個資外洩｜案例 53｜L 旅行社——第六案

20260605｜V01｜池泰毅律師

原告主張：(1) 原告於 111 年 10 月 19 日下單訂購雲林縣政府委託被告舉辦之二日遊行程，因而提供姓名、身分證字號、生日、手機號碼、E-mail、付款方式等個人資料予被告，相關資料儲存於被告公司電腦資料庫中。(2)嗣於 111 年 12 月 6 日 19 時許接獲詐騙集團佯稱其為被告客服人員，因被告人員疏失，致伊於同年 10 月 29 日至 30 日參加旅行後，遭誤植重複訂單，要求伊依渣打銀行信用卡客服人員指示取消上開訂單。隨即某佯稱渣打銀行信用卡客服人員打電話給伊，伊受騙而依其指示操作，先後匯款共 399,890 元至該詐欺集團成員指示之金融帳戶，因而受有系爭款項之損失。

裁判案號

01. 第一審｜士林地院 112 湖簡 1096（主文：原告之訴駁回）

02. 第二審｜士林地院 113 簡上 219（主文：一、原判決關於駁回後開第二項之訴廢棄。二、上開廢棄部分，被上訴人應給付上訴人79,978元。）

士林地院 112 湖簡 1096

I. 非公務機關

II. 個資外洩

｜舉證責任

03. 依個人資料保護法第 29 條第 1 項但書規定，被告就其無故意或過失，固負舉證之責，然原告就被告確有違反個人資料保護法規定之客觀構成要件，即主張其遭詐騙時之個人資料係來自被告公司網站，為有利於原告自身之權利要件發生事實，依民事訴訟法第 277 條本文之規定，應先負舉證責任。

｜原告個資是否遭被告洩漏

04. 原告提出中時新聞網、經濟日報、中央社《作業系統被駭 L 旅行社籲消費者慎防詐騙》、《L 旅行社遭駭客攻擊提醒消費者防範詐騙》新聞報導為證，該等報導固敘明被告遭通報為網路駭客惡意攻擊電腦作業系統之事實，且時間在原告參與被告旅遊行程之後、在原告依詐欺集團成員指示匯款之前，時間上固然有前後排序之關係，然上開報導並無法推論詐欺集團成員所取得之原告個人資料，確實來自被告於上開日期之駭客攻擊事件。

05. 原告就上開事件與其個人資料外洩之關聯性既未能進一步舉證以實其說，自難遽認被告有何該當於個人資料保護法第第 29 條第 1 項之過失。

III. 違反個資法規定

｜是否履行通知義務

06. 被告於知悉其網站遭不法入侵後，即於 111 年 11 月 29 日在公開資訊觀測站發布主旨為「說明本公司遭受駭客網路攻擊事件」之重大訊息，並於同年 12 月 7 日寄送「防範詐騙，避免受害，謹記三不原則：不操作 ATM、不提供任何資料、不回撥可疑電話，如接獲可疑來電，請立即掛斷電話，並撥打 165 防詐騙專線」等意旨之提醒詐騙之簡訊通知原告等情，有歷史重大訊息及簡訊內容在卷可佐，並為原告所不爭執，應認被告知悉其網站遭入侵後亦有採取相當之措施。

IV. 致受損害——因果關係

｜相當因果關係

07. 本件縱認原告個人資料係因被告疏於維護其公司網站之過失而洩漏於外，惟衡諸一般情形，客戶資料外洩，並不當然導出客戶遭詐欺集團詐騙而受有金錢損害之結果。

08. 時下詐騙集團利用電話詐騙民眾前往 ATM 或利用網路銀行操作之手法一再為政府、媒體所宣導，一般民眾理應具有防騙意識，於接獲相關偽冒來電時循正當管道求證，難以認為個人資料外洩之事實發生，在一般情形上，有此同一條件存在，而依客觀之審查結果，均會發生民眾受詐欺集團行騙而致財產損失之結果。

09. 原告為智識正常之成年人，亦有相當社會歷練，對此不能諉為不知。從而，本件應認被告之不作為與原告所受之損害間欠缺相當因果關係，原告主張無法加以支持，自應予以駁回。

V. 損害賠償

士林地院 113 簡上 219

I. 非公務機關

II. 個資外洩

｜舉證責任

10. 按應證之事實雖無直接證據足資證明，但可應用經驗法則，依已明瞭之間接事實，推定其真偽。是以證明應證事實之證據資料，並不以可直接單獨證明之直接證據為限，凡先綜合其他情狀，證明某事實，再由某事實為推理的證明應證事實，而該間接事實與應證事實之間，依經驗法則及論理法則已足推認其有因果關係存在者，自非以直接證明應證事實為必要（最高法院 98 台上 2035）。

11. 上訴人於 111 年 10 月 19 日下單訂購雲林縣政府委託被上訴人舉辦之二日遊行程，因而提供其姓名、身分證字號、生日、手機號碼、E-mail、付款方式等個人資料予被上訴人，足見被上訴人確實有取得上訴人之個人資料，並進而將該個人資料記錄、儲存，而保有於被上訴人公司電腦資料庫中。

12. 嗣上訴人於 111 年 12 月 6 日 19 時許，接獲詐騙集團成員致電謊稱為被上訴人客服人員，對上訴人確認該次旅遊時間、地點等相關旅遊資訊，並佯稱因訂單誤植，需依渣打銀行客服人員指示取消訂單云云，致上訴人陷於錯誤，依指示於 111 年 12 月 6 日匯款至 399,890 元至詐欺集團指定之帳戶等節，為兩造所不爭執。

｜（受害人）共通性

13. 自上訴人於 111 年 10 月 19 日提供個人資訊下單訂購被上訴人旅遊行程後，至其於同年月 12 月 6 日遭詐騙期間，同為被上訴人客戶接獲自稱被上訴人客服人員來電，佯稱電腦設定錯誤重複下訂單，須依指示操作解除設定，因而遭詐騙匯款之案件，經法院判決認定受害者累計已有 15 件，可見上開被害民眾個人資料來源之共通性即均為被上訴人客戶，且遭詐騙集團接洽之手段相似、時間密接。

14. 又被上訴人自 111 年 11 月 27 日起即陸續接獲客戶反應接到詐騙電話，經資安團隊查知遭駭客網路攻擊，遂委請外部資安公司即數聯資安公司技術專家共同處理，並向法務部調查局報案啟動調查，復於同年 11 月 29 日發佈「作業系統被駭，籲消費者慎防詐騙」新聞稿，且就 111 年 11 月 27 日起回溯半年內曾與被上訴人交易之客戶均發送預防詐騙簡訊通知，有被上訴人自行提出之 111 年 12 月 21 日函文、數聯公司於 111 年 12 月 20 日出具之資安事件處理應變說明報告、被上訴人發送簡訊紀錄、相關新聞稿等件可資為憑。

15. 經互核上訴人所涉交易內容、個人資料僅有被上訴人完整掌有，且於相近期間被上訴人曾發生資安事件，及被上訴人客戶遭受同樣詐騙之情事高達十數件，依通常經驗及論理法則，上訴人因與被上訴人公司為系爭交易所提供包含個人資料在內之資訊，係自被上訴人公司外洩致遭詐騙集團取得，應屬具備高度蓋然性之事實推定，自應認上訴人就此已為適當充足之舉證，被上訴人片面否認個資來源，自應提出反證，加以推翻始可。

III. 違反個資法規定

｜安全維護措施有無欠缺

16. 被上訴人雖抗辯自 106 年發生駭客入侵電腦以來，已有成立相關防範詐騙機制，除設定訂購人之個人資訊於旅遊團出發日、飯店入住日、航班出發日等經 6 個月後自動遮罩及封存處理外，並於訂單成立後發送訂單成立簡訊，提醒旅客慎防詐騙，亦透過簡訊、網站聲明及被上訴人所有通路門市向消費者說明、提醒民眾慎防受騙，亦於官網以跑馬燈及 BANNER 連結方式，提供本次事件說明、反詐騙宣導及主動聯繫被上訴人之查證方式，呼籲消費者於接獲詐騙電話時應立即致電反詐騙專線 165 查證，並於 11 月 29 日 15 時 7 分於公開資訊觀測站發布重大訊息並同步透過媒體發佈新聞稿，更分別於 111 年 11 月 27 日、29 日及 12 月 7 日共發送 47,647 筆防詐騙簡訊，此外更研議矯正預防措施，增加資安預算高達 690 萬元設置資安防護作業，已盡適當之安全維護措施等語，並提出前揭 111 年 12 月 21 日函文、數聯公司於 111 年 12 月 20 日出具之被上訴人 3033 資安事件處理應變說明報告、被上訴人發送簡訊紀錄、相關新聞稿等件為證。

17. 惟上開資安防護作業之設置均係本件事發後所為，姑不論被上訴人並未舉證其確實有依函文所述內容於事發後建置資安防護作業完成，縱認其所述為真，亦不得作為被上訴人公司於事前已盡適當安全維護措施之認定。

18. 被上訴人就本件事發前就其保有個人資料所為防護措施則僅提及於 106 年後設定訂購人之個人資訊於旅遊團出發日、飯店入住日、航班出發日等經 6 個月後自動遮罩及封存處理，然如上訴人即於 6 個月內成立訂單客戶之個人資料防護措施則付之闕如。

19. 併參以數聯資安公司亦於調查分析報告中表示：「檢視 Apache 相關 log，發現大量異常 IP 於2022/10/16 即開始存取網站中之 web shell 檔案」、「⒈於 Core Cloud agent 安裝範圍中，攻擊者最初取得控制權的機器為 GDCO2，但攻擊者僅於該機器上安裝用於協助滲透內網之程式後便無後續行為。研判攻擊者已於未安裝範圍取得高權限帳號，完成內網資訊收集、探索等行為。⒉此次事件中，攻擊者透過多台未安裝之機器橫向入侵進行攻擊，研判攻擊者已於未安裝 agent 範圍取得許多不同機器控制權。⒊由於許多來源機器並未安裝 agent，故無法確認攻擊者攻擊入口點，以及是否已經完全清除」、「建議立即擴大部署 agen t至其於未安裝端點之機器上，以確認攻擊者攻擊來源，並確認是否仍有其餘惡意行為」、「依據分析結果，相關主機應存在上傳漏洞，建議進行系統更新並針對主機/網站弱點掃描及滲透測試後，找出漏洞並評估風險能否接受，並依據評估結果修補相關漏洞以避免同樣事件再次發生。建議除本案主機外，針對其他對外服務之主機亦進行釐清，若有發現惡意程式建議立刻清除，並依需求評估是否針對主機/網站弱點掃描及滲透測試」等語，益徵被上訴人公司之電腦主機及對外服務主機存有諸多資安缺陷，被上訴人公司所舉證據尚不足以證明其對於所保有上訴人之個人資料已盡適當安全維護措施，是上訴人依個人資料保護法第 29 條規定，請求被上訴人公司負損害賠償責任，即屬有據。

IV. 致受損害——因果關係

｜相當因果關係

20. 按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。又所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係；反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院 87 台上 154、98 台上 673）。

21. 換言之，相當因果關係之認定，應以行為人之行為所造成之客觀存在事實為觀察之基礎，倘就該客觀存在之事實，依吾人智識經驗判斷，通常均有發生同樣損害結果之可能者，始得謂行為人之行為與被害人所受損害間，具有相當因果關係（最高法院 99 台上 1349）。

22. 查被上訴人公司確有洩漏其保有上訴人之個人資料，已認定如前，而上訴人於 111 年 12 月 6 日 19 時許，因接獲詐騙集團成員致電謊稱為被上訴人客服人員，對上訴人確認該次旅遊時間、地點等相關旅遊資訊，並佯稱因訂單誤植，需依渣打銀行客服人員指示取消訂單云云，致上訴人陷於錯誤，依指示於 111 年 12 月 6 日匯款至 399,890 元至詐欺集團指定之帳戶等節，亦如前述。

23. 可見若非詐騙集團取得上訴人留存於被上訴人公司主機之個人資料及旅遊資訊，並使用該等明確、特定之個人資料以取信於上訴人，上訴人應不致於陷於錯誤而遭詐騙，足認無此條件即無此結果，且洩漏個資，一般情形即足使詐騙集團惡用行詐，亦足認有此條件，通常均有發生同樣結果之情形，是堪認被上訴人公司前揭未盡適當安全維護措施，致洩漏上訴人個人資料之行為，與上訴人遭詐騙受有 399,890 元損害間有相當因果關係，上訴人自得請求該部分財產上損害之賠償。

V. 損害賠償

｜非財產上損害

24. 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，被害人雖非財產上之損害，亦得請求賠償相當之金額，個人資料保護法第 29 條第 2 項、第 28 條第 2 項固有明文。惟參酌個資法第 28 條第 2 項之立法理由：「二、…違反本法規定侵害當事人權益時，當事人可能不發生財產上損害而僅生精神上痛苦，爰參照民法第 195 條之規定，於本條第 2 項規定被害人亦得請求相當之慰藉金；如名譽受侵害時亦得請求為回復名譽之適當處分…」。

25. 準此，依個資法第 28 條第 2 項請求非財產上損害，仍應以人格權遭遇侵害，使精神上受痛苦為必要，且法均有明文規定者為限，若行為人僅使被害人發生財產上之損害而已，對其身體、生命、自由等人格權並未有何加害行為，縱因此使被害人苦惱，亦不生賠償慰藉金之問題。

26. 查依上訴人主張內容，所侵害者為上訴人之財產權，上訴人並未舉證證明被上訴人對其身體、生命、自由等人格權有何加害行為，上訴人自不得請求被上訴人賠償非財產上損害。

｜財產上損害

27. 上訴人依個人資料保護法第 28 條第 3 項規定請求 20,000 元賠償金，惟參諸上開規定之立法理由：「為確保當事人權益，避免損害數額舉證困難，爰參照美國一九七四年隱私權法第 G 四 A 條及我國通訊監察法草案第十八條之規定，於本條第三項明定每人每一事件得請求最高及最低限額，以利法院就具體情形斟酌損害賠償之額度，但若被害人能證明損害超過最高限額時，仍應准許其請求」。

28. 本件上訴人舉證證明之損害為其受詐之金額即 399,890 元，已超過本條規定之最高限額，本院自應審酌上訴人提出之證據認定損害賠償金額，而無本條規定之適用。

｜與有過失｜上訴人應負擔 80% 之過失責任

29. 按損害之發生或擴大，被害人與有過失者，法院得減輕賠償金額，或免除之，民法第 217 條第 1 項定有明文。此項被害人與有過失規定之目的，乃在謀求加害人與被害人間之公平，故在裁判上賦予法院得依職權減輕或免除加害人之責任。又所謂被害人與有過失，須被害人之行為助成損害之發生或擴大，就結果之發生為共同原因之一，行為與結果有相當因果關係，始足當之。倘被害人之行為與結果之發生並無相當因果關係，尚不能僅以其有過失，即認有過失相抵原則之適用。

30. 查上訴人係因個人資料，遭詐騙集團詐騙而為前開匯款行為，致受有前開財產上損害，固如前述，然衡以現今社會詐騙集團橫行，遭詐騙事件層出不窮，電視新聞、報章媒體多年來均對此類事件多所報導及分析，政府及警政機關亦常製作相關宣導影片，希冀社會大眾提高注意可疑事件，如有疑問請多加利用警政機關之反詐騙專線電話，避免受騙而遭受損害，而上訴人乃具有相當智識之成年人，對上開社會及生活經驗應甚為理解，且詐騙行為人所用詐欺手法並非罕見，被上訴人於上訴人下單訂購時即已傳送預防詐騙之簡訊予上訴人，上訴人理應對此社會常見之詐騙犯罪類型有相當之警覺性，然竟疏未注意，聽從歹徒指示多次匯款致受騙而生損害，是應認上訴人就本件損害之發生，亦與有過失。

31. 本院斟酌上開事件發生之一切情狀，認上訴人應負擔八成之過失責任，被上訴人公司應負擔二成之過失責任，始為公允。

32. 是以，應依此過失比例減輕被上訴人公司之賠償金額，則上訴人所得請求被上訴人賠償之金額為79,978元【計算式：399,890 元×20％＝79,978 元】，故上訴人請求被上訴人公司給付上開金額，應為可採，逾此範圍之主張，則屬無據。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。