20240511（V02）｜池泰毅律師

原告主張：(1) 被告一 GVRB 溫泉酒店之官方網站提供消費者線上訂購溫泉券之購買系統（訂購系統），該系統由被告二 MWT 公司進行建置、維護與管理；(2) 原告曾於 109 年 10 月、11 月間，使用系爭訂購系統購買溫泉券；(3) 被告一、二未依個資法 §27，於取得原告個資後，採取對原告個資安全有效之保護措施，使他人透過系爭訂購系統竊取原告個資；(4) 被告二早於 110 年 11 月底即告知被告一有個資外洩情形，卻未以適當方式通知原告，均未盡其事前監督及事後通報之責；(5) 嗣原告於 110 年 12 月 21 日接獲詐騙電話，誤信為被告一之客服人員，並信以為真配合操作解除分期付款設定，致遭訛詐轉出受詐騙金額 99,987 元；(6) 爰請求財產上損害賠償 99,987 元，非財產上損害賠償 20,000 元，並請求被告一、二刪除並停止蒐集、處理或利用原告個人資料。

裁判案號

01. 第一審：台北地院 111 訴 5578（主文：被告一應刪除並停止利用所有原告留存於系統中之聯絡方式）

02-1 第二審：高等法院 112 上 656（主文：一、原判決關於駁回上訴人後開第二項之訴部分，及除確定部分外訴訟費用之裁判均廢棄。二、被上訴人一 GVRB 溫泉酒店、被上訴人二 MWT 公司應分別給付上訴人新臺幣貳萬元，及均自民國一百一十一年十一月三十日起至清償日止，按年息百分之五計算之利息；如被上訴人任一人為給付時，另一被上訴人於其給付範圍內免給付義務。三、其餘上訴駁回。）

本件爭點

02. 爭點：

• 原告主張其個資係因遭他人自系爭訂購系統所竊得一節，是否可採？就原告個資外洩之情形，是否係因被告之過失違反前開個資法之規定所致，並應負損害賠償責任？如被告應賠償原告之損害，其金額應為若干？被告所為與有過失之抗辯是否可採？
• 原告主張被告應依個資法 §11 III、IV 之規定刪除並停止利用原告之個資，是否可採？

台北地院 111 訴 5578

I 非公務機關

03. 本件原告對被告一、二提告：

• 被告一： GVRB 溫泉酒店；
• 被告二： MWT 網路科技股份有限公司，負責被告一官網之建置、維護與管理。

II 個資外洩

｜舉證責任

04. 法院依民事訴訟法 §277 規定分配舉證責任時，應符合公平正義及訴訟上誠信原則，於分配舉證責任予原告而有顯失公平之情形，應依該條但書規定，降低原告之證明責任或命被告負舉證責任。

05. 原告就其權利主張之構成要件事實，本應為具一貫性之主要事實或間接事實之主張，並就有利於己、被告有爭執之事實，依該條本文規定負證明之責任。惟如原告就其主張事實之發生過程未曾參與，欠缺認識，難以具體主張或證明；而被告自承曾參與該事實過程，且抗辯該事實為真實，即就該事實之發生具有認識並接近證據時，基於當事人所負促進訴訟義務及訴訟上誠信原則，法院非不得依同法 §268、277 但書規定，命本不負主張及舉證責任之被告，就特定事項詳為表明（事案解明）並舉證（最高法院 111 台上 194 判決）。

06. 亦即，倘原告主張事實本非原告領域或可見聞經歷之情節，自應視各該訴訟事件類型之特性及待證事實之性質，審酌兩造舉證之難易、距離證據之遠近、經驗法則所具蓋然性之高低等因素，適當減輕原告之舉證責任。

07. 本件原告主張其個資係因系爭訂購系統遭他人以入侵系統等方式竊得一節，因系爭訂購系統本非由原告建置、管理與維護，其充其量僅為系統後端之使用者，亦無課予使用者具備系爭訂購系統管理維護之能力與義務，是就原告上開主張情節，自無庸由原告就其個資係遭他人於何時、以何入侵系統手法或方式取得其個資，並應就減輕其舉證強度。

08. 本件原告確實曾經使用被告一之系爭訂購系統訂購溫泉票等情，為兩造所不爭執，並有被告一之訂購系統購票頁面在卷可稽，足見原告之個資確實曾輸入系爭訂購系統使用。又被告自認系爭訂購系統之個資係存放於被告一公司等節，亦徵原告於輸入個資後，其個資確實會保留於系爭訂購系統中無誤。

｜原告個資外洩

09. 原告於 110 年 12 月 21 日下午 6 時 50 分起，陸續於該時間、同日下午 6 時 55 分、下午 6 時 56 分、下午 6 時 58 分、下午 6 時 59 分（兩通）接獲詐騙電話，且依證人即見聞原告接聽電話之其子王○○證稱：當時我媽拿著手機按擴音跑到我旁邊找我，對我說你知不知道如何解除分期付款設定，我就問對方是誰、為何要突然解除分期付款設定，對方就說是被告一員工，他就跟我解釋說我媽有去購買他們家的溫泉票券，也有提到我媽是他們的會員等語，是利用原告個資之他人，早已清楚掌握原告為被告一會員、原告曾購買溫泉票等細節，均與原告透過系爭訂購系統訂購商品所需輸入之訊息一致，自堪信他人取得原告個資之來源，確實與系爭訂購系統攸關。

10. 又原告於遭詐騙後，曾 111 年 1 月 4 日寄發存證信函給被告一，被告一函覆提及「系爭訂購系統向來皆是委託被告二建置與維護，客戶如欲線上訂購本公司票券皆需至該公司平台進行操作，且本公司 110 年 11 月底接獲被告二通報後台偵測到異常 IP」等內容，可見系爭訂購系統確實有於 110 年 11 月底發現異常 IP 連結系統，即他人以非法手段入侵平台取得系統資料。

11. 原告曾向交通部觀光局陳情，該局監督通報紀錄表清楚記載「該飯店於 110 年 11 月 16 日接獲被告二通知系爭票券系統資料被駭客入侵，相關訂購紀錄恐遭竊取」、「系爭訂購系統經由被告二提出電腦資料洩漏紀錄預估 5,423 筆」等情，是原告雖不能證明該預估外洩之 5,423 筆個資中確實包括其自身之個資，然系爭訂購系統既非原告可本其自身能力或使用範疇為建置管理，自應減輕原告之舉證責任。

｜原告個資不是從信用卡銀行端外洩

12. 被告一抗辯原告輸入中信銀行刷卡資料時亦可能遭駭客以刷卡資料查悉上情，或透過其他網際網路漏洞取得原告個資，然依證人王○○之前揭證述，該電話發話人非僅知悉特約商店店別為被告一，尚已清楚知悉原告為被告一之會員身分及其訂購商品為溫泉券之特定內容，是該資訊顯屬系爭訂購系統中儲存之訊息無誤；又縱網際網路存在普遍性漏洞，亦非必然與原告遭竊之個資有關，自無從以該情節為對被告一有利之認定。

III 違反個資法規定

｜適當安全措施

13. 按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，個資法 §27 I 定有明文。

14. 另公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法 §12 定有明文。本法 §12 所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施，個資法施行細則 §22 亦規定甚明。

15. 上開規定係為確保個資之資訊自主權，自屬民法 §184 II 之「保護他人之法律」。是依上開規定，非公務機關因未採取適當安全措施以防止個人資料遭竊取、洩漏致個資遭他人蒐集而侵害個資權人之權利，或因未依規定為通知致他人權利受損，而應依上開個資法或侵權行為之規定負損害賠償責任者，自以就該情節有故意或過失為前提，綜合前揭舉證責任導致之說明意旨，併依個資法 §29 I 但書明文規定為舉證責任倒置，即認應由該非公務機關負證明無故意或過失之責。

16. 是本件自應由被告一舉證證明其就原告個資外洩一事無故意或過失，或已即時通知，抑或未及時通知無故意過失等情。

｜被告一無故意、過失

17. 本件被告一於偵測異常 IP 侵入之 110 年 11 月 16 日前，曾於 110 年 9 月 8 日就系爭訂購系統為 Fortify 全系統弱點掃描，掃描結果［略］………各項檢驗結果均無相關問題，且於 110 年 11 月 5 日取得系統敏感資料數位簽章認證。

18. 再於偵測異常 IP 侵入後，由被告二於同月 18 日至 19 日委請訴外人精誠公司進行滲透測試服務，以國際標準之 OWASP、OSSTMM 以檢測網際網路弱點，並僅於主機服務掃描時，查覺 1 項中風險弱點並警示注意，其於就網站服務滲透均無發現異常，足見被告一所使用由被告二建置管理之系爭訂購系統，已於事情盡其可能防堵外部入侵，並於事後查覺異常 IP 侵入之數日內已再度為弱點檢測。

19. 交通部觀光局 111 年 12 月 9 日之回函亦以：雖個資外洩事件係因被告二之系爭訂購系統遭駭客入侵所致，被告一於個資外洩前後皆採行相關因應措施及處置，除於事前曾要求被告二加強個資防護措施，事後即通知疑似遭個資外洩之全數消費者相關防詐騙訊息及情事，另加強飯店本身各項個資安全防護機制且持續進行改善，尚符個人資料保護法相關規定等情，並就「主管機關就個資外洩事件判斷是否違反個資法」部分，調查結果表示「否」。

20. 數位發展部數位產業署 112 年 1 月 13 日之回函，亦以：平時被告二已有相關資料維護措施，包括：

• 事前：已強制廠商登入位置綁定、AES-256 加密機制針對廠商帳號密料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與 RSA 私鑰管理、限定防火牆規則僅特定 IP 及帳號密碼始得進入、Linux主機使用防毒體 Clam AV、辦公室環境以 ESET 防毒軟體監控，以及伺服器安裝關貿網路EDR端點防護、訂定個資及資安政策文件等；
• 事發：已採取因應措施：包含立即向檢警單位報案、於 110 年 8 月 31 日及 11 月 16 日以 email 通知遭個資外洩之旅宿業者客戶與官方網站宣導消費者資安觀念等。
• 事後：採取改善措施：包含強制客戶加入 Email 驗證、實施一次性動態密碼 （OTP）、鎖定 IP 且強制客戶登入皆須要驗證 IP、Fortify 全系統弱點偵測掃描、公司電腦全面安裝關貿網路 EDR 端點防護、110 年 11 月修補後透過精誠資訊進行網頁弱掃測試、111 年 9 月 14 日透過 Nessus 進行主機掃描、取得 ISO27001 資訊安全管理證書等情，亦徵被告一已於事情、事後均本於防止系爭訂購系統之用戶個資被竊之相關措施，自難認原告個資外洩一事係因被告一之過失行為所致。

｜通報義務

21. 又關於非公務機關之用戶個資遭竊取之通報義務，依據前開個資法 §12 係以「非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害」為前提，故非公務機關倘並無違反個資法之規定，本即與該通知義務之前提不合，則本件被告一既如前開認定，並無因過失違反個資法之情節，自無庸負擔該通報義務；更遑論被告一之官方網站首頁，實早於 110 年 8 月 28 日，即於原告最後一次使用系爭訂購系統訂購溫泉票之 110 年 11 月 3 日前，已有「貼心提醒防範詐騙公告」之公告，且該公告已記載詐騙手法包括「謊稱為飯店系統遭駭客入侵，訂單被改為團體訂單會遭到扣款，並再次謊稱為銀行人員要求解除款項，以及操作銀行轉帳」之內容，自已透過上開合理方式警示用戶即原告。

22. 另兩造均不爭執原告亦曾於 111 年 1 月 5 日、8 日、12 日、19 日、2 月 21 日持續接獲被告一之防詐騙簡訊等情，自難認被告一有何違反個資法 §12、個資法施行細則 §22 之通報義務之情形。

23. 從而，被告一既無違反個資法或侵權行為之過失，自無庸依前揭規定負損害賠償責任，則就賠償金額應為若干、被告一所為與有過失之抗辯是否可採，自無庸再予審究。

IV 致受損害——因果關係

V 損害賠償

VI 刪除個資

24. 按個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料，個資法 §11 III、IV 分別定有明文。

25. 經查，原告使用系爭訂購系統，係藉由該系統向被告一購買溫泉票之商品，乃有授權、同意被告一以系爭訂購系統儲存其個資；然原告已於 111 年 1 月 4 日以存證信函向被告一要求刪除個資，再以本件起訴狀向被告一為刪除並禁止利用原告個資之意思表示等節，被告一亦陳稱於收受前開存證信函後，已刪除原告除電話外之其他個資，且被告一亦已於 111 年 11 月 29 日收受起訴狀繕本，受領該意思表示等情，可見原告已無授權、同意被告一持續利用原告個資之意，應認原告前開授權業因上開意思表示而屆期。

26. 又被告一自認系爭訂購系統之個資存放於被告一，並持續保留原告之電話等節，參以個資法 §2 (1) 亦清楚定義個人之聯絡方式自屬個人資料之一環，自應由被告一，依原告之請求，刪除並停止利用原告留存於被告一系統中之聯絡方式。

27. 至原告主張被告二亦應為上開刪除與停止利用等節，然原告並未舉證證明其聯絡方式或其他個資仍保存於被告二之任何系統中，被告二亦已提出系爭訂購系統已無法查得原告其他個資之查詢結果翻拍畫面為據，自難認被告二亦留存原告之任何個資，是除經被告一自認仍保留原告聯絡方式並係存放於被告一訂購系統部分，應予刪除並停止利用外，原告逾此部分之請求，尚不可採。

高等法院 112 上 656_{（20240511 added）}

I 非公務機關

II 個資外洩

｜原告個資不是從信用卡銀行端外洩——GVRB 溫泉酒店官方網站？

28. 上訴人於遭詐騙後，曾於 111 年 1 月 4 日寄發存證信函給被上訴人一 GVRB 溫泉酒店，被上訴人一 GVRB 溫泉酒店遂於 111 年 1 月 24 日函覆上訴人，並於該函文中提及「……本公司線上訂票系統向來皆是委託…被上訴人二 MWT 公司建置與維護，客戶如欲線上訂購本公司票券皆需至該 MWT 平台進行操作，……本公司 110 年 11 月底接獲被上訴人二 MWT 公司通報後台偵測到異常 IP……」；再徵之上訴人因其利用系爭訂購系統遭個資外洩之情形向交通部觀光局陳情，經該局 111 年 12 月 9 日函覆其處理之相關卷證資料，其中監督通報紀錄表記載：「事件發生種類：竊取、個資侵害之總筆數（大約）資料庫外洩約 5,423 筆……」、「發生原因及事實摘要：…… 2. 該飯店（即被上訴人一 GVRB 溫泉酒店）於 110/11/16 日接獲被上訴人二 MWT 公司通知票券系統資料被駭客入侵，相關購買紀錄恐遭竊取……」、「個資外洩可能結果：……另票券系統經由被上訴人二 MWT 公司提出電磁資料洩漏紀錄預估 5,423 筆，恐為不法利用之風險。」，足徵被上訴人二 MWT 公司所建置管理之系爭訂購系統，確有於 110 年 11 月 16 日偵測到異常 IP，其資料庫遭駭客侵入竊取而洩漏個資約為 5423 筆。又上訴人係於上開個資外洩事件發生後之 110 年 12 月 21 日接獲上開詐騙電話，詐騙集團於電話中之對話內容已清楚掌握上訴人透過系爭訂購系統所輸入之系爭個資，堪認上訴人就其主張遭詐騙集團詐騙所用之個資，為系爭訂購系統所外洩乙節，已盡舉證之責，洵屬可採。

29. 被上訴人抗辯由數發部數位產業署 112 年 1 月 13 日函內容，可知自始至終僅發生「網站攻擊事件」，並非「個資外洩事件」，且該函所提 Log 紀錄雖顯示被上訴人二 MWT 公司有受到 SQL injection 之攻擊，但無法排除另有其他非法攻擊行為取得客戶個資之可能，而上訴人之個資亦非被上訴人獨有，故被上訴人二 MWT 公司系統遭到攻擊與上訴人之個資外洩並無相當因果關係云云。

30. 惟如前述，上訴人已證明其遭詐騙集團詐騙所用之個資，為系爭訂購系統所外洩，而被上訴人所舉上開函文僅係表示「無法排除另有其他非法攻擊行為取得客戶個資之可能」，並非確認上訴人之個資外洩係由其他非法攻擊行為所致，而非被上訴人二 MWT 公司之前述網站攻擊事件所致，不足據為反證證明上訴人遭詐騙集團詐騙所用之個資，非系爭訂購系統所外洩。被上訴人上開抗辯，洵屬無稽。

III 違反個資法規定

｜適當安全措施——被上訴人未證明已採取適當安全措施

31. 上訴人主張被上訴人一 GVRB 溫泉酒店未於個資外洩前就消費者個資親自採取適當安全措施、未於個資外洩前監督被上訴人二 MWT 公司平時採取相關資安措施；被上訴人二 MWT 公司未盡個資安全維護措施、未依照其制定之資安文件執行個資安全防護措施、未於事前採取適當之安全措施或防護作為，違反個資法第 27 條規定、觀光旅館業個人資料檔案安全維護計畫辦法（於 111 年 4 月 1 日廢止）、製造業及技術服務業個人資料檔案安全維護管理辦法第 8 條及被上訴人二 MWT 公司自行訂定之資安文件等情，為被上訴人否認，惟上訴人遭詐騙集團詐騙所用之個資，為系爭訂購系統所外洩，依上說明，自應由被上訴人舉證證明其就上訴人個資外洩乙事，並無違反個資法之故意或過失。

32. 被上訴人所提下列證據，並無法證明已盡採取適當安全維護措施之義務：

• 被上證 7：被上訴人二 MWT 公司透過測試帳號模擬登入，系統將針對 IP 來源進行白名單限制，並對非允許 IP 進行阻擋之截圖；被上證 10：AES256 加密機制針對廠商帳號密碼及個人資料截圖；被上證 11:多重伺服器分散資料；被上證 12:主機帳密權限控管與 RSA 私鑰管理；被上證13:限定防火牆規則僅特定 IP 及帳號密碼始得進入截圖，均僅有片段截圖，且有資料遭遮隱，無從辨識為系爭訂購系統及被上訴人上開抗辯之資料維護措施；
• 被上證 14:ClamAV 維基百科介紹，僅為網頁就 ClamAV 應用程式之介紹；
• 被上證 15：被上訴人二 MWT 公司資訊安全管理政策、被上證 16：被上訴人二 MWT 公司個人資料保護管理政策，均屬抽象之管理規範，非就系爭訂購系統所為之具體維護措施；
• 被證 8：關貿 EDR 雲服務交貨確認表、被證 9：關貿網路 EDR 端點防護說明、被證 10：「精誠全盤滲透報告」、「MWT滲透報告書 210.241.131.226 Nessus」、「MWT 滲透測試報告書」、被上證 19：被上訴人二 MWT 公司就 XSS 攻擊提出之改善方式，均屬 110 年 11 月 16 日系爭訂購系統資料庫遭駭客侵入竊取個資後所為，亦未見與被上訴人二 MWT 公司就個資外洩前之管理維護系爭訂購系統行為，有何關聯性。

33. 是以，被上訴人所提上開資料，均無法證明被上訴人二 MWT 公司就其管理維護之系爭訂購系統所保有之上訴人個資，已盡採取適當安全措施之責，被上訴人上開抗辯，即無足取。上訴人主張被上訴人二 MWT 公司就其系爭個資外洩而遭詐騙集團不法利用，有違反個資法第 27 條第 1 項規定之疏失，洵屬可採。

34. 至數發部 112 年 1 月 13 日函固認:「本署檢視前揭所復內容暨佐證資料，認為被上訴人二 MWT 公司之平時維護措施尚稱妥適，亦於 110 年 8 月及 11 月事件發生時之應變措施尚屬合宜，並持續精進其個資安全管理措施，且已依照本署要求補充相關佐證資料，該公司之改善措施亦尚稱合理。」，惟數發部之調查程序與訴訟事件程序不同，且其認定並無拘束本院之效力，被上訴人抗辯應援引數發部上開函文及 112 年 7 月 28 日函檢送之相關資料為有利被上訴人之認定云云，亦非可取。

｜被上訴人一 GVRB 溫泉酒店具有故意、過失

35. 被上訴人抗辯被上訴人一 GVRB 溫泉酒店委由被上訴人二 MWT 公司開發電子票證業務並管理客戶資料，已盡其選任及監督義務云云。

36. 惟查，系爭訂購系統之消費者個資係存放於被上訴人一 GVRB 溫泉酒店，上訴人之系爭個資確曾輸入系爭訂購系統使用，且會保留於該系統中，被上訴人一 GVRB 溫泉酒店就其所保有之上訴人系爭個資，即應採行適當之安全措施，防止其個資被竊取或洩漏，則被上訴人一 GVRB 溫泉酒店委由被上訴人二 MWT 公司管理維護系爭訂購系統，亦應對被上訴人二 MWT 公司為適當監督。

37. 而被上訴人所提被上證 17：被上訴人二 MWT 公司官方網站首頁、被上證 18：被上訴人二 MWT 公司擁有多項專利，均為被上訴人二 MWT 公司之單方資料，無法據以證明被上訴人一 GVRB 溫泉酒店於上訴人系爭個資遭竊外洩前，已就被上訴人二 MWT 公司管理維護系爭訂購系統，為適當監督之行為，被上訴人上開抗辯，不足採信，上訴人主張被上訴人一 GVRB 溫泉酒店就其系爭個資外洩而遭詐騙集團不法利用，有違反個資法第 27 條第 1 項規定之疏失，亦屬可採。

38. 至交通部觀光局 111 年 12 月 9 日回函固認：「…被上訴人一 GVRB 溫泉酒店於個資外洩前後皆採行相關因應措施及處置，除於事前曾要求被上訴人二 MWT 公司加強個資防護措施…加強飯店本身各項個資安全防護機制且持續進行改善，尚符個人資料保護法相關規定…」，並於「主管機關就個資外洩事件判斷是否違反個資法」部分，調查結果表示「否」，惟交通部觀光局之調查程序與訴訟事件程序不同，且其認定並無拘束本院之效力，無從據為有利被上訴人之認定。

39. 綜前，被上訴人對於系爭訂購系統保存上訴人之系爭個資未盡適當安全維護措施，致系爭個資外洩而遭詐騙集團不法利用，違反個資法第 27 條第 1 項規定，係有過失；又系爭個資為上訴人個人基本資料與消費資料，均屬上訴人之隱私及個資自主範疇，故上訴人主張被上訴人不法侵害其隱私權、個資自主權，應為可採。

IV 致受損害——因果關係

｜上訴人請求被上訴人賠償受詐騙集團詐騙之財產損失，有無理由？

40. 按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。且所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院 98 台上 673）。

41. 查被上訴人不法侵害上訴人之隱私權、個資自主權固如前述，惟上訴人受有 9 萬 9987 元財產損害係因遭詐騙集團施以詐術，致其陷於錯誤，而依詐騙集團指示於 110 年 12 月 21 日以跨行轉出 9 萬9987 元至指定之帳戶，上訴人之財產損失係因詐騙集團成員積極實施詐騙行為所致，即被上訴人上開不法侵害上訴人隱私權、個資自主權之行為，在一般情形下，並不必然會發生上訴人受詐騙且受有財物損失之侵害結果，此亦可由系爭陳情事件之監督通報紀錄表記載資料庫外洩約 5423 筆，然發生財損案件僅 1 筆足佐，即被上訴人之過失行為與上訴人之財物損失結果間，難謂有相當因果關係。

42. 依上說明，上訴人依個資法第 29 條、民法第 184 條第 1 項前段、第 2 項、民法第 185 條規定，請求被上訴人應就其遭詐騙所受損失 9 萬 9987 元負連帶賠償之責，洵非可採。

V 損害賠償

｜非財產上損害賠償

43. 按非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。依前項規定請求賠償者，適用前條第二項至第六項規定；又被害人雖非財產上之損害，亦得請求賠償相當之金額。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。為個資法第 29 條、第 28 條第 2、3 項所規定。準此，被上訴人不法侵害上訴人隱私權、個資自主權，致上訴人系爭個資為詐騙集團不法利用，則上訴人主張其因此而耗費時間心力為申訴，過程飽受煎熬，並需持續擔心個資遭他人不當使用，受有精神上之痛苦，自堪採信。是上訴人依前揭規定請求被上訴人賠償非財產上損害，即屬有據。

44. 按慰撫金之賠償，其核給之標準固與財產上損害之計算不同，然非不可斟酌雙方身分、資力與加害程度，及其他各種情形核定相當之數額（最高法院 51 台上 223 判例），是慰撫金之多寡，應斟酌雙方之身分、地位、資力、加害之程度、被害人所受之痛苦及其他各種情形，加以核定。

45. 爰審酌上訴人教育程度、年齡、身分、地位及兩造經濟狀況，被上訴人加害之態樣為過失侵害上訴人隱私權、個資自主權、上訴人所受精神上痛苦之程度等，認上訴人請求被上訴人賠償非財產上損害即慰撫金2萬元，核屬適當。

｜不真正連帶債務

46. 按不真正連帶債務係謂數債務人具有同一目的，本於各別之發生原因，對債權人各負全部給付之義務，因債務人中一人為給付，他債務人即應同免其責任之債務（最高法院 89 台上 2240）。

47. 查上訴人請求被上訴人賠償慰撫金 2 萬元，固屬有據，惟被上訴人二 MWT 公司就其管理維護之系爭訂購系統所保有之上訴人系爭個資，未盡採取適當安全措施之責；被上訴人一 GVRB 溫泉酒店於上訴人系爭個資遭竊外洩前，未就被上訴人二 MWT 公司管理維護系爭訂購系統，為適當監督之行為，其二人過失行為不同，然所致上訴人損害及給付目的係屬同一，對上開慰撫金各負全部給付之責，而為不真正連帶債務，依前揭說明，因債務人中一人為給付，他債務人即應同免其責任之債務。是上訴人主張被上訴人應依民法第 185 條規定，負連帶損害賠償之責，並不可採。

48. 從而，上訴人依個資法第 29 條規定，請求被上訴人應分別給付2萬元及均自 111 年 11 月 30 日起至清償日止，按年息 5% 計算之利息；如被上訴人任一人為給付時，另一被上訴人於其給付範圍內免給付義務，係屬有據，逾此即無理由。 

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。