損害賠償111年度竹東簡字第48號
臺灣新竹地方法院民事簡易判決
111年度竹東簡字第48號
原 告 蔡和成
被 告 威尼斯國際事業股份有限公司
法定代理人 沈鑫堯
訴訟代理人 賴安國律師
劉彥廷律師
複 代理人 徐銳軒律師
上列當事人間損害賠償事件,本院於民國112年8月18日辯論終結
,判決如下:
主 文
原告之訴駁回。
訴訟費用由原告負擔。
事實及理由
一、原告主張:
(一)原告於民國109年12月12日下午3時31分在被告經營之威尼
斯溫泉露營地訂房網站輸入手機號碼、信用卡卡號等個人
資料(下稱個資),並使用信用卡預訂110年1月15日住宿
。被告向訴外人揚京快客行銷有限公司(下稱揚京公司)租
用虛擬主機空間,並自行管理網站後臺進行網路行銷與預
訂服務,後臺之訂單管理及上傳資料均由其管理,客戶個
資亦係存放於其自行管理之後臺虛擬空間,被告應採行適
當之安全措施,防止客戶個資被竊取或洩漏,詎被告竟疏
於資安維護,造成原告個資洩漏遭詐騙集團利用,致原告
於同年月29日下午6時35分接獲假冒被告員工來電訛稱因
訂房信用卡扣款有誤,需請銀行聯繫退款,其後又接獲假
冒渣打商業銀行客服來電稱要進行退款,使原告陷於錯誤
,而依詐騙集團指示於附表所示時間操作網路銀行及ATM
自動櫃員機匯款如附表所示金額,致原告受有遭詐騙金額
新臺幣(下同)283,115元之損害。依臺灣新竹地方檢察
署檢察官110年度偵字第4222號不起訴處分書(下稱系爭不
起訴處分書)記載被告法定代理人在案發後有確認內部有
無外洩資料,並與揚京公司查證,該公司回覆沒有異樣,
被告於同年月29日下午2時7分在臉書張貼公告暫時關閉官
網訂位系統訂位服務功能,均說明被告已承認客戶個資係
經由其訂房網站外洩。又依其於109年12月28日下午5時15
分臉書貼文留言有多名客戶反映接獲詐騙電話,相近時間
其網站經通報高風險賣場(平臺)之件數為7件,在相近期
間內有多名客戶接獲詐騙電話及其同時於臉書貼文提醒,
且原告訂房個資僅其保有,依經驗法則,足證原告個資係
來自被告訂房網站外洩,與原告遭詐所受損害有相當因果
關係。另被告於109年12月28日下午5時15分在臉書貼文提
醒客戶,顯見其於斯時前即知悉訂房資料遭詐騙集團盜用
進行詐騙之情事,竟未及時致電或以簡訊提醒客戶,迨至
同日晚間10時22分原告方接獲被告簡訊,遲至110年1月1
日15時33分證人即訴外人劉珮琪才收到簡訊,甚且被告自
109年12月28日起至110年1月1日止花費5日才完成1,900封
簡訊傳送,足認被告知悉個資外洩未採取有效補救措施通
知客戶。被告未採行適當安全措施,違反個人資料保護法
(下稱個資法)第27條第1項規定,且於察覺個資外洩後,
未採取積極合宜補救措施,違反個資法第12條規定,以適
當方式通知當事人,致使原告遭詐騙受損害,自應依個資
法第29條適用同法第28條第2至第6項、民法第184條規定
,負損害賠償之責。
(二)依揚京公司111年7月11日函文內容可知案發時網站後臺並
非兩段式驗證登入、訂單頁面及資料未使用馬賽克遮蔽、
信箱及後臺帳號及密碼須更新等資安問題,且該公司共用
主機之其他客戶未反映有問題或遭入侵之跡象,足證該公
司認為被告客戶個資外洩與該公司無關,更證有可能是由
被告自行管理之後臺外洩。被告辯稱已建立客戶個資適當
之安全措施云云,然被告訂房網站有諸多資安問題,已如
前述,且甲證二至五均證實因被告對個資保護未盡完善,
致使多名客戶接獲詐騙電話甚或遭詐受害。又被告辯稱其
無個資法第12條通知義務云云,然被告自承其於109年12
月29日報案前一日即開始傳送簡訊通知客戶,顯然違背其
所稱需查明後以適當方式通知當事人之前提,且其於109
年12月28日至110年1月1日間傳送近1,900封簡訊予客戶,
可知其知悉訂房個資遭竊取洩漏,因而採取補救措施。
(三)被告辯稱原告所受損害與侵權行為、洩漏個資行為間無相
當因果關係云云,然參照最高法院102年度台上字第31號
判決意旨,被告在臉書張貼公告及傳送簡訊予客戶,乃係
因認定個資外洩行為會有造成客戶受詐騙之危險,於此因
果關係確立,並參照最高法院98年台上2035號判決意旨,
證人即訴外人劉珮琪、沈祐安同向被告訂房,且於相近時
間接獲詐騙電話而遭詐受害之事實,當可推認被告外洩個
資行為與客戶遭詐間之因果關係存在。
(四)被告辯稱信用卡退款與交易明細及來電不同云云,然原告
訂房日期與接獲詐騙電話日期甚近,信用卡月結帳單尚未
出帳,屬未入帳消費無明細可查,詐騙集團電話號碼與被
告僅差1碼,並使用扣款有誤、需登入網路銀行身分認證
解鎖等話術,並非直接要求退款。
(五)綜上,爰依法提起本件訴訟,並聲明:㈠被告應給付原告2
83,115元。㈡訴訟費用由被告負擔。
二、被告則以:
(一)原告未舉證其遭詐騙時之個資係來自被告訂房網站,及被
告違反個資法規定之事實。被告向訴外人揚京公司租用虛
擬主機空間,該空間由該公司代管,依揚京公司111年7月
11日函文:「...威尼斯主機由揚京快客代管。(主機設
備空間廠商中華電信機房)...因這台主機有很多客戶,
並沒有其他客戶反映有問題也沒有遭入侵的跡象」,及系
爭不起訴處分書:「我們也向管理我們露營區網站的公司
查證,對方也回復沒有異樣...」且依系爭不起訴處分書
認定被告從未提供、洩漏原告個資予詐騙集團,況且原告
並未提出其與詐騙集團之對話內容或其他相關證據,而原
告所提之臉書貼文、165反詐騙統計資料均不足證明其個
資係來自被告訂房網站。原告於109年12月12日預訂住宿
後,被告於同日將住宿資訊回覆於原告之電子信箱,尚難
排除係由外部詐騙分子入侵原告個人電腦方式取得訂房資
料。
(二)被告開始營運起至109年12月27日期間,客戶向被告預訂
住宿後,未曾向被告反應異常退款。且除被證2、3規範外
,被告不定時對內宣導資安重要性。自107年9月30日起被
告即購買安裝正版微軟系統迄今,系統內建防火牆等防毒
軟體系統,未曾通知有任何異常使用情況。且當客戶預訂
住宿時,客戶填寫資料會直接存放於被告向揚京公司租用
之虛擬空間,被告需查看資料時,透過該公司提供之網址
連結,點擊後進入虛擬空間,由被告與揚京公司之資料分
隔、合作模式可知,被告既無必要、事實上電腦亦無存放
客戶個資,故被告蒐集或處理原告個資已建立客戶個資適
當安全措施,未違反個資法規定。退萬步言,倘(非自認
)被告因未妥善保有個資,致詐騙集團侵入,使原告個資
外洩,原告應向詐騙集團請求損害賠償。而訴外人劉珮琪
與沈祐安之證詞均不足以證明詐騙集團所持有之原告個資
來自被告訂房網站。
(三)被告知悉客戶資料洩漏,與被告是否有違反個資法尚屬有
間,被告迄今仍無法查明是否有違反個資法之情,顯然被
告無個資法第12條通知義務,且被告在未確定是否違反個
法、洩漏個資之情況下,仍依該規定立法理由所示適當通
知方式,於109年12月28日上午1時15分許即在官網張貼公
告,並向警方報案尋求司法協助。且被告電腦從未出現第
三人侵入或盜用之警語,揚京公司亦無向被告反映異樣,
被告於109年12月28日獲悉客戶詢問匯款、退款相關資訊
後,隨即在官網上發布公告,並於同日下午7時11分起至1
10年1月5日期間確實以電話回應客戶,並傳送1,900封簡
訊予109年8月31日起至110年5月15日止向被告預訂住宿客
戶,同時通知關閉訂房網站,嗣於109年12月29日14時7分
再度發布公告,並於同日15時9分向新竹縣政府警察局橫
山分局內灣派出所報案。被告亦向員工調查有無洩漏個資
,員工已有簽立切結書表示沒有,揚京公司亦回覆沒有任
何異樣,上開事實亦與系爭不起訴處分書相符。
(四)退萬步言,倘(非自認)原告遭詐騙時之個資係來自被告訂
房網站,或被告有違反個資法之規定,惟原告遭詐騙受有
損害與本件侵權行為、洩漏個資等行為間亦無相當因果關
係。原告為成年人,並已使用信用卡為社會交易,應明知
因店家誤刷需退刷溢繳款項時,信用卡交易明細均有紀錄
,該溢繳款項只能退款至原本之信用卡內,顯見客戶持卡
消費後再至ATM辦理扣款或退款極不合理。再者,原告明
知被告、渣打銀行之聯絡電話與詐騙集團來電顯示號碼不
同,且詐騙集團向原告指示操作輸入之「訂單號碼」為匯
款之人頭帳戶帳號(即合作金庫、國泰世華、中華郵政、
花蓮第二信用合作社、玉山銀行帳戶等號碼),顯與原告
訂單號碼不同,詐騙集團向原告指示操作輸入之「取消代
碼」為匯款予人頭帳戶金額,與其住宿訂金2,100元亦不
同,再者,網路銀行或ATM操作頁面均無「訂單號碼」、
「取消代碼」選項,原告稍加提高注意即可避免遭詐騙。
由原告遭詐騙之情節,與客觀上交易應有之流程或資訊存
有諸多不符之處,原告遭詐騙恐為原告個人疏忽,或詐騙
集團積極實施詐騙行為所致。衡諸一般情形,資料外流並
不必然發生客戶受詐騙受有財物損失之侵害結果,原告財
物損失應係個人疏忽或詐騙集團積極實施詐騙行為所致。
倘(非自認)認被告違反個資法,請審酌原告就損害之發生
或擴大亦有過失。
(五)綜上,爰答辯聲明:㈠原告之訴駁回。㈡訴訟費用由原告負
擔。㈢如受不利判決,願供擔保請准宣告免為假執行。
三、本院之判斷:
(一)按個人資料保護法旨在保護個人資料上之人格權,並促進
個人資料之合理利用,該法第12條、第27條第1項、第29
條第1項分別規定:「公務機關或非公務機關違反本法規
定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查
明後以適當方式通知當事人」;「非公務機關保有個人資
料檔案者,應採行適當之安全措施,防止個人資料被竊取
、竄改、毀損、滅失或洩漏」;「非公務機關違反本法規
定,致個人資料遭不法蒐集、處理、利用或其他侵害當事
人權利者,負損害賠償責任。但能證明其無故意或過失者
,不在此限」,可知非公務機關之賠償責任,係採過失推
定。另按因故意或過失,不法侵害他人之權利者,負損害
賠償責任。故意以背於善良風俗之方法,加損害於他人者
亦同。違反保護他人之法律,致生損害於他人者,負賠償
責任。但能證明其行為無過失者,不在此限。由此足見個
資法與民法就上開損害賠償規範之內容雖有所不同,個資
法可認為民法之特別規定。然按損害賠償之債,以有損害
之發生及有責任原因之事實,並二者之間,有相當因果關
係為成立要件。故原告所主張損害賠償之債,如不合於此
項成立要件者,即難謂有損害賠償請求權存在(最高法院
48年度台上字第481號裁判先例參照)。
(二)原告主張其於109年12月12日下午3時31分在被告之系爭訂
房網站訂房後,因被告洩漏其訂房資訊個資,致詐騙集團
利用該洩漏之原告訂房資訊個資,於同年月29日下午6時3
5分假冒被告員工來電向其施用訂房信用卡扣款有誤,需
聯繫退款之詐術,使其陷於錯誤,而依詐騙集團指示匯款
,致遭詐騙受有283,115元財產上損失之事實,已據提出
威尼斯溫泉露營地訂購資料暨電子發票證明聯、臺灣新竹
地方檢察署檢察官以110年度偵字第4222號不起訴處分書
、臺灣花蓮地方檢察署檢察官110年度偵字第2793、1625
、1520、1359號起訴書、原告網路銀行轉帳截圖、ATM轉
帳交易明細翻拍照片等為證,並有本院依職權調取之臺灣
新竹地方檢察署110年度偵字第4222號詐欺案件案卷在卷
可稽。參以被告之法定代理人沈鑫堯於臺灣新竹地方檢察
署110年度偵字第4222號詐欺案件警詢及偵查中確陳稱:
「..109年12月28日16時00分許起,接獲多位客戶來電稱
有不明人士用本公司名義,向本公司已訂位客戶(含已入
住過及尚未入住客戶),透過客戶於本公司訂位系統留存
的資訊、訂房內容、匯款或刷卡紀錄等,謊稱訂金或刷卡
問題要求本公司客戶依據指示操作ATM匯款或線上匯款,
本公司得知已有兩名客戶受害..劉珮琪..沈佑安..」;「
(本件客戶資料外洩及相關客戶打電話給你們確認的那些
事情,是由誰處理?)我們開始是現場第一線的櫃檯、接
電話的人,後來他們有報告協理..因為他有告訴我人數比
較多,我就請他趕快打165詐騙專線,然後再..報案..(
客人當天反應有這件事,為何你們櫃台人員會跟客戶說看
網站之類的?)他們大概從沒碰過這種事,我們只是立刻
有跟客人說請他們向165報案」等情,且被告於109年12月
28日下午5時15分之後確陸續在尼斯溫泉露營地FACEBOOK
官方網站貼文提醒:「..已有透過我們官網線上預約系統
訂位刷卡付訂金成功的訂單,或匯款訂金回報成功無誤的
訂單,我們不會以電話或簡訊通知客人重新再刷卡或匯訂
,若有不知名的來電告知有刷卡重複..請不要..匯款操作
或提供信用卡卡號」;「目前公司已將官網訂位系統訂位
服務功能暫時關閉,以保障大家的個資安全..已連繫警局
進行備案..目前有來電確認客戶有敘述幾種詐騙內容..1.
會與您核對訂位入住相關資訊,及核對卡號或是帳號後4
碼。2.會向您說我們公司有多刷您的刷卡金額,所以要進
行退刷步驟,請你依照他的指示進行退刷。3.會說匯款沒
有成功,要做第2次匯款確認,要請你依照他的指示進行
第2次匯款。若有接到以上3種相關內容電話,千萬不要依
據電話指示操作..我們公司絕不會以電話要求客戶依指示
操作匯款..」等語(均參臺灣新竹地方檢察署110年度偵
字第4222號詐欺案件案卷),證人即被害人劉珮琪亦證述
其確因被告外洩訂房資訊個資,而被詐欺集團利用該外洩
之訂房資訊個資詐騙等情(參112年2月10日言詞辯論筆錄
),經核確均與原告主張被詐騙之情節相符,自堪認為原
告主張之事實確屬實在。被告否認原告遭詐騙時之訂房資
訊個資係來自被告訂房網站,並辯稱尚難排除係詐騙份子
入侵原告個人電腦取得訂房資料云云,則不足採信。
(三)查被告確由系爭訂房網站接受原告訂房而取得原告訂房資
訊個資,揆諸首揭規定,被告自有依個人資料保護法第27
條第1項、第12條之規定,先採行適當之安全措施,以防
止原告訂房資訊個資被竊取、竄改、毀損、滅失或洩漏,
並於原告訂房資訊個資被竊取、洩漏、竄改或其他侵害後
,應加以查明並以適當方式通知原告。如違反上開規定,
致原告訂房資訊個資遭不法蒐集、處理、利用或其他侵害
原告權利者,除非被告能證明其無故意或過失,否則即推
定為被告過失,依同法第29條、第28條第2項至第6項及民
法第184條規定,應負損害賠償責任,原告並得請求被告
賠償相當金額之非財產上損害。經查,被告雖辯稱蒐集或
處理原告訂房資訊個資已建立客戶訂房資訊個資適當安全
措施,且於109年12月28日上午1時15分許即在官網張貼公
告,並向警方報案尋求司法協助,並確實以電話回應客戶
,及傳送1,900封簡訊予預訂住宿客戶,同時通知關閉訂
房網站,已以適當方式通知當事人云云。然觀諸被告所辯
將系爭訂房網站外包交由廠商管理,系統內建防火牆等防
毒軟體系統,廠商未曾通知有任何異常使用情況,客戶個
資係直接存放於廠商之虛擬空間,被告電腦無存放客戶個
資等情,參諸個人資料保護法施行細則第12條第2項列舉
之措施,並以與所欲達成之個人資料保護目的間,具有適
當比例為原則之規定,顯難認被告就其先前取得包括原告
訂房資訊個資已有採行防止被竊取、竄改、毀損、滅失或
洩漏之適當安全措施。況被告既至遲於109年12月28日上
午1時15分許即知悉客戶訂房資訊個資被洩漏,且已有多
名客戶遭詐騙集團利用該洩漏之訂房資訊個資詐騙,則被
告自應即時通知包括原告在內之全部客戶,並告知訂房資
訊個資被外洩侵害之事實及所採取之因應措施,然被告竟
未即時通知包括原告在內之全部客戶,致原告於同年月29
日下午6時35分仍遭詐騙集團利用被洩漏之訂房資訊個資
詐騙,益見被告確有未盡個人資料保護法第12條、個人資
料保護法施行細則第22條所定之通知義務。據此,原告主
張被告違反個人資料保護法第12條、第27條第1項之規定
,不法侵害其訂房資訊個資隱私權,確堪足採信。至被告
上開所辯各節,則均不足採信。從而,被告保有原告之訂
房資訊個資,然未採行適當之安全措施,以防止原告之訂
房資訊個資被洩漏,又於客戶包括原告之訂房資訊個資被
洩漏後,未即以適當方式通知原告,致原告之訂房資訊個
資遭詐騙集團不法利用而受詐騙等情,即均足堪以認定。
被告復未能證明其無故意或過失,則原告主張被告違反個
人資料保護法第12條、第27條第1項規定,依同法第29條
、第28條第2項至第6項及民法第184條規定,應負損害賠
償之責,自屬有據。(按原告係依前開規定請求賠償財產
上之損害,並未請求非財產上之損害)。
(四)惟按,損害賠償之債,以有損害之發生及有責任原因之事
實,並二者之間,有相當因果關係為成立要件。故原告所
主張損害賠償之債,如不合於此項成立要件者,即難謂有
損害賠償請求權存在(最高法院48年度台上字第481號裁
判先例參照)。易言之,損害賠償之債,以有損害之發生
及有責任原因之事實,二者之間有相當因果關係為成立要
件,如二者之間無相當因果關係,即無損害賠償請求權存
在。所謂相當因果關係,係指依經驗法則,綜合行為當時
所存在之一切事實,為客觀之事後審查,認為在一般情形
下,有此環境、有此行為之同一條件,均可發生同一之結
果者,則該條件即為發生結果之相當條件,行為與結果即
有相當之困果關係。反之,若在一般情形上,有此同一條
件存在,而依客觀之審查,認為不必皆發生此結果者,則
該條件與結果並不相當,不過為偶然之事實而已,其行為
與結果間即無相當因果關係,不能僅以行為人就其行為有
故意過失,即認該行為與損害間有相當因果關係(按最高
法院98年度台上字第673 號判決要旨參照)。經查,被告
雖違反個人資料保護法第12條、第27條第1項之規定,而
不法侵害原告之訂房資訊個資隱私權,然衡諸一般情形,
被告外洩客戶之訂房資訊個資並不必然皆會發生客戶受詐
騙而損失財物之財產權被侵害結果。易言之,被告外洩原
告之訂房資訊個資固遭詐騙集團利用,然原告受詐騙集團
之詐騙受有財產權被侵害之結果,乃係詐騙集團施用詐術
之詐欺取財行為所致,而非被告外洩原告之訂房資訊個資
所致,故被告因過失不法外洩原告訂房資訊個資與原告被
詐騙受有財產權被侵害而損失283,115元之結果,即不得
謂有相當之因果關係。據此,被告固確有過失不法外洩原
告訂房資訊個資之原因事實,然被告因過失不法侵害原告
資訊個資之原因事實與原告所受283,115元財產損害之發
生間,既無相當因果關係,揆諸上開說明,原告就所受28
3,115元財產上之損害,仍不得謂對被告有損害賠償請求
權存在,原告自不得就其所受283,115元財產上之損害請
求被告負賠償責任。
(五)綜上,被告固確有違反個人資料保護法第12條、第27條第
1項之規定,然原告遭受詐騙所受283,115元之財產權損害
,與被告之過失行為間,既不能謂有相當因果關係,則原
告依個人資料保護法第29條第1項、民法第184條規定請求
被告賠償遭詐騙之財產上損害283,115元,即非有據,為
無理由,應予駁回。
四、本件判決之基礎已臻明確,兩造其餘之攻擊或防禦方法及所
用之證據,核均與本判決結果無影響,爰不一一予以論列。
五、訴訟費用負擔之依據:民事訴訟法第78條。
中 華 民 國 112 年 9 月 22 日
竹東簡易庭 法 官 汪銘欽
以上正本係照原本作成。
如對本判決上訴,須於判決送達後20日內向本院提出上訴狀。如
委任律師提起上訴者,應一併繳納上訴審裁判費。
中 華 民 國 112 年 9 月 22 日
書記官 范欣蘋
111年度竹東簡字第48號
原 告 蔡和成
被 告 威尼斯國際事業股份有限公司
法定代理人 沈鑫堯
訴訟代理人 賴安國律師
劉彥廷律師
複 代理人 徐銳軒律師
上列當事人間損害賠償事件,本院於民國112年8月18日辯論終結
,判決如下:
主 文
原告之訴駁回。
訴訟費用由原告負擔。
事實及理由
一、原告主張:
(一)原告於民國109年12月12日下午3時31分在被告經營之威尼
斯溫泉露營地訂房網站輸入手機號碼、信用卡卡號等個人
資料(下稱個資),並使用信用卡預訂110年1月15日住宿
。被告向訴外人揚京快客行銷有限公司(下稱揚京公司)租
用虛擬主機空間,並自行管理網站後臺進行網路行銷與預
訂服務,後臺之訂單管理及上傳資料均由其管理,客戶個
資亦係存放於其自行管理之後臺虛擬空間,被告應採行適
當之安全措施,防止客戶個資被竊取或洩漏,詎被告竟疏
於資安維護,造成原告個資洩漏遭詐騙集團利用,致原告
於同年月29日下午6時35分接獲假冒被告員工來電訛稱因
訂房信用卡扣款有誤,需請銀行聯繫退款,其後又接獲假
冒渣打商業銀行客服來電稱要進行退款,使原告陷於錯誤
,而依詐騙集團指示於附表所示時間操作網路銀行及ATM
自動櫃員機匯款如附表所示金額,致原告受有遭詐騙金額
新臺幣(下同)283,115元之損害。依臺灣新竹地方檢察
署檢察官110年度偵字第4222號不起訴處分書(下稱系爭不
起訴處分書)記載被告法定代理人在案發後有確認內部有
無外洩資料,並與揚京公司查證,該公司回覆沒有異樣,
被告於同年月29日下午2時7分在臉書張貼公告暫時關閉官
網訂位系統訂位服務功能,均說明被告已承認客戶個資係
經由其訂房網站外洩。又依其於109年12月28日下午5時15
分臉書貼文留言有多名客戶反映接獲詐騙電話,相近時間
其網站經通報高風險賣場(平臺)之件數為7件,在相近期
間內有多名客戶接獲詐騙電話及其同時於臉書貼文提醒,
且原告訂房個資僅其保有,依經驗法則,足證原告個資係
來自被告訂房網站外洩,與原告遭詐所受損害有相當因果
關係。另被告於109年12月28日下午5時15分在臉書貼文提
醒客戶,顯見其於斯時前即知悉訂房資料遭詐騙集團盜用
進行詐騙之情事,竟未及時致電或以簡訊提醒客戶,迨至
同日晚間10時22分原告方接獲被告簡訊,遲至110年1月1
日15時33分證人即訴外人劉珮琪才收到簡訊,甚且被告自
109年12月28日起至110年1月1日止花費5日才完成1,900封
簡訊傳送,足認被告知悉個資外洩未採取有效補救措施通
知客戶。被告未採行適當安全措施,違反個人資料保護法
(下稱個資法)第27條第1項規定,且於察覺個資外洩後,
未採取積極合宜補救措施,違反個資法第12條規定,以適
當方式通知當事人,致使原告遭詐騙受損害,自應依個資
法第29條適用同法第28條第2至第6項、民法第184條規定
,負損害賠償之責。
(二)依揚京公司111年7月11日函文內容可知案發時網站後臺並
非兩段式驗證登入、訂單頁面及資料未使用馬賽克遮蔽、
信箱及後臺帳號及密碼須更新等資安問題,且該公司共用
主機之其他客戶未反映有問題或遭入侵之跡象,足證該公
司認為被告客戶個資外洩與該公司無關,更證有可能是由
被告自行管理之後臺外洩。被告辯稱已建立客戶個資適當
之安全措施云云,然被告訂房網站有諸多資安問題,已如
前述,且甲證二至五均證實因被告對個資保護未盡完善,
致使多名客戶接獲詐騙電話甚或遭詐受害。又被告辯稱其
無個資法第12條通知義務云云,然被告自承其於109年12
月29日報案前一日即開始傳送簡訊通知客戶,顯然違背其
所稱需查明後以適當方式通知當事人之前提,且其於109
年12月28日至110年1月1日間傳送近1,900封簡訊予客戶,
可知其知悉訂房個資遭竊取洩漏,因而採取補救措施。
(三)被告辯稱原告所受損害與侵權行為、洩漏個資行為間無相
當因果關係云云,然參照最高法院102年度台上字第31號
判決意旨,被告在臉書張貼公告及傳送簡訊予客戶,乃係
因認定個資外洩行為會有造成客戶受詐騙之危險,於此因
果關係確立,並參照最高法院98年台上2035號判決意旨,
證人即訴外人劉珮琪、沈祐安同向被告訂房,且於相近時
間接獲詐騙電話而遭詐受害之事實,當可推認被告外洩個
資行為與客戶遭詐間之因果關係存在。
(四)被告辯稱信用卡退款與交易明細及來電不同云云,然原告
訂房日期與接獲詐騙電話日期甚近,信用卡月結帳單尚未
出帳,屬未入帳消費無明細可查,詐騙集團電話號碼與被
告僅差1碼,並使用扣款有誤、需登入網路銀行身分認證
解鎖等話術,並非直接要求退款。
(五)綜上,爰依法提起本件訴訟,並聲明:㈠被告應給付原告2
83,115元。㈡訴訟費用由被告負擔。
二、被告則以:
(一)原告未舉證其遭詐騙時之個資係來自被告訂房網站,及被
告違反個資法規定之事實。被告向訴外人揚京公司租用虛
擬主機空間,該空間由該公司代管,依揚京公司111年7月
11日函文:「...威尼斯主機由揚京快客代管。(主機設
備空間廠商中華電信機房)...因這台主機有很多客戶,
並沒有其他客戶反映有問題也沒有遭入侵的跡象」,及系
爭不起訴處分書:「我們也向管理我們露營區網站的公司
查證,對方也回復沒有異樣...」且依系爭不起訴處分書
認定被告從未提供、洩漏原告個資予詐騙集團,況且原告
並未提出其與詐騙集團之對話內容或其他相關證據,而原
告所提之臉書貼文、165反詐騙統計資料均不足證明其個
資係來自被告訂房網站。原告於109年12月12日預訂住宿
後,被告於同日將住宿資訊回覆於原告之電子信箱,尚難
排除係由外部詐騙分子入侵原告個人電腦方式取得訂房資
料。
(二)被告開始營運起至109年12月27日期間,客戶向被告預訂
住宿後,未曾向被告反應異常退款。且除被證2、3規範外
,被告不定時對內宣導資安重要性。自107年9月30日起被
告即購買安裝正版微軟系統迄今,系統內建防火牆等防毒
軟體系統,未曾通知有任何異常使用情況。且當客戶預訂
住宿時,客戶填寫資料會直接存放於被告向揚京公司租用
之虛擬空間,被告需查看資料時,透過該公司提供之網址
連結,點擊後進入虛擬空間,由被告與揚京公司之資料分
隔、合作模式可知,被告既無必要、事實上電腦亦無存放
客戶個資,故被告蒐集或處理原告個資已建立客戶個資適
當安全措施,未違反個資法規定。退萬步言,倘(非自認
)被告因未妥善保有個資,致詐騙集團侵入,使原告個資
外洩,原告應向詐騙集團請求損害賠償。而訴外人劉珮琪
與沈祐安之證詞均不足以證明詐騙集團所持有之原告個資
來自被告訂房網站。
(三)被告知悉客戶資料洩漏,與被告是否有違反個資法尚屬有
間,被告迄今仍無法查明是否有違反個資法之情,顯然被
告無個資法第12條通知義務,且被告在未確定是否違反個
法、洩漏個資之情況下,仍依該規定立法理由所示適當通
知方式,於109年12月28日上午1時15分許即在官網張貼公
告,並向警方報案尋求司法協助。且被告電腦從未出現第
三人侵入或盜用之警語,揚京公司亦無向被告反映異樣,
被告於109年12月28日獲悉客戶詢問匯款、退款相關資訊
後,隨即在官網上發布公告,並於同日下午7時11分起至1
10年1月5日期間確實以電話回應客戶,並傳送1,900封簡
訊予109年8月31日起至110年5月15日止向被告預訂住宿客
戶,同時通知關閉訂房網站,嗣於109年12月29日14時7分
再度發布公告,並於同日15時9分向新竹縣政府警察局橫
山分局內灣派出所報案。被告亦向員工調查有無洩漏個資
,員工已有簽立切結書表示沒有,揚京公司亦回覆沒有任
何異樣,上開事實亦與系爭不起訴處分書相符。
(四)退萬步言,倘(非自認)原告遭詐騙時之個資係來自被告訂
房網站,或被告有違反個資法之規定,惟原告遭詐騙受有
損害與本件侵權行為、洩漏個資等行為間亦無相當因果關
係。原告為成年人,並已使用信用卡為社會交易,應明知
因店家誤刷需退刷溢繳款項時,信用卡交易明細均有紀錄
,該溢繳款項只能退款至原本之信用卡內,顯見客戶持卡
消費後再至ATM辦理扣款或退款極不合理。再者,原告明
知被告、渣打銀行之聯絡電話與詐騙集團來電顯示號碼不
同,且詐騙集團向原告指示操作輸入之「訂單號碼」為匯
款之人頭帳戶帳號(即合作金庫、國泰世華、中華郵政、
花蓮第二信用合作社、玉山銀行帳戶等號碼),顯與原告
訂單號碼不同,詐騙集團向原告指示操作輸入之「取消代
碼」為匯款予人頭帳戶金額,與其住宿訂金2,100元亦不
同,再者,網路銀行或ATM操作頁面均無「訂單號碼」、
「取消代碼」選項,原告稍加提高注意即可避免遭詐騙。
由原告遭詐騙之情節,與客觀上交易應有之流程或資訊存
有諸多不符之處,原告遭詐騙恐為原告個人疏忽,或詐騙
集團積極實施詐騙行為所致。衡諸一般情形,資料外流並
不必然發生客戶受詐騙受有財物損失之侵害結果,原告財
物損失應係個人疏忽或詐騙集團積極實施詐騙行為所致。
倘(非自認)認被告違反個資法,請審酌原告就損害之發生
或擴大亦有過失。
(五)綜上,爰答辯聲明:㈠原告之訴駁回。㈡訴訟費用由原告負
擔。㈢如受不利判決,願供擔保請准宣告免為假執行。
三、本院之判斷:
(一)按個人資料保護法旨在保護個人資料上之人格權,並促進
個人資料之合理利用,該法第12條、第27條第1項、第29
條第1項分別規定:「公務機關或非公務機關違反本法規
定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查
明後以適當方式通知當事人」;「非公務機關保有個人資
料檔案者,應採行適當之安全措施,防止個人資料被竊取
、竄改、毀損、滅失或洩漏」;「非公務機關違反本法規
定,致個人資料遭不法蒐集、處理、利用或其他侵害當事
人權利者,負損害賠償責任。但能證明其無故意或過失者
,不在此限」,可知非公務機關之賠償責任,係採過失推
定。另按因故意或過失,不法侵害他人之權利者,負損害
賠償責任。故意以背於善良風俗之方法,加損害於他人者
亦同。違反保護他人之法律,致生損害於他人者,負賠償
責任。但能證明其行為無過失者,不在此限。由此足見個
資法與民法就上開損害賠償規範之內容雖有所不同,個資
法可認為民法之特別規定。然按損害賠償之債,以有損害
之發生及有責任原因之事實,並二者之間,有相當因果關
係為成立要件。故原告所主張損害賠償之債,如不合於此
項成立要件者,即難謂有損害賠償請求權存在(最高法院
48年度台上字第481號裁判先例參照)。
(二)原告主張其於109年12月12日下午3時31分在被告之系爭訂
房網站訂房後,因被告洩漏其訂房資訊個資,致詐騙集團
利用該洩漏之原告訂房資訊個資,於同年月29日下午6時3
5分假冒被告員工來電向其施用訂房信用卡扣款有誤,需
聯繫退款之詐術,使其陷於錯誤,而依詐騙集團指示匯款
,致遭詐騙受有283,115元財產上損失之事實,已據提出
威尼斯溫泉露營地訂購資料暨電子發票證明聯、臺灣新竹
地方檢察署檢察官以110年度偵字第4222號不起訴處分書
、臺灣花蓮地方檢察署檢察官110年度偵字第2793、1625
、1520、1359號起訴書、原告網路銀行轉帳截圖、ATM轉
帳交易明細翻拍照片等為證,並有本院依職權調取之臺灣
新竹地方檢察署110年度偵字第4222號詐欺案件案卷在卷
可稽。參以被告之法定代理人沈鑫堯於臺灣新竹地方檢察
署110年度偵字第4222號詐欺案件警詢及偵查中確陳稱:
「..109年12月28日16時00分許起,接獲多位客戶來電稱
有不明人士用本公司名義,向本公司已訂位客戶(含已入
住過及尚未入住客戶),透過客戶於本公司訂位系統留存
的資訊、訂房內容、匯款或刷卡紀錄等,謊稱訂金或刷卡
問題要求本公司客戶依據指示操作ATM匯款或線上匯款,
本公司得知已有兩名客戶受害..劉珮琪..沈佑安..」;「
(本件客戶資料外洩及相關客戶打電話給你們確認的那些
事情,是由誰處理?)我們開始是現場第一線的櫃檯、接
電話的人,後來他們有報告協理..因為他有告訴我人數比
較多,我就請他趕快打165詐騙專線,然後再..報案..(
客人當天反應有這件事,為何你們櫃台人員會跟客戶說看
網站之類的?)他們大概從沒碰過這種事,我們只是立刻
有跟客人說請他們向165報案」等情,且被告於109年12月
28日下午5時15分之後確陸續在尼斯溫泉露營地FACEBOOK
官方網站貼文提醒:「..已有透過我們官網線上預約系統
訂位刷卡付訂金成功的訂單,或匯款訂金回報成功無誤的
訂單,我們不會以電話或簡訊通知客人重新再刷卡或匯訂
,若有不知名的來電告知有刷卡重複..請不要..匯款操作
或提供信用卡卡號」;「目前公司已將官網訂位系統訂位
服務功能暫時關閉,以保障大家的個資安全..已連繫警局
進行備案..目前有來電確認客戶有敘述幾種詐騙內容..1.
會與您核對訂位入住相關資訊,及核對卡號或是帳號後4
碼。2.會向您說我們公司有多刷您的刷卡金額,所以要進
行退刷步驟,請你依照他的指示進行退刷。3.會說匯款沒
有成功,要做第2次匯款確認,要請你依照他的指示進行
第2次匯款。若有接到以上3種相關內容電話,千萬不要依
據電話指示操作..我們公司絕不會以電話要求客戶依指示
操作匯款..」等語(均參臺灣新竹地方檢察署110年度偵
字第4222號詐欺案件案卷),證人即被害人劉珮琪亦證述
其確因被告外洩訂房資訊個資,而被詐欺集團利用該外洩
之訂房資訊個資詐騙等情(參112年2月10日言詞辯論筆錄
),經核確均與原告主張被詐騙之情節相符,自堪認為原
告主張之事實確屬實在。被告否認原告遭詐騙時之訂房資
訊個資係來自被告訂房網站,並辯稱尚難排除係詐騙份子
入侵原告個人電腦取得訂房資料云云,則不足採信。
(三)查被告確由系爭訂房網站接受原告訂房而取得原告訂房資
訊個資,揆諸首揭規定,被告自有依個人資料保護法第27
條第1項、第12條之規定,先採行適當之安全措施,以防
止原告訂房資訊個資被竊取、竄改、毀損、滅失或洩漏,
並於原告訂房資訊個資被竊取、洩漏、竄改或其他侵害後
,應加以查明並以適當方式通知原告。如違反上開規定,
致原告訂房資訊個資遭不法蒐集、處理、利用或其他侵害
原告權利者,除非被告能證明其無故意或過失,否則即推
定為被告過失,依同法第29條、第28條第2項至第6項及民
法第184條規定,應負損害賠償責任,原告並得請求被告
賠償相當金額之非財產上損害。經查,被告雖辯稱蒐集或
處理原告訂房資訊個資已建立客戶訂房資訊個資適當安全
措施,且於109年12月28日上午1時15分許即在官網張貼公
告,並向警方報案尋求司法協助,並確實以電話回應客戶
,及傳送1,900封簡訊予預訂住宿客戶,同時通知關閉訂
房網站,已以適當方式通知當事人云云。然觀諸被告所辯
將系爭訂房網站外包交由廠商管理,系統內建防火牆等防
毒軟體系統,廠商未曾通知有任何異常使用情況,客戶個
資係直接存放於廠商之虛擬空間,被告電腦無存放客戶個
資等情,參諸個人資料保護法施行細則第12條第2項列舉
之措施,並以與所欲達成之個人資料保護目的間,具有適
當比例為原則之規定,顯難認被告就其先前取得包括原告
訂房資訊個資已有採行防止被竊取、竄改、毀損、滅失或
洩漏之適當安全措施。況被告既至遲於109年12月28日上
午1時15分許即知悉客戶訂房資訊個資被洩漏,且已有多
名客戶遭詐騙集團利用該洩漏之訂房資訊個資詐騙,則被
告自應即時通知包括原告在內之全部客戶,並告知訂房資
訊個資被外洩侵害之事實及所採取之因應措施,然被告竟
未即時通知包括原告在內之全部客戶,致原告於同年月29
日下午6時35分仍遭詐騙集團利用被洩漏之訂房資訊個資
詐騙,益見被告確有未盡個人資料保護法第12條、個人資
料保護法施行細則第22條所定之通知義務。據此,原告主
張被告違反個人資料保護法第12條、第27條第1項之規定
,不法侵害其訂房資訊個資隱私權,確堪足採信。至被告
上開所辯各節,則均不足採信。從而,被告保有原告之訂
房資訊個資,然未採行適當之安全措施,以防止原告之訂
房資訊個資被洩漏,又於客戶包括原告之訂房資訊個資被
洩漏後,未即以適當方式通知原告,致原告之訂房資訊個
資遭詐騙集團不法利用而受詐騙等情,即均足堪以認定。
被告復未能證明其無故意或過失,則原告主張被告違反個
人資料保護法第12條、第27條第1項規定,依同法第29條
、第28條第2項至第6項及民法第184條規定,應負損害賠
償之責,自屬有據。(按原告係依前開規定請求賠償財產
上之損害,並未請求非財產上之損害)。
(四)惟按,損害賠償之債,以有損害之發生及有責任原因之事
實,並二者之間,有相當因果關係為成立要件。故原告所
主張損害賠償之債,如不合於此項成立要件者,即難謂有
損害賠償請求權存在(最高法院48年度台上字第481號裁
判先例參照)。易言之,損害賠償之債,以有損害之發生
及有責任原因之事實,二者之間有相當因果關係為成立要
件,如二者之間無相當因果關係,即無損害賠償請求權存
在。所謂相當因果關係,係指依經驗法則,綜合行為當時
所存在之一切事實,為客觀之事後審查,認為在一般情形
下,有此環境、有此行為之同一條件,均可發生同一之結
果者,則該條件即為發生結果之相當條件,行為與結果即
有相當之困果關係。反之,若在一般情形上,有此同一條
件存在,而依客觀之審查,認為不必皆發生此結果者,則
該條件與結果並不相當,不過為偶然之事實而已,其行為
與結果間即無相當因果關係,不能僅以行為人就其行為有
故意過失,即認該行為與損害間有相當因果關係(按最高
法院98年度台上字第673 號判決要旨參照)。經查,被告
雖違反個人資料保護法第12條、第27條第1項之規定,而
不法侵害原告之訂房資訊個資隱私權,然衡諸一般情形,
被告外洩客戶之訂房資訊個資並不必然皆會發生客戶受詐
騙而損失財物之財產權被侵害結果。易言之,被告外洩原
告之訂房資訊個資固遭詐騙集團利用,然原告受詐騙集團
之詐騙受有財產權被侵害之結果,乃係詐騙集團施用詐術
之詐欺取財行為所致,而非被告外洩原告之訂房資訊個資
所致,故被告因過失不法外洩原告訂房資訊個資與原告被
詐騙受有財產權被侵害而損失283,115元之結果,即不得
謂有相當之因果關係。據此,被告固確有過失不法外洩原
告訂房資訊個資之原因事實,然被告因過失不法侵害原告
資訊個資之原因事實與原告所受283,115元財產損害之發
生間,既無相當因果關係,揆諸上開說明,原告就所受28
3,115元財產上之損害,仍不得謂對被告有損害賠償請求
權存在,原告自不得就其所受283,115元財產上之損害請
求被告負賠償責任。
(五)綜上,被告固確有違反個人資料保護法第12條、第27條第
1項之規定,然原告遭受詐騙所受283,115元之財產權損害
,與被告之過失行為間,既不能謂有相當因果關係,則原
告依個人資料保護法第29條第1項、民法第184條規定請求
被告賠償遭詐騙之財產上損害283,115元,即非有據,為
無理由,應予駁回。
四、本件判決之基礎已臻明確,兩造其餘之攻擊或防禦方法及所
用之證據,核均與本判決結果無影響,爰不一一予以論列。
五、訴訟費用負擔之依據:民事訴訟法第78條。
中 華 民 國 112 年 9 月 22 日
竹東簡易庭 法 官 汪銘欽
以上正本係照原本作成。
如對本判決上訴,須於判決送達後20日內向本院提出上訴狀。如
委任律師提起上訴者,應一併繳納上訴審裁判費。
中 華 民 國 112 年 9 月 22 日
書記官 范欣蘋