個資外洩｜案例 46｜A線上購物網站平台個資外洩案

20260603｜V01｜池泰毅律師

原告主張：(1) 原告在被告所營運之「A 線上購物」網站平台，輸入姓名、手機號碼、電子郵件等個人資料成為會員。嗣原告再於 110 年 6 月 16 日使用手機上網連結至系爭平台，輸入前開個人資料，購買清潔用品，並在線上輸入信用卡卡號、到期日、卡片背面安全碼以為付款。(2) 原告於某日下午 3 時 30 分許，接獲詐騙集團成員致電，謊稱係系爭平台人員，表示因會計人員疏失，誤設定原告為經銷商導致連續扣款，須依指示操作網路銀行解除錯誤設定。(3) 詐騙集團成員能清楚說出「購買品項、金額及刷卡銀行」等相關資料，致原告陷於錯誤，共計匯款 230,411 元至詐欺集團帳戶。

裁判案號

01. 第一審｜士林地院 112 士簡 1741（主文：原告之訴駁回）

士林地院 112 士簡 1741

I. 非公務機關

02. 被告公司以經營線上購物平台為業。

II. 個資外洩

｜舉證責任

03. 法院援引民事訴訟法 §277 前段（有利事實自負舉證責任）及最高法院 49 年台上字第 2323 號判例，認為：侵權行為損害賠償之成立，須具備加害行為、侵害權利、行為不法、致生損害、相當因果關係、行為人具責任能力及行為人有故意或過失等要件，缺一不可，且原告就各要件均應負舉證責任。

｜被告洩漏個資

04. 原告主張，本件詐騙集團成員能清楚說出「購買品項、金額及刷卡銀行」，並未提及信用卡卡號或安全碼等更敏感之完整信用卡資訊，僅說出「刷卡銀行」。

05. 被告據此提出一項少見的技術性抗辯：「伊不會知道原告是刷哪家銀行，所以不會是伊處洩漏原告個人資料。」，因為一般網路購物平台在收取信用卡付款時，係透過第三方金流業者（如信用卡收單機構）處理，商家後台通常不會顯示發卡銀行名稱，僅能看到交易金額及授權碼等。若詐騙集團能精確說出刷卡銀行，反而可能指向洩漏來源在發卡銀行端或收單機構端，而非被告本身。

06. 被告抗辯：「詐騙集團有可能是從原告手機或是其他植入木馬程式的方法得知原告資料，未必是從伊處洩漏。」指出可能的外洩來源，包括：（1）原告手機本身（木馬程式）；（2）其他環節（如發卡銀行、收單機構）。法院接受被告論點，認難以認定原告個資遭被告外洩，原告個資可能因為其他途徑遭外洩予詐騙集團。

07. 法院針對原告所提下列個資遭被告外洩之證據（與詐騙集團話術相關），逐一評價：

• 個人身份證件：僅能證明原告身份，無助於證明外洩事實。
• 平台訂購資料：僅能證明原告確有於系爭平台下單並以信用卡付款。
• 受理案件證明單（警察報案）：僅能證明原告確有遭詐騙並報案。
• 詐騙集團仿冒被告公司電話紀錄：法院指出該號碼並非被告公司電話，且記載為「高風險可疑號碼」，與外洩事實無關。
• 交易明細：僅能證明匯款事實，無從證明被告洩漏個資。

08. 據此，法院認為：「上開資料僅不過能證明原告確有於系爭平台上下單訂購商品，並以信用卡付款，及被告遭詐騙集團詐騙而匯出款項，並因此有至警察局報案等事實，尚無從證明被告公司有洩漏原告個人資料予詐騙集團之行為。」

09. 原告「未再提其他證據舉證以明，自不能遽以原告之片面指述即認被告對其有不法侵權行為存在」。

III. 違反個資法規定

IV. 致受損害——因果關係

V. 損害賠償

VI. 消保法

｜消費關係

10. 除了個資法，原告同時援引消保法第 7 條（企業經營者對商品或服務之安全責任）規定，作為請求損害賠償之依據。

11. 消保法 §7 規定：從事設計、生產、製造商品或提供服務之企業經營者，於提供商品或服務時，應確保符合當時科技或專業水準可合理期待之安全性；違反規定致生損害者，應負連帶賠償責任，但企業經營者能證明其無過失者，法院得減輕其賠償責任。

12. 本規定係採「無過失責任為原則、舉證責任倒置（企業須舉證無過失）」之制度設計，理論上對消費者較為有利。

13. 法院援引最高法院 104 台上 1364、103 台上 2120，認為：消保法 §7 雖採無過失責任原則（企業須舉證證明自己無過失），但仍「須由原告先行舉證說明企業經營者提供服務之危險性（即原告於系爭平台上購物）與受有損害（原告嗣後遭到詐騙集團詐騙而匯款）間具因果關係之事實」。

14. 消保法 §7 適用之前提：原告仍須先舉證「服務之危險性」與「損害」之間有因果關係，無過失責任之推定不能省略此步驟。

15. 本件原告無法證明被告公司有洩漏原告個人資料予詐騙集團之行為，自難徒憑原告單一指述遽認其所受損害與被告公司有關連，遑論被告須逕負企業經營者無過失賠償責任，被告自毋庸提出證據以證明。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。