臺北簡易庭民事-TPEV,110,北小,1949,20211130,1

臺灣臺北地方法院小額民事判決
110年度北小字第1949號
原 告 戴維諼
被 告 台灣博房網訂管理諮詢股份有限公司

法定代理人 Vikas Bhola

訴訟代理人 李維峻律師
葉家宇律師
上列當事人間損害賠償事件，於民國110年10月19日言詞辯論終結，本院判決如下：

主 文

原告之訴及假執行之聲請均駁回。

訴訟費用新台幣1,000元由原告負擔。

事實及理由

一、原告主張、聲明：原告於民國110年3月5日於被告之Booking.com網站訂箣桐花文創微旅飯店（下稱箣桐花飯店）之兩間，並於隔日入住，原告於3月12日下午5點28分接到電話，來電陳稱為箣桐花飯店之員工，明確說明入住時間地點，稱其會計在整理高級會員入會資料時，誤把普通會員即原告資料送進去並已扣款，並要求原告提供銀行帳戶辦理退款，原告一時不查提供銀行帳戶明細。嗣於下午5點41分接到第二通詐騙來電，謊稱為銀行，原告經友人提醒，電話對象口音濃厚並非台灣人而察覺掛斷電話。數天後，接到箣桐花飯店個資外洩簡訊，始確定上開電話均屬詐騙，且外洩之來源顯為箣桐花飯店。各大新聞皆以「知名訂房網站又疑個資外洩消費者被假客服騙走10萬」、「Booking.com疑似個資外洩非單一案例，近半年民眾通報各網購平臺解除分期詐騙破千件」、「知名訂房網又傳疑似個資外洩 女子接假客服來電噴掉10萬」、「訂房網Booking.com疑外洩個資，台灣228人遭詐逾3千萬」，可知被告個資外洩已非一兩天之事，且造成台灣人民個資遭詐騙集團利用而致巨大損害。參照大法官會議釋字第585、603號解釋，及個人資料保護法（下稱個資法）第29條第1項、民法第184條第2項規定，凡違反個資法規定而致個資遭不法蒐集、處理、利用，致侵害當事人之隱私權，即推定為有故意、過失，應由加害人舉證證明其無故意、過失，被告應證明就原告個資已盡適當安全維護措施。原告依民法第184條第1項前段、第2項、第195條第1項前段、個資法第29條第2項、第28條第2項規定之法律關係提起本訴。原告入住時交付信用卡及身分證之正本供被告查驗，原告甚至無法確信包括信用卡卡號、到期日、授權碼、身分證影本等資訊是否遭洩漏，而遭詐騙集團公開或移作他用，致原告為極可能到來之信用卡盜刷日夜難眠，恐須辦理停卡並再行申辦新卡或重新辦理身份證，故向被告請求新臺幣（下同）20,000元做為損害補償。被告稱其並非本案之當事人，依最高法院107年度台上字第33號判決意旨，以不法侵權行為之當事人，應以外觀上觀察其是否具有適當之牽連關係判斷。「Booking.com」商標之運用多見於被告「台灣博房網訂管理諮詢股份有限公司」所使用：如104人力銀行之招聘，其自認公司網址為booking.com、被告自行使用的信頭紙等，均能於外觀上認定Booking.com與被告間有適當牽連關係。自一般社會觀察均認被告即屬Booking.com之管理人或具有代表權，被告自始未檢附任何證據可合理說明其與本案無關。被告以旅遊服務由Booking.com B.V.有限公司提供，網站亦由該有限公司營運、操作和控制，而台灣公司僅為支持公司等內部關係抗辯，豈非是以契約債之關係，說明其侵權行為與被告無關。台灣飯店旅館與Booking.com簽約，皆係與被告簽約，消費者再於Booking.com填入個人資料，向簽約飯店訂房間。被告以母公司於阿姆斯特丹、Booking.com網站營運與被告無關，尚不足採。依公司法第371條規定，外國公司非經辦理分公司登記，不得以外國公司名義在中華民國境內經營業務。被告若非以Booking.com經營業務，則荷蘭商Booking.com InternationalB.V.已涉及違反上開規定。被告既已實際於台灣以booking.com為名行營運管理行為之實，且獲巨額利潤，自應就其網站蒐集個資之行為負維護建置之相關責任，不能以網站設立地為荷蘭公司，規避責任，並有最高法院100年台上字第1016號判決「實體同一性」可參。被告稱原告已自認個資係由莿桐花飯店所外洩，並非被告公司，惟原告僅客觀敘述來電聲音自稱為箣桐花飯店及後續之個資外洩簡訊，原告僅知有個資外洩之事實，惟從何處外洩，原告無從得知，亦從未自認。原告係提供個資予被告，參照士林地院107年度湖簡字第110號判決意旨，被告自應舉證已善盡對原告消費資料之保存責任，且未遭不法蒐集，不應推責於原告，被告迄未舉證其就個資保護上有任何措施。並聲明：被告應給付原告20,000元，及自起訴狀繕本送達翌日起至清償日止，按年息百分之5計算之利息；願供擔保請准宣告假執行。

二、被告答辯、聲明：Booking.com B.V.（下稱B.V.公司）乃依荷蘭法律成立之私人有限公司，地址為荷蘭阿姆斯特丹市Herengracht 597,1017 CE，註冊於阿姆斯特丹商會，被告為依臺灣法律設立之公司，被告母公司為Booking.com International B.V.，亦非B.V.公司。依據Booking.com（下稱系爭網站）「旅遊條款和條件」與「法律」說明，均由B.V.公司提供、經營和擁有系爭網站內容和架構，及透過網站提供之線上住宿預訂服務（含收付款服務），且擁有、控制、管理、維護及進行主機管理。被告為B.V.公司之支持公司，向其提供內部協助、不設任何平台，且不以任何方式控制、管理、維護或主管平台，被告無權力和權限提供任何服務、不能代表B.V.公司或以其名義簽訂合約、不參與其營運，亦未被授權擔任其任何形式的處理人或服務代理。「旅遊條款和條件」第12條強調，消費者與支持公司間，不存在任何法律或合約之關係。在系爭網站平台上架之臺灣飯店旅館（含箣桐花飯店），與被告並無合約關係。被告與B.V.公司在法律上為法人格分別獨立之不同主體。原告於系爭網站上訂購箣桐花飯店房間，與被告無關。據系爭網站「旅遊條款和條件」、「法律」及「隱私權聲明」之說明，消費者可清楚得知經營管理系爭網站平台者，為荷蘭商B.V.公司。據「隱私權聲明」，B.V.公司明確表示消費者於系爭網站提交之個資係由其負責處理，在蒐集消費者之個資後，會將個資包括姓名、聯繫資訊、付款資訊、同行旅客姓名及預訂時註明之偏好等直接發給旅遊供應商。原告向被告要求賠償損害，明顯誤認請求對象，洵屬無據。原告援引最高法院100年台上字第1016號判決，與本件事實顯然有別，無法援引。原告主張被告於104人力銀行網站上列系爭網站為公司網址，及使用系爭網站信頭紙張，查被告與B.V.公司同屬Booking集團，人力銀行及信紙之信頭用Booking.com僅係表彰集團商標之使用，表彰被告為Booking.com集團之成員之一，無法據以認定被告為系爭網站之經營者。原告以此推論被告等同B.V.公司或與其有適當牽連關係，顯屬無稽。個資法第29條第1項規定，原告主張個資遭不法蒐集、處理、利用或侵害，應舉證證明被告有違反個資法之情事。依個資法第27條第1項，應採行安全措施義務者限於「保有個人資料檔案者，被告僅為B.V.公司提供支援服務，未曾經營管理系爭網站，亦未曾蒐集控管原告之個資，被告顯不符該條之前提要件，當無依法採行安全措施之義務。原告自陳接到之詐騙電話陳稱為箣桐花飯店之員工、事後收到提醒留意詐騙電話的簡訊亦由箣桐花飯店所發，原告已自認係箣桐花飯店外洩原告個資，被告毋庸就「未外洩原告個資乙事」負舉證責任。並聲明：如主文，如受不利判決願供擔保請免假執行。

三、本院判斷的簡要說明：

(一)不爭執事項：原告曾於110年3月5日在Booking.com網站訂箣桐花飯店(本院卷第19、85-87頁)，並於隔日入住，原告於同年月13後接到箣桐花飯店個資外洩簡訊(本院卷第25頁)。

(二)爭執事項：被告應否依個資法第29條及侵權行為的法律關係賠償原告本件主張的損害?1.查損害賠償之債，以有損害之發生及有責任原因之事實，及二者間有相當因果關係為成立要件，如不合於此項成立要件，即難謂有損害賠償請求權存在，且主張損害賠償請求權之人，依民事訴訟法第277條前段規定，對於其成立要件應負舉證責任(107年度台上字第523號民事判決意見)。

依上最高法院判決意見，只要是損害賠償的債，不管是依甚麼法律關係主張，請求權人就所主張的損害、責任原因事實及損害與原因事實間的相當因果關係等要件事實，有舉證的責任。

2.原告雖提出被告登記資訊（本院卷第17、85-87頁）、訂房與入住飯店資訊（本院卷第19頁）等，僅能證明原告曾經由Booking.com網站訂箣桐花飯店並入住，依目前社會一般訂房網服務的模式，原告所提供住房所需的個人資料，服務端的旅宿業者，亦會擁有，並不能僅因上述訂房的過程，即當然推認原告本件主張的個資外漏與Booking.com網站有關。

而原告另提所謂的詐騙來電（本院卷第23頁），僅有通話紀錄，無具體內容，也無法認定與Booking.com網站未善盡保管原告個資有關。

至於原告所提的個資外洩簡訊（本院卷第25頁），署名提供的是箣桐花飯店，依此簡訊署名，即無法排除是箣桐花飯店未依個資法的規定妥善保存原告個資並致洩漏的可能，且依該署名，應足以認定應與Booking.com網站無關，也因此，無法認定被告有應對原告個資外洩負賠償之債的成立要件事實。

3.有關原告另提被告洩漏個資的新聞資料（本院卷第207-215頁），但查，上述資料比較明確有關的是Booking.com網站2019年個資外洩的部分(本院卷第211、215頁)，無法推認本件與上述事件有關。

另2021年4月25日的洩漏新聞(本院卷第207、213頁)，並未有進一步的調查結果，尚難僅因該報導，即推認原告本件的個資洩漏與Booking.com網站直接相關，而有成立原告本件主張損害賠償之債的要件事實。

4.至於原告所提的被告於104人力銀行上刊登版面（本院卷第63頁）、被告信頭紙（本院卷第67頁）等，其中有關徵才內容，僅敘明Booking.com是NASDAQ:BKNG的一部分，依前面說明，在無法排除原告個資是經由箣桐花飯店洩漏，無法認定Booking.com網站未善盡保管原告個資的情形下，自不能僅因上述的徵才內容，即認定被告與原告本件個資洩漏，有相當的因果關係。

另被告的信頭紙雖有Booking.com的字樣，本於同上的理由，亦不足以認定被告應對原告本件的個資外洩負責。

5.末依原告與Booking.com網站間的契約約定(本院卷第154頁)，係由Booking.com網站負責處理原告的個人資料，在沒有證據可以認定原告本件經由Booking.com網站訂箣桐花飯店的過程，被告有蒐集原告本件個資的情形下，原告即應受上述約定的拘束。

且如前說明，在沒有辦法認定Booking.com網站或被告與原告本件個資外洩有直接關連的情形下，原告要求被告應依個資法第29條第1項但書證明無故意過失，即無依據，且沒有原告主張，以契約債之關係免除侵權行為的情形，也沒有被告應依民法第184條第2項應證明並無過失的問題。

6.原告雖另請求向國稅局調閱被告近半年開立發票之紀錄(本院卷第203頁)，以證明被告以Booking.com網站支付和收取特約旅館之費用，先不論此證據方法，可以用其他較直接相關的證據方法取代，此種用大砲打小鳥式的證據調查聲請，近年來屢見於民事訴訟程序中，雖人民的訴訟權是憲法所明文保障的基本人權，但訴訟權中的調查證據請求權，並不能無限上綱也不能濫用，仍應受民事訴訟法第286條但書規定的約制與拘束，在沒有辦法排除原告個資是由署名箣桐花飯店簡訊所洩漏的情形下，原告上述調查證據的聲請，即無必要。

另原告所提的107年度台上字第33號、100年度台上字第1016號最高法院判民事決意見，分別建立在代表人執行職務、及請求退休金的事實基礎上，與本件情形，並不相同，並無法引用做為有利於原告的認定，而原告所引的其他判決意見，亦與本件事實不同，故不加以說明。

四、綜上，原告依個資法、侵權行為法律關係請求被告賠償2萬元及法定利息，無理由，應駁回。

又原告的訴已經駁回，假執行聲請已失依據，應併駁回。

五、本件事證已明，當事人其餘主張陳述及所提證據，經審酌後不影響上述認定及說明，故不詳論。

六、訴訟費用負擔，依民事訴訟法第78條、第436條之19第1項，確定如主文第2項。

中 華 民 國 110 年 11 月 30 日
臺灣臺北地方法院臺北簡易庭
法 官 詹駿鴻
附錄：
一、民事訴訟法第436條之24第2項：
對於小額程序之第一審裁判上訴或抗告，非以其違背法令為理由，不得為之。
二、民事訴訟法第436條之25：
上訴狀內應記載上訴理由，表明下列各款事項：
(一)原判決所違背之法令及其具體內容。
(二)依訴訟資料可認為原判決有違背法令之具體事實。
以上正本證明與原本無異。
如不服本判決，應於判決送達後20日內向本庭（臺北市○○○路0段000巷0號）提出上訴狀。
（須按他造當事人之人數附繕本）如委任律師提起上訴者，應一併繳納上訴審裁判費。
中 華 民 國 110 年 11 月 30 日
書記官 翁挺育