個資外洩｜案例 49｜VHSC 露營地訂房網站個資外洩案

20260603｜V01｜池泰毅律師

原告主張：(1) 其於民國 109 年 12 月 12 日下午，透過被告經營之「VHSC 露營地」訂房網站，輸入手機號碼、信用卡卡號等個人資料完成訂房，預定 110 年 1 月 15 日入住。(2) 嗣後原告於 109 年 12 月 29 日下午接獲不詳詐騙集團成員冒用被告員工名義之來電，佯稱因信用卡扣款作業錯誤須辦理退款，並續由冒充銀行客服人員指示原告操作網路銀行及 ATM。(3) 原告信以為真，依指示匯款，合計遭詐騙新臺幣 283,115 元。

裁判案號

01. 第一審｜新竹地院 111 竹東簡 48（主文：原告之訴駁回）

02. 第二審｜新竹地院 112 簡上 143（主文：一、原判決關於駁回上訴人後開第二項之訴部分及訴訟費用之裁判均廢棄。二、被上訴人應給付上訴人 84,935 元。三、其餘上訴駁回。）

新竹地院 111 竹東簡 48

I. 非公務機關

II. 個資外洩

｜原告個資是否遭被告洩漏

03. 法院主要依據被告法定代理人警詢、偵查筆錄以及官方網站貼文，認定原告個資是經由被告訂房網站途徑對外洩漏。

04. 被告之法定代理人沈○○於警詢及偵查中陳稱：

• 109 年 12 月 28 日 16 時 00 分許起，接獲多位客戶來電稱有不明人士用本公司名義，向本公司已訂位客戶（含已入住過及尚未入住客戶），透過客戶於本公司訂位系統留存的資訊、訂房內容、匯款或刷卡紀錄等，謊稱訂金或刷卡問題要求本公司客戶依據指示操作 ATM 匯款或線上匯款，本公司得知已有兩名客戶受害..劉○○、沈○○。
• （本件客戶資料外洩及相關客戶打電話給你們確認的那些事情，是由誰處理？）我們開始是現場第一線的櫃檯、接電話的人，後來他們有報告協理…因為他有告訴我人數比較多，我就請他趕快打 165 詐騙專線，然後再…報案…。
• （客人當天反應有這件事，為何你們櫃台人員會跟客戶說看網站之類的？）他們大概從沒碰過這種事，我們只是立刻有跟客人說請他們向 165 報案。

05. 被告於 109 年 12 月 28 日下午 5 時 15 分之後，陸續在 VHSC 露營地 FACEBOOK 官方網站貼文提醒：

• 我們不會以電話或簡訊通知客人重新再刷卡或匯訂，若有不知名的來電告知有刷卡重複…請不要…匯款操作或提供信用卡卡號。
• 目前公司已將官網訂位系統訂位服務功能暫時關閉，以保障大家的個資安全…已連繫警局進行備案。

06. 被告否認原告遭詐騙時之訂房資訊個資係來自被告訂房網站，並辯稱尚難排除係詐騙份子入侵原告個人電腦取得訂房資料云云，則不足採信。

III. 違反個資法規定

｜安全維護措施有無欠缺

07. 查，被告由系爭訂房網站接受原告訂房而取得原告訂房資訊個資，自有依個人資料保護法第 27 條第 1 項、第 12 條之規定，先採行適當之安全措施，以防止原告訂房資訊個資被竊取、竄改、毀損、滅失或洩漏，並於原告訂房資訊個資被竊取、洩漏、竄改或其他侵害後，應加以查明並以適當方式通知原告。

08. 被告如違反上開規定，致原告訂房資訊個資遭不法蒐集、處理、利用或其他侵害原告權利者，除非被告能證明其無故意或過失，否則即推定為被告過失，依同法第 29 條、第 28 條第 2 項至第 6 項及民法第184條規定，應負損害賠償責任，原告並得請求被告賠償相當金額之非財產上損害。

09. 觀諸被告所辯將系爭訂房網站外包交由廠商管理，系統內建防火牆等防毒軟體系統，廠商未曾通知有任何異常使用情況，客戶個資係直接存放於廠商之虛擬空間，被告電腦無存放客戶個資等情，參諸個人資料保護法施行細則第 12 條第 2 項列舉之措施，並以與所欲達成之個人資料保護目的間，具有適當比例為原則之規定，顯難認被告就其先前取得包括原告訂房資訊個資已有採行防止被竊取、竄改、毀損、滅失或洩漏之適當安全措施。

10. 被告至遲於 109 年 12 月 28 日上午 1 時 15 分許即知悉客戶訂房資訊個資被洩漏，且已有多名客戶遭詐騙集團利用該洩漏之訂房資訊個資詐騙，則被告自應即時通知包括原告在內之全部客戶，並告知訂房資訊個資被外洩侵害之事實及所採取之因應措施，然被告竟未即時通知包括原告在內之全部客戶，致原告於同年月 29 日下午 6 時 35 分仍遭詐騙集團利用被洩漏之訂房資訊個資詐騙，益見被告確有未盡個人資料保護法第 12 條、個人資料保護法施行細則第 22 條所定之通知義務。

11. 據此，原告主張被告違反個人資料保護法第 12 條、第 27 條第 1 項之規定，不法侵害其訂房資訊個資隱私權，確堪足採信。

｜故意、過失

12. 被告保有原告之訂房資訊個資，然未採行適當之安全措施，以防止原告之訂房資訊個資被洩漏，又於客戶包括原告之訂房資訊個資被洩漏後，未即以適當方式通知原告，致原告之訂房資訊個資遭詐騙集團不法利用而受詐騙等情，即均足堪以認定。

13. 被告復未能證明其無故意或過失，則原告主張被告違反個人資料保護法第 12 條、第 27 條第 1 項規定，依同法第 29 條、第 28 條第 2 項至第 6 項及民法第 184 條規定，應負損害賠償之責，自屬有據。（按原告係依前開規定請求賠償財產上之損害，並未請求非財產上之損害）。

IV. 致受損害——因果關係

｜相當因果關係

14. 損害賠償之債，以有損害之發生及有責任原因之事實，二者之間有相當因果關係為成立要件，如二者之間無相當因果關係，即無損害賠償請求權存在。所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係。

15. 經查，被告雖違反個人資料保護法第 12 條、第 27 條第 1 項之規定，而不法侵害原告之訂房資訊個資隱私權，然衡諸一般情形，被告外洩客戶之訂房資訊個資並不必然皆會發生客戶受詐騙而損失財物之財產權被侵害結果。易言之，被告外洩原告之訂房資訊個資固遭詐騙集團利用，然原告受詐騙集團之詐騙受有財產權被侵害之結果，乃係詐騙集團施用詐術之詐欺取財行為所致，而非被告外洩原告之訂房資訊個資所致，故被告因過失不法外洩原告訂房資訊個資與原告被詐騙受有財產權被侵害而損失 283,115 元之結果，即不得謂有相當之因果關係。

16. 據此，被告固確有過失不法外洩原告訂房資訊個資之原因事實，然被告因過失不法侵害原告資訊個資之原因事實與原告所受 283,115 元財產損害之發生間，既無相當因果關係，原告就所受 283,115 元財產上之損害，仍不得謂對被告有損害賠償請求權存在，原告自不得請求被告負賠償責任。

V. 損害賠償

新竹地院 112 簡上 143

I. 非公務機關

II. 個資外洩

｜原告個資是否遭被告洩漏

17. 詐騙集團用以詐騙上訴人所使用之上訴人個資，來自於被上訴人之訂房網站。

18. 上訴人主張其於 000 年 00 月 00 日下午 3 時 31 分在被上訴人經營之 VHSC 露營區網站輸入手機號碼、信用卡卡號等個人資料，預訂 110 年 1 月 15 日住宿；嗣上訴人於 000 年 00 月 00 日下午 6 時 35 分接獲詐騙集團冒用被上訴人員工之名義來電，訛稱因作業疏失導致誤刷信用卡，需依信用卡銀行人員指示操作提款機，以返還款項云云，上訴人遂依該詐騙集團成員指示，先在網路銀行輸入「12」，送出後系統回覆扣款有誤，該 12 元退回原帳戶，藉此取信於上訴人，上訴人復依詐騙集團成員指示，陸續輸入驗證數字「99,789」、「19,987」、「26,123」、「49,985」、「49,985」、「22,123」、「15,123」，導致上開七筆款項轉出，上訴人因此受有 283,115 元之財產上損害，上開客觀事實為被上訴人所不爭執，堪信屬實。

｜（受害人）共通性

19. 同樣曾向被上訴人訂房提供個資之劉○○、沈○○、李○○，亦分別於 109 年 12 月 28 日、109 年 12 月 28 日、109 年 12 月 29 日接獲偽裝為被上訴人員工之詐騙集團成員來電，以上述方式對其等施以詐術，使劉○○、沈○○、李○○分別匯出款項而受有財產上損害等情，業據證人劉○○、沈○○於原審到庭證稱明確，其等遭受詐騙之過程，並經新竹地檢署、花蓮地院認定明確，則上訴人、劉○○、沈○○、李○○等人確實曾向被上訴人訂房，被上訴人因此保有其等之個資，且其等皆係在 109 年 12 月 28、29 日之相近時間，同樣遭受冒稱被上訴人員工之詐騙集團成員、利用其等之訂房個資施以詐術，因此受有財產上之損害等事實，殆無疑義。

20. 除上訴人、劉○○、李○○等於相同時期、遭受相同手法詐騙之被害人以外，由被上訴人 109 年 12 月 28 日臉書貼文下方之留言所示，尚有「PC」、「許○○」、「陳○○」、「陳○○」、「張○○」、「YSY」、「WSC」、「HC」、「張○○」、「陳○○」、「鄭○○」、「EC」、「張○○」等諸多網友留言表示自己或家人近期亦同樣接獲自稱為被上訴人員工之詐騙電話，業據上訴人提出該臉書留言為證。

21. 上訴人法定代理人沈○○於 109 年 12 月 29 日向警局報案時亦陳稱：我公司於 109 年 12 月 28 日 16 時起，接獲多位客戶來電稱有不明人士用本公司名義，向本公司已訂位客戶（含已入住過及尚未入住客戶），透過客戶於本公司訂位系統留存的資訊、訂房內容、匯款或刷卡紀錄等，謊稱訂金或刷卡問題要求本公司客戶依據指示操作 ATM 匯款或線上匯款支付，目前本公司得知已有兩位客戶報案，劉○○被騙金額為 26 萬多餘元，沈○○被騙金額為近 10 萬元等語，參以「VHSC 露營地」於109 年 12 月 28 日至 110 年 1 月 3 日遭民眾通報為「高風險賣場平台」，可知在上訴人接獲偽稱為被上訴人員工之詐騙集團成員來電之相同時期，同樣有為數眾多之消費者接獲相同手法之詐騙電話，接獲詐騙電話之消費者皆為向被上訴人訂房之客戶。

22. 本院審酌詐騙集團成員皆係謊稱為被上訴人員工，實施詐術所使用之訂房個資僅被上訴人能完整持有，且相近時期內因曾向被上訴人訂房而接獲上述詐騙電話之情況至少已有十餘件等情，依通常經驗判斷，詐騙集團利用而施以詐術之訂房個資，應係來自於被上訴人之訂房網站。

23. 被上訴人雖稱其電腦及訂房系統並無遭駭客入侵之跡象，並辯稱訂房個資可能係由上訴人之自己個人電腦外洩等情，惟並未就此舉證說明，且殊難想像不法人士能在相近時間破解超過十餘位被害人之個人電腦、且每位被害人皆剛好是曾向被上訴人訂房之客戶，應認上開被害人之訂房個資皆係由被上訴人訂房系統外洩，方符合經驗法則，則被上訴人上揭所辯與常情未合，洵不足採。

III. 違反個資法規定

｜安全維護措施有無欠缺

24. 按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限，個人資料保護法第 27 條第 1 項、第 29 條分別定有明文。

25. 查上訴人於被上訴人訂房網站訂房，被上訴人就其因此而取得上訴人個資，依法應採行適當之安全措施以防止該個人資料被竊取或洩漏，惟上訴人之訂房個資仍自被上訴人訂房網站外洩而遭詐騙集團成員使用，導致上訴人因遭詐騙而受有財產上損害，應由被上訴人就對上訴人訂房個資已採行適當安全措施仍不免外洩等節，負舉證之責，倘被上訴人未能舉證證明已盡此注意義務，即可認有過失。

26. 被上訴人抗辯其已制定軟體電腦設備管理辦法、保護個人資料規則，作為被上訴人聘僱員工使用電腦設備及管理個資之工作準則，且有購買正版微軟作業系統、防毒軟體以保護被上訴人公司電腦，而被上訴人係委請 YG 公司設計架設訂房網站，包含上訴人在內之訂房客戶個資係直接存放於 YG 公司之網路虛擬空間，與被上訴人之電腦主機分層管理，此即為保護訂房客戶個資之措施等情，並提出軟體電腦設備管理辦法、保護個人資料規則、訂購單、被上訴人訂房網頁後台管理系統網頁畫面、被上訴人與YG 公司簽立之網路行銷合約書等件為證。

27. 惟查，被上訴人所提出之軟體與電腦設備管理辦法，係規範公司員工不得在公司電腦私裝軟體、不得開啟來路不明之電子郵件，以防止公司電腦中毒，被上訴人購買正版微軟作業系統及防毒軟體，同樣係為了防免被上訴人公司電腦中毒，並非針對訂房個資採取之保護及管理措施；依被上訴人提出保護個人資料準則所載，被上訴人針對個資之安全維護措施內容僅有：宣導公司個人資料保護政策、監督員工進行個人資料盤整與彙整、處理公司個人資料保護重大緊急事件，仍未見被上訴人有何對維護訂房客戶個人資料之具體資安維措施。

28. 依被上訴人提出與 YG 公司簽立之「網路行銷合約書」之內容，被上訴人係支付 69,888 元之報酬，委請 YG 公司架設「露營訂位管理系統」網站，客製化模組網站虛擬主機由 YG 公司代管，網站後台為 YG 公司所有，網站製作完成後，YG 公司應提供網站之管理後台帳號密碼，供被上訴人隨時上網管理資料；若遭第三者侵入系統或竄改或偽造變造資料，被上訴人不得要求 YG 公司做任何補償或賠償，可知被上訴人僅一次性支付費用委請 YG 公司架設訂房網站，訂房網站架設完成後，皆係由被上訴人自行由後台帳號密碼登入網頁管理訂房客戶之個資，包含上訴人在內之訂房個資係由被上訴人保有、而非 YG 公司所保有，被上訴人自不得以客戶訂房個資存放於 YG 公司網路虛擬空間為由，解免自身對於其所保有客戶個資之安全防護義務。

29. 而據 YG 公司函覆，其於本件案發後有將查詢訂單頁面及馬賽克部分資料遮蔽、後台改成兩段式驗證登入、及建議被上訴人修改信箱及後台帳號密碼，可知在上訴人之個資外洩前，被上訴人委請YG 公司架設之訂房網站並無上述防止個資外洩之基本資安措施，難謂被上訴人就其取得之上訴人訂房個資已盡安全管理義務。

｜故意、過失

30. 本院審酌被上訴人公司資本額高達 9,300 萬元，108、109 年度之總銷售額高達 3,168 餘萬元、4,255 餘萬元，有被上訴人公司變更登記表、銷售額資料在卷可參，依其公司規模，理應能就其取得之訂房客戶個資為適當之保護措施，卻未依個資法第 27 條第 1 項規定就其保有之上訴人個資採行任何適當之安全措施，導致上訴人個資外洩遭詐騙集團利用、進而遭詐騙受害，被上訴人就上訴人因個資外洩所受財產上之損害，應有過失。

IV. 致受損害——因果關係

｜相當因果關係

31. 經查，被上訴人就其保有包含上訴人在內之客戶訂房個資並未盡適當安全維護措施，上訴人訂房個資因自被上訴人之訂房網站外洩由詐騙集團成員取得，再由詐騙集團成員利用上述訂房個資對上訴人實施詐術，因而詐得上訴人之金錢等情，倘被上訴人妥善防護包含上訴人在內之客戶訂房個資，上訴人之個資即不會自被上訴人訂房網站外洩而為詐騙集團成員所用，上訴人亦不會因此受騙而受財產損失，是被上訴人上開過失行為，為上訴人所受財產損害不可欠缺之條件。

32. 又衡諸當今社會詐騙集團猖獗，詐騙集團利用自電商或網路訂房、訂位系統外洩之客戶個資，假冒為店家以取信於民眾，導致民眾遭詐騙而受害之情況層出不窮，依一般客觀情況，若店家無法妥善維護客戶個資，客戶個資即隨時處於供詐騙集團為不法利用之高度風險。

33. 本件自被上訴人訂房網站外洩之客戶個資為詐騙集團成員取得後，詐騙集團成員即據以撥打電話予諸多曾向被上訴人訂房之客戶，利用上開訂房個資對訂房客戶施以詐術，其中至少有上訴人、劉○○、沈○○、李○○等人已陷於錯誤而遭受財產上之損害，並非僅為偶發之單一事件，上開訂房個資自被上訴人網站外洩為詐騙集團成員利用，應係上訴人等被害人受詐騙結果之重要因素，被害人因其詐騙集團使用外洩個資而受詐騙，即為上述風險之實現。

34. 基此，被上訴人未善盡個資維護義務，使包含上訴人在內之訂房個資為詐騙集團成員作為詐騙使用，與上訴人遭詐騙而受財產損害之間，應具備相當因果關係。原審判決未審酌個資外洩後有高度可能遭不法使用、因而提高詐騙風險之通常社會事實，而認定上訴人所受損害係詐騙集團施以詐術所致、與個資外洩無因果關係等情，即有違誤。

V. 損害賠償

｜非財產上損害

35. 本件消費者並未請求非財產上損害。

｜財產上損害

36. 被上訴人抗辯詐騙集團利用上開外洩個資，對上訴人分別實施 8 次不同詐術內容，上訴人因被詐騙而匯出之 8 筆款項分別為 12 元、99,789 元、19,987 元、26,123 元、49,985 元、49,985 元、22,123 元、15,123 元，僅第一筆 12 元與個資外洩具備因果關係，後續轉出之七筆款項共 283,115 元，與個資外洩不具備因果關係，故被上訴人違反個資維護義務，導致上訴人財產損失僅為 12 元等情。

37. 惟查，上訴人接獲詐騙集團成員詐騙電話，係詐騙集團成員偽冒被上訴人公司員工，利用上訴人前於被上訴人訂房網站提供之個資，向上訴人詐稱訂房使用之信用卡溢扣款項，再假冒刷卡銀行偽稱需上訴人協助操作以退款，詐騙集團成員先引導上訴人於網路銀行匯款金額欄位輸入 12 元，送出後系統回覆扣款有誤，該 12 元退回原帳戶，即並未實際匯出該筆 12 元，詐騙集團成員再詐稱需繼續進行驗證，上訴人因而接續依指示於網路銀行及 ATM 輸入上開七筆數字，嗣後始發現該七筆共 283,115 元已轉出而受有損害等情，為上訴人陳稱明確，並據上訴人提出上開網路銀行轉帳及 ATM 轉帳資料為證，則被上訴人所稱上訴人受有 12 元之損害一節，容有誤會；而上訴人係因詐騙集團利用自被上訴人訂房網站洩漏之個人資訊，對上訴人偽稱有訂房之信用卡款項溢繳之事，而依詐騙集團成員指示輸入「驗證數字」，而於短期間陸續轉出 99,789 元、19,987 元、26,123 元、49,985 元、49,985 元、22,123 元、15,123 元，總計受有 283,115 元之財產上損害，則上訴人所受上開財產上損害 283,115 元，均為詐騙集團成員利用自被上訴人訂房網站外洩個資施以詐術導致之結果，與個資外洩具備因果關係，並非上訴人分別因七個不同時間、地點、行為態樣之詐騙行為而受害，則被上訴人抗辯除上訴人第一次驗證輸入的數字「12」以外，其餘轉出之金額皆與個資外洩無關等情，顯非可採。

｜與有過失｜上訴人應負擔 70% 責任

38. 按損害之發生或擴大，被害人與有過失者，法院得減輕賠償金額，或免除之，民法第 217　條第　1　項定有明文。此項被害人與有過失規定，乃在於謀求加害人與被害人間之公平，賦予法院得依職權減輕或免除加害人之責任，所謂被害人與有過失，須被害人之行為助成損害之發生或擴大，就損害結果為共同原因之一，行為與結果間具有相當因果關係，始足當之。

39. 查本件上訴人受有財產上損害，係其個資自被上訴人訂房網站外洩後，遭詐騙集團成員利用施以詐騙所致，然衡以詐騙集團利用網路訂房、訂位、購物之個資，向民眾偽稱重複扣款或溢繳款項而施以詐術之情況，層出不窮，電視新聞及報章媒體多年來就此有諸多報導及分析，警政機關亦製作諸多宣導影片，提醒民眾就上述詐騙手法提高警覺，避免受騙，上訴人為具有相當智識經驗之成年人，應知悉持信用卡於網路消費而誤刷時，一般交易流程為退刷溢繳款項至原信用卡內，而非要求消費者使用網路銀行辦理退款，且僅要稍加查證，應能發現詐騙集團成員來電顯示號碼並非被上訴人及信用卡發卡銀行之聯絡電話，卻未予查證，導致自己財產受損失，則上訴人輕忽未予查證，即依詐騙集團成員指示匯出款項，就自己所受財產損失同樣具備因果關係，揆諸上揭說明，應負與有過失之責。

40. 本院審酌被上訴人未善盡個資維護義務，使上訴人個資外洩為詐騙集團不法使用，固導致上訴人遭詐騙集團詐騙而受有財產損失，惟上訴人輕忽查證而匯出款項，對於自身財產損失之原因力貢獻程度較大，認上訴人就其所受財產損失應自負七成與有過失責任，被上訴人則應負三成責任。從而，上訴人得請求被上訴人賠償之金額為 84,935 元（計算式：283,115x0.3=84,935）。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。