臺灣臺北地方法院民事判決

原告

陳昱妏

原告

林羿緯

訴訟代理人

陳詩文律師

訴訟代理人

林羿樺律師

訴訟代理人

劉宜昇律師

被告

台灣博房網訂管理諮詢股份有限公司

法定代理人

NUNO MIGUEL SOTERO PINTO GUERREIRO

訴訟代理人

葉家宇律師

李維峻律師

上列當事人間請求損害賠償等事件，本院於民國111年4月27日言詞辯論終結，判決如下：

主文

事實及理由

一、原告主張：

㈠、原告陳昱妏於民國108年3月間，利用其先前於被告所經營之「Boooking.com」訂房網站（下稱系爭網站）註冊之會員預定民宿並以信用卡付款完成交易，嗣因故取消交易，被告即因此保有陳昱妏之姓名、聯絡資訊、信用卡付款資訊等個人資料，詎被告未依法妥適處理及利用前開個人資料，致不詳詐欺集團於同年7月6日利用前開個人資料，假冒系爭網站客服人員謊稱前開交易有重複扣款之情事，使陳昱妏陷於錯誤，共匯款新臺幣（下同）278萬3,509元至詐欺集團指定帳戶。被告就系爭網站之個人資料管理既有資安漏洞，並使詐欺集團得利用此漏洞取得陳昱妏之個人資料，自應就陳昱妏所受之損害負責。另被告未依法妥適處理及利用前開個人資料，亦使陳昱妏受有非財產上之損害。爰依個人資料保護法（下稱個資法）第29條第1項、第29條準用同法第28條第2項、第3項、民法第18條第2項、第184條第1項前段、第2項、第195條第1項規定，請求被告賠償前開損害等語。

㈡、原告林羿緯於109年11月間，利用其先前於系爭網站註冊之會員預定飯店並以信用卡付款完成交易，被告即因此保有林羿緯之姓名、聯絡資訊、信用卡交易資訊等個人資料，詎被告未依法妥適處理及利用前開個人資料，致不詳詐欺集團於110年5月11日利用前開個人資料，假冒系爭網站客服人員謊稱前開交易有重複訂房之情事，使林羿緯陷於錯誤，共匯款4萬9,983元至詐欺集團指定帳戶。被告就系爭網站之個人資料管理既有資安漏洞，並使詐欺集團得利用此漏洞取得林羿緯之個人資料，自應就林羿緯所受之損害負責。另被告未依法妥適處理及利用前開個人資料，亦使林羿緯受有非財產上之損害。爰依個資法第29條第1項、第29條準用同法第28條第2項、第3項、民法第18條第2項、第184條第1項前段、第2項、第195條第1項規定，請求被告賠償前開損害等語。

㈢、並聲明：1.被告應給付陳昱妏298萬3,509元，及自起訴狀繕本送達翌日起至清償日止，按週年利率百分之5計算之利息、2.被告應給付林羿緯6萬9,983元，及自起訴狀繕本送達翌日起至清償日止，按週年利率百分之5計算之利息、3.願供擔保請准宣告假執行。

二、被告則以：被告並無經營系爭網站，與經營管理系爭網站之Booking.com B.V.公司（下稱Booking.com公司）並非同一權利義務主體，無須為Booking.com公司經營系爭網站所生之責任負責。且被告並未提供任何系爭網站之客服服務予消費者，亦無蒐集、處理、利用或保有原告個資之必要，原告應就被告有違反個資法規定及成立侵權行為之事實舉證。另依刑事局提供之資料，於Booking.com後方標上「Traiwan」及「靈知科技」等2家系統商公司，可見原告所稱個資外洩係因該二公司遭駭客入侵所置。又原告受有損害之主要原因係因詐欺集團之故意詐欺犯罪行為，縱被告之行為違反個資法之規定或成立侵權行為，亦因詐欺集團之故意犯罪行為介入，而使原告所受損害與被告之行為因果關係中斷。因此，原告請求被告賠償其主張之財產上及非財產上損害，均屬無據等語，資為抗辯。並聲明：㈠原告之訴及假執行之聲請均駁回、㈡如受不利判決，願供擔保請准宣告假執行。

三、兩造不爭執事項：

㈠、陳昱妏曾於108年間，於系爭網站預定民宿，嗣於108年7月6 日18時55分許，遭詐欺集團詐欺陳昱妏匯款共278萬3,509 元至詐欺集團指定之金融帳戶。

㈡、林羿緯曾於109年間，於系爭網站預定旅宿，並於110年5月11日19時21分許，遭詐欺集團詐欺林羿緯匯款共4萬9,983元至詐欺集團指定之金融帳戶。

㈢、陳昱妏向詐欺集團成員請求損害賠償，迄今已獲4份民事勝訴確定判決：依臺灣臺中地方法院豐原簡易庭109年度豐小字第537號民事判決，訴外人管閎信應賠償陳昱妏9萬9, 976元；依臺灣苗栗地方法院110年度苗簡字第237號民事判決，訴外人曾政文應賠償陳昱妏22萬9,952元；依臺灣嘉義地方法院110年度訴字第75號民事判決，訴外人陳碧慧及蘇子傑應賠償陳昱妏278萬3,509元；依臺灣高等法院110年度上字第705號民事判決，訴外人張宇賢應賠償陳昱妏22萬9,065元。

四、本院得心證理由

㈠、按非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限，個資法第29條第1項定有明文。是由前開條文可知，本條規定係採推定過失責任，如加害人確實有違反個資法規定致被害人之個人資料遭不法蒐集、處理或利用，而使被害人受有損害，須由加害人證明其無故意或過失，始能不負損害賠償責任，故被害人仍應就加害人有違反個資法規定、被害人之個人資料遭不法蒐集、處理或利用、違反個資法規定與被害人之個人資料遭不法蒐集、處理或利用間具有因果關係、被害人因加害人之行為受有損害等要件加以證明，始足當之。經查：

1.按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，個資法第27條第1項定有明文。原告主張陳昱妏於108年3月間，利用其先前於系爭網站註冊之會員預定民宿並以信用卡付款完成交易，嗣因故取消交易，不詳詐欺集團於同年7月6日利用前開個人資料，假冒系爭網站客服人員謊稱前開交易有重複扣款之情事，使陳昱妏陷於錯誤，共匯款278萬3,509元至詐欺集團指定帳戶；林羿緯於109年11月間，利用其先前於系爭網站註冊之會員預定飯店並以信用卡付款完成交易，不詳詐欺集團於110年5月11日利用前開個人資料，假冒系爭網站客服人員謊稱前開交易有重複訂房之情事，使林羿緯陷於錯誤，共匯款4萬9,983元至詐欺集團指定帳戶等情，有原告提出於系爭網站上之個人資料截圖、訂房畫面截圖、付款資訊截圖、手機通聯記錄、台北富邦商業銀行交易明細表、永豐商業銀行交易明細表、國泰世華銀商業銀行現金存入交易明細表、刑事案件報案三聯單及紀錄表在卷可稽（見本院卷第33至73頁），是詐欺集團既假冒信用卡發卡銀行之名義向原告表明先前有關於系爭網站預定民宿、旅宿時有發生重複扣款之情事，原告聽信詐欺集團而陷於錯誤，因而匯款至詐欺集團之指定帳戶，可知詐欺集團係同時持有原告之聯絡資訊（如姓名、手機號碼等）、於系爭網站之訂房資訊、信用卡交易資訊等資料。又依原告提供系爭網站之個人資料、訂房資料、信用卡資料（見本院卷第33至37、61至65頁），除載明原告之姓名、電子信箱帳號、電話號碼等基本資料及聯絡資訊外，亦有已完成、已取消之訂房紀錄及信用卡付款資訊，然如係信用卡發卡銀行或民宿、旅宿業者，依其分工模式，實難取得其業務範圍以外之原告個人資訊，應可推認前開資訊之來源應係系爭網站。因此，應探究者即為被告是否為系爭網站之實際管理者而得接觸原告所稱遭洩漏之個人資訊，進而判斷其是否有違反個資法之規定。

2.觀諸被告所提出系爭網站上列載之條款：「在您使用任何平台（以下統稱『平台』）登入、瀏覽，使用本（行動裝置版）網站及任何應用程序，和/或在本網站預定時，即被視作已閱讀且理解並同意遵守以下相關條款（包括隱私聲明）。這些網頁內容和架構，以及由我們透過網站提供的線上住宿預訂服務（包含收付款服務）均由Booking.com B.V.所提供、經營和擁有…『Booking.com』、『我們』或『我們的』均指Booking.com B.V.。Booking.com B.V.是一間依據荷蘭法律成立的私人有限責任公司，註冊地址為Herengracht 597,1017 CE Amsterdam, the Netherlands。『平台』即Booking.com提供服務之（行動版）網站和APP，該旅遊服務由Booking.com擁有、控制、管理、維護及/或進行主機管理。」（見本院卷第144頁），可知系爭網站已於其網站上列載系爭網站係由Booking.com公司所提供、經營和擁有，並敘明Booking.com公司係依荷蘭法律所成立之公司而對於系爭網站有控制管理之權限；並於前開條款之末段：「Booking.com公司總部位於荷蘭阿姆斯特丹，並在全世界擁有多家下屬集團公司（「支持公司」）。其支持公司僅向Booking.com提供內部協助。部分指定支持公司提供有限的客戶支持服務（僅通過電話）。支持公司不設任何平台（且不以任何方式控制、管理、維護或主管平台）。支持公司沒有權力和權限提供任何服務，亦不能夠代表Booking.com或以Booking.com的名義簽訂任何合約。您與支持公司之間沒有（法律或合約）關係。支持公司並不參與Booking.com的營運，亦未被授權擔任Booking.com任何形式的處理人或服務代理。」（見本院卷第154頁），可知Booking.com公司對外稱其係被告公司之總部，被告公司係提供內部營運管理支援，被告公司並不提供任何服務及擁有管理經營系爭網站之權限，則能否逕認被告擁有管理、使用或接觸原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料之權限，實有疑問，仍應綜合其他證據審酌判斷之。

3.另原告雖提出系爭網站上列載之條款，主張被告持有原告之個人資料，然細繹該條款：「按照您預定的旅遊產品/服務所需，我們也可能會請您提供住家地址、電話號碼、付款資料、生日、目前的位置（用於提供隨選服務）、同行住客姓名以及您的旅遊相關偏好（例如是否有餐食需求、行動不便需特別協助等）。在某些情況下，您可能也可透過旅遊供應商線上辦理入住，為此我們會要求您提供護照資訊或駕照和簽名…除了您提供給我們的個人資料，我們也會從其他來源獲得您的資料，這包括商業合作夥伴，如策略聯盟合作夥伴、Booking.com集團子公司、其他屬於Booking Holding Inc.集團的公司，以及其他獨立的第三方…Booking.com如何和第三方分享您的個資…Booking.com當地辦公室：為了提供Booking.com服務，我們可能會將您的個資分享給Booking.com集團的子公司（包含客戶服務）。如要進一步了解Booking.com集團資訊，請參閱關於Booking.com」（見本院卷第271至275頁），可知個人資料由消費者交付系爭網站後，係可能基於業務需要，而交由Booking.com公司之子公司如被告公司，然並非必然交付予被告公司，自無法逕認Booking.com公司有將原告之個人資料交付予被告使用、管理。且考量系爭網站係以跨國網際網路平台媒介消費者與旅宿業者，可藉由系爭網站預定下榻處所、安排行程，尚無必由消費者或旅宿業者所在地之子公司處理事務之情形，換言之，實際上Booking.com公司仍可全權自行處理系爭網站之訂房管理、旅宿規劃等營運事務，則難認被告公司確實有持有或利用原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料之情形。

4.原告另提出被告公司於110年4月22日、101年10月5日、102年8月23日、102年10月24日經濟部商工登記公示資料（見本院卷第187至188、335至339頁），說明被告公司之發行股數總數為50萬股，全由Booking.com公司持有，董事及監察人均係由Booking.com公司擔任，並由Booking.com公司指派自然人執行董事及監察人之職務。然Booking.com公司與被告公司雖為集團母公司與子公司之關係，然實際上仍為二獨立法人而有不同之法人格，原則上仍應僅就各自事務負其責任，且就本件而言，最重要之爭點在於被告公司有無持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料，並是否為洩漏原告之前開個人資料之來源，然依卷內事證資料，至多僅能認系爭網站為原告交付聯絡資訊、訂房資料、信用卡交易資訊等個人資料之對象，但無法認定被告公司就系爭網站有管理、使用及控制之權限，則尚難以依卷內證據認定被告公司確實曾有持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料。

5.至於原告雖主張系爭網站所取得之原告個資無論如何處理及利用，除被告公司及其所屬集團外，外人均無從知悉，被告公司既屬跨國業者，應負擔避免重大資安事故發生及影響我國打擊詐欺集團犯罪之社會責任，並斟酌兩造當事人之能力不平等、證據偏在於被告公司、蒐證之困難等情，應將本件評價為公害訴訟之情形，應有推定因果關係或減輕因果關係之適用等語，然個資法第29條第1項規定既設計為加害人推定過失責任，實已對於被害人之舉證責任有所減輕，又本件重要爭點在於被告公司是否持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料而有洩漏之可能，屬與因果關係證明無關之必要要件，而依卷內證據，本院對被告有持有、管理或使用原告之個人資料之事實尚無從形成薄弱之心證，縱然依民事訴訟法第277條後段規定減輕或倒置因果關係之舉證責任，仍無法認定被告須依個資法第29條第1項規定負擔損害賠償責任。且本件原告受有損害之最直接原因係受詐欺集團故意詐欺而交付款項，與原告所列舉公害訴訟、醫療事故係加害人為最直接之侵權行為人而以因果關係之判斷為審理重點之情形不同，尚無由原告負擔舉證責任將致顯失公平之情形，則原告主張本件應減輕或倒置舉證責任，應不可採。

6.綜上，原告尚無法證明被告確實持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料，進而有違反個資法第27條規定之情形，則陳昱妏、林羿緯依個資法第29條第1項、第29條準用同法第28條第2項、第3項規定分別請求被告賠償298萬3,509元、6萬9,983元，尚屬無據。

㈡、按人格權受侵害時，得請求法院除去其侵害；有受侵害之虞時，得請求防止之。前項情形，以法律有特別規定者為限，得請求損害賠償或慰撫金；因故意或過失，不法侵害他人之權利者，負損害賠償責任；違反保護他人之法律，致生損害於他人者，負賠償責任。但能證明其行為無過失者，不在此限；不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額，民法第18條、第184條第1項前段、第2項、第195條第1項前段分別定有明文。查系爭網站並非由被告所管理、控制，尚無法認定被告為持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料而得管理、使用之人，而有違反個資法第27條規定之情形，業經本院認定如前，原告既無從證明被告有何違反個資法規定致其受損害或其他不法侵害其隱私權、人格權之情事，則原告依民法第18條第2項、第184條第1項前段、第2項、第195條第1項規定，請求被告負擔財產上及非財產上損害賠償責任，應屬無據。

五、綜上所述，原告依個資法第29條第1項、第29條準用同法第28條第2項、第3項、民法第18條第2項、第184條第1項前段、第2項、第195條第1項規定，分別請求被告應給付陳昱妏298萬3,509元、林羿緯6萬9,983元及均自起訴狀繕本送達翌日起至清償日止以週年利率百分之5計算之利息，為無理由，應予駁回。原告之訴既經駁回，其假執行之聲請，亦失所依據，應併予駁回。

六、本件事證已臻明確，兩造所提其餘攻擊防禦方法及證據，核與判決結果不生影響，爰不一一論列，併此敘明。

七、訴訟費用負擔之依據：民事訴訟法第78條、第85條第1項後段。