個資外洩｜案例 56｜ADG 民宿個資外洩案

20260605｜V01｜池泰毅律師

原告主張：（1） 原告於 112 年 5 月 12 日透過台灣博房網訂管理諮詢股份有限公司（未提告）之訂房網站線上預訂 ADG 公司經營之 ADG 民宿 1 晚，於同年 6 月 12 日入住，原告入住時刷卡支付住宿費5975 元。（2） ADG 公司之「旅宿 E 管家系統」（訂房系統）係由受告知訴訟人 SFD 有限公司提供，並由 SFD 公司以網路伺服器管理訂房系統後臺，進行訂單、客戶個人資料之儲存及安全維護，SFD 公司應對個資採取適當之安全措施，以防止客戶個資被竊取或洩漏，竟疏於資安維護，導致原告住宿時所提供之姓名、生日、行動電話號碼等個資及以刷卡方式支付住宿費之訊息，遭不詳詐欺集團竊取，致原告於 112 年 9 月 5 日 16 時 30 分接獲由詐欺集團成員假冒 ADG 公司客服人員來電詐騙，總計交付 81 萬 1456 元。

裁判案號

01. 第一審｜台中地院 113 訴 2391（主文：一、被告 ADG 公司應給付原告 20,000 元。二、原告其餘之訴駁回。）

02. 第二審｜台中高分院 114 上 350（主文：一、原判決關於駁回上訴人後開第二項之訴部分廢棄。二、ADG 公司應再給付上訴人 80,000 元。三、其餘上訴駁回。）

本案爭點

03. 本件爭執事項：

1. 被告是否為個資法第 27 條第 1 項「保有個人資料檔案者」？
2. 被告是否有個資法第 12 條「違反本法規定，致原告個資被竊取、洩露」之情形？
3. 被告是否已盡個人資料保護法第 12 條之通知義務？
4. 承 3，如被告未盡通知義務，與原告受詐欺之結果是否有因果關係？
5. 承 4，如有因果關係，被告對原告是否應應負個人資料保護法第 29 條之損害賠償責任，賠償原告主張之財產損害？
6. 承 5，如有因果關係，被告對原告是否應應負個人資料保護法第 29 條之損害賠償責任，賠償原告主張之非財產損害？

台中地院 113 訴 2391

I. 非公務機關

04. 原告對下列被告提告：

• 被告 ADG 公司，經營 ADG 民宿。
• 被告 LVT 公司，為 ADG 公司之母公司。
• 受告訴訴訟人 SFD 公司，提供「旅宿 E 管家系統」之 IT 廠商。

｜保有個人資料檔案者

05. 查 ADG 公司與 LVT 公司雖為關係企業，然兩者產品種類、組織架構及經營事業仍不相同，各自具有獨立法人格，而與 SFD 公司簽訂「旅宿前台系統雲端服務契約」，係 ADG 公司而非 LVT 公司，是 SFD 公司設立網路伺服器，蒐集、處理原告之個資，既係基於 ADG 公司之委託，堪認 ADG 公司係個資法第 27 條第 1 項「保有個人資料檔案者」，並為 ADG 公司所不爭執，而與 LVT 公司無涉。

06. 原告雖以 LVT 公司曾出席消費爭議調解會議與之協商賠償事件，為被告所不否認，惟 LVT 公司辯稱係因 ADG 公司未有獨立之客服及法務部門，故協助 ADG 公司處理等語，核與一般關係企業往來常情無違，亦難認有何違法之處，自難僅憑 LVT 公司有代理 ADG 公司處理原告申訴、面訪回應及出席消費爭議調解等行為，推論 LVT 公司亦係個資法第 27 條第 1 項「保有個人資料檔案者」之事實。

II. 個資外洩

｜舉證責任

07. 原告就其遭詐欺集團詐騙所用之個資，係來自 ADG 公司委任 SFD 公司經營管理之訂房系統及網路伺服器乙節，應先負舉證責任。

08. 系爭訂房系統及網路伺服器均為 SFD 公司所保有、建置及管理，原告輸入之個資亦存放於該系統中，原告無從自行使用、管理，此等證據偏在 ADG 公司及 SFD 公司方面之情形對原告顯失公平，自有民事訴訟法第 277 條但書規定之適用，應輕減原告之舉證責任。

｜原告個資是否遭被告洩漏

09. 原告於 112 年 5 月 12 日透過博房網公司之訂房網站線上預訂 ADG 公司經營之 ADG 民宿 1 晚，並於同年 6 月 12 日入住，原告並於該日入住時以花旗銀行信用卡刷卡付款 5,975 元，為兩造所不爭執，且依 SFD 公司提供訂房系統於伺服器所留存之個人基本資料紀錄顯示，原告於入住時，留有個人姓名、行動電話號碼、生日及以信用卡支付住宿費之付款方式，足見原告確有將其上開個資留存於SFD 公司網路伺服器之事實。

10. 而 ADG 公司於 112 年 5 月 26 日接獲受告知訴訟人 SFD 公司通知該公司有資安遭竊事件，旋即透過 SFD 公司之協助，於翌日即 112 年 5 月 27 日在官網發佈系爭防詐啟事，復於 112 年 6 月 5 日、 9 月 1 日主動向所有客戶發送系爭防詐簡訊，嗣詐欺集團之成員果於同年 9 月 5 日 16 時 30 分許，假冒 ADG 客服人員致電原告，佯以：會員資料遭駭客入侵，應依指示操作網路銀行，以解除錯誤分期付款設定云云，致原告陷於錯誤，而於同日 20 時 31 分匯款，可知該詐欺集團係於原告於 112 年 6 月 12 日最近一次使用訂房系統後，始撥打原告之行動電話聯絡原告，且依其等對話內容，已清楚掌握原告有入住及使用信用卡付費等細節，並自述為 ADG 公司員工等節，均與原告留存於 SFD 公司網路伺服器之個資相符，且 SFD 公司確有遭不詳之人利用資料庫登入介面程式漏洞偽造登入認證及修改限制 IP 權限，成功登入資料庫後植入不法程式取得最大權限，竊取備份資料內容包含姓名、身分證字號、手機、地址等交易個資，有數發部函在卷可稽，堪認原告就其主張遭詐欺集團詐騙所用之個資，為 SFD 公司之訂房系統及網路伺服器所外洩乙節，已盡舉證之責，洵屬可採。

11. 被告辯稱原告之個資亦可能來自博房網公司的客戶資料外洩所致，卻未提出得以證明之反證以實其說，自不足採。

III. 違反個資法規定

｜安全維護措施

12. 按個資法施行細則第 12 條規定：「（第 1 項）本法……第 27 條第 1 項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。（第 2 項）前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：㈠配置管理之人員及相當資源。㈡界定個人資料之範圍。㈢個人資料之風險評估及管理機制。㈣事故之預防、通報及應變機制。㈤個人資料蒐集、處理及利用之內部管理程序。㈥資料安全管理及人員管理。㈦認知宣導及教育訓練。㈧設備安全管理。㈨資料安全稽核機制。㈩使用紀錄、軌跡資料及證據保存。個人資料安全維護之整體持續改善。」上開規定明定個資法第 27 條第 1 項應採取之技術上及組織上措施。

｜委外監督義務

13. 非公務機關保有個人之個資檔案者，應採取與所欲達成之個人資料保護目的間，具有適當比例為原則，得包含上述事項之技術上及組織上的措施，以防止所保有之個資檔案被竊取、竄改、毀損、滅失或洩漏。

14. 經查，ADG 公司固辯稱其係委託 SFD 公司以該公司訂房系統及網路伺服器保存原告個資，且已有刊登系爭防詐啟事及傳送系爭防詐簡訊予原告，已對個資外洩為相當防護等語，然 ADG 公司上開行為，充其量均屬其提醒消費者需小心詐騙之相關作為，與其有無善盡個資法第 27 條第 1 項所定「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」之義務無涉。

15. 況 ADG 公司已自承於 112 年 5 月 26 日接獲 SFD 公司通知該公司有資安遭竊事件，依 SFD 公司回覆數發部產業署針對 112 年 5 月 26 日發生資安遭竊情事說明之內容，SFD 公司自承：SFD 公司工程部去年度針對 GIT 軟體版控做了測試，在備份伺服器留存了git 檔案，不詳之人掃描後發現有git 檔案，逕行侵入系統下載伺服器 git 相關檔案並進行資料解析，入侵 git 檔中特定檔案後，再利用 test.html 瀏覽 server 的所有資料夾，並找到登入介面程式檔案，因 SFD 公司對網路伺服務器之資安管理，係使用 ip 作登錄控管，不詳之人利用這個介面程式的漏洞偽造登入之認證，直接登入測試資料庫，並由資料庫修改登入碼，將自己 ip 設定可登入狀態，上傳並執行不法程式後，成功取得資料庫最大權限，進而登入備份的資料庫，竊取測試資料庫所有資料，故 SFD 公司於事發後，新增偵測機制：每日 9 時 10 分自動寄送一天內新增的網站檔案列表，用於確認是否被植入非公司內部程式，每日 1 時至 6 時間，每 30 分鐘偵測 1 次 2 小時內新增的檔案，以防半夜被上傳惡意檔案，若偵測到有新檔案以 mail 方式通知工程師及工程部 line 群組，並在資安強化部分，在伺服器前加裝硬體防火牆，具備 WAF 惡意網址過濾及異常流量偵測等功能，可先過濾惡意的 URL 請求，避免後續可能的程式及資料庫攻擊導致資料外洩。當有異常流量產生時，即時通知管理人員介入處理，每 5 分鐘偵測前 5 分鐘平均流量，數值若超過平常平均值，發信給工程師及發 LINE 工程部錯誤通報群組，並就資安防護措施逐項檢閱，包含作業流程面、軟體/硬體面（資料庫）、技術面，並就外洩事件後之資安逐項加強及調整，堪認 SFD 公司於個資外洩前，就客戶個資之資安維護確有疏漏，難認其就防止包含原告在內之客人個資被竊取、竄改、毀損、滅失或洩漏，已採行適當之安全維護措施，且 ADG 公司及 SFD 公司復未提出其他相關事證供本院審酌其就原告個資外洩並無過失之情，自難遽認ADG 公司就其先前取得原告訂房之個人資料已有採行適當之安全措施。

16. 基上堪認：ADG 公司委任之 SFD 公司就原告之個資安全維護有違反個資法第 27 條第 1 項規定，不法侵害原告資訊隱私權之事實。ADG 公司上開所辯，核無可取（原告此部分損害賠償未於本件訴訟請求）。

｜是否履行通知義務

17. 按公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法第12條定有明文。參諸該條文之立法理由為：「按當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。」，是通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。若通知內容僅係防詐騙提醒，並無及個人資料被侵害之事實及已採取之因應措施，難認已踐行法定通知義務。

18. 經查：ADG 公司委任之 SFD 公司就原告之個資安全維護，應有過失，已如前述，則 ADG 公司依上開規定，自應於查明後以適當方式通知原告，而 ADG 公司固於 112 年 5 月 26 日接獲 SFD 公司通知該公司有資安遭竊事件，旋即透過 SFD 公司之協助，於翌日即 112 年 5 月 27 日在官網發佈系爭防詐啟事，復於 112 年 6 月 5 日、9 月 1 日主動向所有客戶寄送防詐簡訊。

19. 原告於上開日期所使用之行動電話門號確有收受上開簡訊並有查看內容，惟觀諸系爭防詐啟事及系爭防詐簡訊內容，均僅泛稱「近日詐騙案件增多」及通常防詐宣導之內容，完全未提及原告留存之個資已有外洩之情，亦未告知原告遭外洩之個資將進行何種防護或補救措施，參諸上開說明，自難認 ADG 公司業已善盡個資法第 12 條法定通知義務。

IV. 致受損害——因果關係

｜相當因果關係

20. 按個資法之特殊侵權行為，請求權人對於侵權行為之成立要件應負舉證責任，除前揭歸責採無過失、推定過失外，同樣包括不法侵害、侵害他人權利、相當因果關係及損害。是縱使利用個資的行為，有損個人之可能性，請求權人尚須就行為人之不法行為與其個人受損間具有相當因果關係負舉證責任。又按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。

21. 所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院 98 台上 673）。

22. 經查，原告於 112 年 9 月 5 日 16 時 30 分接獲由詐欺集團成員假冒 ADG 公司客服人員來電，佯以：會員資料遭駭客入侵，原告遭冒名刷卡訂房，應依指示操作網路銀行，以解除該筆盜刷款項云云，致原告陷於錯誤，聽從詐欺集團成員指示，使用其申辦如附表二所示之銀行帳戶、信用卡，以如附表二備註欄所示之金流進出方式，匯出系爭款項，原告所有系爭款項之財產損失係因詐欺集團成員積極實施詐騙行為所致，ADG 公司違反個資法第 12 條法定通知義務之行為，在一般情形下，無此行為，雖必不生此損害，然有此行為，並不必然會發生原告受詐騙且受有財物損失之侵害結果。

23. 原告所受損害實係因詐欺集團故意詐欺之犯行所致，詐欺之不法行為與損害結果、因果關係均係存在於詐欺集團與原告間，則 ADG 公司前開違反法定通知義務行為與原告遭詐欺集團詐取財物之損害結果間，難謂有相當因果關係。是以原告主張依個資法第 29 條、第 28 條之規定，請求 ADG 公司應賠償原告遭詐騙所受系爭款項之損失云云，洵非可採。

V. 損害賠償

｜非財產上損害

24. 按非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。依前項規定請求賠償者，適用前條第 2 項至第 6 項規定；又被害人雖非財產上之損害，亦得請求賠償相當之金額。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣 500 元以上 2 萬元以下計算。為個資法第 29 條、第 28 條第 2、3 項所規定。

25. ADG 公司過失洩露原告之個資，且未依法為適當之通知，致原告之個資為詐欺集團不法利用，原告雖主張其受詐欺集團詐騙後，因此而耗費時間心力處理帳戶、應訴，過程飽受煎熬，受有精神上之痛苦，惟此應係 SFD 公司洩露原告之個資後原告遭詐欺集團詐騙發生實害結果所致，並非 ADG 公司未依個資法第 12 條為適當之通知造成。

26. 依一般情形，非公務機關之個資保管人單純違反個資法第12條之法定通知義務，被害人通常需持續擔心個資遭他人不當使用，而受有精神上之痛苦，惟此部分精神痛苦之損害額，被害人確有不易或不能證明之情形，依個資法第 28 條第 3 項規定，自得由本院依侵害情節以每人每件 500 元以上 2 萬元以下計算。

27. 審酌本件 ADG 公司違反通知義務之情節，及原告為碩士畢業、擔任主管職務、112 年所得約 290 萬元，名下有不動產及投資數筆等一切情狀，認原告請求之精神慰撫金以 2 萬元為適當，逾此部分之請求應屬無據。

台中高分院 114 上 350

I. 非公務機關

II. 個資外洩

｜原告個資是否遭被告洩漏

28. 上訴人主張其遭詐欺集團詐騙所用之個資，係來自 ADG 公司委任 SFD 公司經營管理之訂房系統及網路伺服器，應屬可採。

29. 按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個資法第 27 條第 1 項、第 29 條第1項分別定有明文。

30. 依上開規定，就 ADG 公司保有個資而發生個資遭不法蒐集、處理、利用或其他侵害當事人權利者，採過失推定原則，即由 ADG 公司舉證證明其無故意或過失，始能免責。

31. 經查，上訴人於 000 年 5 月 12 日透過 ○○ 網公司之訂房網站線上預訂 ADG 公司經營之 ADG 民宿 1 晚，並於同年 6 月 12 日入住，上訴人並於該日入住時以 ○○ 銀行信用卡刷卡付款 5,975 元，且依 SFD 公司提供訂房系統於伺服器所留存之個人基本資料紀錄顯示，上訴人於入住時，留有個人姓名、行動電話號碼、生日及以信用卡支付住宿費之付款方式，足見上訴人確有將其上開個資留存於 SFD 公司網路伺服器之事實。而 ADG 公司於 112 年 5 月 26 日接獲 SFD 公司通知該公司有資安遭竊事件，旋即透過 SFD 公司之協助，於翌日即 112 年 5 月 27 日在官網發佈系爭防詐啟事，復於 112 年 6 月 5 日、9 月 1 日主動向所有客戶發送系爭防詐簡訊，嗣詐欺集團之成員於同年 9 月 5 日 16 時 30 分許，假冒 ADG 酒店客服人員致電上訴人，佯以：會員資料遭駭客入侵，應依指示操作網路銀行，以解除錯誤分期付款設定云云，致上訴人陷於錯誤匯款，詐欺集團之不詳成員再將匯入之款項提領一空，可知該詐欺集團係於上訴人於 112 年 5 月 12 日使用訂房系統後，始撥打上訴人之行動電話聯絡上訴人，且依其等對話內容已清楚掌握上訴人有入住系爭民宿及使用信用卡付費等細節，並自述為 ADG 公司員工等節，均與上訴人留存於 ○○○ 公司網路伺服器之個資相符，且 SFD 公司確有遭不詳之人利用資料庫登入介面程式漏洞偽造登入認證及修改限制 IP 權限，成功登入資料庫後植入不法程式取得最大權限，竊取備份資料內容包含姓名、身分證字號、手機、地址等交易個資，有數發部函可稽，堪認上訴人主張遭詐欺集團詐騙所用之個資，為 SFD 公司之訂房系統及網路伺服器所外洩。

32. ADG 公司辯稱上訴人之個資亦可能來自 ○○ 網公司的客戶資料外洩所致，卻未提出得以證明之反證以實其說，自不足採。

III. 違反個資法規定

｜安全維護義務

33. ADG 公司委任之 SFD 公司就上訴人之個資安全維護有違反個資法第 27 條第 1 項規定，不法侵害上訴人資訊隱私權之事實。

34. 按個資法施行細則第 12 條規定明定個資法第 27 條第 1 項應採取之技術上及組織上措施。非公務機關保有個人之個資檔案者，應採取與所欲達成之個人資料保護目的間，具有適當比例為原則，得包含上述事項之技術上及組織上的措施，以防止所保有之個資檔案被竊取、竄改、毀損、滅失或洩漏。

35. 經查，ADG 公司固辯稱其係委託 SFD 公司以該公司訂房系統及網路伺服器保存上訴人個資，並已有刊登系爭防詐啟事及傳送系爭防詐簡訊予上訴人，已對個資外洩為相當防護等語，然 ADG 公司上開行為，充其量均屬其提醒消費者需小心詐騙之相關作為，與其有無善盡個資法第 27 條第 1 項所定「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」之義務無涉。

36. 況 ADG 公司已自承於 112 年 5 月 26 日接獲 SFD 公司通知該公司有資安遭竊事件，依 SFD 公司回覆數發部產業署針對 112 年 5 月 26 日發生資安遭竊情事說明之內容，SFD 公司自承：SFD 公司工程部去年度針對 GIT 軟體版控做了測試，在備份伺服器留存了 git 檔案，不詳之人掃描後發現有 git 檔案，逕行侵入系統下載伺服器 git 相關檔案並進行資料解析，入侵 git 檔中特定檔案後，再利用 test.html 瀏覽 server 的所有資料夾，並找到登入介面程式檔案，因 SFD 公司對網路伺服務器之資安管理，係使用 ip 作登錄控管，不詳之人利用這個介面程式的漏洞偽造登入之認證，直接登入測試資料庫，並由資料庫修改登入碼，將自己 ip 設定可登入狀態，上傳並執行不法程式後，成功取得資料庫最大權限，進而登入備份的資料庫，竊取測試資料庫所有資料，故 SFD 公司於事發後，新增偵測機制：每日 9 時 10 分自動寄送一天內新增的網站檔案列表，用於確認是否被植入非公司內部程式，每日 1 時至 6 時間，每 30 分鐘偵測 1 次 2 小時內新增的檔案，以防半夜被上傳惡意檔案，若偵測到有新檔案以 mail 方式通知工程師及工程部 line 群組，並在資安強化部分，在伺服器前加裝硬體防火牆，具備 WAF 惡意網址過濾及異常流量偵測等功能，可先過濾惡意的 URL 請求，避免後續可能的程式及資料庫攻擊導致資料外洩。當有異常流量產生時，即時通知管理人員介入處理，每 5 分鐘偵測前 5 分鐘平均流量，數值若超過平常平均值，發信給工程師及發 LINE 工程部錯誤通報群組，並就資安防護措施逐項檢閱，包含作業流程面、軟體/硬體面（資料庫）、技術面，並就外洩事件後之資安逐項加強及調整。

37. 堪認 SFD 公司於個資外洩前，就客戶個資之資安維護確有疏漏，難認其就防止包含上訴人在內之客人個資被竊取或洩漏，已採行適當之安全維護措施，且 ADG 公司及 SFD 公司復未提出其他相關事證供本院審酌其就上訴人個資外洩並無過失之情。

38. 綜上，堪認 ADG 公司委任之 SFD 公司就上訴人之個資安全維護有違反個資法第 27 條第 1 項規定，不法侵害上訴人資訊隱私權之事實。ADG 公司上開所辯，核無可取。

｜是否履行通知義務

39. 上訴人主張 ADG 公司就上訴人個人資料被竊取、洩漏，並未以適當方式通知上訴人，而有違反個資法第 12 條規定之情事，堪以採信。

40. 按公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法第 12 條定有明文。參諸該條文之立法理由為：「按當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。」，是通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。若通知內容僅係防詐騙提醒，並無及個人資料被侵害之事實及已採取之因應措施，難認已踐行法定通知義務。

41. 查 ADG 公司委任之 SFD 公司就上訴人之個資安全維護，有違反個資法第 27 條第 1 項規定之情事，則 ADG 公司依上開規定，自應於查明後以適當方式通知上訴人，而 ADG 公司雖於 112 年 5 月 26 日接獲 SFD 公司通知該公司有資安遭竊事件，旋即透過 SFD 公司之協助，於翌日即同年 5 月 27 日在官網發佈系爭防詐啟事，復於同年 6 月 5 日、9 月 1 日主動向所有客戶寄送系爭防詐簡訊。

42. 上訴人於上開日期所使用之行動電話門號確有收受上開簡訊並有查看內容，為兩造所不爭執，惟觀諸系爭防詐啟事及系爭防詐簡訊內容，均僅泛稱「近日詐騙案件增多」及通常防詐宣導之內容，完全未提及上訴人留存之個資已有外洩之情，參諸上開說明，自難認ADG公司業已善盡個資法第12條法定通知義務。

IV. 致受損害——因果關係

V. 損害賠償

43. 就上訴人主張 ADG 公司違反個資法第12條法定通知義務致其所受各項損害，分述如下。

｜財產上損害

44. 按違反保護他人之法律，致生損害於他人者，負賠償責任，但能證明其行為無過失者，不在此限；民法第 184 條第 2 項定有明文。又非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個資法第29條第1項亦定有明文。又按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。且所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院 98 台上 673）。

45. ADG 公司就上訴人個資被竊取、洩漏，並未以適當方式通知上訴人，而有違反個資法第 12 條規定情事，而個資法係屬保護他人之法律，則上訴人主張 ADG 公司有民法第 184 條第 2 項之違反保護他人法律情事，堪以採信。

46. 查上訴人於 112 年 9 月 5 日 16 時 30 分接獲由詐欺集團成員假冒 ADG 公司客服人員來電，佯以：會員資料遭駭客入侵，上訴人遭冒名刷卡訂房，應依指示操作網路銀行，以解除該筆盜刷款項云云，致其陷於錯誤，聽從詐欺集團成員指示，匯出系爭款項；上訴人並就附表二所示其於 000 年 9 月 5 日 20 時 31 分 55 秒匯款 2 萬 9987 元至○○○○○帳戶內之事實，均為 ADG 公司所不爭執，則上訴人所有系爭款項之財產損失，係因另遭詐欺集團成員積極實施詐騙行為所致，ADG 公司違反個資法第 12 條法定通知義務之行為，在一般情形下，無此行為，雖必不生此損害，然有此行為，並不必然會發生上訴人受詐騙且受有財物損失之侵害結果。

47. 上訴人所受系爭款項之損害實係因詐欺集團故意詐欺之犯行所致，詐欺之不法行為與損害結果、因果關係均係存在於詐欺集團與上訴人間，則 ADG 公司前開違反法定通知義務行為與上訴人遭詐欺集團詐取財物之損害結果間，難謂有相當因果關係。是以上訴人主張依個資法第 29 條、第 28 條、民法第 184 條規定，請求 ADG 公司賠償其遭詐騙所受系爭款項之損失 81 萬 1,456 元云云，洵非可採。

｜非財產上損害

48. 按規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。個資法第 1 條定有明文。則個資法保護之人格權應包含隱私權在內（第 1 條之立法理由參照）。次按不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額，民法第 195 條第 1 項前段定有明文。又按非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。依前項規定請求賠償者，適用前條第 2 項至第 6 項規定；被害人雖非財產上之損害，亦得請求賠償相當之金額。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣 500 元以上 2 萬元以下計算。為個資法第 29 條、第 28 條第 2、3 項所規定。再依同法第 31 條規定，損害賠償，除依本法規定外，公務機關適用國家賠償法之規定，非公務機關適用民法之規定。如依侵權行為之法律關係，請求賠償隱私權受侵害之損害，則應以相當之金額為限，所謂相當，以實際加害情形與其隱私權影響是否重大，及被害者之身分地位與加害人經濟狀況等關係定之。

49. 上訴人雖主張其受詐欺集團詐騙後，因此而耗費時間心力處理帳戶、應訴，過程飽受煎熬，且其為公司財務會計業務之最高負責人，本件被詐騙得逞，多年累積形塑之財務專業形象受損，而受有精神上之痛苦，以伊月薪為 18 萬 8,600 元，及受影響月數共 5 個月（包括後續補救措施之時間成本1個月、財務專業形象受損 2 個月、向多個主管機關申訴溝通之時間成本 2 個月）計算，伊合計受有共 94 萬 3,000 元之非財產上損害，且其已舉證證明受有非財產上損害 94 萬 3,000 元，與個資法第 29 條、第 28 條第 3 項所定「如被害人不易或不能證明其實際損害額時」之情形不同等語，並提出其 112 年 9 月薪資單及其與銀行間電子郵件、各銀行停卡資料、對話截圖（與員警、銀行人員）、帳戶資料、消費申訴資料、中華電信通話明細表等件為證。

50. 惟查，上訴人所稱之財務專業形象不在民法第 195 條第 1 項及個資法所保護之人格權範圍內；且上訴人所主張後續補救措施之時間成本 1 個月、向多個主管機關申訴溝通之時間成本 2 個月之損害，實際上應係指因 SFD 公司保存之上訴人個資遭洩露後，上訴人另因遭到詐欺集團詐騙發生實害後，其因而花費時間應對處理之情形，並非 ADG 公司未依個資法第 12 條為適當之通知所造成之損害，尚不能以上訴人所舉上情，認定 ADG 公司違反通知義務致上訴人受有其所稱之上開 94 萬 3000 元之非財產上損害。則上訴人主張其已舉證證明其因 ADG 公司違反個資法第 12 條規定而受有非財產上損害 94 萬 3,000 元等語，尚非可採。

51. 爰審酌本件 ADG 公司就上訴人個資外洩後違反通知義務之侵害情節，及上訴人於上開個資外洩嗣後遭遇詐欺集團詐騙之隱私權受侵害情形，及其為碩士畢業、擔任主管職務、112 年所得約 290 萬元，名下有不動產及投資數筆等一切情狀，與 ADG 公司之資本總額為 2,100 萬元，有該公司變更登記表在卷可憑，認上訴人依個資法第 28 條第 2 項規定、及侵權行為法律關係，得請求之精神慰撫金以 10 萬元為適當，逾此部分之請求，即非相當，不能准許。

52. 又本件既經審酌認定上訴人得請求之非財產上損害賠償為 10 萬元，即無個資法第 29 條、第 28 條第 3 項「如被害人不易或不能證明其實際損害額時……」規定之適用，併此敘明。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。