個資外洩｜案例 38｜2022 DCL 運動商品網站

20260601 (V03)；

20230502 (V02)｜池泰毅律師

原告主張：其於 108 年 3 月間使用被告線上平台購物，輸入姓名、生日、手機、地址、電郵等個人資料加入會員。然被告未採行適當安全措施妥善保管原告之個人資料，竟將之外洩，致原告於 111 年 5 月 18 日接獲詐欺集團來電佯稱被告系統被駭，原告會員資料疑遭竄改，被加入高級會員，會有低消扣款，如欲取消高級會員資格，需依指示操作網路銀行辦理云云。原告因而陷於錯誤，依詐騙集團之指示陸續於附表所示時間匯出款項共計 571,573 元，而受有財產上損害，並因個人資料外洩受有精神上痛苦。爰依個資法 §29 I、II、28 II 規定，請求被告賠償財產上損害571,573元，及非財產上損害20,000元。

裁判案號

01. 第一審｜台中地院 111 訴 2708（主文：被告 DCL 應給付原告任○○ 59,157 元）

01-1. 第二審｜台中高分院112上易208（主文：一、原判決關於命 DCL 給付逾 20,000 元部分廢棄。 二、上開廢棄部分，任○○在第一審之訴駁回。）

台中地院 111 訴 2708

I 非公務機關

II 個資外洩

02. 被告之網站平台因原告之購物行為而取得原告之個人資料，並進而將該個人資料記錄、儲存而保有之，被告就原告因遭詐騙而匯出款項亦不爭執。

03. 觀之臉書留言內容及系爭反詐騙公告所列舉之詐騙集團手法，與原告遭詐騙之情節（詐騙集團知悉原告姓名及曾購買褲子，並要原告取消會員升級服務等）相符，是被告客戶之個人資料外洩，顯非單一個案；綜合 111 年 1 月至 9 月間冒用被告名義詐騙而通報之案件數高達 500 餘件，及被告自 111 年 4 月 25 日起至同年 9 月 18 日止，連續遭刑事警察局公告為「解除分期付款詐騙」類型之高風險賣場等情，堪認詐騙集團所利用之原告個人資料，係自被告保有之個人資料洩漏，被告空言泛稱係詐騙集團透過其他管道取得云云，要無可取。

III 違反個資法規定

04. 被告抗辯伊已盡適當之安全維護措施，並提出被告伺服器之安全群組配置頁面截圖及中文註解、內部管理程序清單、被告 111 年 5 月 24 日回覆經濟部函文、被告資訊安全防護措施列表、被告與合作廠商間關於個人資料保護約定條款節本等為證。

｜原告個資是否遭被告洩漏

05. 惟依被告伺服器之安全群組配置頁面截圖及中文註解，顯示其安全群組建立時間為 109 年 3 月 12 日，嗣被告於最後一次編輯日期為 110 年 8 月 9 日之內部管理程序清單中，關於資訊安全架構項目，仍有「使用者登錄控制管理政策」、「配置政策」、「漏洞及維護政策」、「風險分析政策」、「系統 & 通信完整性政策」等項目，尚在「擬訂中」，自難謂被告於原告受騙前，關於保有個人資料所採取之安全措施為適當。

06. 又被告所提之資訊安全防護措施列表及 111 年 5 月 24 日回覆經濟部之函文內容，係因經濟部於 111 年 5 月 9 日函請被告將疑有個人資料外洩而違反個資法一事查明，乃由被告事後自行製作，此為被告所自承，尚難執為被告於事前已盡適當安全維護措施之認定。

07. 況且，依被告所提疑似個資外洩事件發生後之後續強化措施清單，亦有「進一步限縮可以訪問訂單管理系統的 IP 位址」、「訂單管理系統與物流廠商間的資料傳輸，在原本限定傳送來源及目的外，再對傳輸資料進行加密」等措施，益見被告於原告受騙時所採取之安全措施，尚有應加強之處。

IV 致受損害——因果關係

08. 按損害賠償之債，固以有損害之發生及有責任原因之事實，並兩者之間，有相當因果關係為成立要件，惟所謂相當因果關係，係指無此行為，雖必不生此結果，但有此行為，按諸一般情形即足生此結果者而言。須無此行為，必不生此結果，有此行為，按諸一般情形亦不生此結果，始得謂為無相當因果關係（最高法院 83 台上 2261）。

09. 本件第三人利用被告未採行適當安全措施之機會，取得被告所保有之會員個人資料（含會員購買紀錄），一般而言即係做為非法用途，而詐欺集團取得上開個人資料後，即假冒被告名義利用該個人資料以詐騙包含原告之被告會員，致原告受騙而受有損害。

10. 故被告未採行適當安全措施以防止其保有之包括原告之個人資料洩漏之行為，按諸上開一般情形，即足生原告因遭詐欺集團利用其個人資料而受騙致生損害之結果，兩者間應具有相當因果關係。

V 損害賠償

11. 原告因被告違反個資法 §27 I 規定，遭詐騙集團以假冒被告人員等名義，騙取 571,573元，且原告之隱私權亦遭侵害，精神上自受有痛苦，則原告依同法 §29 I 規定，請求被告就上開財產損失 571,573 元負損害賠償責任，並請求被告賠償非財產上之損害，自屬有據。

12. 本院審酌原告為碩士畢業，職業律師，月收入約 8 萬元，名下無不動產及車輛但有多筆投資，110 年有薪資、利息、投資收入等；被告為銷售運動用品之知名廠商，資本總額達 696,000,000 元，及本件侵害情節等一切情狀，認原告請求被告賠償非財產上損害 2 萬元，應屬相當。故原告得請求被告賠償之金額，合計為 591,573 元。

｜與有過失｜原告有 90%過失

13. 按損害之發生或擴大，被害人與有過失者，法院得減輕賠償金額，或免除之，民法 §217 I 定有明文。

14. 原告因被告所保有之個人資料洩漏遭詐騙集團利用而受騙，致受前開損害，然衡以現今社會詐騙集團橫行，遭詐騙事件層出不窮，電視新聞、報章媒體多年來均對此類事件多所報導及分析。

15. 再者，內政部警政署刑事警察局自 111 年 4 月 25 日起至同年 9 月 18 日止，連續將被告公告為高風險賣場，該公告並一併記載：「上述（指被列為高風險之賣場）客服不會來電要求您操作網路銀行或 ATM 解除錯誤設定。千騙萬騙離不開 ATM」等語；而原告為碩士畢業，職業為律師，並曾承辦詐騙集團之相關案件，為具有相當智識之成年人，是原告縱未收到被告所發送含有系爭反詐騙公告之簡訊或電子郵件，亦應有相當之警覺性。

16. 原告於 111 年 5 月 18 日接到詐欺集團以電話聲稱其會員資料遭竄改而被加入高級會員之時，就此非常態事實，非不得拖延時間上網求證，即可獲悉被告已於 111 年 4 月 26 日在官網或臉書粉絲團所刊登系爭反詐騙公告，卻又在長達約 7 個小時之內陸續匯款與詐騙集團，應認原告就本件損害之發生及擴大亦有過失。

17. 本院斟酌上開事件過程之一切情狀，認原告應負擔 90% 之過失責任，被告應負擔 10% 之過失責任，始為公允，依此過失比例減輕被告之賠償金額，則原告所得請求之賠償金額為 59,157 元。

台中高分院112上易208

（20260601 added）

I. 非公務機關

II. 個資外洩

III. 違反個資法規定

IV. 致受損害——因果關係

V. 損害賠償

｜非財產上損害｜維持

18. DCL 公司前開不法侵害任○○之隱私權、個資自主權，致任○○系爭個資為詐騙集團不法利用，已如前述，則任○○主張其因此而耗費時間心力為申訴，過程飽受煎熬，並需持續擔心個資遭他人不當使用，受有精神上之痛苦，自堪採信。任○○依個資法規定請求被上訴人賠償非財產上損害，即屬有據。

19. 按慰撫金之賠償，其核給之標準固與財產上損害之計算不同，然非不可斟酌雙方身分、資力與加害程度，及其他各種情形核定相當之數額（最高法院 51 台上223判決先例），是慰撫金之多寡，應斟酌雙方之身分、地位、資力、加害之程度、被害人所受之痛苦及其他各種情形，加以核定。

20. 查，任○○因 DCL 公司違反個資法第 27 條第 1 項規定，遭詐騙集團以假冒 DCL 公司人員等名義，騙取如附表所示之 57 萬 1573 元，且任○○之隱私權亦遭侵害，精神上自受有痛苦，則任○○依個資法第 29 條第 2 項適用同法第 28 條第 2 項規定，請求 DCL 公司賠償非財產上之損害，自屬有據。爰審酌任○○為碩士畢業，職業○○，月收入約 8 萬元，名下無不動產及車輛但有多筆投資，110 年有薪資、利息、投資收入等；DCL 公司為銷售運動用品之知名廠商，資本總額達 6 億 9600 萬元，及本件侵害情節等一切情狀，認任○○請求 DCL 公司賠償非財產上損害 2 萬元，應屬相當。

｜財產上損害｜逆轉

21. 二審就財產損害部分，推翻一審因果關係認定，以欠缺相當因果關係為由，廢棄一審判決此部分之認定。

22. DCL 公司不法侵害任○○之隱私權、個資自主權，如前所述；惟任○○受有 57 萬 1573 元之財產上損害係因遭詐騙集團成員施以詐術，致任○○陷於錯誤，而依詐騙集團指示分別於附表所示時間轉帳匯款合計 57 萬 1573 元至詐騙集團成員指定之帳戶，任○○之財產損失係因詐騙集團成員積極實施詐騙行為所致，即 DCL 公司固有上開不法侵害任○○隱私權、個資自主權之行為，在一般情形下，無此行為，雖必不生此損害，然有此行為，並不必然會發生任○○受詐騙且受有財物損失之侵害結果。

23. 又 DCL 公司就所保管之個人資料未採行適當之安全措施，以防止其所保有任○○之個人資料被竊取或外洩，而有違反個資法之事實，此係DCL公司應就上開違反個資法之行為負損害賠償責任，並不當然推認 DCL 公司此一違反個資法之行為，即有幫助詐欺集團犯罪之意思。詐騙集團冒用 DCL 公司名義行騙，除 DCL 公司有意為之，否則非 DCL 公司所得控制防免，任○○所受損害實係因詐騙集團故意詐欺之犯行所致，詐欺之不法行為與損害結果、因果關係均係存在於詐騙集團與任○○間，則 DCL 公司前開過失行為與任○○遭詐騙集團詐取財物之損害結果間，難謂有相當因果關係。

24. 是以，任○○主張依個資法第 29 條、第 28 條之規定，請求 DCL 公司應賠償任○○遭詐騙所受損失 57 萬 1573 元云云，洵非可採。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。