆，合計損失 99,972 元，故至本所提告等語，足見原告於遭詐騙後隨即於同日晚間即向警報案，其當下向警察陳述遭詐騙情節，自屬可信，原告前揭主張遭詐騙情節，堪認為真正。

III 違反個資法規定

07. 原告主張被告就系爭網站之個人資料管理既有資安漏洞，並使詐欺集團得利用此漏洞取得原告之個人資料，被告違反個資法維護義務致外洩原告個資之侵權行為等語，被告則抗辯原告個資遭詐騙集團掌握可能來源管道眾多，不能斷定資料來源為被告等語。

｜排除信用卡銀行端洩漏個資

08. 經查，本件信用卡刷卡資料並無原告電話及原告消費之內容，詐騙集團撥打原告電話實施詐騙，並提供原告前開消費訂單資料，應可排除係遭信用卡發卡銀行或信用卡中心洩漏原告個資。

｜共通性

09. 參以刑事警察局165反詐騙諮詢專線公告之高風險賣場紀錄，被告於 110 年至 111 年間上榜 43 次，累計達 587 人受害，且原告受害相同期間，亦有相同受害者在被告粉絲頁面下留言，有新聞畫面及粉絲頁面留言截圖可佐，被告亦有向原告傳送反詐騙宣導簡訊，有該簡訊截圖在卷可考，可見類似利用被告保有之消費者個資進行詐騙情形眾多，並參酌前揭原告遭詐騙情節，詐騙集團假冒西○餐廳人員正確提供原告先前消費訂單內容，原告主張詐騙集團所利用之前揭原告個人資料，係來自被告保有之原告消費個資，即與常情不悖，堪可認定為真正。

10. 被告抗辯原告個資遭詐騙集團掌握可能來自其他管道云云，然並未具體舉證證明類似利用被告保有之消費者個資進行詐騙者，其個資來源為其他管道，被告之抗辯尚不足採。

IV 致受損害——因果關係

11. 按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限；被害人雖非財產上之損害，亦得請求賠償相當之金額；如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件 500 元以上 20,000 元以下計算，此觀個資法 §27 I、29 I、29 II 準用 §28 II、III 規定甚明。

12. 被告保有之原告消費個資流出遭詐騙集團利用，應推定被告未採行適當之安全措施，以防止其保有之原告消費個資被竊取或洩漏，又被告並未舉證證明其無故意或過失，原告主張被告未盡保管原告個資義務，請求被告賠償非財產上之損害，核屬有據。

V 損害賠償

13. 本院斟酌被告未盡保管原告個資義務，致原告個資外洩而衍生遭詐騙集團詐騙情節，應屬嚴重，認被告應賠償原告 20,000 元慰撫金為適當，逾此請求為無理由。

VI 共同侵權行為——原告主張無理由

14. 被告並無幫助詐欺集團詐欺原告而有共同侵權行為，原告依侵權行為法律關係請求被告賠償，並無理由。

15. 原告主張被告未依個資法妥適處理及利用原告之個人資料，固可認定；然依原告提供之報案相關資料，應僅得證明原告確實遭詐欺集團詐騙，惟縱使詐欺集團詐騙原告所使用之個人資料係由被告管理之原告個人資料所流出，亦無法逕自推論被告有幫助詐欺集團詐騙原告，而應與詐欺集團成員負共同侵權行為責任。

16. 蓋被告保管之個人資料未採行適當之安全措施，以防止其保有之原告消費個資被竊取或洩漏，而有違反個資法之事實屬實，僅係被告應否負擔個資法所定之賠償責任而已，並不當然推認被告有違反個資法之行為，即有幫助詐欺集團犯罪之意思。

17. 詐騙集團冒名行騙，除非能證明係被告故意所為，否則詐欺集團實施詐騙之過程，實非被告所得控制防免，原告所受損害實係肇因於第三人故意犯罪行為即詐騙集團施以詐術之行為所致；易言之，不法行為、損害結果與因果關係均係存在於「詐騙集團」與「原告」間，實難認為與被告之行為間有關，是原告所主張之損害與被告公司之行為間並無相當因果關係存在。

18. 原告依侵權行為法律關係請求被告賠償，尚難認為有據。

VII 消費者保護法及懲罰性賠償——原告主張無理由

19. 原告依契約及消保法之相關規定，請求被告賠償，並無理由。

20. 按消費者保護法 §2 規定：稱消費者，指以消費為目的而為交易、使用商品或接受服務者；消費關係：指消費者與企業經營者間就商品或服務所發生之法律關係。

21. 原告主張使用系爭 App 平台進行消費，爰一併依被告WP 瘋美食APP會員契約之約定及消保法之相關規定，請求被告負賠償之責及給付原告 2 倍之懲罰性賠償金等語，亦為被告所否認。

22. 本件原告係依契約及消保法之法律關係請求被告賠償，然查，被告經營餐飲行業，以提供飲食及用餐場所，由顧客前至餐廳用餐為主要營業項目並收取對價，本件依消保法 §2 所定義之消費關係，應係指原告至被告餐廳用餐之行為，包含點餐、用餐、結帳。

｜會員優惠非消費關係

23. 原告以其個人資料註冊為被告之會員，由被告保管原告之個人資料，而於生日或特殊節日時通知顧客領取優惠券或提供相關優惠訊息之通知等，應非被告營業項目與收取對價之範圍，故原告所指摘之個人資料所關之爭議，非屬消費關係之範圍。亦即，被告自原告處所接收之個人資料及保管行為，並非提供商品或服務本身，應非屬消保法 §7 所規定「商品或服務」之範疇。

24. 而原告另所主張係使用系爭 App 平台進行消費，而認可依契約法律關係及消保法主張向被告求償。然依原告所提系爭 App 平台洩漏個資部分，應屬被告未能落實個人資料保護，而應以個資法處理，原告依契約法律關係請求，已難認為有據。

25. 本件應無消保法之適用，原告據消保法向被告請求賠償實際損害金額 99,996 元及 2 倍之懲罰性賠償金，自屬無據。

＂將會員促銷活動與消費關係予以切割，是否合理？＂

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。