個資外洩｜案例 37｜2022 E 購書網站——第一案

20230501（V01）｜池泰毅律師

原告主張：(1) 原告於民國 110 年 11 月 7 日首次於被告所經營之「○○線上」網購數本書籍，而於同年 12 月 14 日下午 16 點 53 分時，接獲詐騙電話；(2) 原告一度懷疑此或許是詐騙，但自稱是被告會計部門的張小姐為取信於原告，不僅唸出原告之個資，而且也唸出原告在 110 年 11 月 7 日於「○○線上」網購的品項詳細內容與消費金額；(3) 況且自該日網路購物後，迄至同年 12 月 14 日原告接獲此通來電為止，長達一個多月的期間內，被告從未寄發任何示警其資安系統曾遭受攻擊或慎防詐騙之簡訊或電子郵件予原告。(4) 在原告遭受詐騙並於當晚報警後，事隔兩日被告方才發送簡訊警示慎防詐騙，致使原告遭受詐騙，損失金額高達 389,018 元。

裁判案號

01. 第一審｜台北地院 111 北簡 3221（主文：原告之訴駁回）

台北地院 111 北簡 3221

I 非公務機關

II 個資外洩

02. 原告雖提出派出所受（處）理案件證明單為證，惟該證明單只能證明原告曾有報案之事實，無法證明其個資遭洩之行為態樣，均未指出該駭客行為人為何人、在何地、如何竊取資料（即行為態樣是下列之何者，如：盜用使用者權限、利用網路傳輸之漏洞、利用安全設計上之缺失或破壞安全防護網等等）之事實，原告僅憑前揭主張已難盡信。

03. 更何況，原告於起訴狀雖主張因詐騙集團有唸出原告的個資，致其誤信詐騙集團說詞云云，經查詢相關交易紀錄，原告確實於 110 年 11 月 7 日有在被告經營之「○○線上」網站購物，但原告所主張詐騙集團所掌握的交易資料，經比對亦有數項與被告所核對的實際交易資料不符者，因此詐騙集團所持有的原告個資是否來自於被告，亦顯然未經確認或證實。

04. 例如：原告於「○○線上」網站是以台北富邦的信用卡消費，此點已與原告所陳稱詐騙集團掌握其交易資料且告知會自其國泰世華帳戶扣款並安排謊稱國泰世華客服人員施行詐術的事實不一致；加以，原告於起訴狀陳稱，詐騙集團告知原告簽收包裹等同於在批發商同意書上簽名云云。惟實際上該包裹是由原告大樓的警衛收受並在快遞員之送件單上回蓋收發章，原告並未曾簽收任何文件。故詐騙集團告知原告之資訊，已與前述之紀錄不符，則詐騙集團所持有的原告個資顯然不是來自於被告，容屬有疑。

05. 更何況，現今詐騙集團犯行猖獗，可以各種手段獲取社會大眾各類網路購物資訊，作為行騙對象，故相關資料可能來自於外部詐騙份子入侵原告之個人電腦、手機、物流網站電腦系統、甚或以各種方式搜集資訊拼貼而成。故原告僅以詐騙集團提出與實際交易紀錄有多處不同之資訊，即認為被告公司有個資外洩之情事，其主張顯然仍屬臆測，亦無依據。

06. 原告雖提出報載之事實陳稱乃被告洩漏個資云云。惟報載之事實究否為真無法確定；且報載之事實均未指出該駭客行為人為何人、在何地、如何竊取資料（即行為態樣是下列之何者，如：盜用使用者權限、利用網路傳輸之漏洞、利用安全設計上之缺失或破壞安全防護網等等）之事實，原告僅憑報載之資料任意臆測之主張已難盡信。

III 違反個資法規定

07. 本院審酌被告蒐集或處理原告之個人資料，乃個資法 §19 (5)：「…經當事人同意…」，並未違反該法；而原告主張之個資外洩，行為人乃駭客而非被駭客攻擊之人，因此，亦非被告不當利用原告個資，並未違反該法。

08. 何況，對己義務之違反需有法律明文規定始能謂之，如同竊賊竊取某 Α 之物品，再以該物品詐騙原告，原告竟反要某 Α 負擔共同侵權行為責任一般，無異加重個人對己義務之責任，亦即，只要未違反保護他人之法律，不因是否為網路交易而有不同，從而，原告之主張實與現行法規範不符，亦有悖國民感情，原告之主張實難憑採。

IV 致受損害——因果關係

V 損害賠償

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。