臺灣士林地方法院民事簡易判決 　　　　　　　　　　　　　　　　　 109年度湖簡字第1959號 原　　　告　賴怡芬 訴訟代理人　葉奇鑫律師 　　　　　　王慕民律師 　　　　　　吳彥欽律師 上　一　人 複　代理人　張岑伃律師 被　　　告　樂益商貿股份有限公司 法定代理人　施凱文 訴訟代理人　賴淑芬律師 複代理人　　林暐程律師 訴訟代理人　蘇小雅律師 上列當事人間請求侵權行為損害賠償事件，本院於民國110 年5 月11日言詞辯論終結，判決如下： 主 文 被告應給付原告新臺幣26,000元，及自民國109 年11月5 日起至 清償日止，按週年利率5%計算之利息。 原告其餘之訴駁回。 訴訟費用新臺幣3,090 元，其中新臺幣290 元由被告負擔，餘由 原告負擔。 本判決原告勝訴部分得假執行，但如被告以新臺幣26,000元為原 告預供擔保，得免為假執行。 原告其餘假執行之聲請駁回。 事實及理由 一、原告主張：原告於民國108 年11月11日、109 年1 月29日及 同年3 月5 日在被告所經營管理之「Herbuy好買寶貝網站」 平台（下稱系爭網站平台）訂購尿布產品，輸入姓名、電話 號碼、地址及訂購之產品、數量、金額及付款方式等個人資 料。但被告蒐集、持有原告上開個人資料後，未盡採取適當 安全措施之責而外洩上開資料，遭詐騙集團不法蒐集、處理 、利用，原告於同年4 月4 日下午3 時13分許，接獲詐騙集 團成員以顯示號碼與系爭網站平台所示客服專線相同之號碼 來電謊稱其為系爭網站平台員工，因系爭網站平台工讀生作 帳錯誤，產生一筆新臺幣（下同）14,000元之訂單，將於當 晚由銀行扣款，須原告依銀行人員指示操作止付並取消訂單 。原告於下午3 時48分許，再接獲詐騙集團成員來電自稱為 中國信託銀行人員，向原告確認信用卡資料，而取得原告中 國信託銀行及國泰世華銀行信用卡卡號等完整資訊。原告於 下午4 時5 分許，復接獲自稱中國信託銀行人員之詐騙集團 成員來電，誆騙原告操作國泰世華商業銀行的手機應用程式 轉帳99,999元至其所指定之郵局帳戶，以及至全聯購物中心 賣場操作ATM 匯款29,987元至其指定之合作金庫商業銀行帳 戶，致原告陷於錯誤共計受有匯款129,986 元及30元手續費 之損害。又原告因個人資料遭受外洩，隱私權（含資訊自主 權）受侵害，傷及原告對人性之信任感，飽受精神上極大的 焦慮。爰依個人資料保護法第29條第1 項、民法第184 條第 2 項、第185 條，請求被告賠償其受詐騙之財產上損害130, 016 元，依個人資料保護法第29條第1 項、第2 項、第28條 第2 項、第3 項及民法第195 條第1 項規定，請求被告賠償 非財產上損害15萬元等語。並聲明：（一）被告應給付原告 280,016 元，及自起訴狀繕本送達翌日起至清償日止，按週 年利率5%計算之利息。（二）願供擔保，請准宣告假執行。 二、被告則以：原告所稱來電之對方自稱系爭網站平台員工，電 話中與原告核對訂單資訊與其訂購之商品資訊相符乙節，並 未見原告舉證以佐。而詐騙集團取得個人資訊之管道非僅一 端，有可能侵入物流公司之作業系統，亦有可能透過原告造 訪之其他網站入侵個人網路，實難憑原告曾在系爭網站平台 購買商品，即認原告之個人資料係遭被告外洩。且原告向被 告表示有個資外洩疑慮後，即於109 年4 月14日報警，並自 行檢查機房系統，均未發現有遭外部入侵之異常。被告對系 爭網站平台系統均已依經濟部所頒布「網際網路零售業及網 際網路零售服務平台業個人資料檔案安全維護計畫及業務終 止後個人資料處理作業辦法」採取安全措施，包括訂定及執 行相關個資安全維護計畫與資訊安全政策，並定期進行電子 郵件社交工程演練，要求所有員工執行相關資安防護、帳號 驗證與檔案加密程序，且向具有ISO 資安管理認證之訴外人 果核數位股份有限公司租用機房系統與雲端服務。被告於系 爭網站平台首頁、購物車頁面亦設有常態性之防詐騙宣導， 並於提醒詐騙之電子郵件中以顯著顏色標明，另外設有社群 媒體LINE提供線上客服服務，設定若消費者留訊息，即會自 動回覆包括防詐騙提醒之訊息。可見被告對於所保有之原告 個人資料已提供適當之安全維護。原告於被告之系爭網站平 台消費後，即已透過電子郵件寄送含有防詐騙宣導文字之訂 購通知函予原告，產品出貨後，被告再於108 年11月13日、 109 年1 月31日及同年3 月7 日分別寄送內含防詐騙宣導文 字之簡訊予原告，被告已事前採取避免原告遭騙之適當防護 行為，善意提醒原告，原告理應有所警覺。而縱使原告資料 係被告之系爭網站平台所外洩，未必致原告受有損害，原告 之財產損失乃訴外人之行為所致，與被告是否盡適當之安全 維護措施之行為間並無相當因果關係。是原告之請求均為無 理由等語，資為抗辯。並聲明：（一）原告之訴駁回。（二 ）如受不利判決，願供擔保請准免為假執行。 三、經查，原告於108 年11月11日、109 年1 月29日及同年3 月 5 日在被告所經營管理之系爭網站平台訂購尿布等產品，輸 入姓名、電話號碼、地址及訂購之產品、數量、金額及付款 方式等個人資料，被告因而持有原告個人資料，為被告所不 爭執，堪信為真實。 四、本院之判斷： 原告主張被告持有其個人資料，未盡採取適當安全措施之責 而外洩上開資料，遭詐騙集團不法蒐集、處理、利用，進而 對原告實施詐騙，致原告受有財產上損害130,016 元，其得 依個人資料保護法第29條第1 項、民法第184 條第2 項、第 185 條規定，請求被告賠償損害。又被告之行為侵害原告隱 私權（含資訊自主權），致原告飽受精神痛苦，其得依個人 資料保護法第29條第1 項、第2 項、第28條第2 項、第3 項 及民法第195 條第1 項規定，請求被告賠償非財產上損害等 語，然為被告以前揭情詞置辯。是本件應審究者為：（一） 詐騙集團用以詐騙原告之個人資料是否來自被告經營管理之 系爭網站平台？（二）被告是否未盡採取適當安全措施之責 而外洩原告個人資料﹖（三）原告依個人資料保護法第29條 第1 項、民法第184 條第2 項、第185 條規定，請求被告賠 償財產損失，有無理由﹖（四）原告依個人資料保護法第29 條第1 項、第2 項、第28條第2 項、第3 項及民法第195 條 第1 項規定，請求被告賠償非財產上損害，有無理由﹖茲分 別說明如下： （一）詐騙集團用以詐騙原告之個人資料是否來自被告經營管理 之系爭網站平台？ 1.按非公務機關保有個人資料檔案者，應採行適當之安全措 施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非 公務機關違反本法規定，致個人資料遭不法蒐集、處理、 利用或其他侵害當事人權利者，負損害賠償責任。但能證 明其無故意或過失者，不在此限。個人資料保護法第27條 第1 項、第29條第1 項分別定有明文。依上開規定，就被 告保有個人資料而發生個人資料遭不法蒐集、處理、利用 或其他侵害當事人權利者，採過失推定原則，即由被告舉 證證明其無故意或過失，始能免責。然原告就其有利於己 之事實即其遭詐騙時之個人資料係來自被告經營管理之系 爭網站平台之事實，即應先負舉證責任。 2.經查，依原告於109 年4 月4 日下午7 時許報案時警詢筆 錄內容（見本院卷一第261 頁至264 頁），原告稱其於10 9 年4 月4 日下午3 時13分許，接獲詐騙集團成員以顯示 號碼為0000000000來電稱其為系爭網站平台員工，因系爭 網站平台內部操作錯誤，會重覆扣款，須原告依銀行人員 指示操作止付並取消訂單，後再以顯示號碼為0000000000 來電稱其為中國信託之行員向其確認資料，並要其依指示 使用網路銀行轉帳，以及至設於臺中市○區○○路○○○ 號 之全聯福利中心內的國泰世華銀行ATM 操作才能取消等語 。審酌原告係於遭詐騙後同日晚間即向警察報案，斯時係 以被害人立場向警察陳述遭詐騙過程細節，為查明遭詐騙 之真相，其當無隱匿、虛偽陳述之動機，是其上開所述內 容應有相當之可信度。再佐以原告確有於108 年11月11日 、109 年1 月29日及同年3 月5 日在系爭網站平台訂購產 品並完成交易乙節，為兩造所不爭執。及詐騙集團成員打 電話給原告所顯示之0000000000號碼與系爭網站平台所載 之客服電話相同，有原告提出之訂購單、手機受話明細單 、系爭網站平台官網客服專線介紹頁面截圖可佐（見本院 卷一第53頁至59頁）。可認原告所稱詐騙集團係以謊稱為 被告之員工之方式對其實施詐術可採。又經刑事警察局統 計，系爭網站平台自109 年3 月30日起至同年4 月5 日止 及同年4 月6 日至4 月12日止，經民眾通報高風險賣場（ 平台）之件數分別為13件、9 件，有刑事警察局統計資料 可稽（見本院卷一第71頁、第73頁），可知原告於同年3 月30日透過系爭網站平台訂購商品後，至其於同年4 月4 日遭詐騙期間，經民眾通報系爭網站平台為高風險平台， 亦即使用系爭網站平台之民眾接獲自稱網路賣場或銀行來 電，要求前往操作ATM 解除分期付款設定之案件累計高達 22餘件，足徵上開報案民眾個人資料來源之共通性即為使 用系爭網站平台，且上開民眾遭詐騙集團接洽後行騙之手 段相似、時間密接。再被告曾委由訴外人即其員工蘇宥臻 於109 年4 月14日報警稱被告公司於109 年4 月1 日據2 位消費者告知接獲詐騙電話，其發現公司的資料遭竊取， 當時向165 詐騙專線詢問結果，客戶反應詐騙的案件有 142 筆，回報實際受害的件數為21件，客戶反應給被告的 是8 筆等語（見本院卷二第23頁至25頁）。另訴外人即被 告之資訊技術主管董守銘於109 年5 月7 日警詢時稱（問 ：你如何判定有資料遭竊取？）「詐騙集團電話中有講出 詳細的訂單資料」、「我們先檢查內部人員使用狀況，並 沒有發現異常使用訂單資料的情形，因此研判是駭客入侵 竊取訂單資料」、「我們現在的系統是5 年前安裝的，後 續沒有做更新，故可能有漏洞讓人從外部入侵，但經各方 面的檢查均未能找出遭入侵的方式」等語（見本院卷二第 31頁至32頁）。可知與原告接到詐騙集團來電話之相同時 期，亦有為數眾多之消費者接到詐騙集團以相同利用系爭 網站平台之訂單資料取信消費者之手法對其等實施詐騙。 被告亦因懷疑其所持有之客戶訂單資料遭駭客入侵竊取而 向警方報案。又詐騙集團以謊稱為被告員工之詐騙手法， 其所使用之個人資料及訂單內容僅有被告完整持有，竟遭 詐騙集團取得並以此施行詐術，且相近期間，被告之客戶 遭受同樣詐騙之情事高達數十件，依通常經驗判斷，詐騙 集團所利用之個人資料及訂單資訊，係來自被告之系爭網 站平台，足堪認定。 （二）被告是否未盡採取適當安全措施之責而外洩原告個人資料 ﹖ 1.被告抗辯其對系爭網站平台系統均已依經濟部所頒布「網 際網路零售業及網際網路零售服務平台業個人資料檔案安 全維護計畫及業務終止後個人資料處理作業辦法」（下稱 系爭個人資料處理作業辦法）採取安全措施，包括訂定及 執行相關個資安全維護計畫與資訊安全政策，並定期進行 電子郵件社交工程演練，要求所有員工執行相關資安防護 、帳號驗證與檔案加密程序，且向具有ISO 資安管理認證 之訴外人果核數位股份有限公司（下稱果核公司）租用機 房系統與雲端服務，其已盡適當之安全維護措施等語，並 提出訴外人即受被告委託管理系爭網站平台之樂利數位科 技股份有限公司（下稱樂利公司）提出之資訊安全政策、 樂利公司通知被告進行年度集團郵件社交工程演練之電子 郵件、員工執行資安防護資料、樂利公司通知自109 年3 月1 日起實施被告員工兩步驟帳號驗證、檔案加密、果核 公司之ISO 資安管理認證等件為憑（見本院卷一第171 頁 至216 頁）。 2.經查，受被告委託管理系爭網站平台之樂利公司所提出之 108 年5 月版系爭個人資料處理作業辦法及108 年9 月5 日版資訊安全政策，係抽象之作業規範，而規範之制定與 被告有無實際落實要屬二事，尚不足認被告確已有實際管 理維護消費者個人資料之資安維護作為。又被告雖向取得 ISO 資安管理認證之果核公司租用機房系統及雲端服務。 然如前所提及之被告之資訊技術主管董守銘於109 年5 月 7 日警詢時所稱，被告之系統是5 年前安裝的，後續沒有 做更新，故可能有漏洞讓人從外部入侵，但經各方面的檢 查均未能找出遭入侵的方式等語。則被告縱使訂有上開作 業規範及向果核公司租用機房系統，其使用之系統歷經5 年未更新，於系統遭入侵後亦無法即時發現任何異常之目 標電腦及惡意程式檔案，其顯然未落實系爭個人資料處理 作業辦法第16條第9 項規定「對於電腦作業系統及相關應 用程式之漏洞，定期安裝修補之程式」（見本院卷一第16 4 頁）。另樂利公司固有通知被告進行年度集團郵件社交 工程演練、要求被告員工執行資安防護資料、並自109 年 3 月1 日起實施被告員工兩步驟帳號驗證、檔案加密等作 為，然僅可認被告對於「員工」進行之資安訓練，但無法 認定上開作為係屬於對於被告之「客戶之個人資料及訂單 資料」管理維護之積極作為。是以不能認被告已對於系爭 網路平台記錄、保存原告之個人資料盡適當安全維護措施 。被告違反個人資料保護法第27條第1 項規定，堪予認定 。被告辯稱其對於系爭網路平台記錄、保存原告之個人資 料已盡適當安全維護措施，所辯即無足採。 （三）原告依個人資料保護法第29條第1 項、民法第184 條第2 項、第185 條規定，請求被告賠償財產損失，有無理由﹖ 1.按非公務機關違反本法規定，致個人資料遭不法蒐集、處 理、利用或其他侵害當事人權利者，負損害賠償責任。違 反保護他人之法律，致生損害於他人者，負賠償責任。但 能證明其行為無過失者，不在此限。個人資料保護法第29 條第1 項、民法第184 條第2 項分別定有明文。又損害賠 償之債，以有損害之發生及有責任原因之事實，並二者之 間，有相當因果關係為成立要件。故原告所主張損害賠償 之債，如不合於此項成立要件者，即難謂有損害賠償請求 權存在。且所謂相當因果關係，係指依經驗法則，綜合行 為當時所存在之一切事實，為客觀之事後審查，認為在一 般情形下，有此環境、有此行為之同一條件，均可發生同 一之結果者，則該條件即為發生結果之相當條件，行為與 結果即有相當之困果關係。反之，若在一般情形上，有此 同一條件存在，而依客觀之審查，認為不必皆發生此結果 者，則該條件與結果並不相當，不過為偶然之事實而已， 其行為與結果間即無相當因果關係，不能僅以行為人就其 行為有故意過失，即認該行為與損害間有相當因果關係（ 最高法院98年度台上字第673 號判決要旨參照）。換言之 ，相當因果關係之判斷，包含：1.應先判斷結果發生之條 件，為損害發生之不可欠缺之條件。2.再判斷因果關係之 相當性，即在一般情形下，有此環境、有此行為之同一條 件，均可發生同一之結果，始可謂行為與結果間具有相當 因果關係。 2.經查，被告對於系爭網路平台記錄、保存原告之個人資料 未盡適當安全維護措施，違反個人資料保護法第27條第1 項規定，業如前述。又被告未能舉證證明其違反上開規定 無過失，是原告自得依個人資料保護法第29條第1 項及民 法第184 條第2 項規定，請求被告負賠償責任。然而原告 遭詐騙集團詐騙而損失之財物，是否屬被告應賠償之範圍 ？本件觀之原告108 年11月11日、109 年1 月29日及同年 3 月5 日在系爭網站平台消費之訂購單所示資料，上為「 姓名」、「電話」、「地址」、「訂單編號」、「消費日 期」、「商品名稱」及「消費金額」等原告個人基本資料 與消費資料，均係原告私領域項目而不受干擾之資料，屬 原告之隱私，縱認被告如未疏於維護系爭網站平台內之原 告上開所提供之個人資料，詐騙集團即無法入侵系爭網站 平台竊取上開原告之個人資料，原告不致於被詐騙集團成 員詐騙而受財物損失，而認被告之疏失行為可謂原告財產 權受損害之不可欠缺之條件。然而考量詐騙集團介入行為 對損害結果之強度，遠超乎原先個人資料外洩之影響，且 屬故意犯罪行為，被告亦無防止該第三人不法行為之契約 或法令上義務，堪認詐騙集團對原告施以詐術之故意行為 業已中斷被告過失使資料外洩結果與原告財產上損害間之 因果關係。且被告於系爭網站平台首頁及購物車頁面已設 有常態性之防詐騙宣導，於訂單成立或出貨時，再以簡訊 及電子郵件發送防詐騙之提醒訊息「切勿聽從指示至ATM 操作設定或提供信用卡資料」等內容，此有原告提出訂購 通知函（見本院卷一第53頁、第55頁），及被告提出網站 頁面截圖、出貨紀錄、109 年4 月2 日簡訊提醒可佐（見 本院一第217 頁、第223 頁、第225 頁、本院卷二第131 頁）。原告即應對此一詐騙技倆有所警覺，然原告未有所 警覺，因其個人疏忽而誤信詐騙集團伎倆，致被詐騙集團 詐騙。換言之，被告系爭網站平台內客戶資料之外流，固 係對於原告隱私權之侵害，然衡諸一般情形，資料外流並 不必然發生客戶受詐騙且受有財物損失之侵害結果，原告 財物之損失係因詐騙集團成員積極實施詐騙行為所致。此 亦可由前揭蘇宥臻證稱165 詐騙專線提及反應詐騙的案件 有142 件，但回報實際受害的件數為21件，比例僅占一成 餘，亦可說明被告之過失行為與原告之財物損失結果之間 ，難謂有相當之因果關係。是以，依前揭說明，原告依個 人資料保護法第29條第1 項、民法第184 條第2 項規定， 要被告就原告遭詐騙所受財物損失負責，並非可採。 （四）原告依個人資料保護法第29條第1 項、第2 項、第28條第 2 項、第3 項及民法第195 條第1 項規定，請求被告賠償 非財產上損害，有無理由﹖ 1.按被害人雖非財產上之損害，亦得請求賠償相當之金額。 個人資料保護法第28條第2 項。上開規定於非公務機關依 同法第29條規定應負損害賠償責任時，亦有適用。此觀之 同法第29條第2 項規定自明。另按不法侵害他人之身體、 健康、名譽、自由、信用、隱私、貞操，或不法侵害其他 人格法益而情節重大者，被害人雖非財產上之損害，亦得 請求賠償相當之金額。民法第195 條第1 項前段亦定有明 文。 2.經查，本件原告個人資料因被告之疏失而為詐騙集團不法 取得，致原告個人資料外洩而侵害其個人隱私權，自屬不 法侵害他人隱私權，並造成原告精神承受壓力，堪足認定 ，則原告自得依上開規定請求被告賠償非財產上之損害。 而按慰撫金之核給標準，應斟酌雙方身分、地位及經濟狀 況及其他各種情形核定之。本院審酌原告為大學畢業，現 在家照顧幼兒，利用空檔接受零星室內設計繪圖個案以補 貼家用，109 年度所得為36萬餘元，名下無財產；被告資 本額2,000 萬元，經營系爭網站平台從事網路購物等情， 有原告所陳、被告公司變更登記表及本院依職權調閱兩造 稅務電子閘門財產所得調件明細表在卷可佐（見本院卷一 第16頁、卷二第39頁、限制閱覽卷），並參酌被告非故意 侵害原告隱私權及原告隱私權受侵害之程度，認原告請求 慰撫金15萬元，尚屬過高，應核減為26,000元為適當，故 原告於此範圍內之請求，為屬有據，應予准許。逾此範圍 之請求，為無理由，不應准許。 （五）末按給付無確定期限者，債務人於債權人得請求給付時， 經其催告而未為給付者，自受催告時起，負遲延責任，其 經債權人起訴而送達訴狀，或依督促程式送達支付命令， 或為其他相類之行為者，與催告有同一之效力。遲延之債 務，以支付金錢為標的者，債權人得請求依法定利率計算 之遲延利息。但約定利率較高者，仍從其約定利率。應付 利息之債務，其利率未經約定，亦無法律可據者，週年利 率為百分之五。民法第229 條第2 項、第233 條第1 項、 第203 條亦分別有明文。本件原告之請求為損害賠償，屬 給付無確定期限者，其經准許部分，併請求自起訴狀繕本 送達翌日即109 年11月5 日（見本院卷一第121 頁）起至 清償日止，按週年利率5%計算之利息，為有理由。 五、從而，原告依個人資料保護法第29條第1 項、第2 項、第28 條第2 項、第3 項及民法第195 條第1 項規定，請求被告給 付26,000元，及自109 年11月5 日起至清償日止，按週年利 率5%計算之利息部分，為有理由，應予准許，逾此範圍，為 無理由，應予駁回。 六、本件係適用簡易訴訟程序，所為被告敗訴之部分應依職權宣 告假執行。原告之聲明，僅為促使本院依職權發動，自無庸 為准駁回之諭知。至原告敗訴部分，其假執行之聲請即失去 依據，應併予駁回。另被告聲明願供擔保請准宣告免為假執 行，核無不合，爰酌定相當金額准許之。 七、本件事證已臻明確，兩造其餘攻擊防禦方法及證據，經審酌 後，認對於判決結果均無影響，爰不一一論述，併此敘明。 八、訴訟費用負擔之依據：民事訴訟法第79條。並確定訴訟費用 額為3,090 元（第一審裁判費），其中290 元由被告負擔， 餘由原告負擔。 中 華 民 國 110 年 5 月 31 日 內湖簡易庭 法 官 林銘宏 本件為正本係照原本作成。 如不服本判決，應於送達後20日內，向本院提出上訴狀並表明上 訴理由，如於本判決宣示後送達前提起上訴者，應於判決送達後 20日內補提上訴理由書（須附繕本）。 中 華 民 國 110 年 5 月 31 日 書記官 許秋莉