臺北簡易庭民事-TPEV,111,北簡,16345,20240319,1

臺灣臺北地方法院民事簡易判決
111年度北簡字第16345號
原 告 洪淑芬


被 告 三商行股份有限公司

法定代理人 陳翔玢
訴訟代理人 陳玄茂
林昱廷
上列當事人間請求損害賠償事件，本院於民國113年2月27日言詞辯論終結，判決如下：

主 文

原告之訴駁回。

訴訟費用由原告負擔。

事實及理由

一、原告主張：緣原告於民國111年8月19日15時47分許至鞋全家福蘆二店購買鞋子，在結帳時該店員工告知加入會員將享有優惠，原告故填寫個人資料加入會員，並持國泰世華銀行信用卡刷卡消費新臺幣（下同）1,031元。

嗣原告於同年9月6日17時30分許接獲假冒鞋全家福員工之不詳詐騙集團成員來電，該成員於詢問原告是否於111年8月19日至鞋全家福以國泰世華銀行信用卡消費1,031元購買鞋子後，稱因入帳設定錯誤將導致每月重複扣款等語，復自稱國泰世華銀行員工之詐騙集團成員亦佯稱需依指示操作始能解除設定等語，致原告陷於錯誤而匯款，共計遭騙29萬9,988元。

而被告明知公司遭冒名詐騙消費者之情形嚴重且持續發生，網路上亦有多位消費者主張其個人資料遭被告公司洩漏，且被告公司為刑事警察局000年0月間公布之詐騙高風險賣場，被告公司即應對消費者之個人資料做好安全控管。

然被告未為控管，而僅於其官網宣導防詐騙公告；

被告雖以發送手機簡訊為通知，然在簡訊騷擾功能APP使用發達而該訊息將會受前開APP攔截之情形下，被告應在實體店面宣導或由店員以口頭為防詐騙警告之提醒，而原告因上開詐騙事件致受有身心痛苦，故除上開遭騙款項外，另請求5萬12元之精神慰撫金等情，爰依個人資料保護法第12條、第27條、第28條第2項、第29條，消費者保護法第7條等規定提起本件訴訟等語。

並聲明：被告應給付原告35萬元，及自起訴狀送達翌日起至清償日止，按週年利率5％計算之利息。

二、被告則以：原告就其主張之遭騙經過並未提出證據以證其述，且縱為真，亦不得直指該詐騙集團成員向原告施以詐騙所使用的資料係自被告處外洩；

又被告早於111年8月27日及同年月29日分別在被告官方網站首頁及社群軟體Facebook粉絲專頁刊載反詐騙提醒訊息，並於同年9月1日普發防詐騙提醒簡訊予被告公司之會員，然原告仍於同年月6日遭騙，實為原告之疏失不察所致，被告已盡維護會員個人資料之責等語，資為抗辯。

並聲明：原告之訴駁回。

三、得心證之理由：㈠按當事人主張有利於己之事實者，就其事實有舉證之責任。

民事訴訟法第277條前段定有明文。

次按個人資料保護法旨在保護個人資料上之人格權，並促進個人資料之合理利用。

所謂「個人資料」，依據個人資料保護法第2條第1款之規定，係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料而言。

而按公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人；

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任，但能證明其無故意或過失者，不在此限；

個人資料保護法第12條、第27條第1項、第29條第1項分別定有明文。

再按因故意或過失，不法侵害他人之權利者，負損害賠償責任，民法第184條第1項亦有明文。

是以，侵權行為損害賠償請求權之發生，以有故意或過失不法侵害他人之權利為成立要件，若行為人之行為無故意或過失，即無賠償之可言；

若無實際損害發生亦無賠償之可言；

並以損害之發生及有責任原因之事實，二者之間，有相當因果關係為成立要件。

故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在（最高法院49年台上字第2323號判決先例意旨參照）。

申言之，侵權行為之成立，應具備加害行為、侵害權利、行為不法、致生損害、相當因果關係、行為人具責任能力及行為人須有故意或過失等要件，若任一要件有所欠缺，即無侵權行為責任之可言。

而個人資料保護法雖就違反個人資料保護法規定導致個人資料遭不法蒐集、處理、利用，而侵害其隱私權者，即推定為有故意、過失，然被害人仍應就其個人資料遭不法蒐集、處理及利用之事實負舉證之責，合先敘明。

㈡經查，原告主張其於111年8月19日15時47分許至鞋全家福蘆二店購買鞋子而持國泰世華銀行信用卡刷卡消費1,031元，並於結帳時加入會員；

原告於同年9月6日17時30分許接獲假冒鞋全家福員工之不詳詐騙集團成員來電，該成員說出原告前開購買品項、購買時間、刷卡金額及刷卡銀行等資訊，致原告陷於錯誤而匯款共計29萬9,988元等情，核與原告於111年9月7日至臺北市政府警察局大同分局建成派出所報案所述遭騙情形相符，此有調查筆錄可參（見本院卷一第117至120頁），而前開原告遭騙過程亦經臺灣新北地方檢察署及臺灣新北地方法院認定屬實，此有臺灣新北地方檢察署111年度偵字第46150、52266號，112年度偵字第2713、8852、11703、11818、14032號起訴書、臺灣新北地方法院112年度金訴字第1282、1288號刑事判決在卷可佐（見本院卷一第167至171、435至446頁），並經本院依職權調閱上開刑事判決卷宗核對無訛，堪信為真實。

㈢惟查，原告主張係因被告公司洩漏其個人消費資料予詐騙集團，致原告遭受詐騙集團詐騙而陷於錯誤，並受有前開損害等情，既為被告所否認，依上說明，自應由原告就此有利於己之事實負舉證明責任。

原告雖提出發票、存摺明細、臺北市政府警察局大同分局建成派出所受(處)理案件證明單、網路截圖等件為證（見本院卷一第19至35、89至93、97至103、211至217頁），然上開資料僅能證明原告確有於其主張之期日至被告公司門市以信用卡付款購買物品，及其遭詐騙集團詐騙而匯出款項，並因此至警察局報案等事實，尚無從證明被告公司有為洩漏原告個人資料予詐騙集團之行為。

此外，消費者在門市持卡消費之購物資訊，除被告公司外，尚有其他可能洩漏之原因及環節（如發卡銀行端、聯合信用中心端或其他可能），實難合理排除原告前開購物及消費資訊係自其他環節遭竊取或洩漏之可能性。

而被告公司抗辯就其門市顧客刷卡結帳請款及會員建置傳輸流程，係通過遠傳電信公司所提供之MPLS VPN（封閉式企業虛擬網路）網路服務進行門市消費資料傳輸，流程為消費者在被告門市之消費資料從門市POS機傳輸至被告公司向遠傳租賃之安康機房並至被告總部系統，而該流程均在上開封閉式企業虛擬網路內，該網路並未向公眾開放且被告亦有就個人資料之傳輸予以加密並做去識別化之遮蔽，被告門市刷卡機係向財團法人聯合信用卡中心申設，該刷卡機與信用卡中心就刷卡傳送之資料並未經過被告公司系統，且被告公司與聯合信用卡中心之請款明細表上就信用卡卡號亦為隱碼顯示，被告無從知悉消費者所持信用卡之發卡銀行；

又被告公司就消費者個人資料之資訊安全維護措施，係建置包含FortiGate防火牆、WAF網站應用程式防火牆及進階式防護、趨勢科技防毒軟體端點服務、Pure系統監控工具與快照保護、入侵偵測及防禦機制、FortiView LOG日誌記錄蒐集系統等落實資訊安全之機制等情，業據其提出之鞋全家福顧客刷卡結帳請款對帳暨會員建置傳輸流程示意圖、POS機畫面操作照片、被告公司與聯合信用卡中心請款對帳流程、被告資安維護措施及資料等件附卷可查（見本院卷二第13至197頁）。

而觀上開資料，於門市店員刷取條碼而消費者選擇以刷卡方式結帳時，頁面顯示者為聯信信用卡暨授權碼，而被告公司就會員卡號及手機號碼確有以加密方式為之；

復被告公司與聯合信用卡中心核帳及撥款之頁面，該請款明細表亦僅有卡號、消費日期及金額、授權碼等記載，而該卡號係以部分隱碼顯示，且未見有何刷卡銀行之記載。

再者，被告公司設有個人資料管理單位及適當組織，並訂立個人資料保護方針，設有專責人員協助保護消費者之個人資料，並就該資料訂有標準作業流程等相關規範即公司之個人資料管理辦法；

被告公司亦與其員工於員工入職時簽立保密切結書，並定期為門市人員辦理個人資料保護之教育訓練等情，此有被告公司專責人員組織圖、102年8月11日、104年1月29日及108年2月13日通告、專責人員權限表、被告公司個資法保護方針、會員資料蒐集利用及作業流程圖及行使規範、被告公司個人資料使用同意書、被告公司101年10月31日訂定之個人資料管理辦法、個人資料使用同意書、員工保密切結書、111年度個資保護教育訓練相關紀錄等件在卷可憑（見本院卷一第475至482、487至490、499至500、507至522頁）。

是原告遭不法蒐集、利用之資料是否確實來自被告，或係被告未採行適當安全措施導致外洩，即尚難證明。

㈣至原告雖以網路上有多位消費者主張其個人資料遭被告公司洩漏，且被告公司為刑事警察局000年0月間公布之詐騙高風險賣場等語為其主張，並提出網頁截圖為證，然尚難以此即認原告之個人資料確因遭被告公司洩漏而遭詐騙集團利用，則原告此部分主張，自難採憑。

又被告辯稱早於111年8月27日及同年月29日分別在被告官方網站首頁及社群軟體Facebook粉絲專頁刊載反詐騙提醒訊息，並於同年9月1日普發防詐騙提醒簡訊予被告公司之會員，而該簡訊亦於111年9月1日成功送達至原告手機等情，此有網頁截圖、簡訊狀態查詢截圖附卷可查（見本院卷一第147至151頁）。

而原告亦自陳經其查證後，係因原告手機安全防護程式將陌生人及不明來電為騷擾攔截，使原告不知悉被告所發送之防詐騙提醒簡訊等語（見本院卷一第428、432、467頁）。

則綜合前開說明，應認被告公司就詐騙之防堵已採取相當之措施，而尚難逕認原告遭詐騙陷於錯誤而匯款乙節係因被告公司對會員及消費資料資訊管理有所過失所致。

㈤再按從事設計、生產、製造商品或提供服務之企業經營者，於提供商品流通進入市場，或提供服務時，應確保該商品或服務，符合當時科技或專業水準可合理期待之安全性；

企業經營者違反前2項規定，致生損害於消費者或第三人時，應負連帶賠償責任，消費者保護法第7條第1項、第3項前段分別定有明文。

惟所謂企業經營者係指以設計、生產、製造、輸入、經銷商品或提供服務營業者，為同法第2條第2款所明定。

然查，原告以其個人資料加入為被告公司之會員並為消費購物，上開個人及購物資料之保存，應非被告營業項目與收取對價之範圍，故原告所指摘之個人資料所關之爭議，應非屬消費關係之範圍。

亦即，被告自原告處所接收之個人資料及保管行為，並非提供商品或服務本身，而非屬消費者保護法第7條所規定「商品或服務」之範疇。

再者，如前所述，原告並未就其所受損害與被告公司有何因果關係之有利於己之事實舉證以實其說，自難認其可依消費者保護法第7條之規定請求被告負賠償之責。

四、綜上所述，原告依個人資料保護法第12條、第27條、第28條第2項、第29條，消費者保護法第7條等規定，請求被告給付原告35萬元，及自起訴狀送達翌日起至清償日止，按週年利率5％計算之利息，為無理由，應予駁回。

五、本件事證已臻明確，兩造其餘攻擊防禦方法及所舉證據，經審酌結果，與本件判決結論均無影響，爰不一一論述，附此敘明。

六、訴訟費用負擔之依據：民事訴訟法第78條。

中 華 民 國 113 年 3 月 19 日
臺北簡易庭 法 官 戴于茜
以上正本係照原本作成。
如不服本判決，應於判決送達後20日內向本庭（臺北市○○○路0段000巷0號）提出上訴狀（須附繕本）。
如委任律師提起上訴者，應一併繳納上訴審裁判費。
中 華 民 國 113 年 3 月 19 日
書記官 徐宏華