個資外洩｜案例 43｜FS 鞋類專賣店個資外洩案

個資外洩｜案例 43｜FS 鞋類專賣店個資外洩案

——電子商務

· 個資外洩

20260602｜V01｜池泰毅律師

原告主張：原告於 111 年 8 月 19 日至被告 FS 鞋類專賣店購鞋，結帳時加入會員並以國泰世華銀行信用卡消費 1,031 元，其個人資料（姓名、聯絡方式）及購物資訊（購買品項、時間、刷卡金額、刷卡銀行）因此由被告保管；111 年 9 月 6 日，詐騙集團成員假冒被告員工致電原告，精確說出前開消費細節（品項、時間、金額、刷卡銀行），使原告信以為真，繼而配合「解除重複扣款設定」之指示匯款，共計損失 299,988 元。

裁判案號

01.	第一審｜台北地院111北簡16345（主文：原告之訴駁回）

02.	原告提出下列證據：

發票、存摺明細
警察局受理報案證明
網路上多位消費者反映個資遭被告公司洩漏之截圖
刑事警察局將被告列為詐騙高風險賣場之資料

台北地院 111 北簡 16345

I.	非公務機關

II.	個資外洩

｜舉證責任

03.	法院援引民事訴訟法第 277 條前段規定，當事人主張有利於己之事實，就其事實有舉證之責任，確認舉證責任仍在原告。

04.	個資法雖就違反個資法規定導致個資遭不法蒐集、處理、利用者，推定有故意過失（§29 I 但書之反面），但此係就「故意過失」之推定，被害人仍應先就「個人資料遭不法蒐集、處理、利用之事實」負舉證之責，方能啟動推定。

05.	因此，原告仍須先證明個人資料確自被告處洩出，始有討論被告有無故意、過失之必要。

｜原告個資是否遭被告洩漏

06.	本件詐騙集團掌握之資訊包括：原告購買之品項、購買時間（111年8月19日15時47分）、刷卡金額（1,031元）及刷卡銀行（國泰世華），此等細節高度特定。

07.	不過，法院認為，消費者在門市持卡消費之購物資訊，除被告公司外，尚有其他可能洩漏之原因及環節，包括：發卡銀行端、聯合信用卡中心端或其他環節。法院指出，難以合理排除原告之購物及消費資訊係自其他環節遭竊取或洩漏之可能性。

＂消費者在門市持卡消費之購物資訊，除被告公司外，尚有其他可能洩漏之原因及環節（如發卡銀行端、聯合信用中心端或其他可能），實難合理排除原告前開購物及消費資訊係自其他環節遭竊取或洩漏之可能性。＂

08.	原告雖然提出：（1）發票、存摺明細；（2）警察局受理報案證明；（3）網路上多位消費者反映個資遭被告公司洩漏之截圖；（4）刑事警察局將被告列為詐騙高風險賣場之資料。法院認為上開資料僅能證明消費及遭騙之事實，無從逕行證明資料確自被告處外洩，亦難以「其他消費者亦有相同遭遇」即推論本案外洩來源，因而認為原告未能舉證個資遭被告外洩之事實。

法院未就多位消費者反映個資遭被告公司洩漏之事實，以及刑事警察局將被告列為詐騙高風險賣場予以考量，是否合理？

09.	法院同時指出，消費資訊可能自發卡銀行、聯合信用卡中心或其他環節外洩，此等替代原因的存在，進一步阻斷相當因果關係之認定。

法院上開認定，是否合理？要求原告（消費者）舉證證明消費資訊並非由發卡銀行、聯合信用卡中心或其他環節外洩，是否過苛？

III.	違反個資法規定

10.	在認定原告未就「個資遭被告外洩之事實」盡舉證責任後，法院額外審酌被告是否已盡「安全維護義務」、「通知義務」？

｜安全維護措施

11.	考量下列事項，法院認為被告已盡安全維護義務。

12.	【網路傳輸】門市POS機消費資料透過遠傳電信 MPLS VPN（封閉式企業虛擬網路）傳輸至安康機房再至總部，該網路未向公眾開放；個人資料傳輸並予加密及去識別化遮蔽（會員卡號、手機號碼均加密）。

13.	【信用卡資料隔離】門市刷卡機係向財團法人聯合信用卡中心申設，刷卡傳送資料不經被告系統；被告與聯信之請款明細表，卡號為部分隱碼顯示，且未記載刷卡銀行，故被告本身無從知悉消費者刷卡銀行。

14.	【資安軟硬體】建置 FortiGate 防火牆、WAF 網站應用程式防火牆及進階式防護、趨勢科技防毒軟體端點服務、Pure 系統監控工具與快照保護、入侵偵測及防禦機制、FortiView LOG日誌記錄蒐集系統。

15.	【組織與制度】設有個人資料管理單位及專責人員，訂立個資保護方針、標準作業流程、個資管理辦法；員工入職時簽立保密切結書，並定期辦理個資保護教育訓練。

16.	法院審閱上開資料後，認被告就個人資料安全維護已採取相當措施，難謂有所怠失。

｜是否履行通知義務

17.	原告援引個資法第 12 條（發生個資遭竊取、洩漏等情事，應查明後以適當方式通知當事人）主張被告通知方式不足，認為被告應在實體店面或由店員口頭警示，而非僅在官網及以簡訊通知。

18.	法院認定：被告於 111 年 8 月 27 日及 29 日分別在官方網站首頁及 Facebook 粉絲專頁刊載反詐騙提醒訊息，並於同年 9 月 1 日普發防詐騙提醒簡訊（查詢記錄顯示已成功送達原告手機）。

19.	原告雖主張簡訊遭防騷擾 APP 攔截，然此係原告自身設定所致，不可歸責於被告。因此，法院認為被告上開通知方式已屬「適當」，被告「就詐騙之防堵已採取相當之措施，尚難逕認原告遭詐騙陷於錯誤而匯款乙節係因被告公司對會員及消費資料資訊管理有所過失所致。」

IV.	致受損害——因果關係

V.	損害賠償

VI.	消保法

｜消費關係

20.	原告援引消保法第7條（企業經營者應確保商品或服務符合可合理期待之安全性），主張被告未保障個資安全，應負賠償責任。

21.	對此，法院認為：消保法第7條之「商品或服務」，係指企業經營者以設計、生產、製造、銷售商品或提供服務作為其業務核心並收取對價者。被告之核心業務為販賣鞋隻，原告以其個人資料加入為被告公司之會員並為消費購物，上開個人及購物資料之保存，應非被告營業項目與收取對價之範圍，故原告所指摘之個人資料所關之爭議，應非屬消費關係之範圍。

22.	亦即，被告自原告處所接收之個人資料及保管行為，並非提供商品或服務本身，而非屬消費者保護法第7條所規定「商品或服務」之範疇，故消保法第7條不適用。

被告因為銷售商品，以及原告為進行消費而加入被告會員系統，被告從而取得消費者個人資料，並加以保管，難道不是提供商品或服務的一部份？

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。