內湖簡易庭民事-NHEV,112,湖簡,1096,20240326,2

臺灣士林地方法院民事簡易判決
112年度湖簡字第1096號
原 告 曾淑娟
被 告 雄獅旅行社股份有限公司

法定代理人 王文傑
訴訟代理人 林彥志律師
複 代理人 張克源律師（嗣後解除委任）
上列當事人間請求侵權行為損害賠償事件，經本院於民國113年2月17日言詞辯論終結，判決如下：

主 文

原告之訴及假執行之聲請均駁回。

訴訟費用由原告負擔。

事實及理由

一、原告主張：伊於民國111年12月6日19時許接獲詐騙集團佯稱其為被告客服人員，因被告人員疏失，致伊於同年10月29日至30日參加旅行後，遭誤植重複訂單，要求伊依渣打銀行信用卡客服人員指示取消上開訂單。

隨即某佯稱渣打銀行信用卡客服人員打電話給伊，伊受騙而依其指示操作，先後匯款共新臺幣（下同）399,890元（下稱系爭款項）至該詐欺集團成員指示之金融帳戶，因而受有系爭款項之損失。

被告在000年0月間即有資料外洩之情形，竟未亡羊補牢，致000年00月間仍發生原告個人資料外洩之事，足見被告未對消費者之個人資料盡安全防護之責，亦未即時通知消費者，導致原告遭受詐騙，應賠償原告所受損害。

另因被告上開疏失，致依精神痛苦，受有非財產上損害共70,000元，爰依個人資料保護法第28條第2項、第29條第1項、第2項、消費者保護法第7條、民法第184條規定提起本件訴訟等語。

並聲明：㈠被告應給付原告470,000元。

㈡願供擔保，請准宣告假執行。

二、被告則以：伊於111年11月底疑遭網路駭客入侵事件後，旋即於111年12月7日以簡訊通知原告，通知其慎防詐騙、免遭受害。

原告之主張，縱認屬實，該損害亦屬詐騙集團所為，或係原告個人疏失所致，與被告無涉。

且，原告個資縱遭外洩，仍難排除其個資係自其他環節或其他消費途徑遭竊取或洩漏之可能性，故原告自應就遭外洩之個資確係來自於伊之部分盡舉證之責。

本件原告所受之損害與原告主張伊之不作為難認有相當因果關係存在等語，資為抗辯，並聲明：原告之訴駁回；

如受不利判決，願供擔保，請准宣告免為假執行。

三、得心證之理由：㈠原告以個人資料保護法第28條第2項、第29條第1項、第2項為請求權基礎部分，為無理由：1.按非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。

但能證明其無故意或過失者，不在此限。

個人資料保護法第第29條第1項定有明文。

次按當事人主張有利於己之事實者，就其事實有舉證之責任。

民事訴訟法第277條本文定有明文。

又按民事訴訟如係由原告主張權利者，應先由原告負舉證之責，若原告先不能舉證，以證實自己主張之事實為真實，則被告就其抗辯事實即令不能舉證，或其所舉證據尚有疵累，亦應駁回原告之請求（最高法院104年度台上字第41號判決意旨可資參照）。

可知依個人資料保護法第29條第1項但書規定，被告就其無故意或過失，固負舉證之責，然原告就被告確有違反個人資料保護法規定之客觀構成要件，即主張其遭詐騙時之個人資料係來自被告公司網站，為有利於原告自身之權利要件發生事實，依民事訴訟法第277條本文之規定，應先負舉證責任。

2.經查，原告雖提出中時新聞網、經濟日報、中央社《作業系統被駭 雄獅旅遊籲消費者慎防詐騙》、《雄獅旅行社遭駭客攻擊 提醒消費者防範詐騙》111年11月29日之新聞報導影本為證（見本院卷第31至36、223至225頁），該等報導固敘明被告遭通報為網路駭客惡意攻擊電腦作業系統之事實，且時間在原告參與被告旅遊行程之後、在原告依詐欺集團成員指示匯款之前，時間上固然有前後排序之關係，然上開報導並無法推論詐欺集團成員所取得之原告個人資料，確實來自被告於上開日期之駭客攻擊事件。

換言之，縱被告公司網站遭駭客入侵乙節屬實，亦不足以確認詐欺集團係因此取得原告個人資料，進而向原告為詐欺行為。

原告就上開事件與其個人資料外洩之關聯性既未能進一步舉證以實其說，自難遽認被告有何該當於個人資料保護法第第29條第1項之過失。

3.又按公務機關或非公務機關違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

個人資料保護法第12條定有明文。

其立法理由略以：當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；

人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。

另同法施行細則第22條亦規定：本法第12條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。

依本法第12條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

上開規定係課予非公務機關於違反本法規定且致個人資料被竊取、洩漏、竄改或其他侵害時，應於查明後負有通知之義務。

經查，被告於知悉其網站遭不法入侵後，即於111年11月29日在公開資訊觀測站發布主旨為「說明本公司遭受駭客網路攻擊事件」之重大訊息，並於同年12月7日寄送「防範詐騙，避免受害，謹記三不原則：不操作ATM、不提供任何資料、不回撥可疑電話，如接獲可疑來電，請立即掛斷電話，並撥打165防詐騙專線」等意旨之提醒詐騙之簡訊通知原告等情，有歷史重大訊息及簡訊內容在卷可佐（見本院卷第77至79頁），並為原告所不爭執，應認被告知悉其網站遭入侵後亦有採取相當之措施。

且查，原告就被告前於000年0月間已有資料外洩之情形等語自陳在卷，則原告既消費被告提供之旅遊行程，自應對此有所警覺與注意。

從而，原告主張被告違反個人資料保護法之規定，應對其負損害賠償責任乙節，尚非可採。

㈡原告以消費者保護法第7條、民法第184條為請求權基礎部分，為無理由：1.按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。

故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。

且所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。

反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院98年度台上字第673號判決意旨參照）。

2.原告主張被告有未即時通知消費者之過失，致伊受騙而受有損害云云，係損害賠償之債，就原告所受損害範圍與被告之行為間具有相當因果關係乙節，亦應盡舉證責任。

本件縱認原告個人資料係因被告疏於維護其公司網站之過失而洩漏於外，惟衡諸一般情形，客戶資料外洩，並不當然導出客戶遭詐欺集團詐騙而受有金錢損害之結果。

換言之，時下詐騙集團利用電話詐騙民眾前往ATM或利用網路銀行操作之手法一再為政府、媒體所宣導，一般民眾理應具有防騙意識，於接獲相關偽冒來電時循正當管道求證，難以認為個人資料外洩之事實發生，在一般情形上，有此同一條件存在，而依客觀之審查結果，均會發生民眾受詐欺集團行騙而致財產損失之結果。

原告為智識正常之成年人，亦有相當社會歷練，對此不能諉為不知。

從而，本件應認被告之不作為與原告所受之損害間欠缺相當因果關係，原告主張無法加以支持，自應予以駁回。

四、綜上，原告依個人資料保護法第28條第2項、第29條第1項、第2項、消費者保護法第7條、民法第184條規定，請求被告給付470,000元，為無理由，應予駁回。

其訴既遭駁回，假執行之聲請即失所附麗，亦應予以駁回。

五、本件事證已臻明確，兩造其餘攻擊防禦方法及證據，經審酌後，認對於判決結果均無影響，爰不一一論述，併此敘明。

六、訴訟費用負擔之依據：民事訴訟法第78條。

中 華 民 國 113 年 3 月 26 日
內湖簡易庭 法 官 許凱翔
以上正本係照原本作成。
如不服本判決，應於送達後20日內，向本院提出上訴狀並表明上訴理由，如於本判決宣示後送達前提起上訴者，應於判決送達後20日內補提上訴理由書（須附繕本）。
中 華 民 國 113 年 3 月 26 日
書記官 許慈翎