竹北簡易庭(含竹東)民事-CPEV,111,竹東簡,48,20230922,1

臺灣新竹地方法院民事簡易判決
111年度竹東簡字第48號
原 告 蔡和成
被 告 威尼斯國際事業股份有限公司

法定代理人 沈鑫堯
訴訟代理人 賴安國律師
劉彥廷律師
複 代理人 徐銳軒律師
上列當事人間損害賠償事件，本院於民國112年8月18日辯論終結，判決如下：

主 文

原告之訴駁回。

訴訟費用由原告負擔。

事實及理由

一、原告主張：

（一）原告於民國109年12月12日下午3時31分在被告經營之威尼斯溫泉露營地訂房網站輸入手機號碼、信用卡卡號等個人資料（下稱個資），並使用信用卡預訂110年1月15日住宿。

被告向訴外人揚京快客行銷有限公司(下稱揚京公司)租用虛擬主機空間，並自行管理網站後臺進行網路行銷與預訂服務，後臺之訂單管理及上傳資料均由其管理，客戶個資亦係存放於其自行管理之後臺虛擬空間，被告應採行適當之安全措施，防止客戶個資被竊取或洩漏，詎被告竟疏於資安維護，造成原告個資洩漏遭詐騙集團利用，致原告於同年月29日下午6時35分接獲假冒被告員工來電訛稱因訂房信用卡扣款有誤，需請銀行聯繫退款，其後又接獲假冒渣打商業銀行客服來電稱要進行退款，使原告陷於錯誤，而依詐騙集團指示於附表所示時間操作網路銀行及ATM自動櫃員機匯款如附表所示金額，致原告受有遭詐騙金額新臺幣（下同）283,115元之損害。

依臺灣新竹地方檢察署檢察官110年度偵字第4222號不起訴處分書(下稱系爭不起訴處分書)記載被告法定代理人在案發後有確認內部有無外洩資料，並與揚京公司查證，該公司回覆沒有異樣，被告於同年月29日下午2時7分在臉書張貼公告暫時關閉官網訂位系統訂位服務功能，均說明被告已承認客戶個資係經由其訂房網站外洩。

又依其於109年12月28日下午5時15分臉書貼文留言有多名客戶反映接獲詐騙電話，相近時間其網站經通報高風險賣場(平臺)之件數為7件，在相近期間內有多名客戶接獲詐騙電話及其同時於臉書貼文提醒，且原告訂房個資僅其保有，依經驗法則，足證原告個資係來自被告訂房網站外洩，與原告遭詐所受損害有相當因果關係。

另被告於109年12月28日下午5時15分在臉書貼文提醒客戶，顯見其於斯時前即知悉訂房資料遭詐騙集團盜用進行詐騙之情事，竟未及時致電或以簡訊提醒客戶，迨至同日晚間10時22分原告方接獲被告簡訊，遲至110年1月1日15時33分證人即訴外人劉珮琪才收到簡訊，甚且被告自109年12月28日起至110年1月1日止花費5日才完成1,900封簡訊傳送，足認被告知悉個資外洩未採取有效補救措施通知客戶。

被告未採行適當安全措施，違反個人資料保護法(下稱個資法)第27條第1項規定，且於察覺個資外洩後，未採取積極合宜補救措施，違反個資法第12條規定，以適當方式通知當事人，致使原告遭詐騙受損害，自應依個資法第29條適用同法第28條第2至第6項、民法第184條規定，負損害賠償之責。

（二）依揚京公司111年7月11日函文內容可知案發時網站後臺並非兩段式驗證登入、訂單頁面及資料未使用馬賽克遮蔽、信箱及後臺帳號及密碼須更新等資安問題，且該公司共用主機之其他客戶未反映有問題或遭入侵之跡象，足證該公司認為被告客戶個資外洩與該公司無關，更證有可能是由被告自行管理之後臺外洩。

被告辯稱已建立客戶個資適當之安全措施云云，然被告訂房網站有諸多資安問題，已如前述，且甲證二至五均證實因被告對個資保護未盡完善，致使多名客戶接獲詐騙電話甚或遭詐受害。

又被告辯稱其無個資法第12條通知義務云云，然被告自承其於109年12月29日報案前一日即開始傳送簡訊通知客戶，顯然違背其所稱需查明後以適當方式通知當事人之前提，且其於109年12月28日至110年1月1日間傳送近1,900封簡訊予客戶，可知其知悉訂房個資遭竊取洩漏，因而採取補救措施。

（三）被告辯稱原告所受損害與侵權行為、洩漏個資行為間無相當因果關係云云，然參照最高法院102年度台上字第31號判決意旨，被告在臉書張貼公告及傳送簡訊予客戶，乃係因認定個資外洩行為會有造成客戶受詐騙之危險，於此因果關係確立，並參照最高法院98年台上2035號判決意旨，證人即訴外人劉珮琪、沈祐安同向被告訂房，且於相近時間接獲詐騙電話而遭詐受害之事實，當可推認被告外洩個資行為與客戶遭詐間之因果關係存在。

（四）被告辯稱信用卡退款與交易明細及來電不同云云，然原告訂房日期與接獲詐騙電話日期甚近，信用卡月結帳單尚未出帳，屬未入帳消費無明細可查，詐騙集團電話號碼與被告僅差1碼，並使用扣款有誤、需登入網路銀行身分認證解鎖等話術，並非直接要求退款。

（五）綜上，爰依法提起本件訴訟，並聲明：㈠被告應給付原告283,115元。

㈡訴訟費用由被告負擔。

二、被告則以：

（一）原告未舉證其遭詐騙時之個資係來自被告訂房網站，及被告違反個資法規定之事實。

被告向訴外人揚京公司租用虛擬主機空間，該空間由該公司代管，依揚京公司111年7月11日函文：「...威尼斯主機由揚京快客代管。

（主機設備空間廠商中華電信機房）...因這台主機有很多客戶，並沒有其他客戶反映有問題也沒有遭入侵的跡象」，及系爭不起訴處分書：「我們也向管理我們露營區網站的公司查證，對方也回復沒有異樣...」且依系爭不起訴處分書認定被告從未提供、洩漏原告個資予詐騙集團，況且原告並未提出其與詐騙集團之對話內容或其他相關證據，而原告所提之臉書貼文、165反詐騙統計資料均不足證明其個資係來自被告訂房網站。

原告於109年12月12日預訂住宿後，被告於同日將住宿資訊回覆於原告之電子信箱，尚難排除係由外部詐騙分子入侵原告個人電腦方式取得訂房資料。

（二）被告開始營運起至109年12月27日期間，客戶向被告預訂住宿後，未曾向被告反應異常退款。

且除被證2、3規範外，被告不定時對內宣導資安重要性。

自107年9月30日起被告即購買安裝正版微軟系統迄今，系統內建防火牆等防毒軟體系統，未曾通知有任何異常使用情況。

且當客戶預訂住宿時，客戶填寫資料會直接存放於被告向揚京公司租用之虛擬空間，被告需查看資料時，透過該公司提供之網址連結，點擊後進入虛擬空間，由被告與揚京公司之資料分隔、合作模式可知，被告既無必要、事實上電腦亦無存放客戶個資，故被告蒐集或處理原告個資已建立客戶個資適當安全措施，未違反個資法規定。

退萬步言，倘（非自認）被告因未妥善保有個資，致詐騙集團侵入，使原告個資外洩，原告應向詐騙集團請求損害賠償。

而訴外人劉珮琪與沈祐安之證詞均不足以證明詐騙集團所持有之原告個資來自被告訂房網站。

（三）被告知悉客戶資料洩漏，與被告是否有違反個資法尚屬有間，被告迄今仍無法查明是否有違反個資法之情，顯然被告無個資法第12條通知義務，且被告在未確定是否違反個法、洩漏個資之情況下，仍依該規定立法理由所示適當通知方式，於109年12月28日上午1時15分許即在官網張貼公告，並向警方報案尋求司法協助。

且被告電腦從未出現第三人侵入或盜用之警語，揚京公司亦無向被告反映異樣，被告於109年12月28日獲悉客戶詢問匯款、退款相關資訊後，隨即在官網上發布公告，並於同日下午7時11分起至110年1月5日期間確實以電話回應客戶，並傳送1,900封簡訊予109年8月31日起至110年5月15日止向被告預訂住宿客戶，同時通知關閉訂房網站，嗣於109年12月29日14時7分再度發布公告，並於同日15時9分向新竹縣政府警察局橫山分局內灣派出所報案。

被告亦向員工調查有無洩漏個資，員工已有簽立切結書表示沒有，揚京公司亦回覆沒有任何異樣，上開事實亦與系爭不起訴處分書相符。

（四）退萬步言，倘(非自認)原告遭詐騙時之個資係來自被告訂房網站，或被告有違反個資法之規定，惟原告遭詐騙受有損害與本件侵權行為、洩漏個資等行為間亦無相當因果關係。

原告為成年人，並已使用信用卡為社會交易，應明知因店家誤刷需退刷溢繳款項時，信用卡交易明細均有紀錄，該溢繳款項只能退款至原本之信用卡內，顯見客戶持卡消費後再至ATM辦理扣款或退款極不合理。

再者，原告明知被告、渣打銀行之聯絡電話與詐騙集團來電顯示號碼不同，且詐騙集團向原告指示操作輸入之「訂單號碼」為匯款之人頭帳戶帳號(即合作金庫、國泰世華、中華郵政、花蓮第二信用合作社、玉山銀行帳戶等號碼），顯與原告訂單號碼不同，詐騙集團向原告指示操作輸入之「取消代碼」為匯款予人頭帳戶金額，與其住宿訂金2,100元亦不同，再者，網路銀行或ATM操作頁面均無「訂單號碼」、「取消代碼」選項，原告稍加提高注意即可避免遭詐騙。

由原告遭詐騙之情節，與客觀上交易應有之流程或資訊存有諸多不符之處，原告遭詐騙恐為原告個人疏忽，或詐騙集團積極實施詐騙行為所致。

衡諸一般情形，資料外流並不必然發生客戶受詐騙受有財物損失之侵害結果，原告財物損失應係個人疏忽或詐騙集團積極實施詐騙行為所致。

倘(非自認)認被告違反個資法，請審酌原告就損害之發生或擴大亦有過失。

（五）綜上，爰答辯聲明：㈠原告之訴駁回。㈡訴訟費用由原告負擔。

㈢如受不利判決，願供擔保請准宣告免為假執行。

三、本院之判斷：

（一）按個人資料保護法旨在保護個人資料上之人格權，並促進個人資料之合理利用，該法第12條、第27條第1項、第29條第1項分別規定：「公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人」；

「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」；

「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。

但能證明其無故意或過失者，不在此限」，可知非公務機關之賠償責任，係採過失推定。

另按因故意或過失，不法侵害他人之權利者，負損害賠償責任。

故意以背於善良風俗之方法，加損害於他人者亦同。

違反保護他人之法律，致生損害於他人者，負賠償責任。

但能證明其行為無過失者，不在此限。

由此足見個資法與民法就上開損害賠償規範之內容雖有所不同，個資法可認為民法之特別規定。

然按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。

故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在（最高法院48年度台上字第481號裁判先例參照）。

（二）原告主張其於109年12月12日下午3時31分在被告之系爭訂房網站訂房後，因被告洩漏其訂房資訊個資，致詐騙集團利用該洩漏之原告訂房資訊個資，於同年月29日下午6時35分假冒被告員工來電向其施用訂房信用卡扣款有誤，需聯繫退款之詐術，使其陷於錯誤，而依詐騙集團指示匯款，致遭詐騙受有283,115元財產上損失之事實，已據提出威尼斯溫泉露營地訂購資料暨電子發票證明聯、臺灣新竹地方檢察署檢察官以110年度偵字第4222號不起訴處分書、臺灣花蓮地方檢察署檢察官110年度偵字第2793、1625、1520、1359號起訴書、原告網路銀行轉帳截圖、ATM轉帳交易明細翻拍照片等為證，並有本院依職權調取之臺灣新竹地方檢察署110年度偵字第4222號詐欺案件案卷在卷可稽。

參以被告之法定代理人沈鑫堯於臺灣新竹地方檢察署110年度偵字第4222號詐欺案件警詢及偵查中確陳稱：「..109年12月28日16時00分許起，接獲多位客戶來電稱有不明人士用本公司名義，向本公司已訂位客戶（含已入住過及尚未入住客戶），透過客戶於本公司訂位系統留存的資訊、訂房內容、匯款或刷卡紀錄等，謊稱訂金或刷卡問題要求本公司客戶依據指示操作ATM匯款或線上匯款，本公司得知已有兩名客戶受害..劉珮琪..沈佑安..」；

「（本件客戶資料外洩及相關客戶打電話給你們確認的那些事情，是由誰處理？）我們開始是現場第一線的櫃檯、接電話的人，後來他們有報告協理..因為他有告訴我人數比較多，我就請他趕快打165詐騙專線，然後再..報案..（客人當天反應有這件事，為何你們櫃台人員會跟客戶說看網站之類的？）他們大概從沒碰過這種事，我們只是立刻有跟客人說請他們向165報案」等情，且被告於109年12月28日下午5時15分之後確陸續在尼斯溫泉露營地FACEBOOK官方網站貼文提醒：「..已有透過我們官網線上預約系統訂位刷卡付訂金成功的訂單，或匯款訂金回報成功無誤的訂單，我們不會以電話或簡訊通知客人重新再刷卡或匯訂，若有不知名的來電告知有刷卡重複..請不要..匯款操作或提供信用卡卡號」；

「目前公司已將官網訂位系統訂位服務功能暫時關閉，以保障大家的個資安全..已連繫警局進行備案..目前有來電確認客戶有敘述幾種詐騙內容..1.會與您核對訂位入住相關資訊，及核對卡號或是帳號後4碼。

2.會向您說我們公司有多刷您的刷卡金額，所以要進行退刷步驟，請你依照他的指示進行退刷。

3.會說匯款沒有成功，要做第2次匯款確認，要請你依照他的指示進行第2次匯款。

若有接到以上3種相關內容電話，千萬不要依據電話指示操作..我們公司絕不會以電話要求客戶依指示操作匯款..」等語（均參臺灣新竹地方檢察署110年度偵字第4222號詐欺案件案卷），證人即被害人劉珮琪亦證述其確因被告外洩訂房資訊個資，而被詐欺集團利用該外洩之訂房資訊個資詐騙等情（參112年2月10日言詞辯論筆錄），經核確均與原告主張被詐騙之情節相符，自堪認為原告主張之事實確屬實在。

被告否認原告遭詐騙時之訂房資訊個資係來自被告訂房網站，並辯稱尚難排除係詐騙份子入侵原告個人電腦取得訂房資料云云，則不足採信。

（三）查被告確由系爭訂房網站接受原告訂房而取得原告訂房資訊個資，揆諸首揭規定，被告自有依個人資料保護法第27條第1項、第12條之規定，先採行適當之安全措施，以防止原告訂房資訊個資被竊取、竄改、毀損、滅失或洩漏，並於原告訂房資訊個資被竊取、洩漏、竄改或其他侵害後，應加以查明並以適當方式通知原告。

如違反上開規定，致原告訂房資訊個資遭不法蒐集、處理、利用或其他侵害原告權利者，除非被告能證明其無故意或過失，否則即推定為被告過失，依同法第29條、第28條第2項至第6項及民法第184條規定，應負損害賠償責任，原告並得請求被告賠償相當金額之非財產上損害。

經查，被告雖辯稱蒐集或處理原告訂房資訊個資已建立客戶訂房資訊個資適當安全措施，且於109年12月28日上午1時15分許即在官網張貼公告，並向警方報案尋求司法協助，並確實以電話回應客戶，及傳送1,900封簡訊予預訂住宿客戶，同時通知關閉訂房網站，已以適當方式通知當事人云云。

然觀諸被告所辯將系爭訂房網站外包交由廠商管理，系統內建防火牆等防毒軟體系統，廠商未曾通知有任何異常使用情況，客戶個資係直接存放於廠商之虛擬空間，被告電腦無存放客戶個資等情，參諸個人資料保護法施行細則第12條第2項列舉之措施，並以與所欲達成之個人資料保護目的間，具有適當比例為原則之規定，顯難認被告就其先前取得包括原告訂房資訊個資已有採行防止被竊取、竄改、毀損、滅失或洩漏之適當安全措施。

況被告既至遲於109年12月28日上午1時15分許即知悉客戶訂房資訊個資被洩漏，且已有多名客戶遭詐騙集團利用該洩漏之訂房資訊個資詐騙，則被告自應即時通知包括原告在內之全部客戶，並告知訂房資訊個資被外洩侵害之事實及所採取之因應措施，然被告竟未即時通知包括原告在內之全部客戶，致原告於同年月29日下午6時35分仍遭詐騙集團利用被洩漏之訂房資訊個資詐騙，益見被告確有未盡個人資料保護法第12條、個人資料保護法施行細則第22條所定之通知義務。

據此，原告主張被告違反個人資料保護法第12條、第27條第1項之規定，不法侵害其訂房資訊個資隱私權，確堪足採信。

至被告上開所辯各節，則均不足採信。

從而，被告保有原告之訂房資訊個資，然未採行適當之安全措施，以防止原告之訂房資訊個資被洩漏，又於客戶包括原告之訂房資訊個資被洩漏後，未即以適當方式通知原告，致原告之訂房資訊個資遭詐騙集團不法利用而受詐騙等情，即均足堪以認定。

被告復未能證明其無故意或過失，則原告主張被告違反個人資料保護法第12條、第27條第1項規定，依同法第29條、第28條第2項至第6項及民法第184條規定，應負損害賠償之責，自屬有據。

（按原告係依前開規定請求賠償財產上之損害，並未請求非財產上之損害）。

（四）惟按，損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。

故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在（最高法院48年度台上字第481號裁判先例參照）。

易言之，損害賠償之債，以有損害之發生及有責任原因之事實，二者之間有相當因果關係為成立要件，如二者之間無相當因果關係，即無損害賠償請求權存在。

所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。

反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（按最高法院98年度台上字第673 號判決要旨參照）。

經查，被告雖違反個人資料保護法第12條、第27條第1項之規定，而不法侵害原告之訂房資訊個資隱私權，然衡諸一般情形，被告外洩客戶之訂房資訊個資並不必然皆會發生客戶受詐騙而損失財物之財產權被侵害結果。

易言之，被告外洩原告之訂房資訊個資固遭詐騙集團利用，然原告受詐騙集團之詐騙受有財產權被侵害之結果，乃係詐騙集團施用詐術之詐欺取財行為所致，而非被告外洩原告之訂房資訊個資所致，故被告因過失不法外洩原告訂房資訊個資與原告被詐騙受有財產權被侵害而損失283,115元之結果，即不得謂有相當之因果關係。

據此，被告固確有過失不法外洩原告訂房資訊個資之原因事實，然被告因過失不法侵害原告資訊個資之原因事實與原告所受283,115元財產損害之發生間，既無相當因果關係，揆諸上開說明，原告就所受283,115元財產上之損害，仍不得謂對被告有損害賠償請求權存在，原告自不得就其所受283,115元財產上之損害請求被告負賠償責任。

（五）綜上，被告固確有違反個人資料保護法第12條、第27條第1項之規定，然原告遭受詐騙所受283,115元之財產權損害，與被告之過失行為間，既不能謂有相當因果關係，則原告依個人資料保護法第29條第1項、民法第184條規定請求被告賠償遭詐騙之財產上損害283,115元，即非有據，為無理由，應予駁回。

四、本件判決之基礎已臻明確，兩造其餘之攻擊或防禦方法及所用之證據，核均與本判決結果無影響，爰不一一予以論列。

五、訴訟費用負擔之依據：民事訴訟法第78條。

中 華 民 國 112 年 9 月 22 日
竹東簡易庭 法 官 汪銘欽
以上正本係照原本作成。
如對本判決上訴，須於判決送達後20日內向本院提出上訴狀。
如委任律師提起上訴者，應一併繳納上訴審裁判費。
中 華 民 國 112 年 9 月 22 日
書記官 范欣蘋