20260604｜V01｜池泰毅律師

原告主張：伊前於民國 111 年 9 月 5 日 23 時 8 分許，在被告 SN 公司所經營之 SN 購物網站下訂「統欣生技果寡糖專利乳酸菌 30 包 4 入」1 份，填入收件人資訊即伊姓名、手機號碼及收件地址，並輪入台北富邦銀行信用卡卡號、到期日、卡片背面安全碼等資訊以為付款，消費金額為 1,136 元。詎 SN 公司藉由系爭平台留存消費者個人資料以獲取利益，卻未採行適當之安全措施，致洩漏伊上開個人資料，伊隨後於同年 10 月 20 日陸續接獲詐騙集團成員致電，謊稱為 SN 公司人員、台北富邦銀行人員，稱系爭交易因操作失誤，欲協助伊取消設定，進而誘騙伊為如附表所示共 69 9,515 元之轉帳。

裁判案號

01. 第一審｜台北地院 112 訴 2854（主文：一、被告李○○（詐團成員）應給付原告新臺幣 599,963 元。二、原告其餘之訴駁回。）

台北地院 112 訴字 2854

02. 原告請求李○○（詐團成員）賠償 599,963 元，為有理由，下略。以下，集中討論購物網站責任。

I. 非公務機關

II. 個資外洩

｜舉證責任

03. 非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限，雖為個資法第 27 條第 1 項、第 29 條第 1 項所規定；惟上開但書所推定者僅為故意或過失之主觀歸責事由，至於非公務機關未採行適當安全措施，致所保有個人資料遭不法蒐集、處理、利用之事實及因果關係，仍須由主張受侵害之當事人負舉證之責。

04. 亦即，原告如依此規定主張權利者，仍須先舉證證明 (1) 其遭不法蒐集、處理、利用之個資檔案係源自 SN 公司，且 (2) SN 公司就該等個資檔案之保管措施欠缺適當之安全性後，始由 SN 公司就其無故意或過失一節負反證之責任。

｜原告個資是否遭被告洩漏

05. 原告於 111 年 9 月 5 日 23 時 8 分許，在 SN 公司所經營之系爭平台上為系爭交易，金額 1,136 元，原告輸入其姓名、手機號碼、地址及台北富邦銀行信用卡卡號、到期日、卡片背面安全碼等資訊付款等情，有系爭交易訂單內容可佐。

06. 然從前開交易流程可知，其中有蒐集、處理原告個資之可能性者，除 SN 公司外，尚有統欣生物科技公司、台北富邦銀行等，且原告主張詐欺集團成員以電話向原告施用詐術時，係自稱台北富邦銀行人員，因原告於系爭交易中之錯誤刷卡，須透過台北富邦銀行處理，因而致原告陷於錯誤而匯款系爭款項等語，是從系爭交易過程可知，原告於系爭平台上所留資料，除 SN 公司外，統欣生物科技公司、台北富邦銀行亦可知悉原告交易內容，是依原告主張，仍難合理排除原告個資自其他環節遭竊取或洩漏之可能性，原告遭不法蒐集、利用之系爭個資是否確實來自 SN 公司，或係 SN 公司未採行適當安全措施導致外洩，即尚難證明。

｜（受害人）共通性

07. 原告雖主張除伊外，尚有其他被害人亦接獲同一詐欺集團來電，佯稱為 SN 公司人員，且系爭平台於伊遭詐騙前後期間，為內政部警政署公布之高風險賣場，足認 SN 公司違反個資法第 27 條第 1 項規定，未就系爭平台所留存之消費者資訊採行適當安全措施加以維護，致伊之個人資料外洩等語，雖提出刑事警察局公告高風險賣場資料為據。

08. 然原告所提資料時間為 111 年 10 月 17 日至同年月 23 日，並非原告在系爭平台為系爭交易之期間（111 年 9 月 5 日 23 時）；而依原告為系爭交易時，SN 公司並未經刑事局公告為高風險賣場，且縱經公告為高風險賣場，亦無法遽論原告於系爭平台上之交易資料即由 SN 公司所洩露，亦不必然會發生原告遭詐騙一情，自難僅憑是否經刑事局公告為高風險賣場，即可推論原告個人資料即由 SN 公司之系爭平台所洩露。

III. 違反個資法規定

｜安全維護措施有無欠缺

09. 參 SN 公司所經營之系爭平台，就個人資料之保護，均有訂立相關保護及管理措施，有 SN 公司個人資料保護管理組織章程、個人資料管理辦法、個人資料安全事件管理程序、資訊安全政策、個人資料蒐集處理利用程序、資安事件通報及處理作業規定、資訊系統開發、修改作業規定、系統復原計劃與測試程序作業準則、電腦文件維護與管理規定、軟硬體之購置、使用及維護規定、內部稽核近 2 年資通安全檢查暨資訊循環及證券交易所內部稽核申報作業資料、資料輸出入之控制作業規定、資料處理之控制作業規定、資通安全檢查暨資訊循環查核規劃、既有之具體資安管理措施等資料在卷可佐。亦足認 SN 公司確已就系爭平台網站安全提供一定之保護措施。

10. 原告主張依刑事局函覆資料，自 111 年 10 月 17 日起至同年 00 月 00 日間，165 反詐騙諮詢專線接獲民眾反映遭詐欺集團冒用 SN 公司名義詐騙而通報之案件數共 121 件，可知 SN 公司於前開期間之系爭平台網站確實存在資安弱點，致原告個人資料外洩等語，有刑事局 112 年 12 月 5 日刑打詐字第 1126059993 號函在卷可佐。惟此部分依 SN 公司所提出之 111 年 7 月 15 日紅隊演練專案複測結果與建議報告，其初測結果雖有部分網站係高風險，但經複測結果均為低風險，有前開報告在卷可稽，亦可認 SN 公司確已就所屬網站，包含系爭平台在內，有進行相關資訊安全維護措施。縱使於 111 年 10 月 17 日起至同年 00 月 00 日間，刑事局 165 反詐騙專線有接獲 121 件遭詐欺集團冒用 SN 公司名義詐騙而通報之案件，然此部分僅能證明詐欺集團冒用 SN 公司名義詐騙，並不當然推認資料係由SN 公司所外洩，原告主張，純屬臆測，自難採憑。

11. 且參 SN 公司於系爭平台購物頁面中，均有公告「為詐騙提醒」，內容為「SN 國際不會以任何名義通知您更改付款方式或要求您到 ATM 進行任何操作!若您接獲類似電話，請勿提供任何個人金融資料，並請撥 165 反詐騙專線查詢或與本公司客服聯繫確認，謝謝您!」、「反詐騙！SN 生活提醒您：我們不會主動與您聯繫要求修改訂單付款方式或行銷推廣通知，如您接獲此類電話，請不要依照指示操作。牢記詐騙三「不」驟，遠離歹徒惡虎口。1、不碰 ATM。2、不提供個人資料。3、不要慌。接到電話，建議您可與本公司客服中心聯繫查證」，已明確公告 SN 公司不會以任何名義通知更改付款方式或至要求操作 ATM 設定，或詢問信用卡、匯款帳號等個人金融資訊等語，足認 SN 公司於原告進行交易時，確已提醒原告相關詐騙訊息，並有為一定之網路交易安全措施，自難認 SN 公司有何違反個資法之情。

IV. 致受損害——因果關係

V. 損害賠償

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。