個資外洩｜案例 38｜2022 DCL 運動商品網站

20230502（V01）｜池泰毅律師

原告主張：其於 108 年 3 月間使用被告線上平台購物，輸入姓名、生日、手機、地址、電郵等個人資料加入會員。然被告未採行適當安全措施妥善保管原告之個人資料，竟將之外洩，致原告於 111 年 5 月 18 日接獲詐欺集團來電佯稱被告系統被駭，原告會員資料疑遭竄改，被加入高級會員，會有低消扣款，如欲取消高級會員資格，需依指示操作網路銀行辦理云云。原告因而陷於錯誤，依詐騙集團之指示陸續於附表所示時間匯出款項共計 571,573 元，而受有財產上損害，並因個人資料外洩受有精神上痛苦。爰依個資法 §29 I、II、28 II 規定，請求被告賠償財產上損害571,573元，及非財產上損害20,000元。

裁判案號

01. 第一審｜台中地院 111 訴 2708（主文：被告應給付原告 59,157 元）

台中地院 111 訴 2708

I 非公務機關

II 個資外洩

02. 被告之網站平台因原告之購物行為而取得原告之個人資料，並進而將該個人資料記錄、儲存而保有之，被告就原告因遭詐騙而匯出款項亦不爭執。

03. 觀之臉書留言內容及系爭反詐騙公告所列舉之詐騙集團手法，與原告遭詐騙之情節（詐騙集團知悉原告姓名及曾購買褲子，並要原告取消會員升級服務等）相符，是被告客戶之個人資料外洩，顯非單一個案；綜合 111 年 1 月至 9 月間冒用被告名義詐騙而通報之案件數高達 500 餘件，及被告自 111 年 4 月 25 日起至同年 9 月 18 日止，連續遭刑事警察局公告為「解除分期付款詐騙」類型之高風險賣場等情，堪認詐騙集團所利用之原告個人資料，係自被告保有之個人資料洩漏，被告空言泛稱係詐騙集團透過其他管道取得云云，要無可取。

III 違反個資法規定

04. 被告抗辯伊已盡適當之安全維護措施，並提出被告伺服器之安全群組配置頁面截圖及中文註解、內部管理程序清單、被告 111 年 5 月 24 日回覆經濟部函文、被告資訊安全防護措施列表、被告與合作廠商間關於個人資料保護約定條款節本等為證。

05. 惟依被告伺服器之安全群組配置頁面截圖及中文註解，顯示其安全群組建立時間為 109 年 3 月 12 日，嗣被告於最後一次編輯日期為 110 年 8 月 9 日之內部管理程序清單中，關於資訊安全架構項目，仍有「使用者登錄控制管理政策」、「配置政策」、「漏洞及維護政策」、「風險分析政策」、「系統 & 通信完整性政策」等項目，尚在「擬訂中」，自難謂被告於原告受騙前，關於保有個人資料所採取之安全措施為適當。

06. 又被告所提之資訊安全防護措施列表及 111 年 5 月 24 日回覆經濟部之函文內容，係因經濟部於 111 年 5 月 9 日函請被告將疑有個人資料外洩而違反個資法一事查明，乃由被告事後自行製作，此為被告所自承，尚難執為被告於事前已盡適當安全維護措施之認定。

07. 況且，依被告所提疑似個資外洩事件發生後之後續強化措施清單，亦有「進一步限縮可以訪問訂單管理系統的 IP 位址」、「訂單管理系統與物流廠商間的資料傳輸，在原本限定傳送來源及目的外，再對傳輸資料進行加密」等措施，益見被告於原告受騙時所採取之安全措施，尚有應加強之處。

IV 致受損害——因果關係

08. 按損害賠償之債，固以有損害之發生及有責任原因之事實，並兩者之間，有相當因果關係為成立要件，惟所謂相當因果關係，係指無此行為，雖必不生此結果，但有此行為，按諸一般情形即足生此結果者而言。須無此行為，必不生此結果，有此行為，按諸一般情形亦不生此結果，始得謂為無相當因果關係（最高法院 83 台上 2261）。

09. 本件第三人利用被告未採行適當安全措施之機會，取得被告所保有之會員個人資料（含會員購買紀錄），一般而言即係做為非法用途，而詐欺集團取得上開個人資料後，即假冒被告名義利用該個人資料以詐騙包含原告之被告會員，致原告受騙而受有損害。

10. 故被告未採行適當安全措施以防止其保有之包括原告之個人資料洩漏之行為，按諸上開一般情形，即足生原告因遭詐欺集團利用其個人資料而受騙致生損害之結果，兩者間應具有相當因果關係。

V 損害賠償

11. 原告因被告違反個資法 §27 I 規定，遭詐騙集團以假冒被告人員等名義，騙取 571,573元，且原告之隱私權亦遭侵害，精神上自受有痛苦，則原告依同法 §29 I 規定，請求被告就上開財產損失 571,573 元負損害賠償責任，並請求被告賠償非財產上之損害，自屬有據。

12. 本院審酌原告為碩士畢業，職業律師，月收入約 8 萬元，名下無不動產及車輛但有多筆投資，110 年有薪資、利息、投資收入等；被告為銷售運動用品之知名廠商，資本總額達 696,000,000 元，及本件侵害情節等一切情狀，認原告請求被告賠償非財產上損害 2 萬元，應屬相當。故原告得請求被告賠償之金額，合計為 591,573 元。

｜與有過失｜原告 90%

13. 按損害之發生或擴大，被害人與有過失者，法院得減輕賠償金額，或免除之，民法 §217 I 定有明文。

14. 原告因被告所保有之個人資料洩漏遭詐騙集團利用而受騙，致受前開損害，然衡以現今社會詐騙集團橫行，遭詐騙事件層出不窮，電視新聞、報章媒體多年來均對此類事件多所報導及分析。

15. 再者，內政部警政署刑事警察局自 111 年 4 月 25 日起至同年 9 月 18 日止，連續將被告公告為高風險賣場，該公告並一併記載：「上述（指被列為高風險之賣場）客服不會來電要求您操作網路銀行或 ATM 解除錯誤設定。千騙萬騙離不開 ATM」等語；而原告為碩士畢業，職業為律師，並曾承辦詐騙集團之相關案件，為具有相當智識之成年人，是原告縱未收到被告所發送含有系爭反詐騙公告之簡訊或電子郵件，亦應有相當之警覺性。

16. 原告於 111 年 5 月 18 日接到詐欺集團以電話聲稱其會員資料遭竄改而被加入高級會員之時，就此非常態事實，非不得拖延時間上網求證，即可獲悉被告已於 111 年 4 月 26 日在官網或臉書粉絲團所刊登系爭反詐騙公告，卻又在長達約 7 個小時之內陸續匯款與詐騙集團，應認原告就本件損害之發生及擴大亦有過失。

17. 本院斟酌上開事件過程之一切情狀，認原告應負擔 90% 之過失責任，被告應負擔 10% 之過失責任，始為公允，依此過失比例減輕被告之賠償金額，則原告所得請求之賠償金額為 59,157 元。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。