臺灣士林地方法院民事簡易判決　　　　　107年度湖簡字第110號 原　　　告　游家信 訴訟代理人　曾子興律師 被　　　告　雄獅旅行社股份有限公司 法定代理人　王文傑 訴訟代理人　李家誠 　　　　　　林彥志律師 上列當事人間侵權行為損害賠償事件，經本院於民國107 年5 月 25日言詞辯論終結，判決如下： 主 文 被告應給付原告新臺幣貳萬元，及自民國一百零六年十一月二日 起至清償日止，按週年利率百分之五計算之利息。 原告其餘之訴駁回。 訴訟費用新臺幣壹仟伍佰伍拾元，由被告負擔百分之二十即新臺 幣叁佰壹拾元，餘由原告負擔。 本判決第一項得假執行；但被告如以新臺幣貳萬元為原告預供擔 保後，得免為假執行。 原告其餘假執行之聲請駁回。 事實及理由 一、原告主張： ㈠伊前於民國106年4月24日在被告之宜蘭門市購買前往越南胡 志明市之機票2張並委託辦理簽證，因而留存個人資料（下 稱系爭消費資訊）於被告公司。嗣於同年7月3日晚間，突然 接到自稱被告公司員工（實為某詐騙集團成員）來電，陳稱 公司內部電腦遭駭客入侵，竊走部分客戶個人資料，其中包 含原告先前下訂資料（即系爭消費資訊）在內，且利用該資 料下訂12張機票，因事態緊急，亟需處理，騙取原告告知持 用第一銀行發行之信用卡後，繼又編以須至銀行自動提款櫃 員機（ATM）辦理取消訂購12機票之手續，且將聯繫第一銀 行人員，續為為原告處理取消訂票事宜。嗣某自稱第一銀行 專員（實亦為詐騙集團成員）打電話給原告，原告受騙而不 自知，乃依其指示至ATM進行操作，先後進行提款新臺幣（ 下同）1,000元、轉帳12元、轉帳29,987元；嗣至另一台ATM 分5次共提款99,000元後，再至第一銀行之ATM操作，以30, 000元為存款單位，對某帳戶存入2筆（共60,000元）；嗣又 要求原告另至台新銀行的ATM續行操作，對某帳戶存入30, 000元1筆、至中國信託銀行的ATM續行操作，再對某帳戶存 入8,000元1筆（上開操作過程，下合稱系爭ATM操作），致 原告遭詐諞計127,987元（即29,987＋30,0002＋10,000＋ 8,000＝127,987，下合稱系爭財產上損害）。 ㈡由於被告員工取得客戶消費資訊（含系爭消費資訊在內）後 ，未採行適當安全保護措施，被告亦未依個人資料法之規定 ，善盡該公司對客戶（包含原告在內）資料之保護工作，致 106年5月間被告公司發生36萬筆客戶資料（包含系爭消費資 訊在內）外洩事件，嗣遭某詐騙集團取得，並藉之對原告進 行詐騙得逞，爰依民法第28條、第184條、第188條及個人資 料保護法第29條第1項為規定，訴請被告賠償系爭財產上損 害；併依個人資料保護法第29條第2項規定，請求被告賠償 非財產上損害20,000元，並均加計利息。 ㈢聲明為：⒈被告應給付原告147,987元，及自起訴狀繕本送 達翌日起至清償日止，按週年利率5%計算之利息；⒉願供擔 保請准宣告假執行。 二、被告則以： ㈠原告主張於106 年7 月3 日晚間接獲詐騙電話，受騙而為系 爭ATM操作，受有系爭財產上損失，應先舉證證明之。被告 公司電腦遭駭客入侵後，為免客戶受害，於106年5月23日、 同年月26日分別以簡訊通知原告，通知其慎防詐騙、免遭受 害，並提出發訊資料為證（詳答辯狀㈡所附被證3）。是以 ，原告主張於106年7月3日晚間接獲詐騙電話，受騙而為系 爭ATM操作，致有系爭財產上損害等情，縱認屬實，該損害 亦屬詐騙集團所為，或係原告個人疏失所致，與被告無涉， 且難認該損害與被告公司電腦遭駭客入侵、客戶資訊外洩事 件間有相當因果關係。 ㈡原告指摘被告有違反個人資料保護法、旅行業個人資料檔案 維安維護計畫及處理辦法等規定，以及系爭消費資訊為被告 所洩漏等情，亦應由原告先行舉證證明之。再者，網路資訊 發達，伴隨高風險，關於客戶資訊保護責任，實不應全由提 供服務業者承擔等語，資為抗辯。 ㈢聲明為：⒈駁回原告之訴；⒉如受不利判決，願供擔保請准 免為假執行之宣告。 三、法院之判斷： ㈠原告主張其於106 年4 月24日在被告之宜蘭門市購買前往越 南胡志明市之機票2 張並委託辦理簽證，因而留存個人資料 （即系爭消費資訊）於被告公司，及被告於同年5 月間發生 客戶資料外洩事件，嗣其於同年7月3日晚間接到詐騙電話， 誤信其個資被濫用，進而為系爭ATM操作款，共計遭詐諞127 ,987元等節，業據提出被告開立之收款單、被告發生客戶資 料外洩事件之報載資料、網路新聞擷取畫面、原告之第一銀 行帳戶存摺節本資料（其上載有前述各筆之跨行提款、跨行 轉帳紀錄）、交易紀錄查詢、臺灣臺北地方法院106年度簡 字第8389號刑事簡易判決影本（按：原告為該詐欺案件之受 害人，見載於該判決附表編號2中。詳原告於107年5月21日 所提出之民事辯論意旨㈡暨調查證據聲請狀所附證物6）為 證，被告亦不爭執該等資料之形式真正，且自承該公司電腦 有遭駭客入侵，已向刑事局報案之情（見107年4月20日言詞 辯論筆錄）。是原告主張被告因兩造間之消費與委任關係取 得系爭消費資訊後，被告公司電腦遭駭，致系爭消費資訊為 詐騙集團取得與利用，嗣原告106年7月3日晚間接獲詐騙電 話，受騙而為系爭ATM操作，受有系爭財產上損失等節，應 堪認屬實。 ㈡原告主張其接到系爭詐騙電話，乃被告未善盡對客戶個人資 料之保護所起，且致其受有財產上（即系爭財產上損害）及 非財產上損害（即其個人資料遭被告外洩，人格權受侵害） 等情，被告則以前揭情詞置辯。是本件應審酌之爭點應在於 ：⒈某詐騙集團取得之系爭消費資訊是否因被告未善盡對客 戶資訊保護責任所洩漏？⒉被告是否已依個人資料保護法之 規定採取適當安全措失，以防止原告個資被竊取或外洩而無 過失？⒊被告倘有過失，其過失行為與原告受有「個資外洩 之非財產上損害」間有無相當因果關係？⒋原告主張受有「 系爭財產上損害」與被告或其受僱人之行為間有無相當因果 關係？茲分論如下： ⒈某詐騙集團取得系爭消費資訊是否因被告未善盡對客戶資訊 保護責任而洩漏之判斷： 按事實有常態與變態之分，其主張常態事實者無庸負舉證責 任，反之，主張變態事實者，則須就其所主張之事實負舉證 責任。查，被告為資本額達億元以上之公司，且經營規模非 小，依常情而言其能力自較一般消費大眾來得強大。甚且被 告經營網路消費平台，於公司電腦中、或資料庫中又或者於 所於營網站上儲存客戶之消費資料（含所留之聯繫資料，例 如：手機號碼、住家地址等）更屬常態；反之一般消費者於 其電腦或手機中留存其個人聯繫資料，則屬變態。被告雖辯 稱系爭消費資訊之所以外洩，或可能出自原告，對於客戶資 訊保護責任，不應全由被告承擔云云。究其所辯固非絕無可 能，惟依前開說明，駭客入侵營業公司之電腦竊取其大量客 戶資訊，要屬常態；反之，侵入個人電腦以竊取個人之消費 資料，則屬變態。是應由被告先行舉證證明其確已善盡對於 該公司客戶（含本件原告在內）所留消費資料之保存責任， 且未遭不法蒐集，而不應推責於原告。 ⒉被告是否已依個人資料保護法之規定採取適當安全措失，以 防止客戶（含原告在內）個資被竊取或外洩而無過失？ ⑴按，非公務機關保有個人資料檔案者，應採行適當之安全措 施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；中央 目的事業主管機關得指定非公務機關訂定個人資料檔案安全 維護計畫或業務終止後個人資料處理方法；前項計畫及處理 方法之標準等相關事項之辦法，由中央目的事業主管機關定 之，個人資料保護法第27條定有明文。又按，非公務機關違 反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者，負損害賠償責任。但能證明其無故意或過 失者，不在此限；依前項規定請求賠償者，適用前條第二項 至第六項規定。同法第29條亦有明定。 ⑵查，被告雖自承該公司電腦遭駭、發生客戶個資外洩情事， 然不包含系爭消費資訊云云。查，系爭消費資訊成立日期為 106年4月24日，顯在同年5月間被告公司電腦遭駭之前，兼 以詐騙集團竟得利用系爭消費資訊（即明確敘明消費內容以 取信原告），依經驗法則推斷，系爭消費資訊應在前述被告 遭竊36萬餘筆客戶資訊當中，詐騙集團方得利用之而對原告 進行精準詐騙。 ⑶又查，被告並未提出該公司對資安防護工作之建置相關資料 ，以佐證發生前述公司電腦遭駭、客戶資料外洩前，已對其 所取得客戶資料建置有效防護措施外，更乏資料可認被告於 本事件發生前，已於該公司內部就經手客戶資訊之員工建置 完善、嚴格之管理制度。故難推認被告已就其所取得客戶（ 包含本件原告在內）個人資料，善盡防護工作，以避免遭不 法蒐集、處理、利用。 ⒊被告倘有過失，其過失行為與原告受有「個資外洩之非財產 上損害」間有無相當因果關係之判斷？ ⑴按，當事人主張有利於己之事實者，就其事實有舉證之責任 ，但法律別有規定，或依其情形顯失公平者，不在此限，民 事訴訟法第277條規定甚明。上開但書規定係於89年2月9日 該法修正時所增設，肇源於民事舉證責任之分配情形繁雜， 僅設原則性之概括規定，未能解決一切舉證責任之分配問題 ，為因應傳統型及現代型之訴訟型態，尤以公害訴訟、商品 製造人責任及醫療糾紛等事件之處理，如嚴守本條所定之原 則，難免產生不公平之結果，使被害人無從獲得應有之救濟 ，有違正義原則。是法院於決定是否適用上開但書所定之公 平要求時，應視各該具體事件之訴訟類型特性暨求證事實之 性質，斟酌當事人間能力之不平等、證據偏在一方、蒐證之 困難、因果關係證明之困難及法律本身之不備等因素，以定 其舉證責任或是否減輕其證明度，最高法院103年度台上字 第1311號判決參照。 ⑵查，被告對其持有之系爭消費資訊（包含原告個資在內）， 未盡法定維護義務而有「過失」乙情，既經認定如前，則原 告個資遭竊取、外洩，進而為不法集團持用、利用，致原告 隱私權遭侵害，自堪認定。又原告依個人資料保護法第29條 規定請求被告損害賠償，乃以被告違反個人資料保護法之過 失行為與原告所述損害間具備「相當因果關係」為要件，被 告則辯稱無相當因果關係並答辯於前。因宥於網際網絡科技 浩瀚並參雜人為因素之變異而有高度舉證困難，責令被害人 擔負完全之舉證責任實有不公，兼以被告經營旅遊業，且達 一定規模，原告交付個資後即由其支配掌握，其對於個資被 竊取或外洩風險之控制及分擔能力俱優於原告，故本院斟酌 本件訴訟性質、兩造之舉證能力、被告違反義務之情節及風 險分配之合理性，進而比照我國實務就公害訴訟降低被害人 因果關係舉證責任之見解，認被告行為所生之危險已有相當 合理確定性，即推定有一般因果關係之存在（最高法院102 年度台上字第31號判決意旨參照），被告倘認無一般或個別 因果關係存在，自應提出確切之反證證明。 ⑶被告有違反個資維護義務致將原告個資外洩等情，既經認定 於前，則原告主張其因而受有非財產上損害與被告公司電腦 遭駭侵入、發生客戶資料外洩間，依前揭規定與說明，即推 定有一般因果關係之存在，而被告既未能提出確切反證，是 則原告主張被告未盡法定維護義務，致原告個資遭外洩，令 其隱私權受侵害等節為可採。故原告依個人資料保護法第29 條、第28條第2項規定，請求「個資外洩之非財產上損害」 20,000元，於法即屬有據，且衡情並未過當。 ⒋原告主張受有「系爭財產上損害」與被告或其受僱人之行為 間有無相當因果關係之判斷？ 查，106年5月間發生被告公司之電腦遭駭客入侵，約有36萬 餘筆客戶資訊遭竊事件，經見載於報紙、網路媒體，業經認 定於前，則原告自應有所警覺與注意；又詐騙集團利用電話 詐騙民眾前往ATM操作，此一再為政府、各媒體所宣導，原 告應有防騙意識；況被告公司電腦遭駭後，被告於同年月23 日、26日，即曾以簡訊通知原告：「該公司不會以電話通知 客戶前往ATM操作，以訂單操作錯誤重複扣款或不合理優惠 ，於電話中要求您提供信用卡資料或帳戶資訊等，均為詐騙 行為。請慎防詐騙，避免受害…」並提出該發訊資料為證（ 詳答辯狀㈡所附被證3），原告亦自承有接到該簡訊通知（ 詳107年5月25日言詞辯論筆錄），由此，足資證明被告已採 取適當避免原告因被告公司電腦遭駭客入侵、客戶資料外洩 ，而可能遭受財產上損害之防護行為。是以，原告之後於10 6年7月3日晚間，接獲詐騙集團打來之詐騙電話，竟誤信該 詐騙伎倆（即誤信原告之信用卡遭盜刷）為真，提供原告個 人之信用卡資料予對方，進而為系爭ATM操作行為，方導致 原告受有系爭財產上損害，且該損害核乃原告個人疏忽行為 所致，尚難認系爭財產上損害與前述被告未善盡對客戶個人 資料之保護行為間，確有相當因果關係存在。是則，原告依 民法第28條、第184條、第188條及個人資料保護法第29條第 1項為規定，請求被告賠償「系爭財產上損害」，核與前揭 條文所規定得為請求之要件即有不符，而難准許之。 四、從而，原告依民法侵權行為、個人資料保護法第29條第2 項 、第28條第2 項規定之法律關係，請求被告給付20,000元（ 即非財產上損害），及自起訴狀繕本送達之翌日即106 年11 月2 日起至清償日止，按法定利率即週年利率5%計算之利息 ，為有理由，應予准許。逾此範圍之請求，則無理由，應予 駁回。 五、本件係適用簡易程序，所為被告敗訴部分，應職權宣告假執 行；並依被告聲請酌定相當擔保金額，為被告得免假執行之 宣告。至原告其餘假執行之聲請，已失所附麗，應併予駁回 。 六、本件訴訟事證已臻明確，兩造其餘攻擊防禦方法及所提證據 ，經審酌後認與本件判決結果不生影響，爰不再逐一論述， 併此敘明。 七、末依職權確定本件訴訟費用額為1,550 元（即第一審裁判費 ），其中20% 即310 元應由被告負擔，餘由原告負擔。 八、訴訟費用負擔之依據︰民事訴訟法第79條。 中 華 民 國 107 年 6 月 22 日 內湖簡易庭法 官 施月燿 以上為正本係照原本作成。 如不服本判決，應於判決送達後20日內，向本院提出上訴狀並應 記載上訴理由，如於本判決宣示後送達前提起上訴者，應於判決 送達後20日內補提上訴理由書（須附繕本）。 中 華 民 國 107 年 6 月 22 日 書記官 王玉雙