個資外洩｜案例 39｜2022 FAFCTC 訂房官網案

20260601 (V02)；20230502 (V01｜池泰毅律師

原告主張：(1) 其於 110 年 5 月 12 日上被告官網，輸入姓名、手機號碼、身分證字號等個人資料，預定 110 年 6 月 12 日之溫馨套房 1 間；(2) 因疫情關係，於 110 年 5 月 24 日於官網留言板留言取消；(3) 嗣於 110 年 7 月 18 日 21 時 30 分許，在家中接獲電話，自稱係 FAFCTC 來電，稱因程式設定錯誤，誤設會員升等，所有名下之銀行帳戶全被設為授權扣繳會費 12,000 元，若無意願升等，將有銀行來電指導如何解除設定云云；接著，即有自稱銀行人員來電，告知所有帳戶餘額高於 12,000 元者都要解除設定，要求原告依指示使用手機 APP 及網路 ATM 進行操作；(4) 原告因而受騙轉帳匯出合計 605,326 元。

裁判案號

01. 第一審｜台中地院 111 消 3（主文：原告之訴駁回）

01-1. 第二審｜台中高分院111消上易3（主文：上訴及追加之訴均駁回）

原告證據

02. 原告提出下列證據：

• 派出所受（處）理案件證明單；
• 訂房線上刷卡付款通知；
• 客戶問題回覆；
• 原告刷退紀錄；
• 原告受騙匯款明細。

台中地院 111 消 3

I 非公務機關

II 個資外洩

III 違反個資法規定

03. 按公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法 §12 定有明文。

｜被告多次反詐騙貼文及簡訊通知

04. 警政署刑事局為共同防制「解除分期付款」詐騙，於 108 年 4 月 9 日函請各電商業者於每筆訂單成立後，均需以簡訊、電子郵件加註防詐警語，並為共同強化防詐騙行為，警政署修正「電子商務業者防制詐欺作為自檢表」，主要項目為「客戶完成訂單交易後，即以簡訊及電子郵件通知消費者慎防詐騙」等作法，以提升電商資安防護等級及強化民眾之防詐意識。

05. 被告業依警政署修正後「電子商務業者防制詐欺作為自檢表」之建議項目，進行自評，並：

• 110 年 4 月 17 日在官網活動訊息網頁張貼防詐騙警語；
• 110 年 4 月 27 日在 FAFCTC 臉書網頁張貼防詐騙警語；
• 110 年 6 月 25 日在回覆住房客戶之電子郵件中加註防詐騙警語。

06. 而被告因所屬 FAFCTC 自 110 年 7 月 16 日 19 時 10 分起即有數起客戶反應遭詐騙之情形，乃：

• 110 年 7 月 16 日 19 時 52 分在其臉書網頁張貼防詐騙警語；
• 110 年 7 月 17 日，又接獲 11 通查證詐騙電話後，被告即向派出所報案，並經警員建議主動以簡訊通知住房客人注意，被告即自 110 年 7 月 18 日 8 時 58 分 33 秒開始發送防詐騙警語簡訊提醒住房客戶。

07. 況且，依據原告所提出之被告官網線上訂房留言版資料，被告於 110 年 7 月 16 日 22 時 25 分 44 秒即有針對客戶之留言，於回覆時附加反詐騙貼文，顯見在原告於110年7月18日接獲詐騙電話之前，即得透過被告在官網線上訂房留言版所加註之防詐騙警語而有所警覺。

08. 此外，被告於 110 年 7 月 20 日分別在台中日報、民眾時報、台灣省新聞記者協會、中國新聞記者協會、環球日報社，刊登澄清新聞稿，由此可知，被告在官網遭駭客侵入後，確實已盡其所能，多方提醒住房客戶慎防詐騙。

｜原告個人未收到簡訊通知

09. 本件原告係於 110 年 5 月 12 日線上訂房並以信用卡支付房費，其後於 110 年 5 月 24 日線上取消訂房，被告於 110 年 6 月 3 日退刷，將原告預付之房費退回原告信用卡帳戶。

10. 依交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法 §3 II 規定，所稱消費者，指以消費為目的而為交易、使用商品或接受服務者而言，則被告於 110 年 7 月 18 日依照轄區員警之建議，主動通知住房客戶時，距離原告取消訂房之時間已相隔 8 週，以致被告線上訂房系統未將已經取消訂房之原告列入「住房客戶」予以通知，亦屬合理有據，尚難認定被告有疏未通知之情。

11. 況且，被告在 110 年 5 月 24 日 23 時 53 分回覆原告取消訂房之電子郵件中，即已依照警政署之要求，加註防詐騙警語，以提醒原告慎防詐騙。

｜技術性安全維護措施

12. 被告官網之系統商同康公司於 110 年 7 月 16 日接獲被告通報後，隨即於 110 年 7 月 19 日向訴外人川源科技有限公司添購更先進之防火牆等資安設備，以加強被告官網之安全性，足徵被告早在原告受騙前，即於獲悉有住房客人遭詐騙之情事時，立即採取適當方式，通知住房客戶，並通知系統商強化資安設備之安全措施，盡力防止客戶之個人資料被竊取或洩漏。

13. 另就原告主張被告線上訂房網路平台之內部及外部風險控制存有諸多缺陷部分，固據提出網路新聞稿中被告自稱廠商系統有疏漏之情為證，而堪認定被告之線上訂房系統因遭駭客入侵防火牆而被竊取訂房系統個人資料，然本件訂房客人個人資料之外洩，係肇因於駭客入侵被告之線上訂房系統所為之竊取行為，尚無從逕予推論係因被告之管理不當所致。

14. 電腦科技日新月異，駭客惡意入侵他人電腦系統進行攻擊之事件，層出不窮，足見現今科技尚無法提供可以完全防堵駭客攻擊之防護技術，自不能僅以被告線上訂房系統遭他人惡意入侵竊取資料乙事，遽以推論被告有未採行適當安全措施保護個人資料檔案而有違反個資法之行為或管理上有所疏失。

ref. 案例 23｜2019 TK 官網 v S 電商系統商

｜結論

15. 是以，原告提出之前開事證，尚不足以證明被告有未採行適當安全措施以保護個人資料檔案、未以適當方式通知原告，而有違反個資法 §12、27 I 之情形或其管理上有所疏失。

IV 致受損害——因果關係

V 損害賠償

VI 消保法

16. 按消保法 §51 規定：「依本法所提之訴訟，因企業經營者之故意所致之損害，消費者得請求損害額五倍以下之懲罰性賠償金；但因重大過失所致之損害，得請求三倍以下之懲罰性賠償金，因過失所致之損害，得請求損害額一倍以下之懲罰性賠償金。」，其立法意旨無非係在懲罰惡性之企業經營者，以維護消費者利益，故必須企業經營者於經營企業本身有故意或過失，致消費者受損害，消費者始得依上開規定請求懲罰性賠償金。

17. 又依消保法 §2 (1)~(3) 規定，稱消費者，指以消費為目的而為交易、使用商品或接受服務者；稱企業經營者，指以設計、生產、製造、輸入、經銷商品或提供服務為營業者；稱消費關係，指消費者與企業經營者間就商品或服務所發生之法律關係。

18. 本件原告於 110 年 5 月 12 日線上訂房，嗣於 110 年 5 月 24 日線上取消訂房，經被告受理並退回預付房款後，兩造間即無任何消費關係存在，則原告主張本件為消費爭議，即屬無據。

19. 況且，原告並無法舉證被告對於其遭詐騙匯款所生之損害有何故意或過失之責任，亦未證明被告有違反消保法 §7 規定，則原告主張被告應依消保法 §51給付損害額 2 倍之懲罰性賠償金，即屬無據。

備註｜歷次貼文、簡訊內容

• 「反詐騙！提醒您！不操作 ATM，『FAFCTC』不會要求您依照指示操作使用 ATM。如有任何訂單上的疑問請洽櫃檯人員！ATM 沒有退款、解除分期付款…等功能，請您務必小心。不告知信用卡資料，『FAFCTC』不會主動以電話請您提供信用卡資料，用解除或修改訂單付款設定。若您接獲可疑電話或訊息，請直接撥打 FAFCTC 專線（00）0000-0000分機222或165［反詐騙諮詢專線］查證。切勿直接回撥顯示號碼或對方提供的號碼，以確保安全。」
• 「各位親愛的好友們好：近期詐騙集團假藉本館名義邀請加入會員，並主動升等，惟需匯會費數千到萬元不等，請好友們別受騙！本館絕不會電話通知升等匯款，本館就算升等也是免費，別受騙喔！」
• 「親愛的住客您好：FAFCTC沒有提供加入會員付費升等活動，不會要求您提供信用卡號，亦不會要求您依照指示操作 ATM。若您接獲可疑電話或訊息，切勿直接回撥顯示號碼或對方提供的號碼，請直接撥打FAFCTC專線（00）0000-0000分機222或165［反詐騙諮詢專線］查詢。以確保安全。」
• 「您好：近日有詐騙集團假借 FAFCTC VIP 會員升等活動，要求房客提供個人信用卡資料等，FAFCTC 在此澄清，絕不會要求房客提供個人信用卡資料等不當動作，針對上述問題已經報案，請求司法機關處理。請提高警覺，若有疑慮可利用刑事警察局 165 反詐騙諮詢專線查證，對於您的困擾再一次抱歉。」

台中高分院111消上易3

（20260601 added）

I. 非公務機關

II. 個資外洩

III. 違反個資法規定

｜安全維護措施｜逆轉

20. 查被上訴人於前揭時地，由系爭網站接受上訴人之訂房與取消訂房，而取得上訴人個人資料，則被上訴人自有依個資法第 27 條、第 12 條規定，先採行適當之安全措施，防止上訴人個人資料被竊取、竄改、毀損、滅失或洩漏，並於上訴人個人資料被竊取、洩漏、竄改或其他侵害後，應加以查明並以適當方式通知上訴人。

21. 被上訴人固辯稱其於 110 年 4 月 17 日在系爭網站之活動訊息網頁及於同年月 27 日在系爭臉書網頁，張貼系爭甲防詐騙警語；又被上訴人在 110 年 5 月 24 日晚上 11 時 53 分回覆上訴人取消訂房之電子郵件中，亦有加註系爭甲防詐騙警語；另其自同年 7 月 16 日晚上 10 時 25 分 44 秒後，對於系爭網站客戶之留言，於回覆時附加系爭甲防詐騙警語；且其於同日晚上 7 時 52 分在系爭臉書網頁張貼系爭乙防詐騙警語；其復自同年月 18 日上午 8 時 58 分 33 秒起，發送系爭防詐騙簡訊提醒訂房客戶。惟因上訴人已取消訂房致訂單未成立，其始未寄送系爭防詐騙簡訊予上訴人等情，並有系爭網站網頁、系爭臉書網頁、安全檢查紀錄簿、訂房網站電子郵件、被上訴人與客戶間往來電子郵件、系爭防詐騙簡訊在卷為憑，然被上訴人上開行為，充其量均屬其提醒消費者需小心詐騙之相關作為，與其有無善盡個資法第 27 條第 1 項所定「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」之義務無涉。

22. 況被上訴人已自承其於 110 年 7 月 16 日發現系爭網站之消費者個人資料，有遭駭客入侵竊取，自難徒憑被上訴人泛言其在此之前有將系爭網站外包交由廠商管理，外包廠商有做防火牆一節，即率認其就防止上訴人個人資料被竊取、竄改、毀損、滅失或洩漏，已採行適當之安全維護措施，佐以被上訴人就內政部警政署修正後之電子商務業者防制詐欺作為自檢表有關「個資隱蔽」一項，復自行勾選「未符合」，且被上訴人復未提出其他相關事證供本院審酌，自難遽認被上訴人就其先前取得上訴人訂房之個人資料已有採行適當之安全措施。

23. 縱上訴人於訂房後，已取消訂房，然其訂房與取消訂房之個人資料既仍由被上訴人取得並遭駭客入侵竊取，則被上訴人於 110 年 7 月 18 日上午寄送之系爭防詐騙簡訊，自應一併寄送予上訴人，並告知個人資料被侵害之事實及所採取之因應措施，尚不得徒以上訴人取消訂房，訂單未成立為由，據為其漏未寄送該簡訊適當通知上訴人之正當化事由，益見被上訴人就此部分，亦有未盡個資法第 12 條、個資法施行細則第 22 條所定通知義務情事。

24. 基上，堪認上訴人主張被上訴人有違反個資法第12條、第27條第1項規定，不法侵害其資訊隱私權一節，應為可採。被上訴人所辯，核無可取。

IV. 致受損害——因果關係

｜相當因果關係

25. 被上訴人雖有過失侵害上訴人之資訊隱私權情事，然上訴人主張其因此受有60萬5,326元財產損害云云，則為被上訴人所否認，辯稱上訴人所受上開財產損害與其上開個人資料遭駭客入侵竊取間，並無因果關係，不得請求賠償等語。

26. 按所謂相當因果關係，係以行為人之行為所造成之客觀存在事實為觀察，依吾人智識經驗判斷，無此行為，必不發生此損害；有此行為，通常即足發生此種損害者，為有因果關係；有此行為，通常亦不生此種損害者，即無因果關係。

27. 查上訴人受有60萬5,326元財產損害係因上開詐騙集團成員於前揭時地，對其施以上開詐術，致其陷於錯誤，而依指示自110年7月18日晚上10時16分許起至翌日（19日）凌晨1時37分許止，先後匯款合計60萬5,326元至上開詐騙集團成員指定帳戶內所致。足見如無上開詐騙集團成員對上訴人施以上開詐欺取財行為，客觀上應不會發生上訴人受有60萬5,326元財產損害之情。

28. 且上訴人自陳其已另對訴外人即屬上開詐騙集團成員之劉振緯、張佑豪及黃浚榕提出刑事告訴，並提起民事訴訟求償，益徵上訴人所受60萬5,326元財產損害實乃因上開詐騙集團成員對其施以詐欺取財行為所致，與被上訴人因上開過失行為侵害其資訊隱私權間，並無相當因果關係存在。

29. 準此，被上訴人上開過失侵害上訴人資訊隱私權之原因事實既與上訴人所受60萬5,326元財產損害之發生之間，並無相當因果關係，揆之上開說明，上訴人自不得就其所受60萬5,326元財產損害，請求被上訴人負損害賠償責任。

V. 損害賠償

參考條文

個資法 §12

公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

個資法施行細則 §22

本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。

依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。