版面大小
臺灣新竹地方法院民事判決 
112年度簡上字第143號
上  訴  人  蔡和成 
被  上訴人  威尼斯國際事業股份有限公司

法定代理人  沈鑫堯 
訴訟代理人  劉彥廷律師
複  代理人  徐銳軒律師
上列當事人間請求損害賠償事件,上訴人對於民國112年9月22日本院新竹簡易庭111年度竹東簡字第48號第一審簡易判決,提起上訴,本院於113年6月5日言詞辯論終結,判決如下:
    主  文
一、原判決關於駁回上訴人後開第二項之訴部分及訴訟費用之裁判均廢棄
二、被上訴人應給付上訴人新臺幣捌萬肆仟玖佰參拾伍元。
三、其餘上訴駁回。
四、第一、二審訴訟費用由被上訴人負擔十分之三,餘由上訴人負擔。
  事實及理由
一、上訴人於原審起訴主張:上訴人於民國000年00月00日下午3時31分在被上訴人經營之威尼斯溫泉露營地訂房網站輸入手機號碼、信用卡卡號等個人資料(下稱個資),並使用信用卡預訂110年1月15日住宿。被上訴人向訴外人揚京快客行銷有限公司(下稱揚京公司)租用虛擬主機空間,並自行管理網站後臺進行網路行銷與預訂服務,後臺之訂單及客戶個資均係由被上訴人管理,被上訴人應對個資採取適當之安全措施,以防止客戶個資被竊取或洩漏,詎被上訴人竟疏於資安維護,經查案發時該網站後臺並非兩段式驗證登入、訂單頁面及資料未使用馬賽克遮蔽、且信箱及後臺帳號及密碼須更新等資安問題,導致上訴人個資洩漏遭詐騙集團利用,使上訴人於同年月00日下午6時35分接獲假冒被上訴人員工來電訛稱因訂房信用卡扣款有誤,需請銀行聯繫退款云云,其後又接獲假冒渣打商業銀行客服來電稱要進行退款云云,使上訴人陷於錯誤,而依詐騙集團指示操作網路銀行及ATM自動櫃員機匯款,總計遭詐騙而受損失之金額為新臺幣(下同)283,115元。被上訴人已於000年00月00日下午5時15分臉書貼文留言有多名客戶反應接獲詐騙電話,提醒客戶留意,且在相近期間內該網站經通報高風險賣場(平臺)之件數為7件,依經驗法則,足認上訴人之個資係由被上訴人之訂房網站外洩,與上訴人受詐騙所受損害有相當因果關係。此外,被上訴人於000年00月00日下午5時15分前即已知悉其訂房資料遭詐騙集團盜用之事,自109年12月28日起至110年1月1日止花費5日,才傳送1,900封簡訊提醒客戶完畢,上訴人於109年12月29日晚上10時22分始接獲簡訊,足認被上訴人知悉個資外洩後未及時採取有效之補救措施通知客戶。被上訴人未依個人資料保護法(下稱個資法)第27條第1項採取適當安全措施,於察覺個資外洩後,復未依個資法第12條規定以適當方式通知當事人,導致上訴人遭受詐騙受害,被上訴人依個資法第29條規定、民法第184條規定,應對上訴人負損害賠償之責等語。並聲明:被上訴人應給付上訴人283,115元。
二、被上訴人答辯略以:被上訴人之訂房網站係委託揚京公司架設,客戶自該訂房網站預定住宿時,個資會直接存放於由揚京公司代管之虛擬空間,被上訴人係透過揚京公司提供之網址連結進入該虛擬空間查看資料,客戶個資並非存放於被上訴人之電腦,據揚京公司回覆,其代管之虛擬空間沒有遭入侵之跡象,上訴人復未舉證證明詐騙集團使用之個資係來自於被上訴人之訂房網站,無法排除係詐騙集團成員侵入上訴人之個人電腦取得訂房資料。再者,被上訴人從開始營運起,均不定時對內向員工宣導資安重要性,自107年9月30日購買安裝正版微軟系統,系統內有內建防火牆等防毒軟體系統,未獲通知有何異常使用狀況,且被上訴人電腦與揚京公司代管之虛擬空間資料有分隔,故被上訴人蒐集或處理上訴人個資已建立適當安全措施,並未違反個資法第27條規定,被上訴人既未違反個資法規定,自無個資法第12條規定之通知義務,惟被上訴人於109年12月28日獲悉客戶詢問匯款、退款相關資訊後,仍願意依該條規定意旨,隨即於109年12月28日上午1時15分許在官網張貼公告,嗣於109年12月29日14時7分再度發布公告並暫時關閉訂房網站,並於同日15時9分向新竹縣政府警察局橫山分局內灣派出所報案,更傳送1,900封簡訊予109年8月31日起至110年5月15日期間之訂房客戶。退萬步言,縱認被上訴人有違反個資法規定,惟上訴人為成年人且使用信用卡為交易,依其智識程度,應知悉因店家誤刷需退刷溢繳款項時,信用卡交易明細均有紀錄,該溢繳款項只能退款至原本之信用卡內,不會要求客戶持卡消費後再至ATM辦理扣款或退款,且被上訴人之聯絡電話與詐騙集團顯示來電號碼不同,詐騙集團指示上訴人輸入之「訂單號碼」為人頭帳戶帳號,並非上訴人之訂房代號,詐騙集團要求上訴人輸入之「取消代碼」為匯入人頭帳戶之金額,並非上訴人之訂房住宿金額,上訴人詐騙之情節,與客觀上交易應有之流程有諸多不符之處,可知上訴人遭詐騙係其個人疏忽,或詐騙集團積極實施詐騙行為所致,衡諸一般情形,個資外洩不必然會導致遭詐騙而受有財物損失,故上訴人所受損害與個資外洩不具備相當因果關係,對損害之發生及擴大亦與有過失等語,資為抗辯。並聲明:上訴人之訴駁回;如受不利判決,願供擔保請准宣告免為假執行。
三、原審判決認為:
(一)上訴人於000年00月00日下午3時31分在被上訴人之訂房網站訂房後,於同年月00日下午6時35分假冒被上訴人員工來電,向上訴人施用訂房信用卡扣款有誤、需聯繫退款之詐術,使上訴人陷於錯誤,而依詐騙集團指示匯款,致遭詐騙受有283,115元財產上損失,據被上訴人法定代理人沈鑫堯於新竹地方檢察署110年度偵字第4222號刑事偵查案件陳稱,其自109年12月28日16時00分許起,已接獲多位客戶來電表示詐騙集團成員利用被上訴人名義施以詐術之事,且被上訴人於000年00月00日下午5時15分後確實陸續在臉書官方網站貼文提醒、暫時關閉網站訂房系統,證人劉珮琪亦證稱遭受相類似之手法詐騙,足認上訴人遭受詐騙時之訂房個資確實係來自於被上訴人之訂房網站。
(二)被上訴人係自其訂房網站接受上訴人訂房而取得上訴人個資,惟並未依個資法第27條規定,採取適當安全措施防止個資被竊取或洩漏。且被上訴人至遲於109年12月28日上午1時15分許即知悉客戶訂房資訊個資被洩漏,已有多名客戶遭詐騙集團利用該洩漏之訂房資訊個資詐騙之事,被上訴人自應依個資法第12條規定,即時通知包括上訴人在內之全部客戶,被上訴人卻未及時通知,導致上訴人於000年00月00日下午6時35分仍遭詐騙集團利用被洩漏之訂房資訊個資詐騙。被上訴人未對其保有之上訴人訂房個資採行適當之安全措施,以防止上訴人之訂房資訊個資被洩漏,於上訴人訂房個資被洩漏後,復未即以適當方式通知上訴人,使上訴人之訂房資訊個資遭詐騙集團不法利用而受詐騙,被上訴人違反個資法第27條、第12條規定,復未能證明其無故意或過失,故應對上訴人依個資法第29條、第184條對上訴人負損害賠償責任。
(三)惟衡諸一般情形,被上訴人違反個資法第27條、第12條規定之不法行為,不必然皆會發生客戶受詐騙而損失財物之財產權被侵害結果,被上訴人外洩上訴人之訂房資訊個資固遭詐騙集團利用,惟上訴人受有財產上損害,乃詐騙集團施用詐術之行為所致,並非被上訴人外洩上訴人訂房個資所致,故被上訴人過失不法侵害上訴人個資之行為,與上訴人所受283,115元財產上損害間,並無相當因果關係存在,上訴人對被上訴人仍無損害賠償請求權存在。並據此駁回上訴人之訴。
四、上訴人就原審判決不服,其上訴理由除與原審之陳述相同者外,另主張略以:被上訴人與揚京公司簽立之合約書,為一次性買斷之網站架設服務,揚京公司架設網站交由被上訴人使用後,後續所生問題均由被上訴人自負責任,其等後續並未簽立維護性合約,可認被上訴人未針對網站開發程式及資料庫漏洞進行修正維護及強化資安,被上訴人只有以16,800元購買含作業系統軟體之電腦設備,及以69,888元架設陽春網站,對網站漏洞未定期巡檢防護修堵,帳號登入系統也未使用兩段式驗證登入,怎能大言不慚自稱已詳盡防止客戶個資洩漏之安全措施?被上訴人違反個資管理之作為義務,導致其訂房網站個資外洩,已使上訴人及原審證人劉珮琪、沈佑安、同案刑事被害人李芷媛等多人受詐騙,足見個資外洩通常足生財產上損失,被上訴人不法洩漏個資行為,與上訴人所受損害有相當因果關係存在,原審認定被上訴人不法行為與上訴人所受損害無因果關係,尚有違誤等語。並聲明:原判決關於上訴人之訴駁回部分廢棄;上開廢棄部分,被上訴人應給付上訴人283,115元。
五、被上訴人答辯除與原審相同者外,另略以:被上訴人針對客戶訂房個資採取之具體管理防護措施,包含:被上訴人電腦正版作業系統本身防禦系統、網路路由器設備之防火牆機制、被上訴人另行購買之防毒軟體等,被上訴人電腦本身並無存放客戶個資,被上訴人電腦亦無遭第三人侵入,客戶個資係存放於揚京公司代管之虛擬空間,案發前揚京公司代管之網站雖未採取兩段式驗證登入,惟該訂房系統亦無遭入侵跡象。縱認被上訴人有違反個資管理之作為義務,導致詐騙集團利用上訴人個資,一般情況不會造成財物損失結果,與上訴人財產損害無相當因果關係。退萬步言,詐騙集團向上訴人實施8次詐術行為,上訴人前後輸入8次驗證碼,其中第一次輸入的數字為「12」,故被上訴人導致上訴人所受之損害僅有12元,上訴人後續7次輸入五個數字即本件主張遭受詐騙的金額,則為詐騙集團新實施的詐術內容,與被上訴人無關,被上訴人毋庸賠償上訴人本件主張受詐騙之金額等語。並聲明:上訴駁回。  
六、兩造不爭執事項:
(一)上訴人於000年00月00日下午3時31分在被上訴人經營之威尼斯溫泉露營地網站輸入手機號碼、信用卡卡號等個人資料,預訂110年1月15日住宿。
(二)上訴人於000年00月00日下午6時35分接獲詐騙集團冒用被上訴人員工之名義來電施以詐術,陷於錯誤而匯出283,115元。
(三)被上訴人於109年12月28日於官網、臉書公告提醒官網線上預訂成功之客人,不要應不知名來電重複刷卡匯款;於000年00月00日下午2時07分於臉書公告加強網路相關安全措施並向警方通報,及暫時關閉官網訂房服務功能;於000年00月00日下午向警方報案;於109年12月29日晚上10時22分傳送簡訊通知上訴人。
(四)上訴人對被上訴人提起詐欺之刑事告訴,經臺灣新竹地方檢察署檢察官以110年度偵字第4222號為不起訴處分。  
七、得心證之理由:
(一)詐騙集團用以詐騙上訴人所使用之上訴人個資,來自於被上訴人之訂房網站:
1、上訴人主張其於000年00月00日下午3時31分在被上訴人經營之威尼斯溫泉露營區網站輸入手機號碼、信用卡卡號等個人資料,預訂110年1月15日住宿;嗣上訴人於000年00月00日下午6時35分接獲詐騙集團冒用被上訴人員工之名義來電,訛稱因作業疏失導致誤刷信用卡,需依信用卡銀行人員指示操作提款機,以返還款項云云,上訴人遂依該詐騙集團成員指示,先在網路銀行輸入「12」,送出後系統回覆扣款有誤,該12元退回原帳戶,藉此取信於上訴人,上訴人復依詐騙集團成員指示,陸續輸入驗證數字「99,789」、「19,987」、「26,123」、「49,985」、「49,985」、「22,123」、「15,123」,導致上開七筆款項轉出,上訴人因此受有283,115元之財產上損害等情,業據提出臺灣新竹地方檢察署110年度偵字第4222號不起訴處分書、網路銀行轉帳通知資料等件為證(見原審卷第23至26頁、第396至399頁),上開客觀事實復為被上訴人所不爭執,堪信屬實。
2、而同樣曾向被上訴人訂房提供個資之劉珮琪、沈佑安、李芷媛,亦分別於109年12月28日、109年12月28日、109年12月29日接獲偽裝為被上訴人員工之詐騙集團成員來電,以上述方式對其等施以詐術,使劉珮琪、沈佑安、李芷媛分別匯出款項而受有財產上損害等情,業據證人劉珮琪、沈佑安於原審到庭證稱明確(見本院卷第447至453頁、第521至527頁),其等遭受詐騙之過程,並經臺灣新竹地方檢察署110年度偵字第4222號不起訴處分書、臺灣花蓮地方法院110年度易字第200號刑事判決認定明確(見原審卷第23至26頁、第465至476頁);被上訴人雖以劉珮琪係於被上訴人之網站訂房、於原審卻證稱以電話向被上訴人訂房為由,對劉珮琪提起偽證之刑事告訴,惟據臺灣新北地方檢察署113年度偵字第11541號為不起訴處分(見本院卷第190至192頁),且無論劉珮琪係以網路或電話之方式向被上訴人訂房,均無礙於被上訴人確實保有劉珮琪訂房個資之事實,則上訴人、劉珮琪、沈佑安、李芷媛等人確實曾向被上訴人訂房,被上訴人因此保有其等之個資,且其等皆係在109年12月28、29日之相近時間,同樣遭受冒稱被上訴人員工之詐騙集團成員、利用其等之訂房個資施以詐術,因此受有財產上之損害等事實,殆無疑義。
3、除上訴人、劉珮琪、李芷媛等於相同時期、遭受相同手法詐騙之被害人以外,由被上訴人109年12月28日臉書貼文下方之留言所示,尚有「Peggy Chu」、「許文菁」、「陳怡雯」、「陳雅婷」、「張雅嵐」、「YS Yun」、「Winnie S. Chen」、「Hung Chien」、「張晉華」、「陳慧晶」、「鄭雅曼」、「Easter Chu」、「張惠鈞」等諸多網友留言表示自己或家人近期亦同樣接獲自稱為被上訴人員工之詐騙電話,業據上訴人提出該臉書留言為證(見原審卷第165至174頁、第210至211頁),被上訴人法定代理人沈鑫堯於109年12月29日向警局報案時亦陳稱:我公司於109年12月28日16時起,接獲多位客戶來電稱有不明人士用本公司名義,向本公司已訂位客戶(含已入住過及尚未入住客戶),透過客戶於本公司訂位系統留存的資訊、訂房內容、匯款或刷卡紀錄等,謊稱訂金或刷卡問題要求本公司客戶依據指示操作ATM匯款或線上匯款支付,目前本公司得知已有兩位客戶報案,劉珮琪被騙金額為26萬多餘元,沈佑安被騙金額為近10萬元等語(見原審卷第421至425頁),參以「威尼斯溫泉露營地」於109年12月28日至110年1月3日遭民眾通報為高風險賣場平台(見原審卷第29頁),可知在上訴人接獲偽稱為被上訴人員工之詐騙集團成員來電之相同時期,同樣有為數眾多之消費者接獲相同手法之詐騙電話,接獲詐騙電話之消費者皆為向被上訴人訂房之客戶,本院審酌詐騙集團成員皆係謊稱為被上訴人員工,實施詐術所使用之訂房個資僅被上訴人能完整持有,且相近時期內因曾向被上訴人訂房而接獲上述詐騙電話之情況至少已有十餘件等情,依通常經驗判斷,詐騙集團利用而施以詐術之訂房個資,應係來自於被上訴人之訂房網站。被上訴人雖稱其電腦及訂房系統並無遭駭客入侵之跡象,並辯稱訂房個資可能係由上訴人之自己個人電腦外洩等情,惟並未就此舉證說明,且殊難想像不法人士能在相近時間破解超過十餘位被害人之個人電腦、且每位被害人皆剛好是曾向被上訴人訂房之客戶,應認上開被害人之訂房個資皆係由被上訴人訂房系統外洩,方符合經驗法則,則被上訴人上揭所辯與常情未合,洵不足採。
(二)被上訴人就其所保有上訴人之個人資料,未採行適當之安全措施:
1、按非公務機關保有個人資料檔案者,應採行適當之安全措施
    ,防止個人資料被竊取、竄改、毀損、滅失或洩漏;非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限,個人資料保護法第27條第1項、第29條分別定有明文。查上訴人於被上訴人訂房網站訂房,被上訴人就其因此而取得上訴人個資,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,惟上訴人之訂房個資仍自被上訴人訂房網站外洩而遭詐騙集團成員使用,導致上訴人因遭詐騙而受有財產上損害,揆諸上揭說明,應由被上訴人就對上訴人訂房個資已採行適當安全措施仍不免外洩等節,負舉證之責,倘被上訴人未能舉證證明已盡此注意義務,即可認有過失。
2、被上訴人抗辯其已制定軟體電腦設備管理辦法、保護個人資料規則,作為被上訴人聘僱員工使用電腦設備及管理個資之工作準則,且有購買正版微軟作業系統、防毒軟體以保護被上訴人公司電腦,而被上訴人係委請揚京公司設計架設訂房網站,包含上訴人在內之訂房客戶個資係直接存放於揚京公司之網路虛擬空間,與被上訴人之電腦主機分層管理,此即為保護訂房客戶個資之措施等情,並提出軟體電腦設備管理辦法、保護個人資料規則、訂購單、被上訴人訂房網頁後台管理系統網頁畫面、被上訴人與揚京公司簽立之網路行銷合約書等件為證(見原審卷第243至257頁、第145至147頁)。惟查,被上訴人所提出之軟體與電腦設備管理辦法,係規範公司員工不得在公司電腦私裝軟體、不得開啟來路不明之電子郵件,以防止公司電腦中毒,被上訴人購買正版微軟作業系統及防毒軟體,同樣係為了防免被上訴人公司電腦中毒,並非針對訂房個資採取之保護及管理措施;依被上訴人提出保護個人資料準則所載,被上訴人針對個資之安全維護措施內容僅有:宣導公司個人資料保護政策、監督員工進行個人資料盤整與彙整、處理公司個人資料保護重大緊急事件(見原審卷第243頁),仍未見被上訴人有何對維護訂房客戶個人資料之具體資安維護措施。
3、依被上訴人提出與揚京公司簽立之網路行銷合約書之內容,被上訴人係支付69,888元之報酬,委請揚京公司架設「露營訂位管理系統」網站,客製化模組網站虛擬主機由揚京公司代管,網站後台為揚京公司所有,網站製作完成後,揚京公司應提供網站之管理後台帳號密碼,供被上訴人隨時上網管理資料;若遭第三者侵入系統或竄改或偽造變造資料,被上訴人不得要求揚京公司做任何補償或賠償(見本院卷第145至147頁),可知被上訴人僅一次性支付費用委請揚京公司架設訂房網站,訂房網站架設完成後,皆係由被上訴人自行由後台帳號密碼登入網頁管理訂房客戶之個資,包含上訴人在內之訂房個資係由被上訴人保有、而非揚京公司所保有,被上訴人自不得以客戶訂房個資存放於揚京公司網路虛擬空間為由,解免自身對於其所保有客戶個資之安全防護義務。而據揚京公司函覆,其於本件案發後有將查詢訂單頁面及馬賽克部分資料遮蔽、後台改成兩段式驗證登入、及建議被上訴人修改信箱及後台帳號密碼(見原審卷第229頁),可知在上訴人之個資外洩前,被上訴人委請揚京公司架設之訂房網站並無上述防止個資外洩之基本資安措施,難謂被上訴人就其取得之上訴人訂房個資已盡安全管理義務。本院審酌被上訴人公司資本額高達9,300萬元,108、109年度之總銷售額高達3,168餘萬元、4,255餘萬元,有被上訴人公司變更登記表、銷售額資料在卷可參(見原審卷第51至55頁、本院卷第167至170頁),依其公司規模,理應能就其取得之訂房客戶個資為適當之保護措施,卻未依個資法第27條第1項規定就其保有之上訴人個資採行任何適當之安全措施,導致上訴人個資外洩遭詐騙集團利用、進而遭詐騙受害,被上訴人就上訴人因個資外洩所受財產上之損害,應有過失。
(三)上訴人得依民法第184條、個資法第29條規定請求賠償:
1、按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限,個人資料保護法第29條第1 項、民法第184 條第2項分別定有明文。又損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件,所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之困果關係。反之,若在一般情形上,有此同一條件存在,而依客觀之審查,認為不必皆發生此結果者,則該條件與結果並不相當,不過為偶然之事實而已,其行為與結果間即無相當因果關係,不能僅以行為人就其行為有故意過失,即認該行為與損害間有相當因果關係(最高法院98年度台上字第673號判決要旨參照)。
2、經查,被上訴人就其保有包含上訴人在內之客戶訂房個資並未盡適當安全維護措施,上訴人訂房個資因自被上訴人之訂房網站外洩由詐騙集團成員取得,再由詐騙集團成員利用上述訂房個資對上訴人實施詐術,因而詐得上訴人之金錢等情,業如上述,倘被上訴人妥善防護包含上訴人在內之客戶訂房個資,上訴人之個資即不會自被上訴人訂房網站外洩而為詐騙集團成員所用,上訴人亦不會因此受騙而受財產損失,是被上訴人上開過失行為,為上訴人所受財產損害不可欠缺之條件。又衡諸當今社會詐騙集團猖獗,詐騙集團利用自電商或網路訂房、訂位系統外洩之客戶個資,假冒為店家以取信於民眾,導致民眾遭詐騙而受害之情況層出不窮,依一般客觀情況,若店家無法妥善維護客戶個資,客戶個資即隨時處於供詐騙集團為不法利用之高度風險,本件自被上訴人訂房網站外洩之客戶個資為詐騙集團成員取得後,詐騙集團成員即據以撥打電話予諸多曾向被上訴人訂房之客戶,利用上開訂房個資對訂房客戶施以詐術,其中至少有上訴人、劉珮琪、沈佑安、李芷媛等人已陷於錯誤而遭受財產上之損害,並非僅為偶發之單一事件,上開訂房個資自被上訴人網站外洩為詐騙集團成員利用,應係上訴人等被害人受詐騙結果之重要因素,被害人因其詐騙集團使用外洩個資而受詐騙,即為上述風險之實現,基此,被上訴人未善盡個資維護義務,使包含上訴人在內之訂房個資為詐騙集團成員作為詐騙使用,與上訴人遭詐騙而受財產損害之間,應具備相當因果關係。原審判決未審酌個資外洩後有高度可能遭不法使用、因而提高詐騙風險之通常社會事實,而認定上訴人所受損害係詐騙集團施以詐術所致、與個資外洩無因果關係等情,即有違誤。
3、被上訴人復抗辯詐騙集團利用上開外洩個資,對上訴人分別實施8次不同詐術內容,上訴人因被詐騙而匯出之8筆款項分別為12元、99,789元、19,987元、26,123元、49,985元、49,985元、22,123元、15,123元,僅第一筆12元與個資外洩具備因果關係,後續轉出之七筆款項共283,115元,與個資外洩不具備因果關係,故被上訴人違反個資維護義務,導致上訴人財產損失僅為12元等情。惟查,上訴人接獲詐騙集團成員詐騙電話,係詐騙集團成員偽冒被上訴人公司員工,利用上訴人前於被上訴人訂房網站提供之個資,向上訴人詐稱訂房使用之信用卡溢扣款項,再假冒刷卡銀行偽稱需上訴人協助操作以退款,詐騙集團成員先引導上訴人於網路銀行匯款金額欄位輸入12元,送出後系統回覆扣款有誤,該12元退回原帳戶,即並未實際匯出該筆12元,詐騙集團成員再詐稱需繼續進行驗證,上訴人因而接續依指示於網路銀行及ATM輸入上開七筆數字,嗣後始發現該七筆共283,115元已轉出而受有損害等情,為上訴人陳稱明確,並據上訴人提出上開網路銀行轉帳及ATM轉帳資料為證(見原審卷第396至399頁),則被上訴人所稱上訴人受有12元之損害一節,容有誤會;而上訴人係因詐騙集團利用自被上訴人訂房網站洩漏之個人資訊,對上訴人偽稱有訂房之信用卡款項溢繳之事,而依詐騙集團成員指示輸入「驗證數字」,而於短期間陸續轉出99,789元、19,987元、26,123元、49,985元、49,985元、22,123元、15,123元,總計受有283,115元之財產上損害,則上訴人所受上開財產上損害283,115元,均為詐騙集團成員利用自被上訴人訂房網站外洩個資施以詐術導致之結果,與個資外洩具備因果關係,並非上訴人分別因七個不同時間、地點、行為態樣之詐騙行為而受害,則被上訴人抗辯除上訴人第一次驗證輸入的數字「12」以外,其餘轉出之金額皆與個資外洩無關等情,顯非可採。
4、按損害之發生或擴大,被害人與有過失者,法院得減輕賠償金額,或免除之,民法第217條第1項定有明文。此項被害人與有過失規定,乃在於謀求加害人與被害人間之公平,賦予法院得依職權減輕或免除加害人之責任,所謂被害人與有過失,須被害人之行為助成損害之發生或擴大,就損害結果為共同原因之一,行為與結果間具有相當因果關係,始足當之。查本件上訴人受有財產上損害,係其個資自被上訴人訂房網站外洩後,遭詐騙集團成員利用施以詐騙所致,業如上述,然衡以詐騙集團利用網路訂房、訂位、購物之個資,向民眾偽稱重複扣款或溢繳款項而施以詐術之情況,層出不窮,電視新聞及報章媒體多年來就此有諸多報導及分析,警政機關亦製作諸多宣導影片,提醒民眾就上述詐騙手法提高警覺,避免受騙,上訴人為具有相當智識經驗之成年人,應知悉持信用卡於網路消費而誤刷時,一般交易流程為退刷溢繳款項至原信用卡內,而非要求消費者使用網路銀行辦理退款,且僅要稍加查證,應能發現詐騙集團成員來電顯示號碼並非被上訴人及信用卡發卡銀行之聯絡電話,卻未予查證,導致自己財產受損失,則上訴人輕忽未予查證,即依詐騙集團成員指示匯出款項,就自己所受財產損失同樣具備因果關係,揆諸上揭說明,應負與有過失之責。本院審酌被上訴人未善盡個資維護義務,使上訴人個資外洩為詐騙集團不法使用,固導致上訴人遭詐騙集團詐騙而受有財產損失,惟上訴人輕忽查證而匯出款項,對於自身財產損失之原因力貢獻程度較大,認上訴人就其所受財產損失應自負七成與有過失責任,被上訴人則應負三成責任。從而,上訴人得請求被上訴人賠償之金額為84,935元(計算式:283,115x0.3=84,935,小數點以下四捨五入)。
八、綜上所述,被上訴人就其保有上訴人之訂房個資,未善盡適當安全維護措施,使上訴人訂房個資外洩,而為詐騙集團成員用以詐騙上訴人,上訴人因此受有283,115元之財產上損害,被上訴人上開過失行為,與上訴人所受損害具備相當因果關係,應對上訴人負損害賠償之責,惟上訴人疏未查證,就自己所受財產損害亦與有過失,僅能向被上訴人請求三成之損害賠償金額,從而,上訴人依個資法第29條、第184條規定,請求被上訴人賠償84,935元,應屬有據,逾此部分之請求,則無理由。原審判決以被上訴人上開過失行為與上訴人所受損害結果無因果關係為由,駁回上訴人該部分之請求,尚有違誤,上訴意旨就該部分指摘原判決該部分不當,求予廢棄,為有理由,爰由本院改判如主文第二項所示;至原審駁回上訴人其餘請求,核無不合,應予維持,上訴人就該部分求予廢棄改判,為無理由,應予駁回。
九、本件事證已臻明確,上訴人雖具狀請求揚京公司提供與被上訴人所簽立之定期資安巡檢維護合約、被上訴人訂房網站所在虛擬主機於案發前三個月所為登入IP位置及連結時間紀錄(見本院卷第172頁),惟被上訴人就上訴人訂房個資未採行適當安全措施,導致上訴人個資自被上訴人訂房系統外洩等情,業據本院認定如上述,應已無再調查上開證據之必要。兩造其餘攻擊防禦方法及舉證,核與判決結果不生影響,爰不一一論述。
十、據上論結,本件上訴為一部有理由,一部無理由,依民事訴訟法第436條之1第3項、第450條、第449條第1項、第79條,判決如主文。
中  華  民  國  113  年  6   月  26  日
                  民事第二庭 審判長法 官 楊明箴
                  法 官 蔡欣怡
                  法 官 林宗穎
以上正本係照原本作成。
本件不得上訴。
中  華  民  國  113  年  6   月  26  日
                                    書記官  白瑋伶